Показать метаданные Скрыть метаданные

(19)

(11)

2 832 434

(13)

(51)

МПК

G06F21/44(2013-01-01)

G06V10/40(2022-01-01)

(21) (22)

Заявка

2023124216, 2023-09-19

(24)

Дата начала отсчета патента

2023-09-19

(22)

дата подачи заявки

2023-09-19

(45)

опубликовано

2024-12-24

(72)

авторы

Арлазаров Владимир ВикторовичЗинченко Сергей НиколаевичСкоков Юрий Николаевич

(73)

патентообладатели

Арлазаров Владимир ВикторовичЗинченко Сергей НиколаевичСкоков Юрий Николаевич

(56)

Документы, цитированные в отчете о поиске

Способ распознавания документов с доверенной загрузкой Российский патент 2024 года по МПК G06F21/44 G06V10/40

Описание патента на изобретение RU2832434C1

Изобретение относится к области вычислительной техники и защиты информации.

Из уровня техники известен способ и система доверенной загрузки операционной системы вычислительного устройства (патент на изобретение RU №2773456), предполагающие реализацию подключения периферийной аппаратной платформы к вычислительному устройству, получения управления над базовой системой ввода-вывода вычислительного устройства, генерации пароля пользователя с помощью датчика случайных чисел, выполнения проверки регистрации вычислительного устройства на сервере, выполнения двухфакторной аутентификации пользователя, выполнения контроля целостности данных модуля доверенной загрузки, данных модуля криптографических преобразований и данных загружаемой операционной системы, генерации последовательности случайных чисел на сервере и отправки ее в периферийную аппаратную платформу, генерации последовательности случайных чисел на периферийной аппаратной платформе для осуществления криптографических преобразований, загрузки операционной системы на вычислительное устройство, выполнения криптографической защиты всех операций вычислительного устройства посредством модуля криптографических преобразований для криптографической защиты данных.

Недостатком этого технического решения является отсутствие возможности реализации функций автоматического распознавания отсканированных изображений, цифровых фото и видеоинформации, загружаемой с внешнего носителя, без реализации дополнительного администрирования с обеспечением падежной защиты загружаемой, обрабатываемой и выводимой информации.

Техническая задача, решаемая с помощью заявляемого изобретения, заключается в развитии встраиваемых решений аппаратно-программных комплексов обработки информации.

Решение технической задачи заключается в том, что при реализации способа распознавания документов с доверенной загрузкой выполняется доверенная загрузка сервера, включающая контроль системного программного обеспечения, сервер реализует функционал доверенной загрузки операционной системы и криптографической защиты данных при их обработке, хранении в памяти сервера и передаче по коммуникационной сети, содержащей: периферийную аппаратную платформу, выполненную с возможностью соединения с сервером посредством проводного или беспроводного интерфейса, которая включает: микроконтроллер общего назначения, выполненный с возможностью проведения контроля целостности данных модуля доверенной загрузки, данных модуля криптографических преобразований и данных загружаемой операционной системы, расположенных на системном разделе до начала доверенной загрузки операционной системы на сервере, управления модулем криптографических преобразований, модулем доверенной загрузки и микроконтроллером смарт-карты, аутентификации пользователя, микроконтроллер смарт-карты, выполненный с возможностью аутентификации смарт-карты пользователя на сервере, к которому она подсоединена; съемную память, включающую загрузочный раздел, предназначенный для хранения данных модуля доверенной загрузки; системный раздел предназначенный для хранения загружаемой операционной системы и данных модуля криптографических преобразований; прикладной раздел, предназначенный для хранения настроек загружаемой операционной системы и выполняемых под ее управлением приложений; раздел данных, предназначенный для хранения данных пользователя, подлежащих криптографической защите; информационный раздел, предназначенный для хранения данных, не подлежащих криптографической защите; служебный раздел, предназначенный для хранения журналов и контрольных сумм; модуль доверенной загрузки, выполненный с возможностью получения управления над базовой системой ввода-вывода сервера при его включении и обеспечения загрузки доверенной операционной системы и данных модуля криптографических преобразований, размещенных в системном разделе съемной памяти периферийной аппаратной платформы сервера; модуль криптографических преобразований, выполненный с возможностью выполнения криптографических преобразований над последовательностями

электромагнитных импульсов, подаваемых на вход аппаратной платформы и в память пользовательского компьютера или сетевого сервера, генерации псевдослучайных последовательностей, шифрования данных, имитозащиты блоков данных и сообщений, изготовления ключевых документов для реализуемых криптографических преобразований, для осуществления криптографических преобразований генерация псевдослучайных последовательностей выполняется с помощью аппаратного биологического датчика случайных чисел микроконтроллера общего назначения последовательности случайных чисел, полученной от сервера; смарт-карта пользователя, реализованная на базе аппаратного токена, содержащего ключ аутентификации пользователя, выполненная с возможностью подсоединения к серверу пользователя посредством проводного или беспроводного интерфейса; сервер, выполненный с возможностью по меньшей мере управления периферийной аппаратной платформой, генерации псевдослучайных числе для реализации криптографических преобразований в периферийной аппаратной платформе, чтения служебного раздела съемной памяти, загрузки журнала из указанного раздела в базу данных и очистки журналов на указанной периферийной аппаратной платформе; сервер дополнительно выполнен с возможностью: просмотра списка всех подключенных периферийных аппаратных платформ; загрузки образов операционной системы и данных модуля криптографических преобразований для доверенной загрузки; настройки парольной политики, содержащей по меньшей мере: установление минимально допустимой длины пароля, предельного количества последовательных неудачных попыток предъявления пароля; интервала времени для разблокирования пароля; регистрации сервера, к которому подключена периферийная аппаратная платформа, для доверенной загрузки операционной системы; удаленной разблокировки/блокировки периферийной аппаратной платформы; удаленной очистки съемной памяти периферийной аппаратной платформы; сброса настроек периферийной аппаратной платформы к заводским настройкам; при неудачном проведении контроля целостности загрузка операционной системы с ггериферийной аппаратной платформы блокируется; при неполучении управления модулем доверенной загрузки над сервером при включении указанного устройства загрузка операционной системы с периферийной аппаратной платформы блокируется; доверенная загрузка сервера дополнительно включает контроль программного обеспечения распознавания документов, аутентификацию пользователя на автоматизированном рабочем месте в тонком клиенте на основе сертификата пользователя, оцифровку изображения, фото или видео, загрузку оцифрованного изображения в тонкий клиент, преобразование оцифрованного изображения к стандартному виду, установку параметров распознавания, подписание изображения электронной цифровой подписью пользователя, передачу оцифрованного изображения на сервер распознавания, распознавание изображения на сервере, подписание результатов распознавания электронной цифровой подписью сервера, экспорт результатов распознавания с сервера на автоматизированное рабочее место пользователя, сервер дополнительно реализует функционал распознавания документов; на сервере установлена доверенная операционная система и программное обеспечение распознавания документов; микроконтроллер общего назначения выполнен с возможностью автоматического распознавания фото и видео- изображений, загружаемых с внешнего носителя информации, с обеспечением возможности выгрузки результатов распознавания на внешний носитель, подключаемый по проводному или беспроводному интерфейсу, без какого-либо хранения исходных, промежуточных и итоговых результатов распознавания на сервере; во время загрузки, распознавания и выгрузки фото и видео-изображений доступ к серверу блокируется; модуль доверенной загрузки оборудован блоком идентификации пользователя на основе биометрической и радиочастотной идентификации; программное обеспечение распознавания документов обеспечивает выполнение функций проверки подлинности документов: выявление аномалий в тексте документа, выявление расхождений в статических текстах документа с известной формой документа; детектирование синтезированных документов; детектирование вмешательства в изображения документов с известной формой; верификация параметров использованных в документе шрифтов; проверка аутентичности всего бланка и защитных элементов бланка документа; выявление физических и цифровых аномалий фотографии лица, нанесенной на документ; выявление разногласий в данных; поиск, локализация и идентификация элементов защиты типа голограмм и других оптически переменных элементов; детектирование оптически-переменной краски; детектирование подмены документа в виде фотокопии; детектирование перекрытия информационных текстовых и графических областей посторонними элементами.

Технический результат, достигаемый совокупностью признаков заявляемого изобретения, заключается в обеспечении возможности реализации встраиваемых решений аппаратно-программных комплексов обработки информации с функционалом автоматизированного распознавания отсканированных изображений, цифровых фото и видеоинформации, загружаемой с внешнего носителя, с обеспечением защиты загружаемой, обрабатываемой и выводимой информации без дополнительного администрирования.

С помощью заявляемого изобретения обеспечивается доверенная загрузка -загрузка различных операционных систем только с заранее определенных носителей информации после успешного прохождения специальных процедур: проверки целостности технических и программных средств вычислительного узла и аппаратной идентификации и аутентификации пользователя.

Реализуемая доверенная загрузка включает аутентификацию; контроль устройства, с которого BIOS начинает загрузку системы; контроль целостности и достоверности загрузочного сектора устройства и системных файлов запускаемой операционной системы; расшифровывание загрузочного сектора, системных файлов, либо шифрование всех данных устройства, также реализуется аутентификация, шифрование и хранение конфиденциальной информации, такой как ключи, контрольные суммы и хеш-суммы, выполняемые на базе аппаратных средств.

Функционирование изобретения проиллюстрировано схемой на фигуре, на которой обозначены:

1 - микроконтроллер общего назначения;

2 - микроконтроллер смарт-карты;

3 - съемная память;

4 - модуль доверенной загрузки;

5 - модуль криптографических преобразований;

6 - коммуникационная сеть.

Реализация заявляемого изобретения заключается в следующем.

Выполняется доверенная загрузка сервера (который содержит систему доверенной загрузки операционной системы сервера и криптографической защиты данных при их обработке, хранении в памяти сервера и передаче по коммуникационной сети), включающая контроль системного программного обеспечения и контроль программного обеспечения распознавания документов.

Реализуется аутентификация пользователя на автоматизированном рабочем месте в тонком клиенте на основе сертификата пользователя.

Производится оцифровка изображения, фото или видео.

Оцифрованное изображение загружается в тонкий клиент.

Выполняется преобразование оцифрованного изображения к стандартному

виду.

Устанавливаются параметры распознавания, выполняется подписание изображения электронной цифровой подписью пользователя.

Оцифрованное изображение передается на сервер распознавания, выполняется распознавание изображения на сервере.

Выполняется подписание результатов распознавания электронной цифровой подписью сервера и осуществляется экспорт результатов распознавания с сервера на автоматизированное рабочее место пользователя.

Система доверенной загрузки операционной системы сервера и криптографической защиты данных при их обработке, хранении в памяти сервера и передаче по коммуникационной сети содержит, по меньшей мере, периферийную аппаратную платформу, смарт-карту, и сервер.

Система предназначена для предотвращения несанкционированного доступа к информации пользователя сервера за счет комплексного обеспечения безопасности информации как при загрузке вычислительного устройства, так и в процессе его работы. Кроме того, эта система также предотвращает возможность доступа злоумышленника к защищаемым данным за счет двухфакторной аутентификации пользователя и обеспечивает возможность удаленного администрирования и отслеживания действий пользователя в доверенной операционной системе.

Заявляемый сервер обеспечивает типовой функционал сервера, обеспечивает функционирование в режиме 24/7, укомплектован дублирующими элементами, позволяющими обеспечить вероятность исправной работы не хуже 0,99999. Память сервера обеспечивает повышенную устойчивость к сбоям, модули оперативной памяти и кэша имеют усиленную технологию коррекции ошибок (Error Checking and Correction, ECC; SPARC или Chipkill). Повышение надежности сервера обеспечивается резервированием, в том числе с горячим подключением и заменой (по технологии Hot-swap) критически важных компонентов: введено дублирование микропроцессоров, блоков питания, жестких дисков в составе массива RAID и самих контроллеров дисков, групп вентиляторов, обеспечивающих охлаждение компонентов сервера.

В функции аппаратного мониторинга сервера введены дополнительные каналы для контроля большего количества параметров сервера: датчики температуры контролируют температурные режимы всех процессоров, модулей памяти, температуру в отсеках с установленными жесткими дисками; электронные счетчики импульсов, встроенные в вентиляторы, выполняют функции тахометров и позволяют, в зависимости от температуры, регулировать скорость их вращения; постоянный контроль напряжения питания компонентов сервера позволяет сигнализировать об эффективности работы блоков питания; сторожевой таймер не позволяет остаться незамеченным зависанию системы, автоматически производя принудительную перезагрузку сервера.

Сервер установлен на стандартное шасси и снабжен необходимыми крепежными элементами. Размер (габариты) сервера определяются как предельно малые, обеспечивающие заданный аппаратный функционал. При этом корпус имеет большую прочность, защищенность от пыли (снабжен сменными фильтрами), влажности и вибрации, а также имеет дизайн кнопок, предотвращающий случайные нажатия. Конструктивно сервер исполняется в стоечном варианте, обеспечивающем максимальную плотность размещения вычислительных мощностей на единицу площади, а также максимальную масштабируемость. Аппаратное решение сервера обеспечивает невозможность его использования с любым стандартным программным обеспечением -программное обеспечение загружается в постоянную память производителем. Сервер может реализовать вертикальную аппаратную и программную масштабируемость.

На сервере, кроме общесистемного, установлено следующее программное обеспечение: доверенная операционная система, программное обеспечение распознавания документов. Программное обеспечение распознавания документов обеспечивает выполнение следующих функций: контроль качества принятого изображения; поиск границ документа и восстановление исходной формы оцифрованной страницы документа; анализ оцифрованной страницы документа и обработка изображения с целью устранения дефектов оцифровки, аберраций и загрязнений; анализ структуры страницы и проверка допустимости найденной структуры; полнотекстовое распознавание геометрических образов символов, слов, строк и фрагментов документа; извлечение атрибутов и именованных сущностей; проверки корректности и улучшение словарными и лингвистическими методами. Программное обеспечение распознавания документов также обеспечивает выполнение следующих функций проверки подлинности документов: выявление аномалий в тексте документа, выявление расхождений в статических текстах документа с известной формой документа; детектирование синтезированных документов; детектирование вмешательства в изображения документов с известной формой; верификация параметров использованных в документе шрифтов; проверка аутентичности всего бланка и защитных элементов бланка документа; выявление физических и цифровых аномалий фотографии лица, нанесенной на документ; выявление разногласий в данных; поиск, локализация и идентификация элементов защиты типа голограмм и других оптически переменных элементов; детектирование оптически-переменной краски; детектирование подмены документа в виде фотокопии; детектирование перекрытия информационных текстовых и графических областей посторонними элементами.

Сервер способен выполнять заданную, четко определенную, изменяемую последовательность операций, оснащен, по меньшей мере, оперативной памятью, внутренними шинами передачи данных и интерфейсами ввода-вывода данных с возможностью подключения внешних устройств по проводному (предпочтительно) или беспроводному интерфейсу.

Платформа обеспечивает выполнение основных функций защиты от несанкционированного доступа к информации, в том числе настройку и контроль функционирования элементов загружаемой операционной системы. В частном случае платформа может являться портативным устройством - может применяться любое периферийное устройство, способное подключаться к интерфейсу ввода-вывода сервера и выполнять предписанные им функции.

Платформа обеспечивает выполнение функций автоматизированного распознавания документов.

Платформа включает в себя, по меньшей мере, интерфейс коммуникативного соединения с сервером, микроконтроллер общего назначения, микроконтроллер смарт-карты, съемную память, модуль доверенной загрузки и модуль криптографических преобразований.

Интерфейс предназначен для обмена данными между платформой и сервером.

Микроконтроллер общего назначения предназначен для управления определенными операциями платформы, т.е. выполнения заданной, четко определенной последовательности вычислительных операций (действий, инструкций).

Кроме того, микроконтроллер реализует функционал автоматического распознавания фото и видео-изображений, загружаемых с внешнего носителя информации, с обеспечением возможности выгрузки результатов распознавания на внешний носитель, подключаемый по проводному или беспроводному интерфейсу, без какого-либо хранения исходных, промежуточных и итоговых результатов распознавания на сервере. Распознавание, предпочтительно, реализуется с помощью комплексирования и/или параллельного выполнения с объединением получаемых результатов способов, изложенных в патентах на изобретение RU №№2644513, 2774058, 2771005, 2750395, 2724967, 2643130.

Микроконтроллер выполнен с возможностью контроля целостности собственных компонент и данных загружаемой операционной системы, расположенных в памяти платформы.

Термин «инструкции» относится к командам в программе, которые написаны для осуществления конкретной функции, такой как прием ввода, извлечение и запись данных на съемную память, обмен данными с вычислительным устройством, проведение проверки целостности компонентов и т.д. Инструкции могут быть осуществлены множеством способов, включающих в себя, например, объектно-ориентированные методы.

Микроконтроллер смарт-карты предназначен для осуществления аутентификации пользователя перед началом загрузки операционной системы на сервер. Его можно использовать для строгой двухфакторной аутентификации в дополнение к аутентификации пользователя по паролю. Микроконтроллер смарт-карты выполнен с возможностью считывания закрытого ключа пользователя, хранящегося на аппаратном средстве аутентификации при аутентификации пользователя для начала процесса загрузки.

Съемная память платформы может представлять собой, например, карту памяти, расположенную в платформе. Для обеспечения защиты данных, микроконтроллер общего назначения, как правило, выполнен с возможностью разбиения указанной карты памяти на следующие разделы: загрузочный раздел, с которого при включении электропитания вычислительного устройства загружается модуль доверенной загрузки; системный раздел, с которого в случае успешной аутентификации пользователя и идентификации вычислительного устройства загружается операционная система, а также данные модуля криптографических преобразований; прикладной раздел, предназначенный для хранения настроек загружаемой операционной системы и выполняемых под ее управлением приложений; раздел данных, предназначенный для хранения данных пользователя, подлежащих криптографической защите; информационный раздел, предназначенный /для хранения данных, не подлежащих криптографической защите; служебный раздел, предназначенный для хранения журналов и контрольных сумм. Операции записи и чтения данных в соответствующих разделах памяти осуществляются в защищенном виде. Защита происходит посредством модуля криптографических преобразований под управлением микроконтроллера общего назначения.

Платформа может содержать несколько физически разделенных памятей, например, две физические памяти, реализованные как собственная память платформы и съемная память.

Соответственно внутренняя память может содержать критичные разделы памяти, такие как системный раздел, раздел предназначенный для хранения данных пользователя, подлежащих криптографической защите могут быть сформированы. В свою очередь на съемной памяти может быть расположен, например, информационный раздел.

Системный раздел может представлять раздел памяти только для чтения для исключения атаки вредоносного программного обеспечения, установленного в памяти сервера, на операционную систему при ее запуске. В свою очередь операционная система содержит машиночитаемые инструкции для управления сервером.

Операционная система, как правило, включает в себя достаточно базовых функций для работы с сервером, обмена данными с устройствами ввода-вывода, подключенными к вычислительному устройству и для инициирования сетевых подключений (например, файловую систему, графический интерфейс пользователя, модуль управления процессами, модуль управления памятью, модуль управления сетью, контроллеры ввода-вывода, драйверы периферийных устройств и т.д.).

Формат «только для чтения», как правило, имеют все разделы платформы, доступ к которым должен быть закрыт от сервера (например, прикладной раздел, раздел данных, предназначенный для хранения данных пользователя, подлежащих криптографической защите).

Таким образом, за счет загрузки операционной системы из защищенных областей памяти платформы любое потенциально вредоносное программное обеспечение оказывается нефункциональным, пока сервер находится под контролем загруженной операционной системы.

Модуль доверенной загрузки предназначен для инициации процесса загрузки операционной системы с платформы на сервер. В частности, модуль доверенной загрузки может являться программным модулем, реализованным на базе микроконтроллера общего назначения, и при включении питания сервера активируется система управления над базовой системой ввода-вывода сервера (BIOS/UEFI). Команду на инициацию процесса загрузки операционной системы модуль доверенной загрузки получает от микроконтроллера общего назначения только после аутентификации пользователя.

Если модуль доверенной загрузки не смог получить управление над BIOS, то дальнейший процесс загрузки блокируется. После успешного получения управления над BIOS, микроконтроллер общего назначения активирует модуль криптографических преобразований для обеспечения криптографической защиты данных при их обработке и хранении в памяти сервера или на внешнем носителе, а также при передаче по каналам связи.

Модуль криптографических преобразований предназначен для криптографических преобразований последовательностей электромагнитных импульсов, кодирующих данные, подлежащие криптографической защите и подаваемых на вход микроконтроллера общего назначения, непосредственно в его памяти. Кроме того, этот модуль обеспечивает шифрование данных, поступающих в память сервера. Модуль криптографических преобразований может являться программным модулем на базе микроконтроллера общего назначения. Криптографические преобразования выполняются непосредственно в памяти платформы, что обеспечивает максимально высокую степень сохранности ключевой информации и, как следствие, повышает безопасность данных и защищает их от несанкционированного доступа.

Алгоритмами криптографических преобразований могут являться, например, симметричные алгоритмы шифрования, ассиметричные алгоритмы шифрования и т.д. Более конкретно, преобразование последовательностей электромагнитных импульсов (сигналов) может представлять собой, например, процесс сжатия (хэширования) аутентифицируемых данных; процесс создания набора электромагнитных импульсов, образующих электронную подпись конкретного пользователя под заданным блоком данных, получаемого как комбинация его персонального набора импульсов (закрытого ключа создания электронной подписи), с электромагнитными импульсами, кодирующими подписываемый блок данных. Процедуры преобразования последовательностей электромагнитных импульсов соответствуют хэшированию подписываемых данных, созданию и проверке электронных подписей сторон.

Сервер реализует функционал удаленного управления и отслеживания событий платформы. Администрирование платформы на сервере может осуществляться посредством графического интерфейса администратором системы. Доступ администратора к серверу осуществляется посредством механизмов аутентификации. Сервер выполнен с возможностью по меньшей мере управления периферийной аппаратной платформой, генерации псевдослучайных чисел для реализации криптографических преобразований в периферийной аппаратной платформе, чтения служебного раздела съемной памяти, загрузки журнала из указанного раздела в базу данных и очистки журналов на указанной периферийной аппаратной платформе.

Связь платформы с сервером может осуществляться, например, с помощью средства передачи данных сервера после получения модулем доверенной загрузки управления над BIOS. Средство передачи данных обеспечивает передачу данных посредством внутренней или внешней вычислительной сети.

Кроме того, сервер выполнен с возможностью считывания служебной информации, включая данные пользователя, хранящиеся во внутренней энергонезависимой памяти платформы, недоступной для программного обеспечения сервера, к которому устройство подключено, и работающего под управлением загружаемой операционной системы.

Для однозначной идентификации и возможности управления платформой, ей присваивается сервером уникальный машиночитаемый серийный номер. Доступ к системному журналу событий и журналу для событий контроля целостности, которые хранятся на служебном разделе, может быть осуществлен посредством аутентификации платформы на сервере с помощью модуля криптографических преобразований.

Служебный раздел недоступен для пользователей при применении любых программных средств, доступ к журналам событий обеспечен только для аутситифицированного сервером администратора системы. В случае переполнения журнала уничтожение записей не происходит, а происходит блокирование возможности загрузки доверенной операционной системы до переноса записей из платформы в базу данных сервера с применением блокчейн-технологий (технологий распределенных реестров). Совокупная емкость журналов составляет не менее 1 Кбайт, поддерживается режим циклической перезаписи при переполнении журнала, блокирование возможности загрузки доверенной операционной системы при переполнении журналов.

За счет возможности удаленного управления (администрирования) платформой, администратор системы с помощью сервера может также выполнять следующие действия: осуществлять просмотр списка всех подключенных периферийных аппаратных платформ; загружать образы операционной системы и управлять данными модуля криптографических преобразований для доверенной загрузки; настраивать парольную политику, такую как установление минимально допустимой длины пароля, предельного количеств последовательных неудачных попыток предъявления пароля; интервала времени для разблокирования пароля; регистрировать вычислительное устройство, к которому подключена периферийная аппаратная платформа для доверенной загрузки операционной системы; осуществлять удаленную разблокировку/блокировку платформы; осуществлять удаленную очистку съемной памяти платформы; осуществлять сброс настроек периферийной аппаратной платформы к заводским настройкам.

Таким образом, описанные элементы системы в совокупности обеспечивают защиту данных пользователя от несанкционированного доступа за счет механизмов доверенной загрузки операционной системы, криптографической защиты данных при их обработке, хранении в памяти сервера и передаче по коммуникационной сети, а также удаленного управления и непосредственного участия в криптографической защите сервера.

Как отмечалось, микроконтроллер общего назначения выполнен с возможностью автоматического распознавания фото и видео-изображений, загружаемых с внешнего носителя информации, с обеспечением возможности выгрузки результатов распознавания на внешний носитель, подключаемый по проводному или беспроводному интерфейсу, без какого-либо хранения исходных, промежуточных и итоговых результатов распознавания на сервере.

Во время загрузки, распознавания и выгрузки фото и видео-изображений доступ к серверу надежно блокируется.

Для дополнительной защиты информации модуль доверенной загрузки оборудован блоком идентификации пользователя на основе биометрической и радиочастотной идентификации. Этот блок включает микропроцессор, к которому подсоединены сканер ладони и видеокамера для фиксации изображения сетчатки глаза. Биометрическая идентификация проводится путем: приложения ладони пользователя к считывающему устройству-сканеру отпечатков пальцев и узора кровеносных сосудов; считывания узора сетчатки глаза - полученные результаты сравниваются с имеющимися в памяти микропроцессора биометрическими данными пользователей, которым разрешен доступ к модулю доверенной загрузки. Радиочастотная идентификация осуществляется путем подтверждения наличия кода метки радиочастотной идентификации, имеющейся у пользователя в заранее заложенном списке меток, пользователям которых разрешен доступ к модулю доверенной загрузки.

Изложенное описание не имеет никаких ограничений для целей осуществления иных частных вариантов воплощения заявленного технического решения, не выходящего за рамки испрашиваемого объема правовой охраны. Конструктивные элементы могут быть реализованы с помощью электронных компонентов, используемых для создания цифровых интегральных схем.

Иллюстрации к изобретению RU 2 832 434 C1

Реферат патента 2024 года Способ распознавания документов с доверенной загрузкой

Изобретение относится к области вычислительной техники и защиты информации. Техническим результатом является обеспечение автоматизированного распознавания отсканированных изображений, цифровых фото и видеоинформации, загружаемой с внешнего носителя, с обеспечением защиты загружаемой, обрабатываемой и выводимой информации без дополнительного администрирования. Способ распознавания документов с доверенной загрузкой характеризуется тем, что выполняется доверенная загрузка сервера, включающая контроль системного программного обеспечения и контроль программного обеспечения распознавания документов, аутентификацию пользователя на автоматизированном рабочем месте в тонком клиенте на основе сертификата пользователя, оцифровка изображения, фото или видео, загрузка оцифрованного изображения в тонкий клиент, преобразование оцифрованного изображения к стандартному виду, установка параметров распознавания, подписание изображения электронной цифровой подписью пользователя, передача оцифрованного изображения на сервер распознавания, распознавание изображения на сервере, подписание результатов распознавания электронной цифровой подписью сервера, экспорт результатов распознавания с сервера на автоматизированное рабочее место пользователя. 1 ил.

Формула изобретения RU 2 832 434 C1

Способ распознавания документов с доверенной загрузкой, характеризующийся тем, что выполняется доверенная загрузка сервера, включающая контроль системного программного обеспечения,

причем сервер реализует функционал доверенной загрузки операционной системы и криптографической защиты данных при их обработке, хранении в памяти сервера и передаче по коммуникационной сети, содержащей: периферийную аппаратную платформу, выполненную с возможностью соединения с сервером посредством проводного или беспроводного интерфейса, которая включает:

микроконтроллер общего назначения, выполненный с возможностью проведения контроля целостности данных модуля доверенной загрузки, данных модуля криптографических преобразований и данных загружаемой операционной системы, расположенных на системном разделе до начала доверенной загрузки операционной системы на сервере, управления модулем криптографических преобразований, модулем доверенной загрузки и микроконтроллером смарт-карты, аутентификации пользователя,

микроконтроллер смарт-карты, выполненный с возможностью аутентификации смарт-карты пользователя на сервере, к которому она подсоединена;

съемную память, включающую загрузочный раздел, предназначенный для хранения данных модуля доверенной загрузки; системный раздел, предназначенный для хранения загружаемой операционной системы и данных модуля криптографических преобразований; прикладной раздел, предназначенный для хранения настроек загружаемой операционной системы и выполняемых под ее управлением приложений; раздел данных, предназначенный для хранения данных пользователя, подлежащих криптографической защите; информационный раздел, предназначенный для хранения данных, не подлежащих криптографической защите; служебный раздел, предназначенный для хранения журналов и контрольных сумм;

модуль доверенной загрузки, выполненный с возможностью получения управления над базовой системой ввода-вывода сервера при его включении и обеспечения загрузки доверенной операционной системы и данных модуля криптографических преобразований, размещенных в системном разделе съемной памяти периферийной аппаратной платформы сервера;

модуль криптографических преобразований, выполненный с возможностью выполнения криптографических преобразований над последовательностями электромагнитных импульсов, подаваемых на вход аппаратной платформы и в память пользовательского компьютера или сетевого сервера, генерации псевдослучайных последовательностей, шифрования данных, имитозащиты блоков данных и сообщений, изготовления ключевых документов для реализуемых криптографических преобразований,

причем для осуществления криптографических преобразований генерация псевдослучайных последовательностей выполняется с помощью аппаратного биологического датчика случайных чисел микроконтроллера общего назначения последовательности случайных чисел, полученной от сервера;

смарт-карту пользователя, реализованную на базе аппаратного токена, содержащего ключ аутентификации пользователя, выполненную с возможностью подсоединения к серверу пользователя посредством проводного или беспроводного интерфейса;

сервер, выполненный с возможностью по меньшей мере управления периферийной аппаратной платформой, генерации псевдослучайных числе для реализации криптографических преобразований в периферийной аппаратной платформе, чтения служебного раздела съемной памяти, загрузки журнала из указанного раздела в базу данных и очистки журналов на указанной периферийной аппаратной платформе;

сервер дополнительно выполнен с возможностью: просмотра списка всех подключенных периферийных аппаратных платформ; загрузки образов операционной системы и данных модуля криптографических преобразований для доверенной загрузки; настройки парольной политики, содержащей по меньшей мере: установление минимально допустимой длины пароля, предельного количества последовательных неудачных попыток предъявления пароля; интервала времени для разблокирования пароля; регистрации сервера, к которому подключена периферийная аппаратная платформа, для доверенной загрузки операционной системы; удаленной разблокировки/блокировки периферийной аппаратной платформы; удаленной очистки съемной памяти периферийной аппаратной платформы; сброса настроек периферийной аппаратной платформы к заводским настройкам;

при неудачном проведении контроля целостности загрузка операционной системы с периферийной аппаратной платформы блокируется;

при неполучении управления модулем доверенной загрузки над сервером при включении указанного устройства загрузка операционной системы с периферийной аппаратной платформы блокируется;

отличающийся тем, что:

доверенная загрузка сервера дополнительно включает контроль программного обеспечения распознавания документов, аутентификацию пользователя на автоматизированном рабочем месте в тонком клиенте на основе сертификата пользователя, оцифровку изображения, фото или видео, загрузку оцифрованного изображения в тонкий клиент, преобразование оцифрованного изображения к стандартному виду, установку параметров распознавания, подписание изображения электронной цифровой подписью пользователя, передачу оцифрованного изображения на сервер распознавания, распознавание изображения на сервере, подписание результатов распознавания электронной цифровой подписью сервера, экспорт результатов распознавания с сервера на автоматизированное рабочее место пользователя,

сервер дополнительно реализует функционал распознавания документов;

на сервере установлена доверенная операционная система и программное обеспечение распознавания документов;

микроконтроллер общего назначения выполнен с возможностью автоматического распознавания фото- и видеоизображений, загружаемых с внешнего носителя информации, с обеспечением возможности выгрузки результатов распознавания на внешний носитель, подключаемый по проводному или беспроводному интерфейсу, без какого-либо хранения исходных, промежуточных и итоговых результатов распознавания на сервере;

во время загрузки, распознавания и выгрузки фото- и видеоизображений доступ к серверу блокируется;

модуль доверенной загрузки оборудован блоком идентификации пользователя на основе биометрической и радиочастотной идентификации;

программное обеспечение распознавания документов обеспечивает выполнение функций проверки подлинности документов: выявление аномалий в тексте документа, выявление расхождений в статических текстах документа с известной формой документа; детектирование синтезированных документов; детектирование вмешательства в изображения документов с известной формой; верификация параметров использованных в документе шрифтов; проверка аутентичности всего бланка и защитных элементов бланка документа; выявление физических и цифровых аномалий фотографии лица, нанесенной на документ;

выявление разногласий в данных; поиск, локализация и идентификация элементов защиты типа голограмм и других оптически переменных элементов; детектирование оптически переменной краски; детектирование подмены документа в виде фотокопии; детектирование перекрытия информационных текстовых и графических областей посторонними элементами.

Документы, цитированные в отчете о поиске Патент 2024 года RU2832434C1

СПОСОБ И СИСТЕМА ДОВЕРЕННОЙ ЗАГРУЗКИ ОПЕРАЦИОННОЙ СИСТЕМЫ ВЫЧИСЛИТЕЛЬНОГО УСТРОЙСТВА	2021	Груздев Сергей Львович Демченко Константин Олегович Лебедев Анатолий Николаевич Леонов Роман Олегович Петренко Сергей Анатольевич	RU2773456C1
УСТРОЙСТВО ДЛЯ ИЗМЕРЕНИЯ ВЛАЖНОСТИ	1966	Беренцвейг Р.А. Кошелев Ю.Д. Терещенко А.Ф.	SU216368A1
Система, способ и устройство непрерывной аутентификации пользователя и защиты ресурсов автоматизированного рабочего места от несанкционированного доступа	2018	Дударев Дмитрий Александрович Панасенко Сергей Петрович Полтавцев Александр Васильевич Романец Юрий Васильевич Сырчин Владимир Кимович	RU2691201C1
ГАЗОАНАЛИЗАТОР	0		SU181870A1
Способ определения (распознавания) факта предъявления цифровой копии документа в виде пересъемки экрана	2021	Арлазаров Владимир Викторович Николаев Дмитрий Петрович Полевой Дмитрий Валерьевич Слугин Дмитрий Геннадьевич Кунина Ирина Андреевна Сигарева Ирина Витальевна	RU2774058C1
Электромагнитный прерыватель	1924	Гвяргждис Б.Д. Горбунов А.В.	SU2023A1
Колосоуборка	1923	Беляков И.Д.	SU2009A1

RU 2 832 434 C1

Авторы

Арлазаров Владимир Викторович

Зинченко Сергей Николаевич

Скоков Юрий Николаевич

Даты

2024-12-24—Публикация

2023-09-19—Подача

название	год	авторы	номер документа
Система распознавания подлинности документов с доверенной загрузкой персональных данных пользователей в базу данных сервера системы	2023	Арлазаров Владимир Викторович Зинченко Сергей Николаевич Скоков Юрий Николаевич	RU2824306C1
СПОСОБ И СИСТЕМА ДОВЕРЕННОЙ ЗАГРУЗКИ ОПЕРАЦИОННОЙ СИСТЕМЫ ВЫЧИСЛИТЕЛЬНОГО УСТРОЙСТВА	2021	Груздев Сергей Львович Демченко Константин Олегович Лебедев Анатолий Николаевич Леонов Роман Олегович Петренко Сергей Анатольевич	RU2773456C1
Компьютерная система с удаленным управлением сервером и устройством создания доверенной среды и способ реализации удаленного управления	2016	Дударев Дмитрий Александрович Панасенко Сергей Петрович Пузырев Дмитрий Вячеславович Романец Юрий Васильевич Сырчин Владимир Кимович	RU2633098C1
Компьютерная система с удаленным управлением сервером и устройством создания доверенной среды	2017	Бычков Игнат Николаевич Дударев Дмитрий Александрович Молчанов Игорь Анатольевич Орлов Михаил Викторович Панасенко Сергей Петрович Пузырев Дмитрий Вячеславович Романец Юрий Васильевич Сырчин Владимир Кимович	RU2690782C2
Способ и устройство доверенной загрузки компьютера с контролем периферийных интерфейсов	2020	Дударев Дмитрий Александрович Лыгач Виктор Викторович Мазуркин Никита Сергеевич Панасенко Сергей Петрович Полтавцев Александр Васильевич Романец Юрий Васильевич Сырчин Владимир Кимович	RU2748575C1
Система, способ и устройство непрерывной аутентификации пользователя и защиты ресурсов автоматизированного рабочего места от несанкционированного доступа	2018	Дударев Дмитрий Александрович Панасенко Сергей Петрович Полтавцев Александр Васильевич Романец Юрий Васильевич Сырчин Владимир Кимович	RU2691201C1
СРЕДСТВО ДОВЕРЕННОЙ ЗАГРУЗКИ СО ВСТРОЕННЫМ БИНАРНЫМ ТРАНСЛЯТОРОМ ОПЕРАЦИОННОЙ СИСТЕМЫ И БЕСПРОВОДНЫМ КАНАЛОМ УПРАВЛЕНИЯ	2023	Молчанов Игорь Анатольевич Чучко Павел Александрович Бычков Игнат Николаевич Лобанов Игорь Николаевич Коренев Павел Валерьевич Михайлова Ирина Александровна	RU2820971C1
СПОСОБ И СИСТЕМА ОДНОНАПРАВЛЕННОЙ ПЕРЕДАЧИ ДАННЫХ МЕЖДУ ВЫЧИСЛИТЕЛЬНЫМИ УСТРОЙСТВАМИ	2023	Груздев Сергей Львович Лебедев Анатолий Николаевич Крапивин Вячеслав Анатольевич Сырбу Александр Георгиевич	RU2817533C1
УСТРОЙСТВО СОЗДАНИЯ ДОВЕРЕННОЙ СРЕДЫ ДЛЯ КОМПЬЮТЕРОВ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ	2013	Дударев Дмитрий Александрович Полетаев Владимир Михайлович Полтавцев Александр Васильевич Романец Юрий Васильевич Сырчин Владимир Кимович	RU2538329C1
СПОСОБ СОВЕРШЕНИЯ ЭЛЕКТРОННЫХ ТРАНЗАКЦИЙ МЕЖДУ УДАЛЕННЫМИ СТОРОНАМИ ПРИ ОБМЕНЕ ИНФОРМАЦИЕЙ ПО КАНАЛАМ СВЯЗИ	2014	Груздев Сергей Львович	RU2568057C2