Настоящее изобретение относится к способу для защиты передачи данных по линии связи между первой станцией связи и второй станцией связи, в котором данные отправляют в соответствии с протоколом данных от второй станции связи на первую станцию связи, при этом выполняют следующие операции: (i) принимают данные от второй станции связи в устройстве защиты передачи данных и (ii) сравнивают данные протокола данных по меньшей мере с одним стандартизированным протоколом в устройстве защиты передачи данных. В частности, защищают те линии передачи данных, которые могут быть перехвачены третьими лицами посредством общей и/или частной инфраструктуры передачи данных и связи.
Изобретение также относится к устройству защиты передачи данных, выполненному с возможностью защиты трафика передачи данных между первой станцией связи и второй станцией связи, причем данные отправляют согласно протоколу данных от второй станции связи на первую станцию связи. Устройство защиты передачи данных содержит средство памяти для запоминания характеристик данных по меньшей мере одного стандартизированного протокола, устройство защиты передачи данных также выполнено с возможностью сравнения протокола данных, относящегося к этим данным, по меньшей мере с одним стандартизированным протоколом.
Подобные способ и устройство известны из патентной заявки США 5124984, в которой раскрыт способ защиты трафика передачи данных между первой станцией связи и второй станцией связи, согласно которому данные отправляют согласно протоколу данных от второй станции связи на первую станцию связи, при этом протокол данных сравнивают по меньшей мере с одним стандартизированным протоколом, а данные направляют на первую станцию связи только в том случае, если протокол данных соответствует по меньшей мере одному стандартизированному протоколу. Раскрываемые способ и система направлены на сети данных, причем сеть соединяет несколько станций и контроллер доступа в сеть. Контроллер доступа в сеть подключен к сети и контролирует трафик данных в сети. Контроллер доступа в сеть проверяет содержание каждого пакета данных, посылаемого по сети, и определяет, является ли данный пакет пакетом дозволенного типа. При этом принцип его действия основан на механизмах управления, заложенных в протоколе, который используют для прекращения связи между определенными станциями. Контроллер доступа в сеть не является частью физического канала между станциями связи.
В последнее время все большее распространение получают устройства, в которых предусматривается возможность обеспечения так называемого дистанционного обслуживания. Имеется в виду, в частности, встроенное оборудование факсимильной связи, сетевое оборудование факсимильной связи, телефонные модемы, кабельные модемы, комбинированные факс/модемные конфигурации, телефонные аппараты, автоответчики, телефонные коммутаторы, копировальные устройства, стиральные машины и прочие бытовые, промышленные устройства и эксплуатационные устройства, которые могут сообщаться посредством указанных инфраструктур. Это относится к устройствам, устанавливаемым отдельно и в сочетании с другим оборудованием. Это дистанционное обслуживание, также известное под названием "дистанционной диагностики" или "дистанционного техобслуживания", разработано для обеспечения гибкого и недорогого способа обслуживания для пользователей оборудования.
Дистанционное обслуживание (далее - ДО) обеспечивает возможность проверки соответствующего устройства через указанную инфраструктуру из местонахождения поставщика обслуживания или от другого пункта обслуживания. В ряде случаев даже имеется возможность дистанционного выполнения мелкого ремонта обслуживающим инженером. Если возникает необходимость выполнения ремонта на месте, то соответствующий обслуживающий персонал может быть направлен вместе с исправными элементами. При этом благодаря ДО уже известна неисправность устройства и известны меры, которые нужно принять для устранения неисправности.
Функции ДО могут включать в себя многие варианты усовершенствованного обслуживания, перечисленные ниже:
1. Считывание различных показаний счетчиков, когда обслуживание необходимо, можно определить по показаниям счетчика.
2. Включение и выключение визуальных и звуковых сигналов, например, в случае аппарата факсимильной связи и поэтому возможность проверки устройства без прерывания его непосредственной работы.
3. Считывание перечня номеров факса/телефона и в случае изменения номеров телефона (обслуживания) - их дистанционная корректировка.
4. Считывание журнала аппарата факсимильной связи, журнал обычно содержит коды ошибок последних отправленных факсимильных сообщений, и их можно использовать технической службой в целях проверки устройства.
5. Манипулирование запоминающим устройством факсимильного аппарата для обеспечения возможности освобождения памяти, если это невозможно сделать с помощью обычной предусматриваемой для этого процедуры.
6. Изменение конфигурационных установочных режимов, один из видов обслуживания включает возможность дистанционного конфигурирования устройства в соответствии с пожеланиями клиента.
7. Добавление номеров прямого соединения, центр обслуживания в этом случае может самостоятельно проверить неисправно работающие аппараты факсимильной связи и на этом основании сделать вывод о возможной причине неисправности.
Перечисляемые выше функции относятся к аппаратам факсимильной связи, но аналогичные функции могут присутствовать и в другом упоминаемом выше оборудовании. Функции ДО могут, в принципе, содержать все функции по операциям, относящимся к средствам памяти данного устройства (ЗУПВ, ПЗУ, ЭППЗУ).
Многие изготовители устройств передачи данных используют заказные микропроцессорные комплекты (стандартные интегральные схемы, производимые в больших количествах) либо применяют аппаратуру, производимую в больших количествах и поставляемую многим изготовителям в отдельном корпусе. Во многих случаях технические данные изготовителя описывают только функции, которые желательны для изготовителя. Поэтому возможно, что в заказных микропроцессорных комплектах или в аппаратуре присутствуют такие функции ДО, о которых конечный пользователь не информируется.
В современном информационном обществе: знание - сила. Разумеется, что информация хорошо защищена с помощью физических и организационных мер всякого рода. Например, просмотр документов может предоставляться только отдельной группе лиц, после чего они надежно хранятся в сейфе. В целях оперативного принятия решений и обновления информационной ситуации консультации будут нередко проводиться по телефону, и в этом случае часто используются аппараты факсимильной связи для передачи друг другу обсуждаемых документов. Именно здесь находится слабое место всей цепи защиты. По существу, соответствующие документы делаются доступными для третьих лиц, а это как раз то, чего не должно быть. Указанные третьи лица, которые, возможно, имеют непосредственные коммерческие интересы в информационных брокерских операциях либо действуют в них, могут заполучить ценные сведения. Это может произойти даже незаметно для владельца важной информации - пока не станет слишком поздно. Поэтому промышленный шпион, по-видимому, находится близко и работает, нужно отметить, вместе с тем, кто защитил свою информацию всеми возможными средствами.
Например, факсимильный аппарат (конечный пользователь может об этом не знать) имеет функции ДО, и поэтому им может манипулировать третье лицо. Это третье лицо может, например, принять меры к тому, чтобы соответствующий факсимильный аппарат отвечал на определенные факсовые номера и/или идентификационные факсовые номера. Во время передачи и/или приема факсов от/на эти факсовые номера данный факсимильный аппарат будет передавать, например, дополнительный экземпляр на факсовый номер, указанный этим третьим лицом. Но пользователь данного факсимильного аппарата в этом случае ничего не заметит, поскольку визуальные и звуковые сигналы могут быть выключены, факсовый номер прямого соединения может значиться в перечне факсовых номеров прямого соединения, и даже журнал факсимильных сообщений не сообщит об этой операции. При необходимости экземпляр какого-либо факсимильного сообщения будет передан только в ночные часы, когда в офисе никого не будет.
В случае сетевого факсимильного аппарата или факс/модема, входящего в состав сетевой системы компании, это третье лицо, возможно, получит через указанный факсимильный аппарат или модем доступ к сетевой системе. Таким образом можно будет извлекать информацию указанным выше способом из сетевой системы, которая считается защищенной.
В основу настоящего изобретения поставлена задача создания способа и устройства для защиты трафика передачи данных, чтобы исключить возможность незаметного использования третьим лицом функций, имеющихся в станции связи.
В соответствии с изобретением поставленная задача решается тем, что в способе, который охарактеризован выше, выполняются операции (iii) обеспечения устройством защиты передачи данных, при этом данные от второй станции связи на первую станцию связи проходят через устройство защиты передачи данных, и (iv) направления данных, в отношении которых протокол данных соответствует по меньшей мере одному стандартизированному протоколу, от устройства защиты передачи данных на первую станцию связи и отмены передачи данных, в отношении которых протокол данных не соответствует по меньшей мере одному стандартизированному протоколу, от устройства защиты передачи данных на первую станцию связи.
Повторения команд или определенных комбинаций команд, каждая из которых относится к стандартизированному протоколу, но не приводит к нормальному, действительному трафику передачи данных, расцениваются как не относящиеся к стандартизированному протоколу. В частности, возможно, что эти повторения или комбинации команд используют для приведения в действие определенной функции ДО.
До того, как факсимильный аппарат сможет перейти на прием и/или передачу документов, устройства на обоих концах линии связи должны сообщить друг другу о статусе, в котором они находятся. После процедуры "квитирования установления связи" происходит взаимная адаптация для информационного обмена. Оба устройства теперь готовы и будут выполнять нужное задание. Эта процедура и информационный обмен осуществляются в соответствии с международными определенными нормами, которые называют протоколами и которые частично сформулированы в стандартах ISO, ETSI и ANSI или в положениях ITU. ДО во время или после процедуры "квитирования" делает проверку присутствия определенной функции ДО. Для применения функции ДО изготовитель будет использовать протоколы, которые не включены (полностью) в нормы. Это означает, что применение экзотического протокола может указывать на применение функции ДО. Это в любом случае указывает на то, что другая сторона не придерживается стандартных протоколов. Несоблюдение стандарта указывает, что данная линия связи используется таким образом, который не предполагается пользователем.
При применении способа согласно изобретению попытка третьего лица включить (скрытую) функцию ДО извне будет безуспешной, и поэтому вероятность того, что произойдет утечка информации через оборудование связи, значительно уменьшается.
Поскольку согласно изобретению протокол данных сравнивают со стандартизированными протоколами, способ согласно изобретению можно применить во многих странах.
В одном из вариантов реализации способа пользователю станции связи дается предупреждение, если во время сравнения протокола данных обнаруживается, что он не относится к известному стандартизированному протоколу. Таким образом пользователю дают предупреждение о попытке третьего лица манипулировать его станцией связи, при этом пользователь может принять непосредственные меры.
Еще в одном варианте реализации данного изобретения линию связи прерывают, если при сравнении протокола данных обнаруживается, что он не относится к стандартизированному протоколу. При этом какие-либо попытки третьего лица манипулировать станцией связи будут безуспешными.
В предпочтительном варианте реализации способа согласно изобретению после выявления того факта, что протокол данных не относится к определенному стандартизированному протоколу, составляют файл данных, содержащий данные о трафике передачи данных и второй станции связи. В результате регистрации этих данных пользователь сможет получить возможное полное представление о второй станции связи, после чего можно будет принять соответствующие меры.
В соответствии с еще одним вариантом реализации изобретения предполагается устройство для реализации способа согласно изобретению в соответствии с определением, данным в ограничительной части п.4. В этих целях устройство снабжают первой линией связи для соединения устройства защиты передачи данных с первой станцией связи и второй линией связи для соединения устройства защиты передачи данных со второй станцией связи, причем данные проходят от второй станции связи на первую станцию связи через устройство защиты передачи данных, и также снабжают средством сравнения/отправления для отправления данных, принимаемых по второй линии связи и протокол данных которых соответствует по меньшей мере одному стандартизированному протоколу, от устройства защиты передачи данных по первой линии связи и для отмены передачи данных, в отношении которых протокол данных не соответствует по меньшей мере одному стандартизированному протоколу, от устройства защиты передачи данных по первой линии связи.
С помощью данного устройства можно применить описываемый выше способ при передаче данных. Преимущество устройства заключается в том, что пользователь может самостоятельно определить независимо от марки и типа устройства, разрешена ли данная функция ДО. Поскольку устройство можно использовать отдельно от местной станции связи, то нет необходимости учитывать какую-либо функцию ДО при покупке местной станции связи.
Поскольку необходимо только небольшое число компонентов, то можно изготовить устройство компактным, с небольшим весом и устойчивым к грубым внешним воздействиям и адаптировать его к ситуации, в которой его будут использовать. Работа и подключение устройства также простые.
Средство памяти предпочтительно выполняют в виде ПЗУ. Поэтому будет невозможно манипулировать содержанием памяти во время пользования, но все же будет просто адаптировать устройство к новейшим стандартизированным протоколам путем замены ПЗУ.
В одном из вариантов реализации устройства оно также содержит средство сигнализации. Если обнаруживают данные, в отношении которых протокол данных не соответствует по меньшей мере одному стандартизированному протоколу, то пользователю дается предупреждение, например, визуальным и/или звуковым средством сигнализации. Поэтому пользователь всегда будет предупрежден о том, что делается попытка манипулировать работой первой станции связи, даже если в этих обстоятельствах делается попытка выключить индикацию первой станции связи.
Еще один вариант реализации устройства содержит средство отображения, связанное со средством сравнения/отправления. Причем средство отображения отображает данные, которые относятся к трафику передачи данных и ко второй станции связи и которые запоминают после того, как во время сравнения протокола данных обнаруживается, что он не соответствует по меньшей мере одному стандартизированному протоколу. Это средство можно выполнить, например, в виде экрана дисплея на самом устройстве.
Помимо этого устройство можно выполнить в еще одном варианте - в виде средства ввода, связанного со средством сравнения/отправления, для ввода команд отображения данных.
Альтернативный вариант реализации изобретения заключается в использовании средства интерфейса вместо средства отображения и/или средства ввода. Средство интерфейса обеспечивает обмен данными, относящимися к трафику передачи данных и ко второй станции связи, с помощью внешнего устройства обработки данных, причем данные запоминают после того, как во время сравнения протокола данных обнаруживается, что он не соответствует по меньшей мере одному стандартизированному протоколу. Указанное устройство обработки данных может быть, например, компьютером, с помощью которого производится обработка данных и их последующее отображение.
За счет отображения указанных данных пользователь сможет получать полное возможное представление о попытке манипулировать местной станцией связи, после чего могут быть приняты соответствующие меры.
В соответствии с одним из вариантов реализации изобретения устройство можно выполнить как составную часть местной станции связи.
В дальнейшем изобретение поясняется описанием предпочтительных вариантов воплощения со ссылками на чертежи, на которых:
Фиг.1 изображает схему устройства согласно изобретению;
Фиг.2 - схему последовательности операций способа согласно изобретению.
Фиг. 1 изображает схему предпочтительного варианта реализации изобретения, согласно которому устройство 10 для защиты трафика передачи данных связано с первой станцией 11 связи и второй станцией 12 связи. Устройство 10 содержит средство 15 сравнения/отправления, которое может осуществлять связь во время работы и с первой станцией 11 связи, и со второй станцией 12 связи. Устройство 10 также содержит средство 14 памяти, соединенное со средством 15 сравнения/отправления. В изображаемом предпочтительном варианте реализации изобретения устройство 10 также содержит сигнализирующее средство 16, средство 17 отображения и средство 18 ввода, которые соединены со средством 15 сравнения/отправления. Станции 11 и 12 связи могут быть, например, факсимильными аппаратами, копировальными устройствами, имеющими функции ДО.
В средстве 14 памяти характеристики передачи данных запоминают согласно по меньшей мере одному стандартизированному протоколу. Средство 15 сравнения/отправления сравнивает протокол данных, относящийся к данным, которые намерена отправить вторая станция связи на первую станцию 11 связи, и отправляют только те данные, в отношении которых протокол данных соответствует по меньшей мере одному стандартизированному протоколу местной станции 11 связи.
В изображаемом предпочтительном варианте реализации устройство 10 также содержит сигнализирующее средство 16, которое дает предупреждение, если во время сравнения протокола данных обнаружилось, что он не соответствует по меньшей мере одному стандартизированному протоколу. Показано, что сигнализирующее средство 16 выполнено в виде сигнализирующей лампы. Также возможно использовать другие визуальные или звуковые сигнализирующие средства.
В предпочтительном варианте реализации изобретения устройство 10 также содержит средство 17 отображения для отображения данных, которые относятся к трафику передачи данных и ко второй станции 12 связи и которые запоминают, если при сравнении протокола данных обнаруживается, что он не соответствует по меньшей мере одному стандартизированному протоколу. Помимо этого устройство содержит средство 18 ввода для ввода команд, относящихся к отображению данных. Например, возможен ввод команд для отображения только определенной части данных на средстве отображения.
В одном из вариантов реализации (не показан) изобретения устройство 10 содержит вместо средства 17 отображения и средства 18 ввода средство интерфейса, которое можно подключить к внешнему устройству обработки данных. Это устройство обработки данных может быть, например, компьютером, с помощью которого обрабатывают и затем запоминают и отображают данные.
Фиг. 2 изображает схему последовательности операций способа данного изобретения. Осуществление способа начинают с приема данных от второй станции 12 связи в блоке 1. В блоке 2 принятия решения протокол данных, принимаемых в блоке 1, сравнивают со стандартизированным протоколом. Если протокол данных соответствует по меньшей мере одному стандартизированному протоколу, то эти данные отправляют на первую станцию 11 связи в блоке 3 отправления. Затем возвращаются в блок 1 для проверки последующих принимаемых данных.
Если протокол данных не соответствует по меньшей мере одному стандартизированному протоколу, то продолжают процедуру в сигнализирующем блоке 4, который предупреждает пользователя. Следующая операция данной процедуры содержит блок 6 прерывания, в котором прерывают линию связи со второй станцией связи. В предпочтительном варианте осуществления способа изобретения в блоке 5 запоминают файл данных, в котором данные трафика передачи данных и второй станции запоминают параллельно с блоком 4 сигнализации и блоком 6 прерывания.
При применении заявленного способа и устройства для защиты трафика передачи данных попытка третьего лица включить функцию (скрытую) извне будет безуспешной, в результате чего значительно снизится вероятность того, что может произойти утечка информации через оборудование связи.
Благодаря предупреждению пользователя и записи данных, относящихся к трафику передачи данных и ко второй станции связи 12, пользователь сможет получить полное возможное представление о пользователе второй станции связи, после чего могут быть приняты соответствующие меры.
Преимущество описываемого здесь устройства заключается в том, что пользователь может самостоятельно, независимо от марки и типа устройства определить, является ли данная функция ДО разрешенной. Поскольку устройство можно использовать отдельно от первой станции связи, то нет необходимости учитывать присутствие той или иной функции ДО при покупке первой станции связи. Разумеется, устройство 10 может быть также физически включено в первую станцию 11 связи. В этом случае средство 15 сравнения/отправления можно выполнить как неотъемлемую часть процессора, имеющегося в первой станции 11 связи.
Поскольку относящийся к принимаемым данным протокол данных сравнивают со стандартизированными протоколами, способ согласно изобретению можно использовать во многих странах.
Поскольку необходимо только небольшое количество элементов, то можно изготовить устройство компактным, с небольшим весом и устойчивым к грубым внешним воздействиям и адаптировать его к ситуации, в которой его будут использовать. Работа и подключение устройства также простые.
Если средство памяти выполняют как ПЗУ, то во время пользования манипулирование содержанием средства 14 памяти будет невозможным, но устройство легко адаптировать относительно новейших стандартизированных протоколов путем замены ПЗУ.
Несмотря на то, что устройство описывается применительно к защите трафика передачи данных между двумя станциями связи, тем не менее возможно, разумеется, осуществить защиту трафика передачи данных между несколькими станциями связи, например, в сети.
Изобретение относится к способу и устройству защиты трафика передачи данных между первой станцией связи и второй станцией связи, причем данные отправляют в соответствии с протоколом данных от второй станции связи на первую станцию связи. Способ включает операции сравнения протокола данных по меньшей мере с одним стандартизированным протоколом и отправления только тех данных, протокол которых соответствует по меньшей мере одному стандартизированному протоколу, на первую станцию связи. Устройство содержит средство памяти, в котором запоминают характеристики данных по меньшей мере одного стандартизированного протокола, и средство сравнения/отправления, которое сравнивает запомненные характеристики данных с протоколом данных и отправляет только те данные, протокол которых соответствует по меньшей мере одному стандартизированному протоколу. Техническим результатом является создание способа и устройства для защиты трафика передачи данных, исключающих возможность незаметного использования третьим лицом функций, имеющихся в станции связи. 2 с. и 7 з.п.ф-лы, 2 ил.
US 5124984 А, 23.06.1992 | |||
УСТРОЙСТВО С ЗАЩИТОЙ ИНФОРМАЦИИ В МИКРОПРОЦЕССОРНЫХ СИСТЕМАХ И СПОСОБ ЗАЩИТЫ ИНФОРМАЦИИ В НЕМ | 1996 |
|
RU2091864C1 |
RU 94020949 А1, 27.02.1996 | |||
МЕЛЬНИКОВ В.В | |||
Защита информации в компьютерных системах | |||
- М.: Финансы и статистика, 1997, с | |||
Искусственный двухслойный мельничный жернов | 1921 |
|
SU217A1 |
Авторы
Даты
2003-03-10—Публикация
1998-10-09—Подача