Технические аспекты разработки подсистемы Безопасной многофакторной аутентификации в сети порталов с применением цифрового ключа доступа

УДК 004.422.837, 004.338, 004.087.5 С.А. Лазарев, П.П. Силаев S.A. LAZAREV, P.P. SILAEV ТЕХНИЧЕСКИЕ аспекты РАЗРАБОТКИ Подсистемы Безопасной многофакторной аутентификации в сети порталов с применением цифрового ключа доступа TECHNICAL ASPECTS OF DEVELOPMENT multifactor security user authentication SUBSYSTEM in the NETWORK portals USING DIGITAL DEVICE  В данной статье рассматриваются прикладные аспекты реализации подсистемы многофакторной аутентификации пользователей с применением цифрового ключа доступа для сети корпоративных порталов в контексте построения информационных ассоциаций. В частности, представлено законченное техническое решение, предназначенное для использования конечными пользователями, на основе включения в программное окружение клиента сценария управления аутентификацией в форме Java-аплета. Отличительной особенностью данного решения является реализация в цифровом ключе доступа не только функций хранения секретных ключей, но и обработки с их помощью алгоритмами шифрования цифровой идентификационной информации только в рамках устройства. Также исследован механизм интеграции подсистемы многофакторной аутентификации в сеть корпоративных порталов на основе технологии вызова удаленных процедур. Работа по данной тематике проводилась в рамках государственного задания № 8.8504.2013 Минобрнауки РФ. Ключевые слова: цифровой ключ доступа, информационные ассоциации, многофакторная аутентификация, управление доступом, информационный обмен, сеть порталов, Java-аплет, вызов удаленной процедуры. This article focuses on applied aspects of the implementation of multi-factor authentication subsystem using the numeric passkey for the network enterprise portals in the context of building information associations. In particular, a complete solution designed for use by end-users, based on the inclusion in the client software environment management script authentication in the form of Java-applet. A distinctive feature of this solution is the implementation of a digital key access not only functions of storage of private keys, and processing them using encryption algorithms, digital identity only within the device. Also investigated the mechanism of integration subsystem multi-factor authentication to the network enterprise portal technology-based remote procedure call. Work on this topic was held in the framework of the state task number 8.8504.2013 Russian Ministry of Education. Keywords: digital device, information associations, multifactor authentication, access control, information exchange, network portals, Java-applet, remote procedure call. Актуальность задачи и основные требования к ее решению Построение информационных ассоциаций в глобальном информационном пространстве на основе сети корпоративных порталов [1-3] определяют необходимость решения задач обеспечения безопасности информационного взаимодействия пользователей. В качестве базового средства обеспечения безопасности в сети корпоративных порталов используется механизм аутентификации на основе многоразовых паролей [4-6]. В процессе создания подсистемы многофакторной аутентификации в сети корпоративных порталов решаются две важные задачи. Первое – это создание дополнительных механизмов защиты от несанкционированного доступа с целью повышения безопасности информационного обмена в сети порталов. Второе – это внедрение средств подтверждения авторской принадлежности и целостности размещаемых в сети информационных материалов. В последнее время всё чаще применяется, так называемая, расширенная или многофакторная аутентификация. Она построена на совместном использовании нескольких факторов аутентификации, что значительно повышает защищенность программной системы [7, 8]. Поэтому одним из эффективных механизмов повышения уровня безопасности работы пользователей в сети порталов является внедрение в нее средств многофакторной аутентификации, которые бы одновременно позволили решить вторую задачу, связанную с публикацией авторских материалов. Существующие технические решения по многофакторной аутентификации, в большинстве своем, ориентированы на жесткую привязку пользователя к его персональному рабочему месту (авторизованному терминалу) [8, 9]. Применительно к сети корпоративных порталов требуется реализация многофакторной аутентификации в удаленной системе с любого выбранного терминала посредством стандартных программных средств доступа в сеть Интернет. Интеграция же в данное решение механизмов цифровой обработки информационных материалов аналогично электронной цифрой подписи, существенно повышает требования к безопасности работы с ключами шифрования, и устранению рисков их хищения и перехвата. Данное решение может быть реализовано только на основе некоторого цифрового программируемого вычислительного устройства. При этом оно должно быть удобным в использовании, недорогим в изготовлении и применимо на всех современных компьютерах без использования дополнительных приспособлений. В этой связи возникает необходимость реализации механизмов безопасного взаимодействия программного окружения Интернет-браузера пользователя с цифровым ключом доступа, с одной стороны, и серверной частью подсистемы аутентификации и авторизации пользователей сети корпоративных порталов, с другой. Особенности построения подсистемы Построение подсистемы многофакторной аутентификации основано на использовании цифрового портативного ключа доступа. Отличительной особенностью данного устройства является не только способность безопасно хранить секретные ключи, но и на их основе самостоятельно вычислять параметры алгоритмов шифрования, которые могут далее передаваться по открытым каналам связи, что существенно повышает безопасность использования устройства [11-13]. При этом мастер-ключ не копируется на персональный компьютер, где он сильно уязвим, и может быть подвержен атаке. Это исключает его перехват вредоносными программами из программного окружения Интернет-браузера. Считывание же ключей из устройства физически неосуществимо в силу ряда принципов функционирования микроконтроллера, на основе которого оно построено. Одновременно, функциональные возможности устройства и сервисного программного обеспечения позволяют решать задачи подтверждения целостности и авторской принадлежности информационных ресурсов, размещаемых в сети порталов, что обуславливает универсальность данного технического решения. Данное устройство спроектировано таким образом, чтобы оно соединялось с персональным компьютером с помощью стандартного интерфейса передачи данных (в данном случае был выбран интерфейс USB, как наиболее популярный и доступный) без использования дополнительных считывателей. В соответствии с методикой применения цифровых ключей для управления доступом в сети корпоративных порталов [10], в качестве основной функции портативного цифрового ключа доступа(ПЦКД) выступает не только хранение идентификационных данных, но и непосредственное участие в процессе генерации шифрограммы. Исходя из этого, следует, что элементная база ПЦКД должна основываться на микропроцессорной системе, имеющей аппаратный вычислитель. В качестве ядра данной системы предлагается использовать 32-х разрядный микроконтроллер семейства AT91SAM7 фирмы Atmel. Технические характеристики и полный перечень особенностей приведен в таблицах описания для данного микроконтроллера [14-15]. Немаловажным аспектом при разработке данной подсистемы является выбор протокола для информационного обмена между персональным компьютером (ПК) пользователя и ПЦКД. Основными критериями для выбора протокола являются: возможность реализации протокола на базе выбранного микроконтроллера; высокая надежность и скорость передачи данных по интерфейсу; возможность создания коммуникации между ПК и ПЦКД, используя известные методы и подходы. Исходя из поставленных требований, в качестве протокола для взаимодействия ПК и ПЦКД был выбран протокол USB HID (Human Interface Device) [11, 17-18]. В предыдущих публикациях [10] о применении цифровых носителей идентификационной информации для управления доступом в сети корпоративных порталов была рассмотрена обобщенная схема информационного обмена в процессе аутентификации или обработки документа цифровой подписью. При аутентификации пользователя в сети порталов (одним из узлов которой является конкретный сервер доступа) сервер отправляет случайную последовательность битов, которые далее передаются в ПЦКД, через универсальный последовательный интерфейс по протоколу USB-HID в формате. После чего ПЦКД шифрует полученную последовательность, используя алгоритмы шифрования, а так же секретный ключ, позволяющий однозначно идентифицировать в системе пользователя – владельца ключа. Сгенерированный шифр отправляется на сервер доступа, где проходит процедуру верификации. При получении положительного ответа по окончании проверки, в дополнение к ведённому логину и паролю, неизвестный признается подлинным пользователем системы, в результате чего создаётся активный сеанс для данного пользователя [11-13]. Основные компоненты подсистемы Представленная на рисунке 1 схема отражает физическое распределение программных компонентов подсистемы аутентификации с помощью ПЦКД в структуре системы управления доступом сети порталов. Как видно из схемы, разрабатываемая подсистема состоит из комплекса программно-аппаратных средств, что осложняет процесс интеграции. Всю подсистему можно разделить на две части – клиентскую и серверную. Основным компонентом серверной части является сценарий управления аутентификацией, который встраивается в сервер доступа. При обращении пользователя к серверу доступа управление передается сценарию аутентификации, который выгружает клиенту специальный апплет и вспомогательные библиотеки. В серверную часть также входит сервер управления ключами, который отвечает за генерацию ключевых пар и установку на ПЦКД. Клиентская часть представляет собой ПЦКД, где функционируют алгоритмы обработки и шифрования с установленным ключом, а так же подгружаемые с сервера компоненты, обеспечивающие его взаимодействие с программным окружение пользователя. Рисунок 1 – Схема развертывания компонентов подсистемы аутентификации Механизм интеграции подсистемы в сеть порталов В целях обеспечения интеграции подсистемы в соответствующие программные компоненты сервера управления доступом сети порталов решено было использовать технологию RPC (Remote Procedure Call или вызов удаленных процедур). Идея вызова удаленных процедур состоит в расширении хорошо известного и понятного механизма передачи управления и данных внутри программы, выполняющейся на одной машине, на передачу управления и данных через сеть. Средства удаленного вызова процедур предназначены для облегчения организации распределенных вычислений. Наибольшая эффективность использования RPC достигается в тех приложениях, в которых существует интерактивная связь между удаленными компонентами с небольшим временем ответов и относительно малым количеством передаваемых данных [19]. Характерными чертами вызова удаленных процедур являются: асимметричность, когда одна из взаимодействующих сторон является инициатором; синхронность, когда выполнение вызывающей процедуры приостанавливается с момента выдачи запроса и возобновляется только после возврата из вызываемой процедуры. К преимуществам технологии RPC можно отнести следующее: высокий уровень скрытия реализации процедур; широкие возможности для встраивания различных подсистем; гибкие возможности внесения изменений в функционирование системы. На основе структурной модели построения подсистемы многофакторной аутентификации на основе ПЦКД (рисунок 1), была предложена схема (рисунок 2) интеграции клиентских программных компонентов в сервер доступа, используя технологию RPC [20]. Рисунок 2 – Схема интеграции клиентского решения на основе ПЦКД с сервером доступа, используя технологию RPC В данной схеме можно выделить четыре ключевые сущности: пользователь, Web-страница пользователя, пользовательский ключ (ПЦКД) и сервер доступа. В Web-страницу встраивается Java-апплет и JavaScript. Java-апплет образует магистраль передачи данных фиксированного формата в ПЦКД, подключенное к ПК по интерфейсу USB-HID. JavaScript имеет описание и заголовки удаленных процедур, физически размещенных на сервере доступа. По имеющимся заголовкам JS может осуществлять удаленный вызов процедур, а так же передавать параметры и обрабатывать результат. Для инициирования выполнения конкретной процедуры со стороны пользователя, существуют интерфейсные объекты и связанные с ними обработчики событий. При появлении новой функции на сервере, достаточно определить интерфейсный объект и привязать к нему обработчик события, после чего пользователь сможет вызвать необходимую процедуру. Наличие или отсутствие интерфейсных объектов может определять уровень полномочий доступа на основе списка прав. Необходимый набор интерфейсных объектов описывает тот или иной уровень прав доступа в соответствии с разрешениями для данного пользователя [20]. Заключение В заключение следует отметить, что в данной статье были освещены прикладные аспекты решения задачи построения подсистемы безопасной многофакторной аутентификации в сети корпоративных порталов с использованием универсальных цифровых ключей доступа. Рассмотрены функции подсистемы аутентификации с применением цифрового ключа доступа и технические особенности его реализации на основе микроконтроллера. Предложена технология решения поставленной задачи и представлено законченное техническое решение, предназначенное для использования конечными пользователями, на основе включения в программное окружение клиента сценария управления аутентификацией в форме Java-аплета. Исследован механизм интеграции подсистемы многофакторной аутентификации в сеть корпоративных порталов на основе технологии вызова удаленных процедур. Повышение безопасности функционирования подсистемы многофакторной аутентификации обусловлено хранением секретных ключей в устройстве доступа и обработкой с их помощью алгоритмами шифрования цифровой идентификационной информации внутри самого устройства. Это исключает перехват вредоносными программами секретных ключей пользователей из программного окружения Интернет-браузера. Универсальность данного технического решения заключается в том, что оно может использоваться для подтверждения целостности и авторской принадлежности информационных ресурсов, размещаемых в сети порталов. Список используемых источников Лазарев, С.А. Концепция построения системы управления информационным обменом сети корпоративных порталов [Текст] / С.А. Лазарев, А.В. Демидов // Информационные системы и технологии. – Орел: Изд-во ОрелГТУ, 2010. – № 4 (60) июль-август. – С. 123-129. Константинов, И.С. Особенности построения системы управления информационным обменом сети корпоративных порталов [Текст] / И.С. Константинов, С.А. Лазарев // Информационные системы и технологии "ИСИТ-2011". Материалы I-ой международной научно-технической интернет-конференции. – Орел: Госуниверситет - УНПК, 2011. – Т.1. – С. 50-54. Лазарев, С.А. Некоторые аспекты создания информационных ассоциаций в глобальных сетях на основе построения сети корпоративных порталов [Текст] / С.А. Лазарев; Информационные системы и технологии – Орел: ФГОУ ВПО «Госуниверситет – УНПК», 2012 – № 1 (69) январь-февраль. – С. 103–106. Запечников, С.В. Информационная безопасность открытых систем. Том 1 – Угрозы, уязвимости, атаки и подходы к защите. [Текст] / С.В. Запечников, Н.Г. Милославская, А.И. Толстой, Д.В. Ушаков. – М: Горячая линия-Телеком, 2006. – С. 536. ГОСТ Р 50922-96. Защита информации. Основные термины и определения [Текст]. – М.: ФГУП «Стандартинформ», 2008. – С. 7. Гостехкомиссия России. Руководящий документ: Защита от несанкционированного доступа к информации. Термины и определения [Текст]. – М.: ГТК, 1992. Гостехкомиссия России. Руководящий документ: Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации [Текст]. – М.: ГТК, 1992. Смит, Ричард Э. Аутентификация: от паролей до открытых ключей [Текст] / Ричард Э. Смит. – М.: Вильямс, 2002. – С. 432. Константинов, И.С. Правовое обеспечение информационной безопасности объектов информатизации и регулирование конституционных прав личности в информационной сфере [Текст] / В.Т. Еременко, И.С. Константинов, А.В. Коськин и др. // Под ред. д.т.н. А.П. Фисуна, к.ю.н. Ю.А. Белевской. – Орел: ОреГТУ, 2008.– С. 428. Лазарев, С.А. Применение цифровых носителей идентификационной информации для управления доступом в сети корпоративных порталов [Текст] / С.А. Лазарев, П. П. Силаев // Информационные системы и технологии. – Орел: ФГОУ ВПО «Госуниверситет – УНПК», 2011– № 3 (65) май-июнь. – С. 114–119. Лазарев, С.А. Механизм применения портативных цифровых устройств доступа в сети корпоративных порталов [Текст] / С.А. Лазарев, П.П. Силаев // Информационные системы и технологии. – Орел: ФГОУ ВПО «Госуниверситет – УНПК», 2012 – № 3 (71) май-июнь. – С. 103–109. Баричев, С.Г. Основы современной криптографии. [Текст] / С.Г. Баричев. – М.: Горячая линия–Телеком, 2001. – С. 313. ГОСТ Р 34.10-94 Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма [Текст]. – Введ. 1995-01-01. – М.: Госстандарт России: Изд-во стандартов, 1995. Евстифиев, А.В. Микроконтроллеры AVR семейств Tiny и Mega фирмы Atmel. [Текст] / А.В. Евстифиев. – М.: Додека-XXI., 2005. – С. 560. Аtmel Corporation. Описание микроконтроллеров семейства AT91SAM7 ARM-based [Электронный ресурс] / Аtmel Corporation, 2011. – http://www.atmel.com/dyn/resources/prod_documents/doc6175.pdf; Лазарев, С.А., Особенности построения подсистемы управления доступом системы управления информационным обменом сети корпоративных порталов [Текст] / С.А. Лазарев, А.В. Демидов // Информационные системы и технологии. – Орел: Госуниверситет - УНПК, 2012. – № 4 (72) июль-август. – С. 103-110. Козлов Ю. HID-устройства [Электронный ресурс] / Ю. Козлов, Пронин В. // Создание USB-устройств, 2003. – http://www.jais.ru/write10.html; Агуров, П.В. Интерфейс USB. Практика использования и программирования [Текст] / П.В. Агуров. – СПб.: БХВ-Петербург, 2005. – С. 576. Олифер, Н.А. Сетевые операционные системы [Текст] / В.Г. Олифер, Н.А. Олифер. – СПб: Питер, 2002. – С. 544. Константинов И.С., Фролов А.И., Лукьянов П.В. Модели правил анализа и критериев контроля данных в системе административного мониторинга // Информационные системы и технологии. – 2012. – №4(72). – С. 70-77. Сведения об авторах Лазарев Сергей Александрович НИУ БелГУ К.Э.Н., старший научный сотрудник учебно-научной лаборатории информационно-измерительных и управляющих комплексов и систем E-mail: lazarev_s@bsu.edu.ru Силаев Павел Павлович НИУ БелГУ Аспирант кафедры Прикладной информатики Тел.: 89536102299 E-mail: 844727@bsu.edu.ru

Похожие:

	Вирусная теория менеджмента Совете по вопросам регламентации доступа к информации в Интернете, целью создания Совета является обеспечение разработки и принятия...		Лекция №1 Управленческие решения Совете по вопросам регламентации доступа к информации в Интернете, целью создания Совета является обеспечение разработки и принятия...
	Френсис бэкон (1561-1626) Совете по вопросам регламентации доступа к информации в Интернете, целью создания Совета является обеспечение разработки и принятия...		Лекция 7 экономические циклы и кризисы Совете по вопросам регламентации доступа к информации в Интернете, целью создания Совета является обеспечение разработки и принятия...
	В. Н. Стегний социальное прогнозирование и проектирование Совете по вопросам регламентации доступа к информации в Интернете, целью создания Совета является обеспечение разработки и принятия...		«Оренбургский государственный педагогический университет» Совете по вопросам регламентации доступа к информации в Интернете, целью создания Совета является обеспечение разработки и принятия...
	Отчет о научно-исследовательской работе исследования в области построения... Этап 2 «Разработка концепции построения системы управления информационным обменом в защищенной сети порталов через открытые каналы...		«томский государственный университет систем управления и радиоэлектроники» Совете по вопросам регламентации доступа к информации в Интернете, целью создания Совета является обеспечение разработки и принятия...
	Учебно-методический комплекс учебной дисциплины «Управленческие решения» Совете по вопросам регламентации доступа к информации в Интернете, целью создания Совета является обеспечение разработки и принятия...		Состав Школьного Совета по вопросам регламент Совете по вопросам регламентации доступа к информации в Интернете, целью создания Совета является обеспечение разработки и принятия...
	«Московский государственный институт радиотехники, электроники и... Совете по вопросам регламентации доступа к информации в Интернете, целью создания Совета является обеспечение разработки и принятия...		Доклад посвящен технологиям построению виртуальных защищенных сетей,... Построение системы защиты распределенных вычислительных сетей от внутренних и внешних посягательств на информацию и ресурсы различного...
	Удк 004. 42: 336. 761. 6 Аллигатор и фрактал для анализа фондового рынка Совете по вопросам регламентации доступа к информации в Интернете, целью создания Совета является обеспечение разработки и принятия...		О мерах по реализации контентной фильтрации доступа школы к сети Интернет «О мерах по исключению доступа к Интернет-ресурсам, несовместимых с задачами образования и воспитания обучающихся», в целях исключения...
	Анкета для потребителей услуг доступа к сети Интернет Укажите технологию доступа к сети Интернет, которой Вы пользуетесь для получения услуг связи? (можно выбрать несколько вариантов...		Ход развития человечества в его трех силовых потоках связь люциферическо-ариманического... Совете по вопросам регламентации доступа к информации в Интернете, целью создания Совета является обеспечение разработки и принятия...