RU2494448C1 - Using protected device for provision of secure data transfer in insecure networks - Google Patents

Using protected device for provision of secure data transfer in insecure networks Download PDF

Info

Publication number
RU2494448C1
RU2494448C1 RU2012106463/08A RU2012106463A RU2494448C1 RU 2494448 C1 RU2494448 C1 RU 2494448C1 RU 2012106463/08 A RU2012106463/08 A RU 2012106463/08A RU 2012106463 A RU2012106463 A RU 2012106463A RU 2494448 C1 RU2494448 C1 RU 2494448C1
Authority
RU
Russia
Prior art keywords
secure
computer
data
connections
data transmission
Prior art date
Application number
RU2012106463/08A
Other languages
Russian (ru)
Other versions
RU2012106463A (en
Inventor
Андрей Петрович Духвалов
Павел Владимирович Дякин
Сергей Юрьевич Голованов
Игорь Игоревич Суменков
Дмитрий Александрович Кулагин
Алексей Юрьевич Войтович
Евгений Валентинович Касперский
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2012106463/08A priority Critical patent/RU2494448C1/en
Publication of RU2012106463A publication Critical patent/RU2012106463A/en
Application granted granted Critical
Publication of RU2494448C1 publication Critical patent/RU2494448C1/en

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

FIELD: information technologies.
SUBSTANCE: method of secure data transmission in insecure networks between a computer and a network resource, includes stages, when: the first secure connection is established between a facility of secure data transfer and a computer; data is collected on used network connections on the computer; the second secure connection is established between the facility of secure data transfer and the security server, using data on used network connections on the computer; the established first and second secure connections are established for secure data transfer.
EFFECT: increased level of data protection during transfer in insecure networks.
16 cl, 5 dwg

Description

Область техникиTechnical field

Изобретение относится к компьютерной безопасности, а более конкретно, к системам и способам безопасной передачи данных в небезопасных сетях.The invention relates to computer security, and more particularly, to systems and methods for secure data transmission in insecure networks.

Уровень техникиState of the art

В настоящее время существует большое количество возможностей украсть личные данные компьютерных пользователей, даже несмотря на установленный антивирус или сетевой экран. Как правило, кражу личных данных осуществляют с помощью вредоносных программ, которые попадают на компьютеры пользователей (заражают их). Чаще всего подобные программы попадают на компьютеры через заражение популярных интернет-браузеров, выполняют перехват данных, вводимых с устройств ввода (таких как клавиатура или мышь), или перехватывают данные, отправляемые в сеть. Например, вредоносные программы, заражающие браузеры, получают доступ к файлам браузера, просматривают историю посещений и сохраненные пароли при посещении веб-страниц. Перехватчики ввода данных (keyloggers) перехватывают ввод данных с клавиатуры или мыши и скрывают свое присутствие в системе с помощью целого ряда руткит (rootkit) технологий. Подобные технологии также применяются при реализации перехватчиков сетевых пакетов (снифферов графика, traffic snifters), которые перехватывают передаваемые сетевые пакеты, извлекая из них ценную информацию, такую как пароли и другие личные данные.Currently, there are a large number of opportunities to steal the personal data of computer users, even despite the installed antivirus or firewall. As a rule, the theft of personal data is carried out with the help of malicious programs that get on users' computers (infect them). Most often, such programs enter computers through the infection of popular Internet browsers, intercept data entered from input devices (such as a keyboard or mouse), or intercept data sent to the network. For example, malicious programs that infect browsers gain access to browser files, view browsing history and saved passwords when they visit web pages. Data entry interceptors (keyloggers) intercept data input from the keyboard or mouse and hide their presence in the system using a number of rootkit technologies. Similar technologies are also used in the implementation of network packet interceptors (traffic snifters), which intercept transmitted network packets, extracting valuable information from them, such as passwords and other personal data.

Стоит отметить, что существующие антивирусные технологии, такие как использование сигнатурной или эвристической проверок, методы проактивной защиты или использование списков доверенных приложении (whitelist) не позволяют добиться обнаружения всех вредоносных программ на компьютерах пользователей. Таким образом, риск потери личных данных остается очень высоким, и пользователи вынуждены искать другие решения для обеспечения безопасности передачи личных данных.It is worth noting that existing anti-virus technologies, such as the use of signature or heuristic checks, proactive protection methods or the use of trusted application lists (whitelist) do not allow to detect all malicious programs on users' computers. Thus, the risk of losing personal data remains very high, and users are forced to look for other solutions to ensure the security of the transfer of personal data.

Возможным решением по противодействию вредоносным программам, которые перехватывают ввод данных с устройств ввода, является использование защищенных устройств ввода. Этого можно добиться, используя клавиатуры с шифрованием вводимых данных или используя виртуальную клавиатуру (http://support.kaspersky.com/kav2012/start?qid=208284630). Подобные решения обладают рядом недостатков: для клавиатуры с шифрованием вводимых данных также могут существовать перехватчики, которые осуществляют перехват данных до шифрования или уже после их расшифровки, а виртуальная клавиатура может быть скомпрометирована с помощью использования вредоносных программ, которые делают снимки экрана через заданные промежутки времени.A possible solution to counter malware that intercepts data input from input devices is to use secure input devices. This can be achieved using keyboards with encryption of input data or using the virtual keyboard (http://support.kaspersky.com/kav2012/start?qid=208284630). Such solutions have a number of drawbacks: for a keyboard with encryption of input data, there may also be interceptors that intercept data before encryption or after it has been decrypted, and the virtual keyboard can be compromised by using malicious programs that take screenshots at specified intervals.

Еще один вариант решения вышеописанной проблемы предусматривает использование защищенной среды, в которой будут исполняться все необходимые приложения. Например, заявка US 20080034210 описывает отдельное устройство (предпочтительно выполненное в виде USB флешки), которое имеет отдельный браузер и загрузчик. Загрузчик отвечает за загрузку браузера в память компьютера при соединении и начальную проверку целостности данных. Сам браузер выполнен с упором на обеспечение максимальной защищенности передаваемых данных. Также в заявке US 20080244689 A1 приводится возможность создания защищенной среды в виде собранного образа операционной системы (с улучшенной безопасностью). При применении подобной среды существует возможность использования безопасных онлайн-транзакций. Однако приведенные решения основываются на использовании лишь усиленных мер безопасности применительно к установленному программному обеспечению, которое в любом случае может иметь уязвимости, в том числе и те, против которых существующие решения бессильны на момент появления подобных уязвимостей (http://searchsecurity.techtarget.com/definition/zero-dav-exploit).Another solution to the above problem involves the use of a secure environment in which all necessary applications will be executed. For example, the application US 20080034210 describes a separate device (preferably made in the form of a USB flash drive), which has a separate browser and bootloader. The bootloader is responsible for loading the browser into the computer’s memory during the connection and the initial verification of data integrity. The browser itself is made with emphasis on ensuring maximum security of the transmitted data. Also, in the application US 20080244689 A1, it is possible to create a secure environment in the form of a compiled image of the operating system (with improved security). When using such an environment, it is possible to use secure online transactions. However, these solutions are based on the use of only enhanced security measures in relation to the installed software, which in any case may have vulnerabilities, including those against which existing solutions are powerless at the time of the appearance of such vulnerabilities (http://searchsecurity.techtarget.com / definition / zero-dav-exploit).

Таким образом, существует необходимость в создании отдельного аппаратного устройства, которое будет обеспечивать безопасность личных данных пользователей при работе в небезопасном окружении.Thus, there is a need to create a separate hardware device that will ensure the security of users' personal data when working in unsafe environments.

Анализ предшествующего уровня техники и возможностей, которые появляются при комбинировании их в одной системе, позволяют получить новый результат, а именно способ для безопасной передачи данных в небезопасных сетях.An analysis of the prior art and the possibilities that arise when combining them in one system, allows you to get a new result, namely a method for secure data transmission in insecure networks.

Сущность изобретенияSUMMARY OF THE INVENTION

Технический результат настоящего изобретения заключается в повышении уровня защиты данных при их передаче в небезопасных сетях.The technical result of the present invention is to increase the level of data protection during transmission in unsafe networks.

Согласно одному из вариантов реализации, предлагается способ безопасной передачи данных в незащищенных сетях между компьютером и сетевым ресурсом, который включает этапы на которых: устанавливают первое защищенное соединение между средством безопасной передачи данных и компьютером; собирают данные об используемых сетевых соединениях на компьютере; устанавливают второе защищенное соединение между средством безопасной передачи данных и сервером безопасности, используя данные об используемых сетевых соединениях на компьютере; используют установленные первое и второе защищенные соединения для безопасной передачи данных.According to one embodiment, a method for securely transferring data in unprotected networks between a computer and a network resource is proposed, which includes the steps of: establishing a first secure connection between the secure data transfer means and the computer; collect data on used network connections on a computer; establish a second secure connection between the secure data transfer means and the security server using data on the used network connections on the computer; use established first and second secure connections for secure data transmission.

В одном из частных вариантов реализации сбор данных об используемых сетевых соединениях на компьютере выполняют с использованием отдельного приложения, установленного на компьютере.In one of the private options for implementation, the collection of data on the used network connections on the computer is performed using a separate application installed on the computer.

В другом частном варианте реализации защищенные соединения реализуются при помощи технологий VPN.In another private embodiment, secure connections are implemented using VPN technologies.

В еще одном частном варианте реализации защищенные соединения являются как беспроводными, так и проводными соединениями.In yet another particular embodiment, secure connections are both wireless and wired connections.

Согласно одному из вариантов реализации, предоставляется система для безопасной передачи данных в незащищенных сетях между компьютером и сетевым ресурсом, которая включает: компьютер, связанный со средством безопасной передачи данных; средство безопасной передачи данных, связанное с сервером безопасности, при этом средство безопасной передачи данных предназначено для установления первого защищенного соединения с компьютером и второго защищенного соединения с сервером безопасности, при этом для установления второго защищенного соединения используются данные об используемых сетевых соединениях на компьютере; сервер безопасности, предназначенный для безопасной передачи данных между компьютером и сетевым ресурсом через средство безопасной передачи данных.According to one implementation option, a system is provided for securely transmitting data in insecure networks between a computer and a network resource, which includes: a computer connected to a secure data transmission means; means of secure data transmission associated with the security server, wherein the means of secure data transmission is intended to establish the first secure connection to the computer and the second secure connection to the security server, while data on the used network connections on the computer are used to establish the second secure connection; a security server designed to securely transfer data between a computer and a network resource through a secure data transfer tool.

В одном из частных вариантов реализации данные об используемых сетевых соединениях на компьютере собирают с использованием отдельного приложения, установленного на компьютере.In one of the private options for implementation, data on the used network connections on the computer is collected using a separate application installed on the computer.

В другом частном варианте реализации защищенные соединения реализуются при помощи технологий VPN.In another private embodiment, secure connections are implemented using VPN technologies.

В еще одном частном варианте реализации защищенные соединения являются как беспроводными, так и проводными соединениями.In yet another particular embodiment, secure connections are both wireless and wired connections.

Согласно одному из вариантов реализации, предоставляется способ безопасной передачи данных в незащищенных сетях между компьютером и сетевым ресурсом, который включает этапы на которых: устанавливают первое защищенное соединение между средством безопасной передачи данных и компьютером; устанавливают второе защищенное соединение между средством безопасной передачи данных и сервером безопасности, используя данные об используемых сетевых соединениях на компьютере; используют установленные первое и второе защищенные соединения для безопасной передачи данных; собирают данные об используемой операционной системе и приложениях, установленных на компьютере; собирают данные об используемых сетевых соединениях на компьютере; определяют уровень опасности на основании данных об используемой операционной системе и приложениях, установленных на компьютере, и данных об используемых сетевых соединениях на компьютере; используют средство ввода в средстве безопасной передачи данных, если уровень опасности превышает первый уровень опасности; используют средство вывода в средстве безопасной передачи данных, если уровень опасности превышает второй уровень опасности; повторяют этапы, начиная со сбора данных, при изменениях в используемой операционной системе и приложениях, установленных на компьютере, а также используемых сетевых соединениях на компьютере.According to one embodiment, a method is provided for securely transferring data in insecure networks between a computer and a network resource, which includes the steps of: establishing a first secure connection between the secure data transfer means and the computer; establish a second secure connection between the secure data transfer means and the security server using data on the used network connections on the computer; use the established first and second secure connections for secure data transmission; collect data about the operating system used and the applications installed on the computer; collect data on used network connections on a computer; determine the level of danger on the basis of data on the operating system used and the applications installed on the computer and data on the network connections used on the computer; use an input means in a secure data transmission means if the hazard level exceeds the first hazard level; use the output means in a secure data transmission means if the hazard level exceeds the second hazard level; repeat the steps, starting with data collection, with changes in the operating system used and the applications installed on the computer, as well as the network connections used on the computer.

В одном из частных вариантов реализации уровень опасности выражен числом.In one particular embodiment, the level of danger is expressed by a number.

В другом частном варианте реализации защищенные соединения реализуются при помощи технологий VPN.In another private embodiment, secure connections are implemented using VPN technologies.

В еще одном частном варианте реализации защищенные соединения являются как беспроводными, так и проводными соединениями.In yet another particular embodiment, secure connections are both wireless and wired connections.

Согласно одному из вариантов реализации, предлагается система безопасной передачи данных в незащищенных сетях между компьютером и сетевым ресурсом, которая содержит: приложение, установленное на компьютере, связанное со средством безопасной передачи данных, при этом приложение предназначено для: сбора данных об используемой операционной системе и приложениях, установленных на компьютере и об используемых сетевых соединениях на компьютере; передачи собранных данных на средство безопасной передачи данных; установления первого защищенного соединения со средством безопасной передачи данных; средство безопасной передачи данных, связанный с сервером безопасности, при этом средство безопасной передачи данных предназначено для: установления первого защищенного соединения с компьютером и второго защищенного соединения с сервером безопасности, при этом для установления второго защищенного соединения используются данные об используемых сетевых соединениях на компьютере; определения уровня опасности на основании данных об используемой операционной системе и приложениях, установленных на компьютере, и данных об используемых сетевых соединениях на компьютере; предоставления средства ввода для ввода информации, если уровень опасности превышает первый уровень опасности; предоставления средства вывода для вывода информации, если уровень опасности превышает второй уровень опасности; сервер безопасности, предназначенный для безопасной передачи данных между компьютером и сетевым ресурсом через средство безопасной передачи данных.According to one implementation option, a system for secure data transfer in unprotected networks between a computer and a network resource is proposed, which comprises: an application installed on a computer connected to a secure data transfer means, the application is intended for: collecting data about the operating system and applications used installed on the computer and the network connections used on the computer; transmitting the collected data to a secure data transmission means; establishing a first secure connection to a secure data transmission means; means for secure data transmission associated with the security server, wherein the means for secure data transmission is intended to: establish the first secure connection to the computer and the second secure connection to the security server, while data on the used network connections on the computer are used to establish the second secure connection; determining the level of danger on the basis of data on the operating system used and the applications installed on the computer and data on the network connections used on the computer; providing an input means for entering information if the hazard level exceeds the first hazard level; providing a means of output for outputting information if the hazard level exceeds the second hazard level; a security server designed to securely transfer data between a computer and a network resource through a secure data transfer tool.

В одном из частных вариантов реализации уровень опасности выражен числом.In one particular embodiment, the level of danger is expressed by a number.

В другом частном варианте реализации защищенные соединения реализуются при помощи технологий VPN.In another private embodiment, secure connections are implemented using VPN technologies.

В еще одном частном варианте реализации защищенные соединения являются как беспроводными, так и проводными соединениями.In yet another particular embodiment, secure connections are both wireless and wired connections.

Краткое описание чертежейBrief Description of the Drawings

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления полезной модели со ссылкой на прилагаемые чертежи, на которых:Additional objectives, features and advantages of the present invention will be apparent from reading the following description of the implementation of the utility model with reference to the accompanying drawings, in which:

Фиг.1 отображает вариант использования средства безопасной передачи данных в небезопасном окружении.Figure 1 shows an embodiment of the use of secure data transmission in an unsafe environment.

Фиг.2 отображает способ работы настоящего изобретения.2 depicts a method of operation of the present invention.

Фиг.3 иллюстрирует средство безопасной передачи данных.Figure 3 illustrates a means of secure data transmission.

Фиг.4 показывает способ сохранения личных данных пользователя для последующего использования.Figure 4 shows a method for storing user personal data for later use.

Фиг.5 раскрывает способ определения уровня опасности при использовании небезопасного компьютера.Figure 5 discloses a method for determining the level of danger when using an unsafe computer.

Описание вариантов осуществления изобретенияDescription of Embodiments

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, она может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.The objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, it can be embodied in various forms. The essence described in the description is nothing more than the specific details provided to assist the specialist in the field of technology in a comprehensive understanding of the invention, and the present invention is defined only in the scope of the attached claims.

Фиг.1 отображает вариант использования средства безопасной передачи данных в небезопасном окружении. Как правило, пользователь 100 использует небезопасный компьютер 110 для того, чтобы получить доступ к сетевому ресурсу 140, примером которого может служить сервис онлайн-банкинга или почтовый сервер. Под компьютером 110 подразумевается как персональный компьютер, так и ноутбук, нетбук, планшетный компьютер, смартфон и любое другое пользовательское устройство. Соединение может происходить через незащищенные сети 130 с использованием небезопасных соединений 120а и 120б. Хорошим примером может быть использование ноутбука без антивирусного приложения и непропатченной (не обновленной до последней версии) версии браузера для доступа к онлайн-банкингу через нешифрованное Wi-Fi соединение в публичном месте (например, в аэропорту). Перечисленный набор факторов говорит о высоком уровне риска для пользователя, так как его личные данные (например, номер кредитной карты и ее PIN) могут быть украдены с помощью вредоносных программ, которые эксплуатируют различные уязвимости как компьютера 110 и установленных на нем приложений, так и особенности незащищенной сети 130 и небезопасных соединений 120а и 120б.Figure 1 shows an embodiment of the use of secure data transmission in an unsafe environment. Typically, user 100 uses an insecure computer 110 to gain access to network resource 140, an example of which is an online banking service or a mail server. Computer 110 refers to both a personal computer and a laptop, netbook, tablet computer, smartphone, and any other user device. The connection may occur through unsecured networks 130 using unsafe connections 120a and 120b. A good example would be to use a laptop without an anti-virus application and an unpatched (not updated to the latest version) browser version to access online banking via an unencrypted Wi-Fi connection in a public place (for example, at the airport). The listed set of factors indicates a high level of risk for the user, since his personal data (for example, credit card number and PIN) can be stolen by malicious programs that exploit various vulnerabilities of both computer 110 and applications installed on it, as well as features unsecured network 130 and insecure connections 120a and 120b.

С целью обеспечения безопасности передачи данных через незащищенную сеть 130 используется средство безопасной передачи данных 160. Упомянутое средство 160 вместо использования небезопасного соединения 120а в незащищенной сети 130 устанавливает защищенное соединение 150а с компьютером 110 и защищенное соединение 150б с сервером безопасности 170. Примером защищенного соединения может служить VPN (Virtual Private Network) соединение, основанное на таких протоколах как IPSec или РРТР. В качестве основы защищенного соединения также может служить использование технологии WPA, протокола HTTPS и других средств обеспечения безопасной передачи данных. После того как устанавливаются соединения 150а и 150б, пользователь 100 получает доступ к сетевому ресурсу 140, будучи уверенным в безопасности используемого соединения. Кроме того, сервер безопасности 170 может проверять трафик как от, так и к пользователю на предмет наличия вредоносных программ в потоке данных. Если первое соединение 150а устанавливается лишь между компьютером 110 и средством безопасной передачи данных 160, то второе соединение 150б устанавливается через незащищенную сеть 130.In order to ensure the safety of data transmission through an insecure network 130, a secure data transmission means 160 is used. Instead of using an insecure connection 120a, the said means 160 establishes a secure connection 150a to a computer 110 and a secure connection 150b to a security server 170. An example of a secure connection is VPN (Virtual Private Network) connection based on protocols such as IPSec or PPTP. The basis of a secure connection can also be the use of WPA technology, HTTPS and other means of ensuring secure data transfer. After the connections 150a and 150b are established, the user 100 gains access to the network resource 140, being confident in the security of the connection used. In addition, the security server 170 can check traffic from and to the user for malware in the data stream. If the first connection 150a is established only between the computer 110 and the secure data transmission means 160, then the second connection 150b is established through the insecure network 130.

Фиг.3 иллюстрирует средство безопасной передачи данных 160. Средство безопасной передачи данных 160 содержит процессор 164, оперативную память 165, носитель данных 166 и, по крайней мере, один сетевой адаптер 168. Остановимся на каждом компоненте отдельно.3 illustrates a secure data transmission means 160. A secure data transmission means 160 includes a processor 164, random access memory 165, storage medium 166 and at least one network adapter 168. Let us dwell on each component separately.

Процессор 164 может быть процессором любой известной архитектуры, такой как IA-32 (x86), IA-64, ARM, MIPS, PowerPC, SPARC, VAX и др. Используемая оперативная память 165 может быть реализована как DRAM, SRAM, EPROM, Flash или в виде любого другого известного типа памяти. Носитель данных 166 может быть выполнен как жесткий диск, твердотельный накопитель, оптический привод, стример или любой другой известный тип носителя информации. На носителе данных 166 хранится операционная система 162 и приложения 163, которые загружаются в памяти 165. Операционная система (ОС) 162 может быть Microsoft Windows, NetWare, OS/2, Unix-подобной операционной системой (Linux, HP-UX, FreeBSD, OpenBSD) или любой другой закрытой ОС. Сама ОС 162 может иметь улучшенную модель безопасности (http://en.wikipedia.org/wiki/Security-focused_operating_system), например, иметь принудительный контроль доступа (Mandatory access control, MAC), поддерживать такие технологии как Address Space Layout Randomization (ASLR) и Data Execution Prevention (DEP), использовать систему обнаружения вторжений (Intrusion Detection System, IDS) и другие средства повышения надежности и безопасности ОС. В самой ОС 162 запускаются приложения 163, такие как веб-браузер, почтовый клиент и другие, которые позволяют работать с сетевыми ресурсами 140. Кроме того, одним из приложений 163 может быть антивирусное приложение или сетевой экран для повышения безопасности как ОС 162, так и устройства 160 в целом.The processor 164 may be a processor of any known architecture, such as IA-32 (x86), IA-64, ARM, MIPS, PowerPC, SPARC, VAX, etc. Used RAM 165 can be implemented as DRAM, SRAM, EPROM, Flash, or in the form of any other known type of memory. The storage medium 166 may be implemented as a hard disk, solid state drive, optical drive, tape drive or any other known type of storage medium. The storage medium 166 stores the operating system 162 and applications 163, which are loaded into the memory 165. The operating system (OS) 162 may be Microsoft Windows, NetWare, OS / 2, a Unix-like operating system (Linux, HP-UX, FreeBSD, OpenBSD ) or any other closed OS. OS 162 itself may have an improved security model (http://en.wikipedia.org/wiki/Security-focused_operating_system), for example, have Mandatory access control (MAC), support technologies such as Address Space Layout Randomization (ASLR ) and Data Execution Prevention (DEP), use the Intrusion Detection System (IDS) and other means to increase the reliability and security of the OS. OS 162 itself launches applications 163, such as a web browser, email client, and others that allow you to work with network resources 140. In addition, one of the applications 163 can be an anti-virus application or a firewall to increase security both OS 162 and devices 160 in general.

Для связи с другими компьютерами, такими как компьютер 110, средство безопасной передачи данных 160 использует, по крайней мере, один сетевой адаптер 168. Сетевой адаптер 168 может быть адаптером Wi-Fi (стандарт IEEE 802.11), WiMAX, LTE, GSM, Bluetooth и любым другим адаптером как проводной, так и беспроводной связи. Для установления связи с сервером безопасности может использоваться как дополнительный сетевой адаптер 168, так и тот же сетевой адаптер, работающий в различных режимах. Например, Wi-Fi адаптер может работать как точка доступа, так и как и обычный адаптер, который будет использовать точки доступа, которые находятся в незащищенной сети 130 с помощью технологий Virtual Wi-Fi или Intel Wi-Fi. В одном из вариантов реализации, если одним из приложений 163 может быть антивирусное приложение или сетевой экран, то они также могут проверять трафик по установленным соединениям 150а и 150б на наличие вредоносных программ, которые могут быть как на компьютере 110, так и передаваться с сетевых ресурсов 140.To communicate with other computers, such as computer 110, the secure data transfer means 160 uses at least one network adapter 168. The network adapter 168 may be a Wi-Fi adapter (IEEE 802.11 standard), WiMAX, LTE, GSM, Bluetooth, and any other adapter, both wired and wireless. To establish a connection with the security server, either an optional network adapter 168 or the same network adapter operating in different modes can be used. For example, a Wi-Fi adapter can work both as an access point and as a regular adapter that will use access points that are located on an unsecured network 130 using Virtual Wi-Fi or Intel Wi-Fi technologies. In one embodiment, if one of the applications 163 can be an anti-virus application or a firewall, then they can also check traffic on established connections 150a and 150b for malicious programs that can be both on computer 110 and transmitted from network resources 140.

В одном из вариантов реализации средство безопасной передачи данных 160 может дополнительно содержать по крайней мере, один из следующих модулей: защищенный ввод 161, монитор 167 и контроллер 169. Защищенный ввод 161, как правило, представляет собой клавиатуру или сенсорный экран для ввода необходимых данных, например, при работе с одним из приложений 163. Монитор 167 может потребоваться для отображения информации от одного из приложений 163 (например, при загрузке веб-страницы браузером) или от ОС 162. Контроллер 169 может представлять собой один или несколько контроллеров, работающих с такими типами интерфейсов как USB, Thunderbolt, FireWire и другими. Контроллер 169 используется как соединения средства безопасной передачи данных 160 с компьютером 110, так и для получения данных с различных смарт-карт (например, eToken) для аутентификации, например, на сетевом ресурсе 140.In one embodiment, the secure data transfer means 160 may further comprise at least one of the following modules: secure input 161, monitor 167 and controller 169. Secure input 161 is typically a keyboard or touch screen for entering the necessary data, for example, when working with one of the applications 163. A monitor 167 may be required to display information from one of the applications 163 (for example, when a web page is loaded by a browser) or from the OS 162. The controller 169 may be one or several nly controllers working with these types of interfaces like USB, Thunderbolt, FireWire and other. Controller 169 is used both to connect secure data transmission 160 to computer 110 and to receive data from various smart cards (eg, eToken) for authentication, for example, on network resource 140.

В одном из вариантов реализации ОС 162 и приложения 163 могут быть имплементированы с помощью системы контроля взаимодействия программных компонент, основанной на использовании атрибутов объектов и ограничивающих условий, при этом сама система описана в патентах US 7,386,885 и 7,730,535.In one embodiment, OS 162 and applications 163 can be implemented using a system for controlling the interaction of software components based on the use of object attributes and limiting conditions, while the system itself is described in US patents 7,386,885 and 7,730,535.

В еще одном из вариантов реализации средство безопасной передачи данных 160 может дополнительно содержать средство определения взлома (не показано), которое позволяет уберечь средство безопасной передачи данных 160 от несанкционированного вскрытия, кражи или взлома программного обеспечения. Например, средство определения взлома может стирать всю информацию (ОС 162, приложения 163, используемые данные) при обнаружении посторонних изменений в оперативной памяти 165 или на носителе данных 166. Дополнительно средство определения взлома может разрывать соединения 150а и 150б, блокировать доступ к защищенному вводу 161, отключать монитор 167 и контроллер 169. При возникновении события вроде несанкционированного вскрытия, кражи или взлома программного обеспечения средство определения взлома может передавать информацию о событии на сервер безопасности 170.In yet another embodiment, the secure data transmission means 160 may further comprise a hacking detection tool (not shown) that allows the safe data transmission means 160 to be protected from unauthorized opening, theft or hacking of software. For example, a hacking detection tool can erase all information (OS 162, applications 163, data used) when it detects extraneous changes in the main memory 165 or on the storage medium 166. Additionally, the hacking detection tool can break connections 150a and 150b, blocking access to the protected input 161 , turn off monitor 167 and controller 169. When an event occurs such as unauthorized tampering, theft or hacking of software, the tool for determining hacking can transmit information about the event to the server 170 danger.

На Фиг.2 отображен способ работы настоящего изобретения. На этапе 210 происходит включение средства безопасной передачи данных 160, после чего на этапе 220 устанавливается защищенное соединение 150а с небезопасным компьютером 110. Для корректного взаимодействия со средством безопасной передачи данных 160 требуется установить и использовать приложение (клиент 115) на небезопасном компьютере 110. Данный клиент 115 необходим для успешного установления защищенного соединения 150а между средством безопасной передачи данных 160 и небезопасным компьютером 110. На этапе 230 происходит активация клиента 115, который отвечает за успешное соединение со средством безопасной передачи данных 160. В других вариантах реализации может не требоваться первоначальная установка клиента 115 или его использование на небезопасном компьютере 110.Figure 2 shows the method of operation of the present invention. At step 210, the secure data transfer means 160 are turned on, after which, at step 220, a secure connection 150a is established with the insecure computer 110. For the correct interaction with the secure data transfer means 160, you need to install and use the application (client 115) on the insecure computer 110. This client 115 is necessary for successful establishment of a secure connection 150a between the secure data transfer means 160 and the insecure computer 110. At step 230, the client 115 is activated, which from is in favor of successfully connecting to secure data transmission 160. In other implementations, the initial installation of client 115 or its use on unsafe computer 110 may not be required.

После того как клиент 115 на небезопасном компьютере 110 был активирован, на этапе 240 происходит сбор данных об используемых соединениях. Например, это может быть информация о небезопасном соединении 120а и параметрах незащищенной сети 130. В том случае, если подобную информацию собрать не удалось, пользователю 100 предоставляется возможность ввести параметры сетевых соединений самостоятельно. После того как была получена информация об используемых соединениях, на этапе 250 средство безопасной передачи данных 160 производит подключение к незащищенной сети 130 с целью подключения к серверу безопасности 170, используя защищенное соединение 150б. После установления безопасных соединений 150а и 150б пользователь 100 может быть уверен в том, что доступ к сетевому ресурсу 140 является защищенным путем использования защищенных соединений 150а и 150б. В случае если пользователь изначально использует доступ к сетевому ресурсу 140 с помощью защищенных протоколов (например, HTTPS), то использование защищенного соединения 1506 (например, установка VPN-соединения с сервером безопасности 170) может быть лишним.After the client 115 on the insecure computer 110 has been activated, at step 240, data is collected on the connections used. For example, this may be information about an insecure connection 120a and parameters of an insecure network 130. In the event that it was not possible to collect such information, the user 100 is given the opportunity to enter the parameters of network connections independently. After information about the connections used has been obtained, at step 250, the secure data transfer means 160 connects to an insecure network 130 to connect to a security server 170 using a secure connection 150b. Once secure connections 150a and 150b are established, user 100 can be sure that access to network resource 140 is secure by using secure connections 150a and 150b. If the user initially uses access to network resource 140 using secure protocols (e.g., HTTPS), then using a secure connection 1506 (e.g., establishing a VPN connection to security server 170) may be superfluous.

Средство безопасной передачи данных 160 предоставляет также дополнительный функционал для повышения защищенности пользователя и передаваемых данных. На этапе 270 происходит активация приложений 163 на средстве безопасной передачи данных 160, таких как, например, веб-браузер или почтовый клиент. Приложения 163 запускаются в защищенной ОС 162, находятся в изолированной среде (так как доступ к средству безопасной передачи данных 160 ограничен), также сами приложения могут быть запущены с ограниченным доступ к ресурсам как ОС 162, так и средства 160. Учитывая приведенные факторы, использование приложений 163 вместо приложений на небезопасном компьютере 110 является более безопасным. На этапе 280 для вывода приложения 163 на монитор можно использовать как передачу видеосигнала на небезопасный компьютер 110, так и на монитор 167 самого средства безопасной передачи данных 160. В первом случае пользователь получает картинку на экране небезопасного компьютера 110 через защищенное соединение 150а в виде отображения интерфейса приложения 163 (как правило, графического интерфейса пользователя, GUI), при этом осуществляя ввод с помощью клавиатуры или мыши на небезопасном компьютере 110. Функции воспроизведения видеосигнала также выполняет клиент 115 на небезопасном компьютере 110. Дополнительно повысить уровень безопасности можно с помощью этапа 290, на котором ввод данных пользователь осуществляет с помощью защищенного ввода 161.Secure Data Transfer 160 also provides additional functionality to increase the security of the user and the transmitted data. At step 270, applications 163 are activated on secure data transfer means 160, such as, for example, a web browser or email client. Applications 163 run in secure OS 162, are in an isolated environment (since access to secure data transfer 160 is limited), and applications themselves can be launched with limited access to resources of both OS 162 and tools 160. Considering the above factors, the use of applications 163 instead of applications on an insecure computer 110 is more secure. At step 280, to output the application 163 to the monitor, you can use both the video signal transmission to the insecure computer 110 and the monitor 167 of the secure data transfer device 160 itself. In the first case, the user receives a picture on the screen of the insecure computer 110 through a secure connection 150a in the form of an interface display applications 163 (typically a graphical user interface, GUI), while inputting using a keyboard or mouse on an insecure computer 110. The video playback functions also t client 115 on insecure computer 110. Additionally, to increase the security level by using the stage 290 on which a user performs data entry by a secure entry 161.

Примерный вариант использования средства безопасной передачи данных 160 приведен ниже. Пользователь 100 вводит с помощью защищенного ввода 161 URL адрес сайта онлайн-банкинга 140, используя браузер 163. Введенный URL адрес может быть отображен на мониторе 167 так и передан в виде видеосигнала на небезопасный компьютер 110, где будет отображен на локальном дисплее. Как вариант, пользователь также может использовать клавиатуру или другое средство ввода на небезопасном компьютере 110 для ввода URL адреса, который будет передан в браузер 163 на средстве безопасной передачи данных 160. После того как URL-адрес был введен, запрос по данному адресу будет направлен через защищенное соединение 150б, которое было установлено с сервером безопасности 170. После того как сайт онлайн-банкинга 140 обработает полученный запрос и отправит обратно ответ, который будет обработан браузером 163 и отображен либо на дисплее небезопасного компьютера 110 путем передачи видеосигнала со средства безопасной передачи данных 160, либо на мониторе 167.An exemplary use case for secure data transfer 160 is shown below. The user 100 enters, using secure input 161, the URL of the online banking website 140 using the browser 163. The entered URL can be displayed on the monitor 167 and transmitted as a video signal to an insecure computer 110, where it will be displayed on the local display. Alternatively, the user can also use a keyboard or other input means on unsafe computer 110 to enter the URL address that will be transmitted to the browser 163 on the secure data transfer means 160. After the URL has been entered, a request to this address will be sent via a secure connection 150b that was established with the security server 170. After the online banking site 140 processes the received request and sends back a response that will be processed by the browser 163 and displayed either on the display computer information 110 by the video signal with a secure data transmission means 160, either on the monitor 167.

Дополнительный функционал средства безопасной передачи данных 160 заключается в хранении пользовательских данных как в памяти 165, так и на носителе данных 166. Например, пользовательскими данными могут быть введенные логин и пароль от сайта онлайн-банкинга 140. Сохранив введенные данные на средстве безопасной передачи данных 160, пользователь в будущем может не пользоваться никакими средствами ввода на небезопасном компьютере 110, так как введенные данные можно будет всего лишь вставить в необходимые поля ввода при входе на сайт онлайн-банкинга 140.An additional functionality of the secure data transfer means 160 is to store user data both in the memory 165 and on the data carrier 166. For example, the user data can be the login and password from the online banking site 140. By storing the entered data on the secure data transfer means 160 , the user may not use any input means on unsafe computer 110 in the future, since the entered data can only be inserted into the necessary input fields when entering the online banking site and 140.

На Фиг.4 отображен способ сохранения личных данных пользователя для последующего использования. На этапе 410 пользователь 100 вводит данные во время работы с сетевым ресурсом 140, например, логин и пароль для онлайн-банкинга или доступ к учетной записи на почтовом сервере. На этапе 420 определяется, должна ли быть сохранена введенная информация. Это делается на основании ряда критериев:Figure 4 shows a method of saving personal user data for later use. At step 410, the user 100 enters data while working with the network resource 140, for example, a login and password for online banking or access to an account on the mail server. At 420, it is determined whether the entered information is to be stored. This is done based on a number of criteria:

- Данные об URL-адресе сетевого ресурса 140. Например, средство безопасной передачи данных может хранить URL-адреса наиболее крупных банков, почтовых служб, онлайн-магазинов и т.д.- Data about the URL of the network resource 140. For example, a secure data transfer tool can store the URLs of the largest banks, postal services, online stores, etc.

- Разбор данных о веб-странице, которая находится по этому URL-адресу. Во-первых, при определении типа протокола можно определить важность загруженной страницы, например, использование протокола HTTPS вместо HTTP на веб-странице банка может говорить о переходе в систему онлайн-банкинга. Анализу также могут быть подвергнуты элементы самой страницы, например, формы.- Parsing data about the web page that is located at this URL. First, when determining the type of protocol, you can determine the importance of the loaded page, for example, using the HTTPS protocol instead of HTTP on the bank’s web page may indicate a transition to the online banking system. Elements of the page itself, for example, forms, can also be analyzed.

- Разбор определенных полей веб-элементов на странице. Важные данные могут быть определены исходя из типа данных, которые должны быть внесены в различные веб-элементы. Например, текстовое поле для кредитной карты должно содержать 16 цифр.- Parsing certain fields of web elements on the page. Important data can be determined based on the type of data that must be entered into various web elements. For example, the text field for a credit card should contain 16 digits.

В том случае, если введенная информация представляет важность для пользователя, как это было определено на этапе 420, то эта информация сохраняется на этапе 440 на средстве безопасной передачи данных 160, в противном случае способ завершается на этапе 430. В дальнейшем на этапе 450 определяется, нужно ли автоматически подставить ранее сохраненные данные при повторном заходе пользователя 100 на ту же веб-страницу. Данное определение может быть выполнено как автоматически, так и с запросом пользователя 100 в том случае, если он хочет подобрать другие данные для ввода. На этапе 460 данные успешно подставляются, не требуя ввода информации как с защищенного ввода 161, так и с небезопасного компьютера 110.In the event that the entered information is of importance to the user, as determined at step 420, then this information is stored at step 440 on the secure data transfer means 160, otherwise the method ends at step 430. Then, at step 450, it is determined whether it is necessary to automatically substitute previously saved data when the user 100 re-visits the same web page. This determination can be performed either automatically or with the request of user 100 in the event that he wants to pick up other data for input. At step 460, data is successfully populated without requiring input from both secure input 161 and insecure computer 110.

Фиг.5 раскрывает способ определения уровня опасности при использовании небезопасного компьютера. На этапе 510 происходит определение уровня опасности, связанного с небезопасным компьютером 110. Определение уровня опасности может быть выполнено с помощью клиента 115, установленного на небезопасном компьютере 110. Для анализа могут быть использованы данные об установленном на небезопасном компьютере 110 программном обеспечении (ПО), учитывая версию ПО и наличие известных уязвимостей, информация об операционной системе, наличие антивирусных приложений и актуальность используемых антивирусных баз, данные о сетевых подключениях. Полученный уровень опасности может быть выражен в виде некоторого числа или рейтинга, пример вычисления которого раскрыт в патенте US 7530106.Figure 5 discloses a method for determining the level of danger when using an unsafe computer. At step 510, the hazard level associated with the insecure computer 110 is determined. The hazard level can be determined using the client 115 installed on the insecure computer 110. For analysis, data on the software installed on the insecure computer 110 can be used, taking into account software version and the presence of known vulnerabilities, information about the operating system, the presence of anti-virus applications and the relevance of the used anti-virus databases, data on network connections. The hazard level obtained can be expressed as a certain number or rating, an example of the calculation of which is disclosed in US Pat. No. 7,531,006.

При превышении уровнем опасности некоторого заданного порога (первый уровень опасности) на этапе 520, на этапе 540 ввод данных будет осуществляться с использованием ввода со средства безопасной передачи данных 160. Это может быть выполнено как в виде сообщения пользователю 100 о необходимости использования защищенного ввода 161 со средства безопасной передачи данных 160, так и блокировкой средств ввода (клавиатуры, мыши) на небезопасном компьютере 110 с помощью клиента 115. Если первый уровень опасности превышен не был, то разрешается ввод данных с небезопасного компьютера 110 и способ завершается на этапе 580.If the danger level exceeds a certain threshold (the first danger level) at step 520, at step 540, data will be entered using input from secure data transmission 160. This can be done as a message to user 100 about the need to use secure input 161 with means of secure data transfer 160, and by blocking input means (keyboard, mouse) on insecure computer 110 using client 115. If the first level of danger has not been exceeded, then data entry from secure computer 110 and the method ends at step 580.

При дальнейшем превышении уровня опасности следующего порога (второй уровень опасности) на этапе 550, на этапе 570 вывод будет осуществляться с использованием монитора 167 на средстве безопасной передачи данных 160. Если уровень превышен не был, то на этапе 560 будет использоваться вывод на небезопасный компьютер 110. После этого способ завершается на этапе 580. Стоит отметить, что в приведенном на Фиг.5 примере количество уровней опасности может варьировать в зависимости от реализации настоящего изобретения.If the danger level of the next threshold is further exceeded (second hazard level) at step 550, at step 570, the output will be carried out using a monitor 167 on the secure data transfer device 160. If the level has not been exceeded, then at step 560, the output to the unsafe computer 110 will be used After that, the method ends at step 580. It is worth noting that in the example shown in FIG. 5, the number of hazard levels may vary depending on the implementation of the present invention.

Средство безопасной передачи данных 160 также может быть обновлено при подключении к серверу безопасности 170. Передача обновлений осуществляется по защищенному каналу, при этом сами обновления могут быть подписаны цифровой подписью. Обновления могут предназначаться для приложений 163 и операционной системы 162.The secure data transmission 160 can also be updated when connected to the security server 170. The updates are transmitted over a secure channel, and the updates themselves can be digitally signed. Updates may target applications 163 and operating system 162.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенный формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.In conclusion, it should be noted that the information provided in the description are examples that do not limit the scope of the present invention defined by the formula. One skilled in the art will recognize that there may be other embodiments of the present invention consistent with the spirit and scope of the present invention.

Claims (16)

1. Способ безопасной передачи данных в незащищенных сетях между компьютером и сетевым ресурсом, который включает этапы на которых:
а) устанавливают первое защищенное соединение между средством безопасной передачи данных и компьютером;
б) собирают данные об используемых сетевых соединениях на компьютере;
в) устанавливают второе защищенное соединение между средством безопасной передачи данных и сервером безопасности, используя данные об используемых сетевых соединениях на компьютере;
г) используют установленные первое и второе защищенные соединения для безопасной передачи данных.1. A method for secure data transfer in unprotected networks between a computer and a network resource, which includes the steps of:
a) establish the first secure connection between the secure data transmission and the computer;
b) collect data on the used network connections on the computer;
c) establish a second secure connection between the secure data transfer means and the security server using data on the used network connections on the computer;
d) use the established first and second secure connections for secure data transmission. 2. Способ по п.1, в котором этап б) выполняют с использованием отдельного приложения, установленного на компьютере.2. The method according to claim 1, in which step b) is performed using a separate application installed on the computer. 3. Способ по п.1, в котором защищенные соединения реализуются при помощи технологий VPN.3. The method according to claim 1, in which secure connections are implemented using VPN technologies. 4. Способ по п.1, в котором защищенные соединения являются как беспроводными, так и проводными соединениями.4. The method according to claim 1, wherein the secure connections are both wireless and wired connections. 5. Система для безопасной передачи данных в незащищенных сетях между компьютером и сетевым ресурсом, которая включает:
а) компьютер, связанный со средством безопасной передачи данных;
б) средство безопасной передачи данных, связанное с сервером безопасности, при этом средство безопасной передачи данных предназначено для установления первого защищенного соединения с компьютером и второго защищенного соединения с сервером безопасности, при этом для установления второго защищенного соединения используются данные об используемых сетевых соединениях на компьютере;
в) сервер безопасности, предназначенный для безопасной передачи данных между компьютером и сетевым ресурсом через средство безопасной передачи данных.5. A system for secure data transmission in unprotected networks between a computer and a network resource, which includes:
a) a computer associated with a means of secure data transmission;
b) a means of secure data transmission associated with a security server, wherein the means of safe data transmission is intended to establish a first secure connection to a computer and a second secure connection to a security server, while data on used network connections on a computer are used to establish a second secure connection;
c) a security server designed to securely transfer data between a computer and a network resource through a means of secure data transfer. 6. Система по п.5, в которой данные об используемых сетевых соединениях на компьютере собирают с использованием отдельного приложения, установленного на компьютере.6. The system according to claim 5, in which data about the used network connections on the computer is collected using a separate application installed on the computer. 7. Система по п.5, в которой защищенные соединения реализуются при помощи технологий VPN.7. The system according to claim 5, in which secure connections are implemented using VPN technologies. 8. Система по п.5, в которой защищенные соединения являются как беспроводными, так и проводными соединениями.8. The system of claim 5, wherein the secure connections are both wireless and wired connections. 9. Способ безопасной передачи данных в незащищенных сетях между компьютером и сетевым ресурсом, который включает этапы, на которых:
а) устанавливают первое защищенное соединение между средством безопасной передачи данных и компьютером;
б) устанавливают второе защищенное соединение между средством безопасной передачи данных и сервером безопасности, используя данные об используемых сетевых соединениях на компьютере;
в) используют установленные первое и второе защищенные соединения для безопасной передачи данных;
г) собирают данные об используемой операционной системе и приложениях, установленных на компьютере;
д) собирают данные об используемых сетевых соединениях на компьютере;
е) определяют уровень опасности на основании данных об используемой операционной системе и приложениях, установленных на компьютере, и данных об используемых сетевых соединениях на компьютере;
ж) используют средство ввода в средстве безопасной передачи данных, если уровень опасности превышает первый уровень опасности;
з) используют средство вывода в средстве безопасной передачи данных, если уровень опасности превышает второй уровень опасности;
и) повторяют этапы г)-з) при изменениях в используемой операционной системе и приложениях, установленных на компьютере, а также используемых сетевых соединениях на компьютере.9. A method for secure data transfer in unprotected networks between a computer and a network resource, which includes the steps in which:
a) establish the first secure connection between the secure data transmission and the computer;
b) establish a second secure connection between the means of secure data transfer and the security server using data on the used network connections on the computer;
c) use the established first and second secure connections for secure data transmission;
d) collect data on the operating system used and the applications installed on the computer;
e) collect data on the used network connections on the computer;
f) determine the level of danger on the basis of data on the operating system used and the applications installed on the computer and data on the network connections used on the computer;
g) use an input means in a secure data transmission medium if the hazard level exceeds the first hazard level;
h) use a means of output in a means of secure data transmission if the hazard level exceeds the second hazard level;
i) repeat steps d) to h) with changes in the operating system used and the applications installed on the computer, as well as the network connections used on the computer. 10. Способ по п.9, в котором уровень опасности выражен числом.10. The method according to claim 9, in which the hazard level is expressed by a number. 11. Способ по п.9, в котором защищенные соединения реализуются при помощи технологий VPN.11. The method according to claim 9, in which secure connections are implemented using VPN technologies. 12. Способ по п.9, в котором защищенные соединения являются как беспроводными, так и проводными соединениями.12. The method according to claim 9, in which the secure connections are both wireless and wired connections. 13. Система безопасной передачи данных в незащищенных сетях между компьютером и сетевым ресурсом, которая содержит:
а) приложение, установленное на компьютере, связанное со средством безопасной передачи данных, при этом приложение предназначено для:
i. сбора данных об используемой операционной системе и приложениях, установленных на компьютере, и об используемых сетевых соединениях на компьютере;
ii. передачи собранных данных на средство безопасной передачи данных;
iii. установления первого защищенного соединения со средством безопасной передачи данных.
б) средство безопасной передачи данных, связанное с сервером безопасности, при этом средство безопасной передачи данных предназначено для:
i. установления первого защищенного соединения с компьютером и второго защищенного соединения с сервером безопасности, при этом для установления второго защищенного соединения используются данные об используемых сетевых соединениях на компьютере;
ii. определения уровня опасности на основании данных об используемой операционной системе и приложениях, установленных на компьютере, и данных об используемых сетевых соединениях на компьютере;
iii. предоставления средства ввода для ввода информации, если уровень опасности превышает первый уровень опасности;
iv. предоставления средства вывода для вывода информации, если уровень опасности превышает второй уровень опасности.
в) сервер безопасности, предназначенный для безопасной передачи данных между компьютером и сетевым ресурсом через средство безопасной передачи данных.13. A system for secure data transfer in insecure networks between a computer and a network resource, which contains:
a) an application installed on a computer associated with a means of secure data transfer, while the application is intended for:
i. collecting data about the operating system used and the applications installed on the computer, and about the network connections used on the computer;
ii. transmitting the collected data to a secure data transmission means;
iii. establishing a first secure connection to a secure data transmission means.
b) means of safe data transmission associated with the security server, while the means of safe data transmission is intended for:
i. establishing the first secure connection to the computer and the second secure connection to the security server, while the data on the used network connections on the computer are used to establish the second secure connection;
ii. determining the level of danger on the basis of data on the operating system used and the applications installed on the computer and data on the network connections used on the computer;
iii. providing an input means for entering information if the hazard level exceeds the first hazard level;
iv. providing a means of output for outputting information if the hazard level exceeds a second hazard level.
c) a security server designed to securely transfer data between a computer and a network resource through a means of secure data transfer. 14. Система по п.13, в которой уровень опасности выражен числом.14. The system of claim 13, wherein the hazard level is expressed in a number. 15. Система по п.13, в которой защищенные соединения реализуются при помощи технологий VPN.15. The system according to item 13, in which secure connections are implemented using VPN technologies. 16. Система по п.13, в которой защищенные соединения являются как беспроводными, так и проводными соединениями. 16. The system of claim 13, wherein the secure connections are both wireless and wired connections.
RU2012106463/08A 2012-02-24 2012-02-24 Using protected device for provision of secure data transfer in insecure networks RU2494448C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2012106463/08A RU2494448C1 (en) 2012-02-24 2012-02-24 Using protected device for provision of secure data transfer in insecure networks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2012106463/08A RU2494448C1 (en) 2012-02-24 2012-02-24 Using protected device for provision of secure data transfer in insecure networks

Publications (2)

Publication Number Publication Date
RU2012106463A RU2012106463A (en) 2013-08-27
RU2494448C1 true RU2494448C1 (en) 2013-09-27

Family

ID=49163555

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2012106463/08A RU2494448C1 (en) 2012-02-24 2012-02-24 Using protected device for provision of secure data transfer in insecure networks

Country Status (1)

Country Link
RU (1) RU2494448C1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2571721C2 (en) * 2014-03-20 2015-12-20 Закрытое акционерное общество "Лаборатория Касперского" System and method of detecting fraudulent online transactions

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7366900B2 (en) * 1997-02-12 2008-04-29 Verizon Laboratories, Inc. Platform-neutral system and method for providing secure remote operations over an insecure computer network
US7506368B1 (en) * 2003-02-13 2009-03-17 Cisco Technology, Inc. Methods and apparatus for network communications via a transparent security proxy
US20100218248A1 (en) * 2009-02-26 2010-08-26 Microsoft Corporation Redirection of secure data connection requests
WO2011031615A1 (en) * 2009-09-09 2011-03-17 Privacydatasystems, Llc Systems and methods for accessing secure and certified electronic messages
RU2010107990A (en) * 2007-08-06 2011-09-20 МОНСЕИГНАТ Бернард ДЕ (US) SYSTEM AND METHOD OF AUTHENTICATION, DATA TRANSFER AND PROTECTION AGAINST PHISHING
RU108896U1 (en) * 2010-05-18 2011-09-27 Закрытое акционерное общество "Лаборатория Касперского" SYSTEM TO ENSURE GENERAL SAFETY OF MOBILE DEVICES

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7366900B2 (en) * 1997-02-12 2008-04-29 Verizon Laboratories, Inc. Platform-neutral system and method for providing secure remote operations over an insecure computer network
US7506368B1 (en) * 2003-02-13 2009-03-17 Cisco Technology, Inc. Methods and apparatus for network communications via a transparent security proxy
RU2010107990A (en) * 2007-08-06 2011-09-20 МОНСЕИГНАТ Бернард ДЕ (US) SYSTEM AND METHOD OF AUTHENTICATION, DATA TRANSFER AND PROTECTION AGAINST PHISHING
US20100218248A1 (en) * 2009-02-26 2010-08-26 Microsoft Corporation Redirection of secure data connection requests
WO2011031615A1 (en) * 2009-09-09 2011-03-17 Privacydatasystems, Llc Systems and methods for accessing secure and certified electronic messages
RU108896U1 (en) * 2010-05-18 2011-09-27 Закрытое акционерное общество "Лаборатория Касперского" SYSTEM TO ENSURE GENERAL SAFETY OF MOBILE DEVICES

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2571721C2 (en) * 2014-03-20 2015-12-20 Закрытое акционерное общество "Лаборатория Касперского" System and method of detecting fraudulent online transactions
US9363286B2 (en) 2014-03-20 2016-06-07 AO Kaspersky Lab System and methods for detection of fraudulent online transactions

Also Published As

Publication number Publication date
RU2012106463A (en) 2013-08-27

Similar Documents

Publication Publication Date Title
US10521212B2 (en) Alerting the presence of bundled software during an installation
RU2571721C2 (en) System and method of detecting fraudulent online transactions
RU2587423C2 (en) System and method of providing safety of online transactions
US11140150B2 (en) System and method for secure online authentication
EP2575317B1 (en) Portable security device and methods for maintenance of authentication information
RU2595511C2 (en) System and method of trusted applications operation in the presence of suspicious applications
US20140122343A1 (en) Malware detection driven user authentication and transaction authorization
US9300674B2 (en) System and methods for authorizing operations on a service using trusted devices
US10631168B2 (en) Advanced persistent threat (APT) detection in a mobile device
EP3885946B1 (en) Method of monitoring and protecting access to an online service
RU2494448C1 (en) Using protected device for provision of secure data transfer in insecure networks
EP4068125B1 (en) Method of monitoring and protecting access to an online service
EP3885945A1 (en) Method of monitoring and protecting access to an online service
Harianto et al. Wi-Fi password stealing program using USB rubber ducky
US10747900B1 (en) Discovering and controlling sensitive data available in temporary access memory
Müller Evaluating the Security and Resilience of Typical off the Shelf CoAP IoT Devices: Assessing CoAP and Wi-Fi vulnerabilities
EP3885947B1 (en) Method of monitoring and protecting access to an online service
EP3261009B1 (en) System and method for secure online authentication
RU2757535C2 (en) Method for identifying potentially dangerous devices using which the user interacts with banking services, by open ports
EP2854088A1 (en) A system and method for ensuring safety of online transactions
Kesavan et al. Gaining access to windows machine by installing backdoor
al-Khateeb How you can protect your computer and mobile devices from malware and data theft