WO2021182985A1 - Периферийное устройство с интегрированной системой безопасности с применением искусственного интеллекта - Google Patents

Периферийное устройство с интегрированной системой безопасности с применением искусственного интеллекта Download PDF

Info

Publication number
WO2021182985A1
WO2021182985A1 PCT/RU2020/000135 RU2020000135W WO2021182985A1 WO 2021182985 A1 WO2021182985 A1 WO 2021182985A1 RU 2020000135 W RU2020000135 W RU 2020000135W WO 2021182985 A1 WO2021182985 A1 WO 2021182985A1
Authority
WO
WIPO (PCT)
Prior art keywords
peripheral device
peripheral
user
host
security
Prior art date
Application number
PCT/RU2020/000135
Other languages
English (en)
French (fr)
Inventor
Сергей Станиславович ЧАЙКОВСКИЙ
Original Assignee
Сергей Станиславович ЧАЙКОВСКИЙ
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Сергей Станиславович ЧАЙКОВСКИЙ filed Critical Сергей Станиславович ЧАЙКОВСКИЙ
Publication of WO2021182985A1 publication Critical patent/WO2021182985A1/ru

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks

Definitions

  • This invention relates to the field of computing, and in particular, to a peripheral portable device that can interact with a main computing device.
  • Computing devices are becoming increasingly portable today.
  • portable peripherals that are capable of communicating with a host computing device (eg, desktop computer, laptop, or personal digital assistant) to achieve certain functionality.
  • host computing device eg, desktop computer, laptop, or personal digital assistant
  • portable peripherals can take many different physical forms (eg, PCMCIA cards, smart cards, CDs) and can perform a variety of functions (eg, storage, communication, encryption, etc.).
  • While portable computing provides a number of advantages, it has a significant disadvantage in that the computing environment (including portable peripherals and any other computing devices that communicate with these devices) is more susceptible to security breaches, ie, unauthorized access or changing programs and / or data in this environment. Consequently, cryptographic devices and methods of their use can be developed for use in such computing environments (as well as in other computing environments) to provide enhanced security for the environment.
  • the technical problem or technical problem solved in this technical solution is the implementation of a peripheral device with an integrated security system using artificial intelligence.
  • the technical result is to improve the security of the peripheral device, which is carried out through the use of artificial intelligence, which controls access to various sections of the peripheral device based on user authentication.
  • a peripheral device with an integrated security system using artificial intelligence comprising a housing in which at least one security means are located to enable one or more security operations to be performed on data; at least one means for providing interaction of the peripheral device with the host computing device; means for operatively connecting the security means to the host in response to an instruction from the host; and means for transmitting data between the host computing device and the peripheral means, so that the transmitted data must first pass through the security means; an artificial intelligence module configured to change the user's privacy level based on recognition of data loaded on the user's peripheral device, while the user is restricted from accessing the content until the artificial intelligence component changes the user's privacy level based on his authentication.
  • the peripheral device further comprises means for non-volatile data storage. [009] In some embodiments, the peripheral device further comprises means for providing communication between the host and the remote device.
  • the peripheral device further comprises a biometric device.
  • the peripheral device further comprises means for communicating with a smart card.
  • the nonvolatile storage device further comprises a solid state disk storage device.
  • the solid state disk storage device comprises an ATA format flash disk.
  • the peripheral device further comprises means for providing communication between the host and the remote device.
  • the means for providing communication between the host and the remote device further comprises wireless means.
  • the wireless communication means comprises a wireless modem.
  • the wireless communication means comprises a wireless local area network transceiver.
  • the biometric device comprises a fingerprint scanner.
  • the biometric device comprises a retinal scanning device.
  • the artificial intelligence module issues recommendations for changing the user's privacy level.
  • FIG. 1 shows a block diagram of an implementation of a technical solution in accordance with the invention.
  • FIG. 2 is a perspective view of a physical implementation of the system of FIG. 1 according to one embodiment of the invention.
  • FIG. 3 is a block diagram of a peripheral device in accordance with an embodiment of the invention.
  • FIG. 4 is a flowchart of a method in accordance with an embodiment of the invention for initiating use of a system in accordance with the invention.
  • FIG. 5 is a block diagram of a system in accordance with an embodiment of the invention, illustrating the operation of the system during a method in accordance with the invention as in FIG. 4.
  • FIG. 6 shows a flowchart of a method in accordance with an embodiment of the invention for using a peripheral device in accordance with the invention.
  • Figure 7 is a block diagram of a peripheral device in accordance with another embodiment of the invention.
  • FIG. 8 is a block diagram illustrating data flow through the interface control device of FIG. 7.
  • the system means a computer system, a computer (electronic computer), CNC (numerical control), PLC (programmable logic controller), computerized control systems and any other devices capable of performing a given, well-defined sequence of operations. (actions, instructions), centralized and distributed databases, smart contracts.
  • a command processor is meant an electronic unit or an integrated circuit (microprocessor) executing machine instructions (programs), or the like.
  • the command processor reads and executes machine instructions (programs) from one or more storage devices.
  • the role of data storage devices can be, but are not limited to, hard disks (HDD), flash memory, ROM (read only memory), solid state drives (SSD), optical drives.
  • a program is a sequence of instructions for execution by a computer control device or command processing device.
  • Server an electronic device that performs service functions at the request of the client, providing him with access to certain resources.
  • a server is contemplated that has a persistent connection to the internetwork that can transmit data to a client device. The server can process this data and transmit the processing result back to the client device.
  • a data exchange module is a server module that can represent a receiver of incoming signals, and a converter for further processing, and a translator for further sending.
  • Computing module is a server module that is a microprocessor specially adapted for complex signal processing.
  • Peripheral device (English peripheral) - equipment that allows you to enter information into a computer or output it from it. Peripheral devices are optional for system operation and can be disconnected from the computer.
  • FIG. 1 shows a block diagram of a system 100 according to the invention.
  • System 100 includes a host 101 and a peripheral device 102 that communicate via a communications interface 103.
  • peripheral device can refer to any device that operates outside of the host and that is connected to the host.
  • the peripheral device 102 includes a security mechanism 102a that allows security operations (examples of which are described in more detail below) on data stored in the host 101, data that is transmitted from the main computing device
  • peripheral device 102 the peripheral device 101 to the peripheral device 102 or data that is transferred from the peripheral device 102 to the host computer 101.
  • the peripheral device 102 the peripheral device
  • target functionality provides additional functionality (referred to herein as "target functionality" to the system 100, such as, for example, the ability to store data in solid state disk storage, the ability to activate communication from computing device 101 to another device, the ability to receive biometric input to provide user authentication to device 101; and the ability to receive and read a smart card inserted into the peripheral device 102.
  • the communication interface 103 may be any one of a variety of communication interfaces, such as a wireless communication interface, a PCMCIA interface, a smart card interface, a serial interface (such as an RS-232 interface), a SCSI interface, or an IDE interface. etc.
  • Each embodiment of the communication interface 103 includes hardware present in each host 101 and peripheral 102 that operates in accordance with a communication protocol (which may be implemented, for example, by software stored in a memory, and / or firmware that is present in host 101 and / or peripheral 102) suitable for this type of communication interface, as will be apparent to anyone skilled in the art.
  • a communication protocol which may be implemented, for example, by software stored in a memory, and / or firmware that is present in host 101 and / or peripheral 102
  • Each embodiment of the communication interface 103 also includes mechanisms for providing physical communication, if any, between the host 101 and the peripheral device 102.
  • the security mechanism 102a may be configured to perform any electronic data protection operation. (referred to herein simply as a "security operation"), including, for example, operations that provide one or more basic cryptographic functions, such as data confidentiality, data integrity checking, user authentication and denial of user access.
  • security operation including, for example, operations that provide one or more basic cryptographic functions, such as data confidentiality, data integrity checking, user authentication and denial of user access.
  • the specific security operations that may be implemented in the peripheral device in accordance with the invention are described in more detail below. These operations are carried out using machine learning.
  • the device further comprises an artificial intelligence module.
  • connecting a peripheral device further causes the host to generate a set of test sequences from a subset of security research studies and encryption techniques using an artificial intelligence module.
  • An artificial intelligence (AI) module can be, for example, an expert system and / or a neural network.
  • the term "intelligence” refers to the ability to reason or make conclusions, such as inferences about the current or future state of a system, based on existing information about the system. Artificial intelligence can be used to identify a specific context or action, or to generate a probability distribution for specific system states without human intervention. Artificial intelligence is based on the use of advanced mathematical algorithms such as decision trees, neural networks, regression analysis, cluster analysis, genetic algorithm and augmented learning to set available data (information) about the system. In particular, the artificial intelligence module allows one of a variety of methodologies to be used for data-driven learning, followed by inference based on models built in this way, for example, hidden Markov models (HMMs) and related dependency models that constitute the prototype of more general probabilistic graphical models.
  • HMMs hidden Markov models
  • the artificial intelligence module in some implementations, is used to change the user's privacy level based on the recognition of data loaded on the user's peripheral device.
  • the artificial intelligence module of the peripheral device automatically changes the user's privacy level to allow the user to access the content of the peripheral device, while the user is restricted from accessing the content until the artificial intelligence component changes the user's privacy level based on its authentication.
  • the artificial intelligence module issues recommendations for changing the user's privacy level.
  • This solution facilitates the simultaneous exchange of data in a confidential and public context (eg, infrequent or minimally specific) in accordance with an aspect of the present invention, a peripheral implementation.
  • Data can be differentiated on the website for each specific peripheral device, for example, by its unique identifier. This can be accomplished in part by downloading user content to make it available to the online community in accordance with various restrictions on the operation of the peripheral.
  • one or more levels of privacy can be assigned to content. Confidentiality levels can include private or public and / or confidentiality levels.
  • the user can assign an appropriate privacy level to the content, or alternatively, the system or method can recognize the context of the content and automatically assign the appropriate privacy level based on the operation of the artificial intelligence module.
  • certain kinds of content can only be "pushed" into sections of the peripheral with an appropriate level of confidentiality.
  • a system or method can be trained to recognize medical or medical-related information contained on a peripheral device and automatically assign the highest level of confidentiality. As a result, this information can be placed in the appropriate section.
  • the user can assign levels of privacy or grant access rights to people in various sections of the peripheral. For example, everyone can be given access to the user's "public" content. This public access can be provided by default or explicitly by the user. Other users that are known to the user can be assigned one or more privacy levels that correspond to the privacy levels assigned to the user's content.
  • a person's credentials may be received and the person's privacy level (s) may be identified in an authentication step by means of a biometric means.
  • the relevant content of the user can be accessed based on the person's privacy level.
  • the authentication of a person's identity and privacy levels can be repeated for each person logging into the peripheral. Any user can exchange data or otherwise interact with one or more people at different levels of privacy at the same time.
  • At least the first person may be assigned a first privacy level
  • at least a second person may be assigned a second privacy level that is different from the first privacy level.
  • privacy levels 0-2 where 0 is the least private (e.g., public) and 2 is the most private for that particular user
  • the first privacy level could be 0 and the second privacy level can be 2.
  • the content of the sections for the first and second privacy levels can be displayed to the first and second person, respectively.
  • the user can interact or otherwise communicate with the first and second person simultaneously at two different levels of confidentiality. It should be appreciated that communication between the user and any person can begin at any time, for example, via IM (instant messaging), email, chatting software and / or blogging; however, access to sections of a user's peripheral device can be granted after an appropriate privacy level has been set for each person.
  • IM instant messaging
  • email email
  • chatting software and / or blogging
  • access to sections of a user's peripheral device can be granted after an appropriate privacy level has been set for each person.
  • the security mechanism 102a can be implemented as a security token, for example.
  • a "security token” refers to a device that performs security operations and that includes one or more mechanisms (such as, for example, using a hardware random number generator and / or secure memory) to secure the contents of those operations.
  • FIG. 2 is a perspective view of a physical implementation of the system 100 of FIG. 1 according to one embodiment of the invention.
  • the peripheral device 102 is in the form of a smart card 112 that can be inserted into a corresponding slot 113 formed in the laptop 111, which in FIG. 2 embodies a host 101.
  • a peripheral device in accordance with the invention is a portable device, such as the card 112 shown in FIG. 2.
  • portable device can generally refer to any device that can be easily carried by hand.
  • FIG. 3 shows a block diagram of a peripheral device 300 in accordance with an embodiment of the invention.
  • Peripheral device 300 includes security functionality 301, target functionality 302, and a host interface 303 that formed together as part of a single physical device.
  • security functionality 301 and the target functionality 302 may be enclosed in a single smart card-like enclosure (denoted 304 in FIG. 3) conforming, for example, to the PCMCIA standard or the smart card standard.
  • Peripheral device 300 can have a number of advantageous characteristics.
  • the peripheral device 300 may be implemented in a manner that allows the operations of protecting the security functionality 301 to be performed in a manner that is known to the host computing device of the system according to the invention, so that the host computing device (and possibly the user) is only aware of the presence of the target functionality 302.
  • the peripheral device 300 can be implemented such that security operations are performed "in-line", that is, security operations are performed between the transfer of data to or from the host computer and the implementation of the target functionality provided by the peripheral device.
  • the peripheral device 300 allows a wide range of secure target functionality to be easily provided to a computing device.
  • FIG. 4 is a flow diagram of a method 400, according to an embodiment of the invention, for initiating use of a system in accordance with the invention.
  • the method 400 provides an aspect of the invention in which the presence of security functionality as part of a peripheral is not detected by the host, thereby making the security functionality transparent to the host.
  • FIG. 5 is a block diagram of a system 500 according to an embodiment of the invention illustrating the operation of system 500 during a method according to the invention according to method 400 of FIG. 4.
  • System 500 includes a host 501 and a peripheral device 502.
  • Host 501 includes a display device 503a (eg, a conventional computer display monitor) and a user-defined device 503b.
  • input eg, keyboard, mouse, trackball, joystick, or other appropriate device
  • 501 also includes a processing device 505 installed in a housing 504, a memory device 506, an input / output (I / O) device 507 for communicating with a user interface device 503, and an input / output (I / O) device 508 for communicating. with a peripheral device 502.
  • a processing device 505 installed in a housing 504
  • a memory device 506 an input / output (I / O) device 507 for communicating with a user interface device 503, and an input / output (I / O) device 508 for communicating.
  • I / O input / output
  • security functionality 511 includes security functionality 511, memory device 512, I / O device 513 to enable communication with host 501 and target function 514.
  • Security functionality 511, memory device 512, I / O device 513 ( I / O) and target functionality 514, each individually or together, may be implemented by conventional devices and may communicate with each other via a conventional computer bus 515 as is well known and understood.
  • the main computing device 501 and the peripheral device 502 are shown in simplified form in FIG. 5 for ease of clarity in illustrating this aspect of the invention. As described in more detail below and as understood by those skilled in the art, computing device 501 and peripheral device 502 may include other devices not shown in FIG. 5.
  • step 401 use of the system according to the invention begins when, as shown in step 401, a user of the system connects a peripheral device according to the invention to a host computer.
  • a connection can occur in any manner that allows the peripheral to communicate with the host. This often occurs as a result of physically connecting a peripheral device to a host computer.
  • the peripheral may be embodied in a card or a disk (for example, a card conforming to the PCMCIA form factor as defined by the relevant standard) that is inserted into an appropriate slot formed in the host computer.
  • the peripheral device may be formed in a housing from which a cord extends, the plug of the cord being inserted into a mating receptacle formed in the host.
  • the peripheral device may also be connected to the host computing device via any type of wireless communication for which the host computing device contains an appropriate interface.
  • the host detects the presence of the peripheral, as shown in step 402. Such detection of the presence of the peripheral is typically permitted as a standard aspect of host operating system software.
  • the operating system software (or companion program) also identifies the type of peripheral. This can be accomplished, for example, with a standard software device driver (hereinafter "host driver") for devices of the type that use the host interface used by the peripheral device 502.
  • FIG. 5 shows that a computing device driver is stored in memory 506a 506 of host 501.
  • the peripheral in accordance with the invention suspends this aspect of the operating system software so that the peripheral can establish its identity, as shown in step 403 and explained below.
  • performing step 403 advantageously allows the peripheral to receive the identity of the target functionality that is part of the peripheral. Since, as described elsewhere herein below, a peripheral in accordance with the invention may include multiple types of target functionality, the peripheral may receive different identifiers.
  • the particular manner in which the operating system software is suspended so that the peripheral device can establish its identity may depend on the characteristics of the operating system software and / or the device interface. However, for many combinations of operating system software and device interface software, the operating system software waits for confirmation that the device connected to the device interface is ready to further interact with the operating system software before the operating system software attempts to identify the type of device connected to the device. interface (for example, the standard for PCMCIA interfaces defines such an operation). In such cases, the peripheral can be configured to delay informing the operating system software that the peripheral is ready for further interaction until the peripheral has established its identity.
  • peripheral device 502 is such a device.
  • the memory block of the memory device 512 of the peripheral device 502 that the host computer 501 seeks to access is shown in FIG. 5 as a memory section 512a, and data stored therein are referred to herein as “peripheral device identification”.
  • the peripheral device 502 can be implemented such that the peripheral device 502 assumes the identity of the target functionality 514 (regardless of whether the security functionality of the peripheral device is also used). This allows the host 501 to interact with the peripheral 502 as if the peripheral 502 was a device of the type of target functionality 514, without recognizing that security functionality 511 is present that can perform security operations. Thus, the need to modify aspects of the operation of the host computing device (eg, device driver) to enable security operations is reduced or eliminated, making the implementation and use of a data protection system including peripheral device 502 easier and more reliable.
  • the host computing device eg, device driver
  • peripheral device 502 includes security functionality 511 and target functionality 514
  • system 500 can operate such that only security functionality 511 is used.
  • the peripheral device 502 and the peripheral device driver may be implemented such that when the peripheral device 502 operates such that the identification data of the peripheral device stored in the memory location 512a identifies the peripheral device 502 as a security device.
  • the host identifies the peripheral as shown in step 404. This may be implemented as part of the computing device driver, as discussed above.
  • peripheral device driver conventionally referred to as" applications
  • the peripheral driver may be pre-installed on a storage device (eg, a hard disk) of the host (in FIG. 5, the peripheral driver is shown stored in the memory section 506b of the memory device 506 of the host 501), or it may be made accessible to the host through an appropriate interface (such as a floppy disk drive, CD-ROM drive, or network connection) at a time when the user wishes to initiate communication between the host and a peripheral.
  • a peripheral device according to the invention is used with a host computer that uses operating system software that supports a function informally called "plug and play"
  • FIG. 6 shows a flow diagram of a method 600 in accordance with an embodiment of the invention for using a peripheral device in accordance with the invention.
  • the method 600 shown in FIG. 6 is not the only way to implement the aspects of the use of the peripheral device according to the invention, which are illustrated in FIG. 6.
  • the use of a peripheral device according to the invention may include aspects not shown in FIG. 6.
  • the method 600 of FIG. 6 is shown only to help illustrate certain aspects of the invention and should not be interpreted as limiting the manner in which the peripheral device according to the invention can be used.
  • the user instructs the host to start executing the peripheral driver as shown in step 601 of method 600
  • the user must know the appropriate command to start executing the peripheral driver in any suitable manner. (for example, from the user manual supplied with the peripheral driver and / or peripheral).
  • the steps of the method 600 occur as a result of the operation of the peripheral driver, however, the operation of the host driver may be necessary or desirable for the operation of some aspects of the method 600 (eg, performing a transaction as shown at blocks 608, 612, and 615).
  • the peripheral device in accordance with the invention can be implemented such that the driver subtracts. the device cannot detect the presence of the security functionality of the peripheral.
  • the peripheral driver allows security functionality to be discovered, as shown in step 602 of method 600. This can be accomplished by including instructions as part of the peripheral driver, when the peripheral driver first starts executing, it accesses a predefined location of the peripheral memory device. devices (memory sections 512b in FIG. 5) for data that identifies whether the peripheral is a device having security functionality that is compatible with the driver peripheral device. If the peripheral is such a device, then the peripheral driver can enable the user to use the security functionality of the peripheral.
  • the peripheral device driver may be implemented as shown in FIG. 6 so that if proper security functionality is not detected, execution of the peripheral driver is terminated, preventing use of the peripheral.
  • the peripheral driver can be implemented such that if proper security functionality is not found, the target peripheral functionality can be used without the security functionality of the peripheral.
  • the peripheral device according to the invention generally can operate in one of three modes:
  • a mode in which only the target functionality is used The user may be able to select any of the three operating modes using the peripheral device driver. However, some applications may prohibit operation in one or two modes. In particular, it may be desirable to prevent a peripheral device from operating in the last of the above modes, that is, in a mode in which the security functionality is not used, if it is desired to ensure that the target functionality can only be used using one or more security operations. This can be achieved by implementing a peripheral driver such that an option for operating in this mode is not presented to the user, or the peripheral can be configured during manufacture to prohibit operating in this mode. For example, if the target functionality is implemented as a communication device or memory device, it may be desirable to ensure that the unencrypted data could not be transmitted through the communication device or stored in the memory device, regardless of whether it was performed unintentionally or on purpose.
  • method 600 all three of the above modes are available for use.
  • a peripheral device driver may be implemented such that a user must successfully enter an acceptable access code (eg, a password or PIN, or apply facial recognition, for example) before the user is allowed to use the peripheral.
  • an access code may be required before allowing a user to use the security functionality, thereby establishing a security level that protects the integrity of the security operations themselves.
  • an acceptable access code must be entered by the user before the security functionality of the peripheral can be used.
  • the access code can be entered, for example, by entering the access code in a conventional manner using a user interface device (eg, a keyboard) of the host computing device, or through any biometric method access.
  • the access code may be entered using specific embodiments of the target functionality (eg, a biometric device discussed in more detail below) that is part of a peripheral device in accordance with the invention.
  • the access code can be used not only to control access to security functions (or other) of the peripheral device, but also to identify the "identity" of the user.
  • Each person (user) is represented by data, that specify certain characteristics of the operation of a peripheral device, such as, for example, restrictions on the operation of a peripheral device (for example, restrictions on the types of security operations that can be performed) or a specification of operating parameters or characteristics (for example, cryptographic keys or a specification of a particular implementation of a type of security algorithm , such as a specific encryption algorithm).
  • Data representing the identity and corresponding access codes of the user may be stored in the memory of the peripheral device.
  • the peripheral driver Upon receiving an acceptable access code, the peripheral driver controls the host to provide a user interface that allows the user to control the peripheral as desired, and in particular to use the peripheral to perform security operations, as described below. If access codes are also used to identify individuals, then upon receipt of an acceptable access code, the peripheral driver can also access and retrieve data representing the corresponding identity so that the operation of the peripheral can be appropriately controlled.
  • a user interface for enabling a user to control a peripheral device may be implemented in any of a variety of well known methods (eg, as a graphical user interface) using methods and devices that are well known to those skilled in the art. Typically, a user interface allows a user to perform any functionality that is provided by a peripheral, as described in more detail elsewhere in this document.
  • the peripheral device can operate in any of three modes. Once an acceptable access code is entered, the peripheral driver may allow the user to select one of three modes, as shown at block 605 of method 600. Alternatively, as mentioned above, there may be it is desirable to present the user only with the option to select the “security functionality only” mode or “security functionality plus the target function mode” to eliminate the possibility that the user would make an unsecured use of the target function.
  • the user interface (and the underlying peripheral driver) allows the user to enter all required instructions regarding the security operations to be performed for a particular "transaction" (e.g., storing data in a memory device, transmitting data by a communications device, or exchanging data with a smart card reader), as shown in steps 606 and 610 of method 600.
  • a user interface may allow a user to select data for which security operations are to be performed , specify the application of specific security operations to data, or specify parameters or other information required for a specific security operation.
  • the user interface and peripheral driver allows the user to enter any required instructions regarding the use of target functionality for a transaction, as shown in steps 607 and 611 of method 600.
  • target functionality implemented as a memory device
  • the user interface can allow the user to specify a name for the stored data.
  • the target functionality is implemented as a communication device, the user interface may allow the user to specify a destination (eg, an email address) for data transmission.
  • a transaction is performed as shown at block 608 or block 612 of method 600.
  • the user may be allowed to perform additional transactions as shown at block 609 method 600.
  • User also may start using a different identity (by entering the appropriate access code), as shown at block 609 of method 600.
  • use of the peripheral device ends, as shown at block 618 of method 600.
  • the peripheral device and the associated peripheral device driver may be implemented such that only the security functionality of the peripheral device can be used.
  • the peripheral device can be used, for example, to encrypt or decrypt data stored on the host, by receiving data from the host, encrypting or decrypting the data as appropriate, and then returning the encrypted or decrypted data to the host. ...
  • the peripheral device and the associated peripheral device driver can be implemented so that only the target functionality of the peripheral device can be used, even without entering an appropriate access code.
  • such an operation is indicated by steps 614, 615, and 616, which function in the same manner as steps 611, 612, and 609 described above.
  • Using a peripheral device in this manner can be useful, for example, when the target functionality is implemented as a biometric device, as described below, that is used to perform user authentication.
  • the biometric device is to be used as a mechanism for entering an access code at block 604, this mode may be required (depending on the capabilities of the biometric device) to allow such use of the biometric device.
  • Block 615 the security functionality, that is, user authentication, is used as part of block 615.
  • Block 617 may also allow the security function to be started by invoking a request for an appropriate access code (block 604).
  • block 618 use of the peripheral ends (block 618).
  • a peripheral device in accordance with the invention that includes security functionality and targeted functionality may be implemented so that the host is not aware of the security functionality. They can also protect the user from being aware of the security functionality and force specified security operations to be performed automatically. This may be necessary so that, for example, the user does not need to provide input regarding the performance of security operations, thus eliminating the possibility that the user will neglect to provide such input, or enter the input incorrectly or incompletely.
  • the peripheral driver can be implemented such that the peripheral can only operate in security plus target mode (steps 610, 611, 612, 614, 615, 616, and 617 of method 600 cannot be performed), and therefore, it is not indicated (eg, a user interface display view that allows instructions for performing security operations to be entered, as in block 606 of method 600) that the security functionality of the peripheral is available. Rather, the user will simply be presented with options related to the operation of the target functionality (block 607 of method 600).
  • the peripheral device driver may be implemented to automatically cause one or more specified security operations to be performed based on user-specified interaction with the target functionality, or the peripheral device may be configured to perform such security operations every time the specified interaction occurs. with targeted functionality.
  • a significant advantage of the peripheral device according to the invention is that the peripheral device can be implemented such that any of a variety of types of target functionality can be included as part of the peripheral device.
  • a peripheral device includes an interface control device that includes and manages communication between and between a host computing device, a cryptographic processing device that is part of the peripheral device, and target functionality that is also part of the peripheral device. devices.
  • the interface manager can be adapted to provide an appropriate interface for each type of target function.
  • any desired target functionality can be used with a peripheral device according to the invention, provided that the target functionality is implemented to allow communication with an interface of the type presented.
  • Specialists in the field of communication can easily understand how to implement such communication with target functions, given the detailed description below (see Fig. 7, 8A and 8B) of an embodiment of a peripheral device according to the invention, and in particular, an interface control device of such a peripheral device. ...
  • the target functionality of a peripheral device in accordance with the invention may be implemented as a memory device configured to provide non-volatile data storage.
  • any such storage device can be used to implement such an objective function.
  • a solid state disk storage device eg, a flash memory device
  • a storage device that can be used to implement target functionality in a peripheral device in accordance with the invention can be a compact flash memory device. You can use other solid state disk storage devices such as SCSI drives, SSDs, and IDE drives that are not limited to.
  • a peripheral device which includes a storage device that embodies the intended functionality, can be used, for example, to securely store data in a manner that allows a data user to easily carry data wherever they go.
  • the target functionality of a peripheral device may also be implemented as a communication device configured to provide communication between a host computer and a remote device.
  • any such communication device can be used to implement the targeted functionality.
  • a communication device that can be used to implement target functionality in a peripheral device in accordance with the invention can include, for example, a data modem (such as, for example, a conventional telephone line modem, ISDN modem, cable modem, or wireless modem) or LAN transceiver (wired or wireless and, in the latter case, working, for example, in the infrared or radio frequency spectrum).
  • a peripheral device which includes a communication device that implements the targeted functionality, can be used, for example, to encrypt e-mail before transmission to a recipient. Or, such a peripheral device can be used, for example, to encrypt data files that a person wishes to securely transfer between a computing device at the person's workplace and a computing device at the person's home.
  • the target functionality of a peripheral device in accordance with the invention may also be implemented as a biometric device, which is defined herein as any device that is adapted to receive input regarding the physical characteristics of a person based on the person's physical interaction with the device.
  • a biometric device which is defined herein as any device that is adapted to receive input regarding the physical characteristics of a person based on the person's physical interaction with the device.
  • any such biometric device can be used to implement the target function.
  • Biometric devices that can be used in a peripheral device according to the invention may include, for example, a fingerprint scanner, a retina scanner, or a fingerprint scanner.
  • a biometric device includes a sensor for determining a physical characteristic and an analog-to-digital converter for converting analog data representing the measured characteristic into digital data.
  • a fingerprint scanner includes a sensor that a person can put a finger on, a sensor that recognizes the fingerprint, and then the contents of the detected fingerprint are converted into digital data by the device.
  • a retinal scanning device includes a sensor that can be located near the human eye, a sensor that senses characteristics of the eye such as a blood vessel pattern or iris, a device that converts the content of the detected characteristics into digital data.
  • biometric devices in general, as well as those defined in particular above, so that together with an understanding of the required connectivity between the target functionality and an interface control device, a biometric device for use with the invention can be easily constructed and operated.
  • Fingerprint scanning devices and retinal scanning devices that can be easily modified for use with the invention, that is, for communication with an interface control device according to the invention, are known to those skilled in the art.
  • a peripheral device in accordance with the invention which includes a biometric device that implements the target functionality, may be used, for example, to allow a user to authenticate to a host computer prior to granting access to specific data stored on the host computing device.
  • Such user authentication can be performed using a biometric device to obtain biometric data from the user and compare the biometric data with an appropriate library of biometric data representing a predetermined group of people (eg, authorized users).
  • the data library can be stored in the storage device of the peripheral device.
  • a peripheral including a fingerprint scanner is configured as a card adapted to be inserted into a slot in a host computing device (eg, a PCMCIA slot), it may be useful to make the peripheral relatively long so that the portion the card on which the sensor is located could exit the slot of the main computing device, allowing fingerprints to be scanned while the peripheral device is inserted into the main computing device.
  • a host computing device eg, a PCMCIA slot
  • the biometric device can be used in various ways with the system according to the invention depending on the capabilities of the biometric device.
  • an "intelligent" biometric device can be implemented with the ability to detect the presence of an input signal to the sensor and, after such detection, initiate the acquisition of biometric data and characteristics of the peripheral device corresponding to the comparison of data.
  • Such a biometric device can be used to perform user authentication as in step 604 of method 600 above.
  • the biometric device may require the user to initiate the data collection and authentication process.
  • Such a biometric device can be used to perform user authentication on a peripheral device that allows operation without entering the correct access code, as in steps 614 and 615 of method 600.
  • the target functionality of a peripheral device in accordance with the invention can also be implemented as a smart card reader for communicating with a smart card, such as, for example, a smart card conforming to the ISO 7816 standard.
  • a smart card reader for communicating with a smart card
  • Such a device can be implemented by adapting a conventional smart card reader, the design and operation of which is well known to those skilled in the art, to provide a communication interface that allows the smart card reader to communicate with an interface control device.
  • a peripheral device in accordance with the invention which includes a smart card reader, can be used to provide security functions for the smart card reader or to add to existing smart card reader security functions.
  • FIG. 7 shows a block diagram of a peripheral device 700 in accordance with another embodiment of the invention.
  • the peripheral device 700 includes a cryptographic processor 701, an interface control device 702, a first memory device 703, a second memory device 704, a clock 705 real-time, host I / O interface 706, and target functionality 707.
  • Host I / O interface 706 provides communication between peripheral 700 and host.
  • the electrical and mechanical characteristics of the I / O interface 706, as well as the protocol used to provide communication over the 706 interface, are set in any way that conforms to industry standard specifications for this type of interface.
  • a peripheral device according to the invention can be adapted to be inserted into a PCMCIA slot of a host computer.
  • the electrical and mechanical characteristics and communication protocol for the host I / O interface 706 are set in accordance with the relevant PCMCIA standards.
  • the cryptographic processor 701 may be adapted to perform security operations. Typically, cryptographic processor 701 may be implemented by any processor capable of performing cryptographic operations to be provided by peripheral 700. In one embodiment of peripheral 700, cryptographic processor 701 is an embedded special purpose processor implemented on a single integrated chip, designated MYK -82 (also called Capstone), which includes the ARM6 TM processor core and several special-purpose cryptographic processing elements. The design and function of the Capstone chip are known to those skilled in the art of cryptographic processing.
  • the first memory 703 can be a nonvolatile storage device that can be used to store computer programs and persistent data.
  • the first memory 703 may be implemented by any suitable such device, such as, for example, a conventional flash memory device.
  • the second memory 704 may be a volatile storage device, which may also be a readily available storage device in which frequently used data and program instructions may be stored while the peripheral 700 is in operation.
  • the second memory 704 may also be implemented with using any suitable device such as, for example, a conventional random access memory (RAM) device.
  • RAM random access memory
  • the interface control device 702 interacts between the host computing device, the target functionality 707, and the cryptographic processor 701.
  • interface control device 702 is a conventional device, which may be a programmable gate array (FPGA) that is programmed to perform functions.
  • the interface control device 702 under the control of the cryptographic processor 701 may be adapted to allow the peripheral device 700 to receive the identity of the objective function 707, as discussed above.
  • the interface control device 702 also enables embedded cryptography according to the invention, as the interface control device 702 controls the flow of data between the host computer and the target functionality 707.
  • FIG. 8A is a block diagram illustrating data flow through the interface control device 702 of FIG. 7.
  • Data transmitted from the host is provided to a peripheral device 700 (not shown in FIG. 8A) via the host I / O interface 706.
  • the interface manager 702 presents data to the cryptographic processor interface 708 (not shown in FIG. 7).
  • the data may or may not be processed by cryptographic processor 701 (FIG. 7).
  • cryptographic processor 701 FIG. 7
  • the interface manager 702 then causes the transfer of data to the target functionality 707.
  • the data transferred from the target functionality 707 to the host follows a similar path in the opposite direction.
  • the target functionality 707 is absent or not used, the data transmitted from the host, after being presented to the cryptographic processor interface 708 and processed by the cryptographic processor 701, is forced back to the interface 8
  • a set of configuration registers is maintained for the host I / O interface, the cryptographic processor interface, and the target functionality interface.
  • the contents of the host I / O interface configuration registers are such that the host interacts with the peripheral device as if the security functionality was not present.
  • the contents of the target functionality interface registers reflect the presence of the security functionality.
  • the cryptographic processor interface registers bridge the gap between the other two sets of registers.
  • the security functionality of a peripheral device can be configured to perform any cryptographic operation as well as other related mathematical operations.
  • Configuration of security functionality that enables a specific cryptographic or mathematical operation can be produced, for example, using appropriate existing cryptographic software, application-specific hardware, or a combination thereof, as is known to those skilled in the art of cryptographic devices.
  • the following is a description of exemplary cryptographic and mathematical operations that may be implemented as part of the security functionality of a peripheral device according to the invention. These cryptographic and mathematical operations are well known and can be easily implemented in the peripheral device according to the invention by a person skilled in the art of cryptography.
  • a peripheral device according to the invention may implement one or more cryptographic key exchange operations. Any key exchange operation can be implemented, such as, for example, RSA, Diffie-Hellman and X9.42 key exchange algorithms (ANSI Banking Standard).
  • the peripheral device according to the invention may also implement one or more hashing operations. Any hashing operation can be implemented, such as the FIPS 180-1 (SHA-1), Message Digest 2 (RSA) and Message Digest 5 (RSA) algorithms.
  • SHA-1 SHA-1
  • RSA Message Digest 2
  • RSA Message Digest 5
  • the peripheral device according to the invention may also implement one or more digital signature operations.
  • Any digital signature operation can be implemented, such as, for example, the FIPS 186 (DSA - 512, 1024) and RSA Signature (512, 768, 1024, 2048) algorithms.
  • the peripheral device may also implement one or more symmetric encryption operations.
  • Any symmetric encryption operation can be implemented, such as, for example, FIPS 185 (implemented entirely in hardware), DES (including 3DES, EDE3, CBC and ECB), RC-2 and RC-4 algorithms.
  • a data bus includes one or more data buses.
  • the data bus can be implemented in accordance with the Controller Area Network (CAN) bus protocol, which is defined by the International Organization for Standardization (ISO) 11898-1, the Multimedia System Data Bus (MOST) protocol, the flexible CAN data bus (CAN-FD) protocol (ISO 11898-7) and / or K-line bus protocol (ISO 9141 and ISO 14230-1) and / or Ethernet TM -i protocol ⁇ iHHbi IEEE 802.3 (2002 onwards), etc.
  • CAN Controller Area Network
  • MOST Multimedia System Data Bus
  • CAN-FD flexible CAN data bus
  • K-line bus protocol ISO 9141 and ISO 14230-1
  • Ethernet TM -i protocol ⁇ iHHbi IEEE 802.3 2002 onwards
  • a system bus which can be any of several types of bus structure (s), including a memory bus or memory controller, a peripheral bus or an external bus and / or local bus, using any of a variety of architectures. buses, including (but not limited to) 11-bit bus, Industrial Standard Architecture (ISA) bus, Micro-Channel Architecture (MCA), Extended ISA (EISA), Intelligent Drive Electronics (IDE), VESA Local Bus (VLB), Peripheral Component Interconnect (PCI), Universal Serial Bus (USB) ), the Advanced Graphics Port (AGP), the International Association of Personal Computer Memory Card Manufacturers (Personal C omputer Memory Card International Association (PCMCIA)) and Small Computer Systems Interface (SCSI).
  • ISA Industrial Standard Architecture
  • MCA Micro-Channel Architecture
  • EISA Extended ISA
  • IDE Intelligent Drive Electronics
  • VLB VESA Local Bus
  • PCI Peripheral Component Interconnect
  • USB Universal Serial Bus
  • AGP Advanced Graphics Port
  • PCMCIA Personal Computer Memory Card Manufacturers
  • All blocks used in the system can be implemented with electronic components used to create digital integrated circuits, which is obvious to a person skilled in the art.
  • microcircuits can be used, the logic of which is determined during manufacture, or programmable logic integrated circuits (FPGA), the logic of which is set through programming.
  • FPGA programmable logic integrated circuits
  • programmers and debugging environments are used that allow you to set the desired structure of a digital device in the form of a circuit diagram or a program in special hardware description languages: Verilog, VHDL, AHDL, etc.
  • FPGAs programmable logic controllers
  • BMK basic matrix crystals
  • ASICs specialized custom large integrated circuits (LSIs), which are significantly more expensive for small-scale and single-piece production.
  • the FPGA itself consists of the following components:
  • Blocks can also be implemented using read-only memory devices.
  • aspects of the present technical solution may be implemented as a system, method, or computer program product. Accordingly, various aspects of the present technical solution can be implemented solely as hardware, as software (including application software, and so on); or, as an embodiment, combining software and hardware aspects, which may generally be referred to as a "module”, “system”, or “architecture”. In addition, aspects of the present technical solution may take the form of a computer program product implemented on one or more computer-readable media having computer-readable program code that is implemented thereon.
  • the computer-readable storage medium can be, without limitation, an electronic, magnetic, optical, electromagnetic, infrared, or semiconductor system, apparatus, device, or any suitable combination thereof. More specifically, examples (non-exhaustive list) of a computer-readable storage medium include: an electrical connection using one or more wires, a portable computer diskette; hard disk, random access memory (RAM), read-only memory (ROM), erasable programmable read-only memory (EPROM or Flash memory), fiber optic connection, compact disk read-only memory (CD-ROM), optical storage device, magnetic storage device, or any combination of the above.
  • a computer-readable storage medium can be any flexible storage medium that can contain or store a program for use by the system itself, device, apparatus, or in connection therewith.
  • the program code embedded in a computer-readable medium can be transmitted using any medium, including, without limitation, wireless, wired, fiber optic, infrared, and any other suitable network or a combination of the above.
  • Computer program code for performing operations for the steps of the present technical solution may be written in any programming language or combinations of programming languages, including an object-oriented programming language, for example Java, Smalltalk, C ++, and so on, and common procedural programming languages such as the "C" programming language or similar programming languages.
  • the program code can be executed on the user's computer in whole, in part, or as a separate software package, partially on the user's computer and partially on the remote computer, or completely on the remote computer. In the latter case, the remote computer can be connected to the user's computer through any type of network, including a local area network (LAN), a wide area network (WAN), or a connection to an external computer (for example, via the Internet using Internet service providers).
  • LAN local area network
  • WAN wide area network
  • Internet service providers for example, via the Internet

Abstract

Данное изобретение относится к области вычислительной техники, а, в частности, к периферийному портативному устройству, которое может взаимодействовать с основным вычислительным устройством. Периферийное устройство с интегрированной системой безопасности с применением искусственного интеллекта, содержащее корпус, в котором расположены по меньшей мере одно средство защиты для обеспечения возможности выполнения одной или нескольких операций безопасности над данными; по меньшей мере одно средство для обеспечения взаимодействия периферийного устройства с главным вычислительным устройством; средство для оперативного соединения средства защиты с главным вычислительным устройством в ответ на инструкцию от главного вычислительного устройства; и средство для передачи данных между главным вычислительным устройством и периферийным средством, так что передаваемые данные должны сначала проходить через средство защиты; модуль искусственного интеллекта, выполненный с возможностью изменения уровня конфиденциальности пользователя на основании распознавания данных, загруженных на периферийном устройстве пользователя, при этом пользователь ограничен от доступа к содержимому до тех пор, пока компонент искусственного интеллекта не изменит уровень конфиденциальности пользователя на основании его аутентификации.

Description

ПЕРИФЕРИЙНОЕ УСТРОЙСТВО С ИНТЕГРИРОВАННОЙ СИСТЕМОЙ БЕЗОПАСНОСТИ С ПРИМЕНЕНИЕМ ИСКУССТВЕННОГО
ИНТЕЛЛЕКТА
ОБЛАСТЬ ТЕХНИКИ
[001] Данное изобретение относится к области вычислительной техники, а, в частности, к периферийному портативному устройству, которое может взаимодействовать с основным вычислительным устройством.
УРОВЕНЬ ТЕХНИКИ
[002] В настоящее время вычислительные устройства становятся все более портативными. В частности, появляется все больше и больше портативных периферийных устройств, которые выполнены с возможностью связи с главным вычислительным устройством (например, настольным компьютером, ноутбуком или персональным цифровым помощником), чтобы обеспечить достижение определенных функциональных возможностей. Эти портативные периферийные устройства могут иметь различные физические формы (например, карты PCMCIA, смарт-карты, компакт-диски) и могут выполнять целый ряд функций (например, хранение, связь, шифрование и т.д.).
[003] Хотя переносные вычисления предоставляют ряд преимуществ, они имеют существенный недостаток в том, что вычислительная среда (включая переносные периферийные устройства и любые другие вычислительные устройства, которые обмениваются данными с этими устройствами) более подвержены нарушениям безопасности, т. е. несанкционированному доступу или изменению программ и / или данных, находящихся в данной среде. Следовательно, могут быть разработаны криптографические устройства и способы их применения для использования в таких вычислительных средах (а также в других вычислительных средах), чтобы обеспечить повышение уровня безопасности среды.
СУЩНОСТЬ ИЗОБРЕТЕНИЯ [004] Данное техническое решение направлено на устранение недостатков, известных из уровня техники.
[005] Технической задачей или технической проблемой, решаемой в данном техническом решении, является осуществление периферийного устройства с интегрированной системой безопасности с применением искусственного интеллекта.
[006] Техническим результатом является повышение безопасности работы периферийного устройства, который осуществляется за счет применения искусственного интеллекта, который контролирует доступ к различным разделам периферийного устройства на основании аутентификации пользователя.
[007] Указанный технический результат достигается посредством осуществления периферийного устройства с интегрированной системой безопасности с применением искусственного интеллекта, содержащее корпус, в котором расположены по меньшей мере одно средство защиты для обеспечения возможности выполнения одной или нескольких операций безопасности над данными; по меньшей мере одно средство для обеспечения взаимодействия периферийного устройства с главным вычислительным устройством; средство для оперативного соединения средства защиты с главным вычислительным устройством в ответ на инструкцию от главного вычислительного устройства; и средство для передачи данных между главным вычислительным устройством и периферийным средством, так что передаваемые данные должны сначала проходить через средство защиты; модуль искусственного интеллекта, выполненный с возможностью изменения уровня конфиденциальности пользователя на основании распознавания данных, загруженных на периферийном устройстве пользователя, при этом пользователь ограничен от доступа к содержимому до тех пор, пока компонент искусственного интеллекта не изменит уровень конфиденциальности пользователя на основании его аутентификации.
[008] В некоторых вариантах реализации периферийное устройство дополнительно содержит средство для энергонезависимого хранения данных. [009] В некоторых вариантах реализации периферийное устройство дополнительно содержит средство для обеспечения связи между главным вычислительным устройством и удаленным устройством.
[0010] В некоторых вариантах реализации периферийное устройство дополнительно содержит биометрическое устройство.
[0011] В некоторых вариантах реализации периферийное устройство дополнительно содержит средство для связи со смарт-картой.
[0012] В некоторых вариантах реализации средство для энергонезависимого хранения данных дополнительно содержит твердотельное дисковое устройство хранения.
[0013] В некоторых вариантах реализации твердотельное дисковое устройство хранения содержит флэш-диск формата АТА.
[0014] В некоторых вариантах реализации периферийное устройство дополнительно содержит средство для обеспечения связи между главным вычислительным устройством и удаленным устройством.
[0015] В некоторых вариантах реализации средство для обеспечения связи между главным вычислительным устройством и удаленным устройством дополнительно содержит средство беспроводной связи.
[0016] В некоторых вариантах реализации средство беспроводной связи содержит беспроводной модем.
[0017] В некоторых вариантах реализации средство беспроводной связи содержит приемопередатчик беспроводной локальной сети.
[0018] В некоторых вариантах реализации биометрическое устройство содержит устройство сканирования отпечатков пальцев.
[0019] В некоторых вариантах реализации биометрическое устройство содержит сканирующее устройство сетчатки.
[0020] В некоторых вариантах реализации модуль искусственного интеллекта выдает рекомендации по изменению уровня конфиденциальности пользователя.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
[0021] Признаки и преимущества настоящего технического решения станут очевидными из приведенного ниже подробного описания и прилагаемых чертежей, на которых: [0022] На Фиг. 1 показана блок-схема реализации технического решения в соответствии с изобретением.
[0023] На Фиг. 2 показан вид в перспективе физической реализации системы по Фиг. 1 согласно одному варианту осуществления изобретения.
[0024] На Фиг.З показана блок-схема периферийного устройства в соответствии с вариантом осуществления изобретения.
[0025] На Фиг.4 показана блок-схема последовательности операций способа в соответствии с вариантом осуществления изобретения для инициирования использования системы в соответствии с изобретением. [0026] На Фиг. 5 показана блок-схема системы в соответствии с вариантом осуществления изобретения, иллюстрирующая работу системы во время способа в соответствии с изобретением, как на Фиг. 4.
[0027] На Фиг. 6 показана блок-схема последовательности операций способа в соответствии с вариантом осуществления изобретения для использования периферийного устройства в соответствии с изобретением. [0028] На Фиг.7 показана блок-схема периферийного устройства в соответствии с другим вариантом осуществления изобретения.
[0029] На Фиг. 8 показана блок-схема, иллюстрирующая поток данных через устройство управления интерфейсом по Фиг. 7.
ПОДРОБНОЕ ОПИСАНИЕ ИЗОБРЕТЕНИЯ
[0030] Ниже будут подробно рассмотрены термины и их определения, используемые в описании данного технического решения.
[0031] В данном изобретении под системой подразумевается компьютерная система, ЭВМ (электронно-вычислительная машина), ЧПУ (числовое программное управление), ПЛК (программируемый логический контроллер), компьютеризированные системы управления и любые другие устройства, способные выполнять заданную, четко определенную последовательность операций (действий, инструкций), централизованные и распределенные базы данных, смарт-контракты.
[0032] Под устройством обработки команд подразумевается электронный блок либо интегральная схема (микропроцессор), исполняющая машинные инструкции (программы), или подобное. Устройство обработки команд считывает и выполняет машинные инструкции (программы) с одного или более устройства хранения данных. В роли устройства хранения данных могут выступать, но, не ограничиваясь, жесткие диски (HDD), флеш-память, ПЗУ (постоянное запоминающее устройство), твердотельные накопители (SSD), оптические приводы.
[0033] Программа - последовательность инструкций, предназначенных для исполнения устройством управления вычислительной машины или устройством обработки команд.
[0034] Сервер (англ server) - электронное устройство, выполняющее сервисные функции по запросу клиента, предоставляя ему доступ к определенным ресурсам. В целях настоящего описания рассматривается сервер, имеющий постоянное подключение к объединенной сети, которая может передавать данные на клиентское устройство. Сервер может обрабатывать эти данные и передавать результат обработки обратно на клиентское устройство.
[0035] Модуль обмена данных — это модуль сервера, который может представлять приемник входящих сигналов, и преобразователь их для последующей обработки, и транслятор для дальнейшей отправки.
[0036] Вычислительный модуль — это модуль сервера, который представляет собой микропроцессор, специально приспособленный для сложной обработки сигналов.
[0037] Периферийное устройство (англ peripheral) — аппаратура, которая позволяет вводить информацию в компьютер или выводить её из него. Периферийные устройства являются не обязательными для работы системы и могут быть отключены от компьютера.
[0038] На Фиг. 1 показана блок-схема системы 100 согласно изобретению. Система 100 включает в себя главное вычислительное устройство 101 и периферийное устройство 102, которые обмениваются данными через интерфейс 103 связи. Здесь термин «периферийное устройство» может относиться к любому устройству, которое работает за пределами главного вычислительного устройства и которое подключено к главному вычислительному устройству. Периферийное устройство 102 включает в себя механизм 102а безопасности, который позволяет выполнять операции безопасности (примеры которых более подробно описаны ниже) над данными, которые хранятся в главном вычислительном устройстве 101, данными, которые передаются из главного вычислительного устройства
101 в периферийное устройство 102 или данными, которые передаются от периферийного устройства 102 к главному вычислительному устройству 101. Как более подробно будет объяснено ниже, периферийное устройство
102 также предоставляет дополнительную функциональность (называемую здесь «целевой функциональностью») системе 100 такую как, например, возможность хранить данные в твердотельном дисковом запоминающем устройстве, возможность активировать обмен данными от вычислительного устройства 101 к другому устройству, возможность принимать биометрический ввод для обеспечения аутентификации пользователя на устройство 101 и возможность принимать и считывать смарт-карту, вставленную в периферийное устройство 102.
[0039] В некоторых вариантах реализации интерфейс 103 связи может быть любым реализованным интерфейсом из множества интерфейсов связи, таких как интерфейс беспроводной связи, интерфейс PCMCIA, интерфейс смарт-карты, последовательный интерфейс (такой как интерфейс RS-232), интерфейс SCSI или интерфейс IDE и т.д. Каждый вариант осуществления интерфейса 103 связи включает в себя аппаратное обеспечение, присутствующее в каждом главном вычислительном устройстве 101 и периферийном устройстве 102, которое работает в соответствии с протоколом связи (который может быть реализован, например, с помощью программного обеспечения, хранящегося в запоминающем устройстве, и/или встроенного программного обеспечения, которое присутствует в главном вычислительном устройстве 101 и/или периферийном устройстве 102), подходящим для этого типа интерфейса связи, как очевидно любому специалисту в данной области техники. Каждый вариант осуществления интерфейса 103 связи также включает в себя механизмы для обеспечения физического взаимодействия, если оно есть, между главным вычислительным устройством 101 и периферийным устройством 102. [0040] В некоторых вариантах реализации механизм 102а безопасности может быть сконфигурирован для выполнения любой электронной операции защиты данных (в данном документе называемой просто «операцией безопасности»), включая, например, операции, которые обеспечивают одну или несколько основных криптографических функций, таких как конфиденциальность данных, проверка целостности данных, аутентификация пользователя и отказ от доступа пользователю. Конкретные операции безопасности, которые могут быть реализованы в периферийном устройстве в соответствии с изобретением, более подробно описаны ниже. Данные операции осуществляются с использованием машинного обучения.
[0041] В некоторых вариантах реализации устройство дополнительно содержит модуль искусственного интеллекта. В другом варианте осуществления, подключение периферийного устройства дополнительно побуждает главное вычислительное устройство сформировать набор тестовых последовательностей из поднабора научных исследований по безопасности и способов шифрования с использованием модуля искусственного интеллекта. Модуль искусственного интеллекта (AI) может быть, например, экспертной системой и/или нейронной сетью.
[0042] Термин «интеллект» относится к способности рассуждений или заключений, например, заключений о текущем или будущем состоянии системы, на основе существующей информации о системе. Искусственный интеллект можно использовать для идентификации специфичного контекста или действия, или для генерирования распределения вероятности специфичных состояний системы без вмешательства человека. Искусственный интеллект основан на применении передовых математических алгоритмов, например, деревьев принятия решения, нейронных сетей, регрессионного анализа, кластерного анализа, генетического алгоритма и подкрепленного обучения для установки доступных данных (информации) о системе. В частности, модуль искусственного интеллекта позволяет использовать одну из множества методологий для обучения на основе данных, с последующим выводом на основе моделей, построенных таким образом, например, скрытых моделей Маркова (НММ) и родственных моделей зависимостей, составляющих прототип более общих вероятностных графических моделей, таких как Байесовские сети, например, сформированные по результатам поиска структуры, используя оценку или аппроксимацию Байесовской модели, линейные классификаторы, такие как поддерживающие векторные машины (SVM), нелинейные классификаторы, такие как методы, называемые методологиями "нейронной сети", методологии нечеткой логики и другие подходы, которые выполняют объединение данных, и т.д.), в соответствии с воплощением различных автоматизированных аспектов, описанных ниже. [0043] Модуль искусственного интеллекта в некоторых вариантах реализации применяется для изменения уровня конфиденциальности пользователя на основании распознавания данных, загруженных на периферийном устройстве пользователя.
[0044] В некоторых вариантах реализации модуль искусственного интеллекта периферийного устройства автоматически изменяет уровень конфиденциальности пользователя для обеспечения возможности пользователю доступа к содержимому периферийного устройства, при этом пользователь ограничен от доступа к содержиму до тех пор, пока компонент искусственного интеллекта не изменит уровень конфиденциальности пользователя на основании его аутентификации.
[0045] В некоторых вариантах реализации модуль искусственного интеллекта выдает рекомендации по изменению уровня конфиденциальности пользователя.
[0046] Данное техническое решение упрощает одновременный обмен данными в конфиденциальном и общедоступном контексте (к примеру, нечастный или с минимальной частностью) в соответствии с аспектом настоящего изобретения, реализации периферийного устройства. Данные могут разграничиваться на веб-сайте для каждого конкретного периферийного устройства, например, по его уникальному идентификатору. Это может осуществляться частично посредством загрузки содержимого пользователя, чтобы сделать его доступным онлайновому сообществу в соответствии с различными ограничениями при работе периферийного устройства. Например, один или более уровней конфиденциальности может быть назначен содержимому. Уровни конфиденциальности могут включать в себя частный или общедоступный и/или степени конфиденциальности. Пользователь может назначать соответствующий уровень конфиденциальности содержимому, или альтернативно система или способ может распознавать контекст содержимого и автоматически назначать соответствующий уровень конфиденциальности на основании работы модуля искусственного интеллекта. Во втором случае определенные виды содержимого могут "помещаться" в разделы периферийного устройства только с соответствующим уровнем конфиденциальности. Например, система или способ может быть обучен, чтобы распознавать медицинскую или связанную с медициной информацию, содержащуюся на периферийном устройстве, и автоматически назначать наивысший уровень конфиденциальности. Как результат, эта информация может быть помещена в соответствующий раздел.
[0047] Пользователь может назначать уровни конфиденциальности или предоставлять права доступа людям в различные разделы периферийного устройства. Например, всем может быть предоставлен доступ к "общедоступному" содержимому пользователя. Этот общедоступный доступ может предоставляться по умолчанию или явно пользователем. Другим пользователям, которые известны пользователю, может быть назначен один или более уровней конфиденциальности, которые соответствуют уровням конфиденциальности, назначенным содержимому пользователя.
[0048] В некоторых вариантах реализации регистрационные данные человека могут быть приняты, и уровень(и) конфиденциальности человека может быть идентифицирован на этапе аутентификации посредством биометрического средства. Доступ к соответствующему содержимому пользователя может быть получен на основе уровня конфиденциальности человека. Аутентификация идентификационных данных и уровней конфиденциальности человека может быть повторена для каждого человека, регистрирующегося в периферийном устройстве. Любой пользователь может обмениваться данными или иным образом взаимодействовать с одним или более людьми на различных уровнях конфиденциальности одновременно.
[0049] В частности, по меньшей мере, первому человеку может быть назначен первый уровень конфиденциальности, а, по меньшей мере, второму человеку назначен второй уровень конфиденциальности, который отличается от первого уровня конфиденциальности. Например, при условии уровней конфиденциальности 0-2, где 0 - наименее частный (к примеру, публичный), а 2 - наиболее частный для этого конкретного пользователя, первый уровень конфиденциальности может быть 0, а второй уровень конфиденциальности может быть 2. Содержимое разделов для первого и второго уровней конфиденциальности может быть отображено первому и второму человеку, соответственно.
[0050] Далее пользователь (владелец или совладелец содержимого раздела) может взаимодействовать или иным образом общаться с первым и вторым человеком одновременно на двух различных уровнях конфиденциальности. Следует принимать во внимание, что связь между пользователем и любым человеком может начаться в любое время, например, посредством IM (мгновенного обмена сообщениями), электронной почты, программы беседы в чате и/или ведения блога; тем не менее, доступ к разделам периферийного устройства пользователя может быть предоставлен после того, как установлен соответствующий уровень конфиденциальности для каждого человека.
[0051] Защитный механизм 102а может быть, например, реализован в качестве маркера безопасности. В данном документе «маркер безопасности» относится к устройству, которое выполняет операции безопасности и которое включает в себя один или несколько механизмов (таких как, например, как использование аппаратного генератора случайных чисел и/или защищенной памяти) для обеспечения безопасности содержимого этих операций.
[0052] Фиг. 2 представляет собой вид в перспективе физической реализации системы 100 по Фиг. 1, согласно одному варианту осуществления изобретения. На Фиг. 2, периферийное устройство 102 выполнено в виде смарт-карты 112, которая может быть вставлена в соответствующий слот 113, сформированный в портативном компьютере 111, который на Фиг. 2, воплощает главное вычислительное устройство 101. Часто периферийное устройство в соответствии с изобретением представляет собой портативное устройство, такое как карта 112, показанная на Фиг. 2. Здесь «портативное устройство» может относиться, в общем, к любому устройству, которое можно легко переносить вручную.
[0053] На Фиг. 3 показана блок-схема периферийного устройства 300 в соответствии с вариантом осуществления изобретения. Периферийное устройство 300 включает в себя функциональность 301 безопасности, целевую функциональность 302 и главный интерфейс 303, которые сформированы вместе как часть одного физического устройства. Например, функциональные возможности 301 безопасности и целевые функциональные возможности 302 могут быть заключены в один корпус, подобный смарт-карте (обозначен на Фиг.З цифрой 304), соответствующий, например, стандарту PCMCIA или стандарту смарт-карт.
[0054] Периферийное устройство 300 может иметь ряд преимущественных характеристик. Периферийное устройство 300 может быть реализовано способом, который позволяет операциям защиты функциональности 301 безопасности выполняться способом, который является известным для главного вычислительного устройства системы согласно изобретению, так что главное вычислительное устройство (и, возможно, пользователь) знает только о наличии целевой функциональности 302. Кроме того, периферийное устройство 300 может быть реализовано таким образом, чтобы операции безопасности выполнялись «in-line», то есть операции безопасности выполнялись между передачей данных на хост-компьютер или с него и выполнением целевой функциональности, обеспечиваемой периферийным устройством. Кроме того, периферийное устройство 300 позволяет легко предоставлять широкий спектр функциональных возможностей защищенной цели вычислительному устройству.
[0055] Фиг. 4 является блок-схемой последовательности операций способа 400, согласно варианту осуществления изобретения, для инициирования использования системы в соответствии с изобретением. Способ 400 обеспечивает аспект изобретения, в котором присутствие функциональных возможностей безопасности в качестве части периферийного устройства не обнаруживается главным вычислительным устройством, таким образом делая функциональные возможности безопасности прозрачными для главного вычислительного устройства.
[0056] Фиг. 5 является блок-схемой системы 500 согласно варианту осуществления изобретения, иллюстрирующей работу системы 500 во время способа согласно изобретению по способу 400 на Фиг. 4. Система 500 включает в себя главное вычислительное устройство 501 и периферийное устройство 502. Главное вычислительное устройство 501 включает в себя устройство 503а отображения (например, монитор обычного компьютерного дисплея) и устройство 503Ь пользовательского ввода (например, клавиатуру, мышь, трекбол, джойстик или другое соответствующее устройство), далее совместно именуемые устройством 503 пользовательского интерфейса. Главное вычислительное устройство
501 также включает в себя, установленное в корпусе 504 устройство 505 обработки, устройство 506 памяти, устройство 507 ввода / вывода (I / О) для обеспечения связи с устройством 503 пользовательского интерфейса и устройство 508 ввода/вывода (I / О) для обеспечения связи с периферийным устройством 502. Каждое из устройств 505, 506, 507 и 508 может быть реализовано обычными такими устройствами и может связываться друг с другом через обычную компьютерную шину 509, как это хорошо известно и понятно из уровня техники. Периферийное устройство
502 включает в себя функциональность 511 безопасности, устройство 512 памяти, устройство 513 ввода / вывода (I / О) для обеспечения возможности связи с главным вычислительным устройством 501 и целевой функцией 514. Функциональность 511 безопасности, устройство 512 памяти, устройство 513 ввода / вывода (I / О) и целевые функциональные возможности 514, каждый по отдельности или вместе, могут быть реализованы обычными устройствами и могут связываться друг с другом через обычную компьютерную шину 515, что хорошо известно и понятно. Главное вычислительное устройство 501 и периферийное устройство 502 показаны в упрощенной форме на Фиг. 5 для облегчения ясности при иллюстрации этого аспекта изобретения. Как описано более подробно ниже и как понятно специалистам в данной области техники, вычислительное устройство 501 и периферийное устройство 502 могут включать в себя другие устройства, не показанные на Фиг. 5.
[0057] Возвращаясь к Фиг. 4, использование системы согласно изобретению начинается, когда, как показано на этапе 401, пользователь системы подключает периферийное устройство согласно изобретению к главному вычислительному устройству. Такое соединение может происходить любым способом, который позволяет периферийному устройству обмениваться данными с главным вычислительным устройством. Часто это происходит в результате физического подключения периферийного устройства к главному вычислительному устройству. (В общем, такое физическое соединение может происходить либо до, либо после того, как главное вычислительное устройство начинает работать; однако в первом случае последующие этапы способа 400 - за исключением, в зависимости от реализации периферийного устройства, этапа 403, который не может быть выполнен до тех пор, пока главное вычислительное устройство не начнет работать.) Например, периферийное устройство может быть воплощено в карту или диск (например, карту, соответствующую форм- фактору PCMCIA, как установлено соответствующим стандартом), которое вставляется в соответствующий разъем, сформированный в главном вычислительном устройстве. Или периферийное устройство может быть выполнено в корпусе, из которого проходит шнур, причем вилка шнура вставляется в ответную розетку, сформированную в главном вычислительном устройстве. Однако такое физическое соединение не обязательно должно происходить. Периферийное устройство также может быть подключено к главному вычислительному устройству посредством любого типа беспроводной связи, для которой главное вычислительное устройство содержит соответствующий интерфейс.
[0058] Как только соединение между периферийным устройством и главным вычислительным устройством установлено, главное вычислительное устройство обнаруживает присутствие периферийного устройства, как показано на этапе 402. Такое обнаружение присутствия периферийного устройства обычно разрешается в качестве стандартного аспекта программного обеспечения операционной системы главного вычислительного устройства.
[0059] Как правило, как только присутствие нового периферийного устройства обнаруживается программным обеспечением операционной системы главного вычислительного устройства, программное обеспечение операционной системы (или сопутствующая программа) также идентифицирует тип периферийного устройства. Это может быть выполнено, например, стандартным программным драйвером устройства (в дальнейшем «драйвер хоста») для устройств того типа, которые используют интерфейс главного вычислительного устройства, который используется периферийным устройством 502. На Фиг. 5 показано, что драйвер вычислительного устройства хранится в секции 506а памяти 506 главного компьютера 501. Однако в способе 400, прежде чем программное обеспечение операционной системы сможет выполнить такую идентификацию, периферийное устройство в соответствии с изобретением приостанавливает работу этого аспекта программного обеспечения операционной системы, так что периферийное устройство может установить свою идентичность, как показано на этапе 403 и поясняется ниже. Как будет понятно из этого объяснения, выполнение этапа 403 преимущественно позволяет периферийному устройству принимать идентичность целевой функциональности, которая является частью периферийного устройства. Поскольку, как описано в другом месте в данном документе ниже, периферийное устройство в соответствии с изобретением может включать в себя множество типов целевых функциональных возможностей, периферийное устройство может принимать различные идентификаторы.
[0060] Конкретный способ приостановки работы программного обеспечения операционной системы, чтобы периферийное устройство могло установить свою идентичность, может зависеть от характеристик программного обеспечения операционной системы и / или интерфейса устройства. Однако для многих комбинаций программного обеспечения операционной системы и интерфейса устройства программное обеспечение операционной системы ожидает подтверждения того, что устройство, подключенное к интерфейсу устройства, готово к дальнейшему взаимодействию с программным обеспечением операционной системы, прежде чем программное обеспечение операционной системы попытается идентифицировать тип устройства, подключенного к интерфейсу (например, стандарт для интерфейсов PCMCIA определяет такую операцию). В таких случаях периферийное устройство может быть сконфигурировано для задержки информирования программного обеспечения операционной системы о том, что периферийное устройство готово к дальнейшему взаимодействию, пока периферийное устройство не установит свою идентичность.
[0061] Последующее описание одного способа, которым может быть реализован этап 403, может быть лучше понято со ссылкой на систему 500, показанную на Фиг. 5. Один из способов, с помощью которого программное обеспечение операционной системы главного вычислительного устройства может идентифицировать тип периферийного устройства, заключается в доступе к известному разделу памяти устройства памяти периферийного устройства, как установлено стандартом интерфейса, разработанным для этого типа периферийного устройства, которое хранит данные, представляющие тип периферийного устройства. Это справедливо для различных типов периферийных устройств, таких как, например, периферийные устройства, которые соответствуют стандарту PCMCIA. Стандарт PCMCIA, например, включает в себя спецификацию, называемую информационная структура карты, которая определяет, среди прочего, местоположение в части памяти карты PCMCIA, обозначенной как «память атрибутов», в которой хранятся данные, идентифицирующие тип карты PCMCIA. В системе 500 периферийное устройство 502 является таким устройством. Блок памяти устройства 512 памяти периферийного устройства 502, к которому главное вычислительное устройство 501 стремится получить доступ, показан на Фиг. 5 в качестве секции 512а памяти, и данные, хранящиеся в ней, упоминаются здесь как «идентификационные данные периферийного устройства».
[0062] Периферийное устройство 502 может быть реализовано так, что периферийное устройство 502 предполагает идентичность целевой функциональности 514 (независимо от того, используется ли также функциональность безопасности периферийного устройства). Это позволяет главному вычислительному устройству 501 взаимодействовать с периферийным устройством 502, как если бы периферийное устройство 502 было устройством типа целевой функциональности 514, не признавая, что присутствует функциональность 511 безопасности, которая может выполнять операции безопасности. Таким образом, необходимость модифицировать аспекты работы главного вычислительного устройства (например, драйвера устройства) для обеспечения возможности выполнения операций безопасности снижается или устраняется, делая реализацию и использование системы защиты данных, включающей в себя периферийное устройство 502, проще и надежнее. Поскольку использование системы защиты данных проще (например, пользователю не требуется вводить данные, чтобы драйвер вычислительного устройства был соответствующим образом настроен для обеспечения желаемого взаимодействия с устройством безопасности), вероятность того, что пользователь будет использовать систему неправильно (например, не применять операции безопасности для взаимодействия с главным вычислительным устройством, или применять операции безопасности неправильно или не полностью) уменьшается.
[0063] Хотя, как показано на Фиг. 5, периферийное устройство 502 включает в себя функциональность 511 безопасности и целевую функциональность 514, система 500 может работать так, что используется только функциональность 511 безопасности. Периферийное устройство 502 и драйвер периферийного устройства (обсуждаемые ниже) могут быть реализованы таким образом, чтобы, когда периферийное устройство 502 функционировало таким образом, чтобы идентификационные данные периферийного устройства, хранящиеся в ячейке 512а памяти, идентифицировали периферийное устройство 502 как защитное устройство. [0064] Возвращаясь к Фиг. 4, после того как периферийное устройство установило свою идентичность, главное вычислительное устройство идентифицирует периферийное устройство, как показано на этапе 404. Это может быть реализовано как часть драйвера вычислительного устройства, как указано выше.
[0065] Как только главное вычислительное устройство идентифицировало периферийное устройство (и другие операции программного обеспечения операционной системы главного вычислительного устройства, завершенные, если применимо), пользователь может начать использовать периферийное устройство (в частности, функции безопасности периферийного устройства), как показано на этапе 505 способа 500. Такое использование может быть разрешено одной или несколькими программами (далее вместе именуемыми «драйвером периферийного устройства, условно называемые «приложениями»), которые выполняются главным вычислительным устройством.
[0066] Использование отдельного драйвера для управления и взаимодействия с функциями безопасности периферийного устройства в соответствии с изобретением может быть эффективным, поскольку оно уменьшает или устраняет необходимость в модификации драйвера хоста. С практической точки зрения такая модификация драйвера, вероятно, может быть достигнута только путем требования пользователя взаимодействовать со стандартным драйвером хоста для соответствующей модификации стандартного драйвера хоста. Это нежелательно, потому что пользователь может забыть изменить драйвер или изменить драйвер неправильно или не полностью.
[0067] Драйвер периферийного устройства может быть предварительно установлен на устройстве хранения данных (например, на жестком диске) главного вычислительного устройства (на Фиг.5 драйвер периферийного устройства показан сохраненным в секции 506Ь памяти устройства 506 памяти главного вычислительного устройства 501) или может быть сделан доступным для главного вычислительного устройства через соответствующий интерфейс (такой как дисковод гибких дисков, дисковод CD-ROM или сетевое соединение) в то время, когда пользователь желает инициировать взаимодействие между главным вычислительным устройством и периферийным устройством. Кроме того, когда периферийное устройство в соответствии с изобретением используется с главным вычислительным устройством, которое использует программное обеспечение операционной системы, которое поддерживает функцию, неофициально называемую «включай и работай» (англ plug and play), также возможно сохранить драйвер периферийного устройства в устройстве памяти периферийного устройства и сконфигурировать периферийное устройство таким образом, чтобы, когда периферийное устройство впервые подключается к главному вычислительному устройству, главное вычислительное устройство автоматически предоставляет пользователю возможность дать команду главному вычислительному устройству вызвать драйвер периферийного устройства для передачи с периферийного устройства на главное вычислительное устройство.
[0068] На Фиг. 6 показана блок-схема последовательности операций способа 600 в соответствии с вариантом осуществления изобретения для использования периферийного устройства в соответствии с изобретением. Следует понимать, что способ 600, показанный на Фиг. 6 не является единственным способом реализации аспектов использования периферийного устройства согласно изобретению, которые проиллюстрированы на Фиг. 6. Специалистам в данной области техники легко понять, что такие аспекты могут быть реализованы с использованием любого из множества других подходящих способов. Кроме того, использование периферийного устройства согласно изобретению может включать в себя аспекты, не показанные на Фиг. 6. Способ 600 по Фиг. 6 показан только для того, чтобы помочь в иллюстрации определенных аспектов изобретения, и его не следует интерпретировать как ограничение способа, которым может использоваться периферийное устройство согласно изобретению.
[0069] Чтобы начать использовать периферийное устройство в соответствии с изобретением, пользователь инструктирует главное вычислительное устройство начать выполнение драйвера периферийного устройства, как показано на этапе 601 способа 600, при этом пользователь получил должен знать соответствующую команду, чтобы начать выполнение драйвера периферийного устройства любым подходящим способом (например, из руководства пользователя, прилагаемого к драйверу периферийного устройства и / или периферийному устройству). В общем, этапы способа 600 происходят в результате работы драйвера периферийного устройства, однако работа драйвера главного устройства может быть необходимой или желательной для работы некоторых аспектов способа 600 (например, выполнение транзакции, как показано на этапах 608, 612 и 615).
[0070] Как указано выше, периферийное устройство в соответствии с изобретением может быть реализовано так, что драйвер выч. устройства не может обнаружить наличие функциональных возможностей безопасности периферийного устройства. В таком случае драйвер периферийного устройства позволяет обнаруживать функциональные возможности безопасности, как показано на шаге 602 способа 600. Это может быть достигнуто путем включения инструкций в качестве части драйвера периферийного устройства, когда драйвер периферийного устройства впервые начинает выполняться, он обращается к предопределенному местоположению устройства памяти периферийного устройства (на Фиг.5 секции 512Ь памяти) для данных, которые идентифицируют, является ли периферийное устройство устройством, имеющим функциональные возможности безопасности, которые совместимы с драйвером периферийного устройства. Если периферийное устройство является таким устройством, то драйвер периферийного устройства может позволить пользователю использовать функциональные возможности безопасности периферийного устройства. Кроме того, драйвер периферийного устройства может быть реализован, как показано на Фиг. 6 так, что если надлежащая функциональность безопасности не обнаружена, выполнение драйвера периферийного устройства прекращается, предотвращая использование периферийного устройства. Альтернативно, драйвер периферийного устройства может быть реализован так, что если надлежащие функциональные возможности безопасности не обнаружены, целевые функциональные возможности периферийного устройства могут использоваться без функциональных возможностей безопасности периферийного устройства.
[0071] Периферийное устройство согласно изобретению, как правило, может работать в одном из трех режимов:
1) режим, в котором используются только функции безопасности,
2) режим, в котором используются как функции безопасности, так и целевые функции, и
3) режим, в котором используется только целевая функциональность. [0072] Пользователь может получить возможность с помощью драйвера периферийного устройства выбрать любой из трех режимов работы. Однако в некоторых приложениях могут запретить работу в одном или двух режимах. В частности, может быть желательно предотвратить работу периферийного устройства в последнем из вышеперечисленных режимов, то есть в режиме, в котором функциональные возможности безопасности не используются, если требуется гарантировать, что использование целевой функциональной возможности может происходить только с применением одной или нескольких операций безопасности. Это может быть достигнуто путем реализации драйвера периферийного устройства, так что опция для работы в этом режиме не представляется пользователю, или периферийное устройство может быть сконфигурировано во время изготовления, чтобы запретить работу в этом режиме. Например, если целевая функциональность реализована в виде устройства связи или устройства памяти, может быть желательно обеспечить, чтобы незашифрованные данные не могли быть переданы через устройство связи или сохранены в устройстве памяти, независимо от того, были ли они выполнены непреднамеренно или специально.
[0073] В способе 600 все три из перечисленных выше режимов доступны для использования. На этапе 603 способа 600 делается определение относительно того, должны ли использоваться функции безопасности. Как отмечалось выше, такое использование может потребоваться. Если да, периферийное устройство работает в одном из первых двух указанных выше режимов (только функции безопасности или функции безопасности плюс целевые функции). Если нет, используется третий режим (только целевые функции).
[0074] Драйвер периферийного устройства может быть реализован так, что пользователь должен успешно ввести приемлемый код доступа (например, пароль или PIN-код, или например применить распознавание лица), прежде чем пользователю будет разрешено использовать периферийное устройство. В частности, могут потребовать код доступа перед тем, как дать пользователю возможность использовать функциональные возможности безопасности, таким образом устанавливая уровень безопасности, который защищает целостность самих операций безопасности. В способе 600, как показано на этапе 604, приемлемый код доступа должен быть введен пользователем, прежде чем можно будет использовать функциональные возможности защиты периферийного устройства. Код доступа может быть введен, например, путем ввода кода доступа обычным способом с использованием устройства пользовательского интерфейса (например, клавиатуры) главного вычислительного устройства или посредством любого доступа способа биометрии. Или код доступа может быть введен с использованием конкретных вариантов осуществления целевой функциональности (например, биометрического устройства, более подробно обсуждаемого ниже), которое является частью периферийного устройства в соответствии с изобретением.
[0075] Преимущественно, код доступа может использоваться не только для управления доступом к функциям безопасности (или другим) периферийного устройства, но также для идентификации «личности» пользователя. Каждая личность (пользователь) представлена данными, которые устанавливают определенные характеристики работы периферийного устройства, такие как, например, ограничения на работу периферийного устройства (например, ограничения на типы операций безопасности, которые могут быть выполнены) или спецификация рабочих параметров или характеристики (например, криптографические ключи или спецификация конкретного воплощения типа алгоритма безопасности, такого как конкретный алгоритм шифрования). Данные, представляющие личности и соответствующие коды доступа пользователя, могут храниться в запоминающем устройстве периферийного устройства.
[0076] После получения приемлемого кода доступа драйвер периферийного устройства управляет главным вычислительным устройством, чтобы предоставить пользовательский интерфейс, который позволяет пользователю осуществлять желаемое управление периферийным устройством и, в частности, использовать периферийное устройство для выполнения операций безопасности, как описано ниже. Если коды доступа также используются для идентификации личностей, то после получения приемлемого кода доступа драйвер периферийного устройства может также получать доступ и извлекать данные, представляющие соответствующую личность, чтобы можно было соответствующим образом управлять работой периферийного устройства. Пользовательский интерфейс для обеспечения возможности пользователю управлять периферийным устройством может быть реализован любым из множества хорошо известных способов (например, в виде графического пользовательского интерфейса) с использованием способов и устройств, которые хорошо известны специалистам в данной области техники. Обычно пользовательский интерфейс позволяет пользователю выполнять любые функциональные возможности, которые предоставляются периферийным устройством, как описано более подробно в другом месте в данном документе.
[0077] Как указано выше, периферийное устройство согласно изобретению может работать в любом из трех режимов. Как только приемлемый код доступа введен, драйвер периферийного устройства может позволить пользователю выбрать один из трех режимов, как показано на этапе 605 способа 600. В качестве альтернативы, как упомянуто выше, может быть желательно представить пользователю только возможность выбора режима «только функциональные возможности безопасности» или «функциональные возможности безопасности плюс режим целевых функций», чтобы исключить возможность того, что пользователь будет осуществлять незащищенное использование целевой функции. Если используется режим «только функциональные возможности безопасности» или «функциональные возможности безопасности плюс режим целевой функциональности», то пользовательский интерфейс (и базовый драйвер периферийного устройства) позволяет пользователю вводить все требуемые инструкции, касающиеся операций безопасности, которые должны быть выполнены для конкретной «транзакции» (например, хранение данных в устройстве памяти, передача данных устройством связи или обмен данными с устройством чтения смарт-карт), как показано на этапах 606 и 610 способа 600. Например, пользовательский интерфейс может позволить пользователю выбирать данные, для которых должны выполняться операции безопасности, указать применение конкретных операций безопасности к данным или указывать параметры или другую информацию, требуемую для конкретной операции безопасности. Если выбран режим безопасности плюс режим целевых функций или режим только целевых функций, то пользовательский интерфейс и драйвер периферийного устройства позволяют пользователю вводить все требуемые инструкции, касающиеся использования целевой функциональности для транзакции, как показано на этапах 607 и 611 способа 600. Например, если целевая функциональность реализована как устройство памяти, пользовательский интерфейс может позволить пользователю указать имя для сохраненных данных. Или, например, если целевая функциональность реализована в виде устройства связи, пользовательский интерфейс может позволить пользователю указать пункт назначения (например, адрес электронной почты) для передачи данных. [0078] Как только пользователь предоставил инструкции на этапах 606 и 607, на этапе 610 или на этапе 611 выполняется транзакция, как показано на этапе 608 или этапе 612 способа 600. После выполнения транзакции пользователю может быть разрешено выполнить дополнительные транзакции, как показано на этапе 609 способа 600. Пользователь также может начать использовать другую личность (путем ввода соответствующего кода доступа), как показано на этапе 609 способа 600. В конце концов, использование периферийного устройства заканчивается, как показано на этапе 618 способа 600.
[0079] Периферийное устройство и связанный драйвер периферийного устройства могут быть реализованы таким образом, чтобы можно было использовать только функциональные возможности безопасности периферийного устройства. Таким образом, периферийное устройство может использоваться, например, для шифрования или дешифрования данных, хранящихся на главном вычислительном устройстве, путем получения данных от главного вычислительного устройства, шифрования или дешифрования данных в зависимости от ситуации, а затем возврата зашифрованных или дешифрованных данных в главное вычислительное устройство.
[0080] Как указано выше, периферийное устройство и связанный драйвер периферийного устройства могут быть реализованы так, чтобы можно было использовать только целевую функциональность периферийного устройства, даже без ввода соответствующего кода доступа. В способе 600 такая операция показана этапами 614, 615 и 616, которые функционируют так же, как этапы 611, 612 и 609, описанные выше. Использование периферийного устройства таким способом может быть полезным, например, когда целевая функциональность реализована как биометрическое устройство, как описано далее ниже, которое используется для выполнения аутентификации пользователя. В частности, если биометрическое устройство должно использоваться в качестве механизма для ввода кода доступа на этапе 604, может потребоваться работа в этом режиме (в зависимости от возможностей биометрического устройства), чтобы разрешить такое использование биометрического устройства. Конечно, в этом случае функциональность безопасности, то есть аутентификация пользователя, используется как часть этапа 615. Этап 617 может также позволить начать использование функции безопасности, вызывая запрос на соответствующий код доступа (шаг 604). В конце концов, использование периферийного устройства заканчивается (этап 618). [0081] Как описано выше, периферийное устройство в соответствии с изобретением, которое включает в себя функциональные возможности безопасности и целевые функциональные возможности, может быть реализовано так, чтобы главное вычислительное устройство не было осведомлено о наличии функциональных возможностей безопасности. Также могут защитить пользователя от знания наличия функциональных возможностей безопасности и заставить автоматически выполняться заданные операции безопасности. Это может быть необходимо для того, чтобы, например, пользователю не было необходимости предоставлять ввод, касающийся выполнения операций безопасности, таким образом исключая возможность того, что пользователь будет пренебрегать предоставлением такого ввода, или будет вводить ввод неправильно или не полностью. Или может быть необходимо сделать прозрачные операции безопасности для пользователей, чтобы повысить безопасность этих операций, поскольку, если выполнение таких операций неизвестно, не будет предпринята попытка нанести ущерб безопасности, обеспечиваемой этими операциями. Если это так, то драйвер периферийного устройства может быть реализован так, что периферийное устройство может работать только в режиме безопасности плюс режим целевых функций (этапы 610, 611, 612, 614, 615, 616 и 617 способа 600 не могут быть выполнены), и поэтому не указывается (например, представление отображения пользовательского интерфейса, которое позволяет вводить инструкции относительно выполнения операций безопасности, как на этапе 606 способа 600) о наличии функциональных возможностей безопасности периферийного устройства. Скорее, пользователю просто будут представлены варианты, относящиеся к работе целевой функциональности (этап 607 способа 600). В такой реализации драйвер периферийного устройства может быть реализован так, чтобы автоматически вызывать выполнение одной или нескольких заданных операций безопасности на основе указанного пользователем взаимодействия с целевой функциональностью, или периферийное устройство может быть сконфигурировано так, чтобы такие операции безопасности выполнялись каждый раз, когда происходит указанное взаимодействие с целевой функциональностью. [0082] Существенным преимуществом периферийного устройства согласно изобретению является то, что периферийное устройство может быть реализовано так, что любой из множества типов целевых функциональных возможностей может быть включен в качестве части периферийного устройства. В частности, как описано более подробно ниже, периферийное устройство включает в себя устройство управления интерфейсом, которое включает и управляет связью между главным вычислительным устройством и между ним, устройство криптографической обработки, которое является частью периферийного устройства, и целевую функциональность, которая также является частью периферийного устройства. Устройство управления интерфейсом может быть приспособлено для обеспечения соответствующего интерфейса для каждого типа целевой функции. Таким образом, в общем, любая желаемая целевая функциональность может использоваться с периферийным устройством согласно изобретению, при условии, что целевая функциональность реализована так, чтобы обеспечить связь с интерфейсом представленного типа. Специалисты в области передачи данных могут легко понять, как реализовать такую связь с целевыми функциями с учетом подробного описания ниже (см. Фиг. 7, 8А и 8В) варианта осуществления периферийного устройства согласно изобретению, и, в частности, устройство управления интерфейсом такого периферийного устройства.
[0083] Например, целевая функциональность периферийного устройства в соответствии с изобретением может быть реализована как устройство памяти, выполненное с возможностью обеспечения энергонезависимого хранения данных. В общем случае, любое такое запоминающее устройство может использоваться для воплощения такой целевой функции. Более конкретно, можно использовать твердотельное дисковое устройство хранения (например, устройство флэш-памяти). В качестве примера реализации, запоминающее устройство, которое может использоваться для воплощения целевой функциональности в периферийном устройстве в соответствии с изобретением, может представлять собой компактное устройство флэш-памяти. Можно использовать другие твердотельные дисковые устройства хранения, такие как диски SCSI, SSD и диски IDE, не ограничиваясь. Специалисты в данной области техники хорошо понимают конструкцию и работу запоминающих устройств в целом, а также тех, которые определены, в частности, выше, так что вместе с пониманием требуемых возможностей связи между целевой функциональностью и устройством управления интерфейсом, запоминающее устройство для использования с изобретением может быть легко сконструировано и эксплуатироваться. Периферийное устройство согласно изобретению, которое включает в себя запоминающее устройство, которое воплощает целевую функциональность, может использоваться, например, для безопасного хранения данных таким образом, который позволяет пользователю данных легко переносить данные с собой, куда бы они ни направлялись.
[0084] Целевая функциональность периферийного устройства согласно изобретению также может быть реализована как устройство связи, выполненное с возможностью обеспечения связи между главным вычислительным устройством и удаленным устройством. В общем случае, любое такое устройство связи может использоваться для воплощения целевой функциональности. Устройство связи, которое может использоваться для воплощения целевой функциональности в периферийном устройстве в соответствии с изобретением, может включать в себя, например, модем передачи данных (такой как, например, обычный модем телефонной линии, модем ISDN, кабельный модем, или беспроводной модем) или приемопередатчик ЛВС (проводной или беспроводной и, в последнем случае, работающий, например, в инфракрасном или радиочастотном спектре). Специалисты в данной области техники хорошо понимают конструкцию и работу устройств связи в целом, а также тех, которые определены, в частности, выше, так что вместе с пониманием требуемых возможностей связи между целевой функциональностью и устройством управления интерфейсом, устройство связи для использования с изобретением может быть легко сконструировано и эксплуатироваться. Периферийное устройство согласно изобретению, которое включает в себя устройство связи, которое воплощает целевые функциональные возможности, может использоваться, например, для шифрования электронной почты перед передачей адресату. Или такое периферийное устройство может использоваться, например, для шифрования файлов данных, которые человек желает безопасно передать между вычислительным устройством по месту работы человека и вычислительным устройством в доме человека.
[0085] Целевая функциональность периферийного устройства в соответствии с изобретением также может быть реализована как биометрическое устройство, которое определено здесь как любое устройство, которое приспособлено для приема входных данных, касающихся физических характеристик человека, на основе физического взаимодействия человека с устройством. В общем случае, любое такое биометрическое устройство может использоваться для воплощения целевой функции. Биометрические устройства, которые можно использовать в периферийном устройстве согласно изобретению, могут включать в себя, например, устройство сканирования отпечатков пальцев, устройство сканирования сетчатки или устройство сканирования отпечатков пальцев.
[0086] В дополнение к обычным вычислительным устройствам для хранения и / или манипулирования цифровыми данными, биометрическое устройство включает в себя датчик для определения физической характеристики и аналого-цифровой преобразователь для преобразования аналоговых данных, представляющих измеренную характеристику, в цифровые данные. Например, устройство сканирования отпечатков пальцев включает в себя датчик, на который человек может положить палец, датчик, распознающий отпечаток пальца, после чего содержимое обнаруженного отпечатка пальца преобразуется устройством в цифровые данные. Аналогичным образом, сканирующее устройство для сетчатки глаза включает в себя датчик, который может быть расположен вблизи глаза человека, датчик, воспринимающий характеристики глаза, такие как рисунок кровеносного сосуда или радужная оболочка, устройство, преобразующее содержимое обнаруженных характеристик в цифровые данные. Специалисты в данной области техники хорошо понимают конструкцию и работу биометрических устройств в целом, а также тех, которые определены, в частности, выше, так что вместе с пониманием требуемой возможности связи между целевой функциональностью и устройством управления интерфейсом, биометрическое устройство для использования с изобретением может быть легко сконструировано и эксплуатироваться. Устройства сканирования отпечатков пальцев и устройства сканирования сетчатки, которые могут быть легко модифицированы для использования с изобретением, то есть для связи с устройством управления интерфейсом согласно изобретению, известны специалистам в данной области техники.
[0087] Периферийное устройство в соответствии с изобретением, которое включает в себя биометрическое устройство, которое воплощает целевую функциональность, может использоваться, например, для обеспечения возможности аутентификации пользователя на главном вычислительном устройстве перед предоставлением доступа к конкретным данным, хранящимся на главном вычислительном устройстве. Такая аутентификация пользователя может быть выполнена с использованием биометрического устройства для получения биометрических данных от пользователя и сравнения биометрических данных с соответствующей библиотекой биометрических данных, представляющих заранее определенную группу людей (например, авторизованных пользователей). Библиотека данных может храниться в запоминающем устройстве периферийного устройства.
[0088] Когда периферийное устройство, включающее в себя устройство сканирования отпечатков пальцев, выполнено в виде карты, приспособленной для вставки в слот главного вычислительного устройства (например, слот, соответствующий стандарту PCMCIA), может оказаться полезным сделать периферийное устройство относительно длинным, так чтобы часть карты, на которой расположен датчик, могла выходить из слота главного вычислительного устройства, что позволяет сканировать отпечатки пальцев, пока периферийное устройство вставлено в главное вычислительное устройство.
[0089] Биометрическое устройство может использоваться различными способами с системой согласно изобретению в зависимости от возможностей биометрического устройства. Используя известные устройство и способы, «интеллектуальное» биометрическое устройство может быть реализовано с возможностью обнаруживать наличие входного сигнала для датчика и, после такого обнаружения, инициировать получение биометрических данных и характеристик периферийным устройством соответствующего сравнение данных. Такое биометрическое устройство может использоваться для выполнения аутентификации пользователя, как на этапе 604 способа 600 выше. Альтернативно, биометрическое устройство может требовать, чтобы пользователь инициировал процесс сбора данных и аутентификации. Такое биометрическое устройство может использоваться для выполнения аутентификации пользователя в периферийном устройстве, которое позволяет работать без ввода правильного кода доступа, как на этапах 614 и 615 способа 600.
[0090] Целевая функциональность периферийного устройства в соответствии с изобретением также может быть реализована как устройство считывания смарт-карт, предназначенное для связи со смарт- картой, такой как, например, смарт-карта, соответствующая стандарту ISO 7816. Такое устройство может быть реализовано путем адаптации обычного устройства чтения смарт-карт, конструкция и работа которого хорошо известны специалистам в данной области техники, для обеспечения интерфейса связи, который позволяет устройству чтения смарт-карт обмениваться данными с устройством управления интерфейсом. Периферийное устройство в соответствии с изобретением, которое включает в себя устройство для считывания смарт-карт, может использоваться для обеспечения функций безопасности для считывателя смарт-карт или для добавления к существующим функциям безопасности считывателя смарт-карт.
[0091] Следует понимать, что приведенные выше примеры являются просто иллюстративными, а не исчерпывающими способами использования периферийного устройства согласно изобретению. Существует много других возможностей.
[0092] На Фиг. 7 показана блок-схема периферийного устройства 700 в соответствии с другим вариантом осуществления изобретения. Периферийное устройство 700 включает в себя устройство 701 криптографической обработки, устройство 702 управления интерфейсом, первое устройство 703 памяти, второе устройство 704 памяти, часы 705 реального времени, интерфейс 706 ввода / вывода главного вычислительного устройства и целевая функциональность 707.
[0093] Интерфейс 706 ввода-вывода главного вычислительного устройства обеспечивает связь между периферийным устройством 700 и главным вычислительным устройством. Электрические и механические характеристики интерфейса 706 ввода / вывода, а также протокол, используемый для обеспечения связи через интерфейс 706, устанавливаются любым способом, который соответствует отраслевым стандартным спецификациям для интерфейса такого типа. Например, периферийное устройство согласно изобретению может быть адаптировано для вставки в слот PCMCIA главного вычислительного устройства. В таком периферийном устройстве электрические и механические характеристики и протокол связи для интерфейса 706 ввода/ вывода главного вычислительного устройства устанавливаются в соответствии с соответствующими стандартами PCMCIA.
[0094] Устройство 701 криптографической обработки может быть приспособлено для выполнения операций безопасности. Обычно устройство 701 криптографической обработки может быть реализовано любым процессором, способным выполнять криптографические операции, которые должны быть предоставлены периферийным устройством 700. В одном варианте осуществления периферийного устройства 700 устройство 701 криптографической обработки является встроенным процессором специального назначения, реализованный на единой интегрированной микросхеме, обозначенный как MYK-82 (также называемый именем Capstone), который включает в себя процессорное ядро ARM6 ™ и несколько элементов криптографической обработки специального назначения. Конструкция и функционирование чипа Capstone известны специалистам в области криптографической обработки.
[0095] Первое запоминающее устройство 703 может быть энергонезависимым устройством хранения данных, которое может использоваться для хранения компьютерных программ и постоянных данных. Первое запоминающее устройство 703 может быть реализовано любым подходящим таким устройством, таким как, например, обычное устройство флэш-памяти. [0096] Второе запоминающее устройство 704 может быть энергозависимым устройством хранения данных, которое также может быть быстро доступным устройством хранения данных, в котором часто используемые данные и программные инструкции могут храниться во время работы периферийного устройства 700. Второе запоминающее устройство 704 также может быть реализовано с помощью любого подходящего такого устройства, такого как, например, обычное устройство оперативной памяти (RAM).
[0097] В периферийном устройстве 700 устройство 702 управления интерфейсом осуществляет взаимодействие между главным вычислительным устройством, целевой функциональностью 707 и устройством 701 криптографической обработки. В одном варианте осуществления периферийного устройства 700 устройство 702 управления интерфейсом является обычным устройством, которым может быть программируемая вентильная матрица (FPGA), которая запрограммирована для выполнения функций. Устройство 702 управления интерфейсом под управлением устройства 701 криптографической обработки может быть приспособлено для предоставления возможности периферийному устройству 700 принимать идентичность целевой функции 707, как обсуждалось выше. Устройство 702 управления интерфейсом также обеспечивает возможность встроенной криптографии согласно изобретению, поскольку устройство 702 управления интерфейсом управляет потоком данных между главным вычислительным устройством и целевой функциональностью 707.
[0098] Фиг. 8А представляет собой блок-схему, иллюстрирующую поток данных через устройство 702 управления интерфейсом по Фиг. 7. Данные, передаваемые из главного вычислительного устройства, поступают в периферийное устройство 700 (не обозначенное на Фиг. 8А) через интерфейс 706 ввода-вывода главного вычислительного устройства. Устройство 702 управления интерфейсом представляет данные в интерфейс 708 устройства криптографической обработки (не показано на Фиг. 7). В зависимости от конфигурации устройства 702 управления интерфейсом, определяемой работой драйвера периферийного устройства и / или настройками, установленными во время изготовления периферийного устройства 700, данные могут обрабатываться или не обрабатываться устройством 701 криптографической обработки (Фиг. 7). Как правило (или, в некоторых случаях, обязательно), как обсуждено более подробно выше, происходит криптографическая обработка. Устройство 702 управления интерфейсом затем вызывает передачу данных в целевую функциональность 707. Данные, передаваемые из целевой функциональности 707 в главное вычислительное устройство, следуют аналогичному пути в обратном направлении. Когда целевая функциональность 707 отсутствует или не используется, данные, передаваемые из главного вычислительного устройства, после их представления интерфейсу 708 устройства криптографической обработки и обработки устройством 701 криптографической обработки, принудительно передаются обратно в интерфейс 8
706 ввода-вывода главного вычислительного устройства (и оттуда к главному вычислительному устройству) посредством устройства 702 управления интерфейсом.
[0099] Набор регистров конфигурации поддерживается для интерфейса ввода-вывода главного вычислительного устройства, интерфейса устройства криптографической обработки и интерфейса целевой функциональности. В частности, содержимое регистров конфигурации интерфейса ввода-вывода главного вычислительного устройства таково, что взаимодействие главного вычислительного устройства с периферийным устройством осуществляется также, как если бы функциональность безопасности отсутствовала. Содержимое регистров интерфейса целевой функциональности отражает наличие функциональности безопасности. Регистры интерфейса устройства криптографической обработки перекрывают разрыв между двумя другими наборами регистров.
[00100] В общем случае, функциональность безопасности периферийного устройства согласно изобретению может быть сконфигурирована для выполнения любой криптографической операции, а также других связанных математических операций. Конфигурация функциональных возможностей безопасности, которая обеспечивает возможность конкретной криптографической или математической операции, может быть произведена, например, с использованием соответствующего существующего криптографического программного обеспечения, аппаратного обеспечения для конкретного приложения или их комбинации, как известно специалистам в области создания криптографических устройств. Ниже приведено описание примерных криптографических и математических операций, которые могут быть реализованы как часть функциональных возможностей защиты периферийного устройства согласно изобретению. Эти криптографические и математические операции хорошо известны и могут быть легко реализованы в периферийном устройстве согласно изобретению специалистом в области криптографии. [00101] Например, периферийное устройство согласно изобретению может реализовывать одну или несколько операций криптографического обмена ключами. Может быть реализована любая операция обмена ключами, такая как, например, как RSA, Diffie-Hellman и алгоритмы обмена ключами Х9.42 (ANSI Banking Standard).
[00102] Периферийное устройство согласно изобретению также может реализовывать одну или несколько операций хеширования. Может быть реализована любая операция хеширования, такая как, например, как алгоритмы FIPS 180-1 (SHA-1), Message Digest 2 (RSA) и Message Digest 5 (RSA).
[00103] Периферийное устройство согласно изобретению также может реализовывать одну или несколько операций цифровой подписи. Может быть реализована любая операция цифровой подписи, такая как, например, как алгоритмы FIPS 186 (DSA - 512, 1024) и RSA Signature (512, 768, 1024, 2048).
[00104] Периферийное устройство согласно изобретению также может реализовывать одну или несколько симметричных операций шифрования. Может быть реализована любая операция симметричного шифрования, такая как, например, FIPS 185 (реализована полностью в аппаратном обеспечении), DES (включая 3DES, EDE3, СВС и ЕСВ), алгоритмы RC-2 и RC-4.
[00105] Хотя настоящее изобретение было конкретно показано и описано со ссылкой на его примерные варианты осуществления, следует понимать, что изобретение не ограничено раскрытыми примерными вариантами осуществления.
[00106] Все компоненты данного технического решения могут быть соединены шиной. В некоторых примерах информационная шина включает в себя одну или более информационных шин. Информационная шина может быть реализована в соответствии с протоколом шины локальной сети контроллеров (CAN), который определен Международной организацией стандартизации (ISO) 11898-1, протоколом шины передачи данных мультимедийных систем (MOST), протоколом гибкой информационной CAN-шины (CAN-FD) (ISO 11898-7) и/или протоколом шины К-line (ISO 9141 и ISO 14230-1) и/или протоколом Ethernet™-i±iHHbi IEEE 802.3 (2002 г. и далее), и т.д.
[00107] Элементы заявляемого технического решения находятся в функциональной взаимосвязи, а их совместное использование приводит к созданию нового и уникального технического решения. Таким образом, все блоки функционально связаны.
[00108] Компоненты заявленного устройства могут быть связаны системной шиной, которая может быть любого из нескольких типов структур(ы) шин, в том числе шины памяти или контроллера памяти, периферийной шины или внешней шины и/или локальной шины, используя любую из множества архитектур шин, в том числе (но не только) 11 -битную шину, шину архитектуры промышленного стандарта (Industrial Standard Architecture (ISA)), микроканальной архитектуры (Micro-Channel Architecture (MCA)), расширенную ISA (Extended ISA (EISA)), интеллектуальных электронных схем возбуждения (Intelligent Drive Electronics (IDE)), локальную шину Ассоциации производителей средств видеоэлектроники (VESA Local Bus (VLB)), соединения периферийных компонентов (Peripheral Component Interconnect (PCI)), универсальную последовательную шину (Universal Serial Bus (USB)), улучшенного графического порта (Advanced Graphics Port (AGP)), шину международной ассоциации производителей плат памяти для персональных компьютеров (Personal Computer Memory Card International Association (PCMCIA)) и интерфейс малых вычислительных систем (Small Computer Systems Interface (SCSI)). [00109] Все блоки, используемые в системе, могут быть реализованы с помощью электронных компонент, используемых для создания цифровых интегральных схем, что очевидно для специалиста в данном уровне техники. Не ограничиваюсь, могут быть использоваться микросхемы, логика работы которых определяется при изготовлении, или программируемые логические интегральные схемы (ПЛИС), логика работы которых задаётся посредством программирования. Для программирования используются программаторы и отладочные среды, позволяющие задать желаемую структуру цифрового устройства в виде принципиальной электрической схемы или программы на специальных языках описания аппаратуры: Verilog, VHDL, AHDL и др. Альтернативой ПЛИС могут быть программируемые логические контроллеры (ПЛК), базовые матричные кристаллы (БМК), требующие заводского производственного процесса для программирования; ASIC - специализированные заказные большие интегральные схемы (БИС), которые при мелкосерийном и единичном производстве существенно дороже.
[00110] Обычно, сама микросхема ПЛИС состоит из следующих компонент:
• конфигурируемых логических блоков, реализующих требуемую логическую функцию;
• программируемых электронных связей между конфигурируемыми логическими блоками;
• программируемых блоков ввода/вывода, обеспечивающих связь внешнего вывода микросхемы с внутренней логикой.
[00111] Также блоки могут быть реализованы с помощью постоянных запоминающих устройств.
[00112] Таким образом, реализация всех используемых блоков достигается стандартными средствами, базирующимися на классических принципах реализации основ вычислительной техники.
[00113] Как будет понятно специалисту в данной области техники, аспекты настоящего технического решения могут быть выполнены в виде системы, способа или компьютерного программного продукта. Соответственно, различные аспекты настоящего технического решения могут быть реализованы исключительно как аппаратное обеспечение, как программное обеспечение (включая прикладное программное обеспечение и так далее) или как вариант осуществления, сочетающий в себе программные и аппаратные аспекты, которые в общем случае могут упоминаться как «модуль», «система» или «архитектура». Кроме того, аспекты настоящего технического решения могут принимать форму компьютерного программного продукта, реализованного на одном или нескольких машиночитаемых носителях, имеющих машиночитаемый программный код, который на них реализован.
[00114] Также может быть использована любая комбинация одного или нескольких машиночитаемых носителей. Машиночитаемый носитель хранилища может представлять собой, без ограничений, электронную, магнитную, оптическую, электромагнитную, инфракрасную или полупроводниковую систему, аппарат, устройство или любую подходящую их комбинацию. Конкретнее, примеры (неисчерпывающий список) машиночитаемого носителя хранилища включают в себя: электрическое соединение с помощью одного или нескольких проводов, портативную компьютерную дискету; жесткий диск, оперативную память (ОЗУ), постоянную память (ПЗУ), стираемую программируемую постоянную память (EPROM или Flash-память), оптоволоконное соединение, постоянную память на компакт-диске (CD-ROM), оптическое устройство хранения, магнитное устройство хранения или любую комбинацию вышеперечисленного. В контексте настоящего описания, машиночитаемый носитель хранилища может представлять собой любой гибкий носитель данных, который может содержать или хранить программу для использования самой системой, устройством, аппаратом или в соединении с ними.
[00115] Программный код, встроенный в машиночитаемый носитель, может быть передан с помощью любого носителя, включая, без ограничений, беспроводную, проводную, оптоволоконную, инфракрасную и любую другую подходящую сеть или комбинацию вышеперечисленного. [00116] Компьютерный программный код для выполнения операций для шагов настоящего технического решения может быть написан на любом языке программирования или комбинаций языков программирования, включая объектно-ориентированный язык программирования, например Java, Smalltalk, C++ и так далее, и обычные процедурные языки программирования, например язык программирования «С» или аналогичные языки программирования. Программный код может выполняться на компьютере пользователя полностью, частично, или же как отдельный пакет программного обеспечения, частично на компьютере пользователя и частично на удаленном компьютере, или же полностью на удаленном компьютере. В последнем случае, удаленный компьютер может быть соединен с компьютером пользователя через сеть любого типа, включая локальную сеть (LAN), глобальную сеть (WAN) или соединение с внешним компьютером (например, через Интернет с помощью Интернет- провайдеров).
[00117] Аспекты настоящего технического решения были описаны подробно со ссылкой на блок-схемы, принципиальные схемы и/или диаграммы способов, устройств (систем) и компьютерных программных продуктов в соответствии с вариантами осуществления настоящего технического решения. Следует иметь в виду, что каждый блок из блок- схемы и/или диаграмм, а также комбинации блоков из блок-схемы и/или диаграмм, могут быть реализованы компьютерными программными инструкциями. Эти компьютерные программные инструкции могут быть предоставлены процессору компьютера общего назначения, компьютера специального назначения или другому устройству обработки данных для создания процедуры, таким образом, чтобы инструкции, выполняемые процессором компьютера или другим программируемым устройством обработки данных, создавали средства для реализации функций/действий, указанных в блоке или блоках блок-схемы и/или диаграммы.
[00118] Эти компьютерные программные инструкции также могут храниться на машиночитаемом носителе, который может управлять компьютером, отличным от программируемого устройства обработки данных или отличным от устройств, которые функционируют конкретным образом, таким образом, что инструкции, хранящиеся на машиночитаемом носителе, создают устройство, включающее инструкции, которые осуществляют функции/действия, указанные в блоке блок-схемы и/или диаграммы. [00119] Приведенное выше описание включает в себя примеры одного или более аспектов. Конечно, нет возможности описать каждую возможную комбинацию компонентов или методологий с целью представления описанных выше аспектов, но для специалиста в данной области техники будет понятно, что возможно множество дополнительных комбинаций и перестановок различных аспектов. В соответствии с этим описанные аспекты предназначены для охвата всех таких изменений, модификаций и вариантов, которые находятся в пределах сущности и объема приложенной формулы изобретения. Кроме того, в той степени, что термин "включает в себя" используется либо в подробном описании изобретения, или в формуле изобретения предполагается, что такой термин имеет включительный смысл, аналогично термину "содержащий", как термин "содержащий" интерпретируется, когда его используют как переходное слово в формуле изобретения. [00120]

Claims

ФОРМУЛА
1. Периферийное устройство с интегрированной системой безопасности с применением искусственного интеллекта, содержащее корпус, в котором расположены:
• по меньшей мере одно средство защиты для обеспечения возможности выполнения одной или нескольких операций безопасности над данными;
• по меньшей мере одно средство для обеспечения взаимодействия периферийного устройства с главным вычислительным устройством;
• средство для оперативного соединения средства защиты с главным вычислительным устройством в ответ на инструкцию от главного вычислительного устройства; и
• средство для передачи данных между главным вычислительным устройством и периферийным средством, так что передаваемые данные должны сначала проходить через средство защиты;
• модуль искусственного интеллекта, выполненный с возможностью о изменения уровня конфиденциальности пользователя на основании распознавания данных, загруженных на периферийном устройстве пользователя, при этом пользователь ограничен от доступа к содержимому до тех пор, пока компонент искусственного интеллекта не изменит уровень конфиденциальности пользователя на основании его аутентификации.
2. Периферийное устройство по п.1, характеризующееся тем, что дополнительно содержит средство для энергонезависимого хранения данных.
3. Периферийное устройство по п.1, характеризующееся тем, что дополнительно содержит средство для обеспечения связи между главным вычислительным устройством и удаленным устройством.
4. Периферийное устройство по п.1, характеризующееся тем, что дополнительно содержит биометрическое устройство.
5. Периферийное устройство по п.1, характеризующееся тем, что дополнительно содержит средство для связи со смарт-картой.
6. Периферийное устройство по п. 2, характеризующееся тем, что средство для энергонезависимого хранения данных дополнительно содержит твердотельное дисковое устройство хранения.
7. Периферийное устройство по п. 6, характеризующееся тем, что твердотельное дисковое устройство хранения содержит флэш-диск формата АТА.
8. Периферийное устройство по п.1, характеризующееся тем, что дополнительно содержит средство для обеспечения связи между главным вычислительным устройством и удаленным устройством.
9. Периферийное устройство по п.8, характеризующееся тем, что средство для обеспечения связи между главным вычислительным устройством и удаленным устройством дополнительно содержит средство беспроводной связи.
10. Периферийное устройство по п.9, характеризующееся тем, что средство беспроводной связи содержит беспроводной модем.
11. Периферийное устройство по п.9, характеризующееся тем, что средство беспроводной связи содержит приемопередатчик беспроводной локальной сети.
12. Периферийное устройство по п.4, характеризующееся тем, что биометрическое устройство содержит устройство сканирования отпечатков пальцев.
13. Периферийное устройство по п.4, характеризующееся тем, что биометрическое устройство содержит сканирующее устройство сетчатки.
14. Периферийное устройство по п.1, характеризующееся тем, что модуль искусственного интеллекта выдает рекомендации по изменению уровня конфиденциальности пользователя.
PCT/RU2020/000135 2020-03-13 2020-03-13 Периферийное устройство с интегрированной системой безопасности с применением искусственного интеллекта WO2021182985A1 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
RU2020110548A RU2738823C1 (ru) 2020-03-13 2020-03-13 Периферийное устройство с интегрированной системой безопасности с применением искусственного интеллекта
RU2020110548 2020-03-13

Publications (1)

Publication Number Publication Date
WO2021182985A1 true WO2021182985A1 (ru) 2021-09-16

Family

ID=73835056

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/RU2020/000135 WO2021182985A1 (ru) 2020-03-13 2020-03-13 Периферийное устройство с интегрированной системой безопасности с применением искусственного интеллекта

Country Status (2)

Country Link
RU (1) RU2738823C1 (ru)
WO (1) WO2021182985A1 (ru)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2267155C2 (ru) * 1998-11-10 2005-12-27 Аладдин Нолидж Системз Лтд. Способ взаимодействия пользователь - компьютер для использования совокупностью гибко подключаемых компьютерных систем (гпкс), устройство, имеющее блок подключения к гпкс, совокупность устройств, имеющих блок подключения к гпкс, устройство ключа универсальной последовательной шины, способ взаимодействия с главным компьютером с usb и способ хранения данных (варианты)
RU2308080C2 (ru) * 2003-05-02 2007-10-10 Гиритек А/С Всеобъемлющая, ориентированная на пользователя сетевая безопасность, обеспечиваемая динамической коммутацией датаграмм и схемой аутентификации и шифрования по требованию через переносные интеллектуальные носители информации
US20090164789A1 (en) * 2007-12-21 2009-06-25 Spansion Llc Authenticated memory and controller slave
RU2684483C1 (ru) * 2018-05-23 2019-04-09 Олег Викторович Пушкин Устройство для защиты от несанкционированного доступа к данным, хранимым на компьютере
US20190236254A1 (en) * 2017-06-04 2019-08-01 Apple Inc. Authentication techniques in response to attempts to access sensitive information

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2560827C1 (ru) * 2014-03-24 2015-08-20 Открытое акционерное общество "Мультиклет" Способ защиты информации и портативное многофункциональное устройство для защиты информации

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2267155C2 (ru) * 1998-11-10 2005-12-27 Аладдин Нолидж Системз Лтд. Способ взаимодействия пользователь - компьютер для использования совокупностью гибко подключаемых компьютерных систем (гпкс), устройство, имеющее блок подключения к гпкс, совокупность устройств, имеющих блок подключения к гпкс, устройство ключа универсальной последовательной шины, способ взаимодействия с главным компьютером с usb и способ хранения данных (варианты)
RU2308080C2 (ru) * 2003-05-02 2007-10-10 Гиритек А/С Всеобъемлющая, ориентированная на пользователя сетевая безопасность, обеспечиваемая динамической коммутацией датаграмм и схемой аутентификации и шифрования по требованию через переносные интеллектуальные носители информации
US20090164789A1 (en) * 2007-12-21 2009-06-25 Spansion Llc Authenticated memory and controller slave
US20190236254A1 (en) * 2017-06-04 2019-08-01 Apple Inc. Authentication techniques in response to attempts to access sensitive information
RU2684483C1 (ru) * 2018-05-23 2019-04-09 Олег Викторович Пушкин Устройство для защиты от несанкционированного доступа к данным, хранимым на компьютере

Also Published As

Publication number Publication date
RU2738823C1 (ru) 2020-12-17

Similar Documents

Publication Publication Date Title
US6088802A (en) Peripheral device with integrated security functionality
US6003135A (en) Modular security device
EP2936369B1 (en) Verification of password using a keyboard with a secure password entry mode
US6351817B1 (en) Multi-level secure computer with token-based access control
CN112513857A (zh) 可信执行环境中的个性化密码安全访问控制
JP4884627B2 (ja) 着脱可能な能動型の個人用記憶装置、システム、及び方法
TWI684890B (zh) 使用憑證導出之加密密鑰改良韌體服務安全性的計算裝置之系統及方法
US6389542B1 (en) Multi-level secure computer with token-based access control
US20070214332A1 (en) Storage-access control system, storage-access control method, and computer product
US8924742B2 (en) Multi-level data storage
TWI686723B (zh) 智慧安全儲存器
CN102792313A (zh) 对数据的基于证书的访问
AU7037600A (en) Removable, active, personal storage device, system and method
US20140351607A1 (en) Removable, active, personal storage device, system and method
US20110198397A1 (en) Secure use of externally stored data
US7631348B2 (en) Secure authentication using a low pin count based smart card reader
EP2590101B1 (en) Authentication using stored biometric data
EP3312759B1 (en) Secure element (se), a method of operating the se, and an electronic device including the se
US7461252B2 (en) Authentication method, program for implementing the method, and storage medium storing the program
RU2738823C1 (ru) Периферийное устройство с интегрированной системой безопасности с применением искусственного интеллекта
RU2691201C1 (ru) Система, способ и устройство непрерывной аутентификации пользователя и защиты ресурсов автоматизированного рабочего места от несанкционированного доступа
CN101512541B (zh) 信息处理装置及起动方法
CA2693318C (en) Multi-level data storage
Lee et al. A study on a secure USB mechanism that prevents the exposure of authentication information for smart human care services
TW202203056A (zh) 認證數據傳輸方法與系統

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 20923879

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 20923879

Country of ref document: EP

Kind code of ref document: A1