поиск по сайту

Если у вас возникли вопросы, или вам что-то не нравится, вы можете пожаловаться

Взаимная аутентификация технических средств

Когда идея «овладевает массами», она зачастую видоизменяется – становится несколько уже, чем  исходная. Все разработчики технических средств согласятся, что прежде, чем разработка будет востребована, идея должна стать общепринятой и, желательно, даже банальной. К радости разработчиков СЗИ и к выгоде всех тех, кому есть что скрывать, идея аутентификации массами овладела. Очень просто представить себе, что идентификатор украден или отобран, и предъявляется отнюдь не тем, кому принадлежит легально. Соответственно и мысль о необходимости жесткой "привязки" идентификатора к идентифицируемому – подтверждение подлинности идентифицирующей информации – была воспринята как достаточно очевидная, и никому уже не надо доказывать, что необходима «проверка подлинности» пользователя.   

Однако, почему, собственно, только пользователя? Неизбежный побочный эффект популяризации концепции в данном случае проявился в том, что аутентификацию стали связывать только с человеком, в то время как совершенно необходимо подтверждать подлинность и взаимодействующих средств вычислительной техники (СВТ). Например, при получении информации с сервера, или отправке ее на сервер необходимо знать, что Вы соединены именно с тем сервером, с которым собирались, а не с тем, кто выдает себя за него. А сервер, в свою очередь, должен допускать взаимодействие не только со строго определенными пользователями, но и со строго определенными терминалами, чтобы исключить возможность подключения в качестве терминала «постороннего» ПК даже в том случае, если это пытается осуществить легальный пользователь. Безусловно, это касается не только терминальных систем, но и работы в локальных сетях, и т. п.

Поэтому во всех продуктах ОКБ САПР, предусматривающих взаимодействие на уровне СВТ, реализована технология взаимной аппаратной аутентификации участников. Специальный комплекс AcXNet обеспечивает дополнительный сеанс обмена сетевыми пакетами, подписанными ЭЦП станций на их закрытых ключах. Это происходит при установлении соединения и периодически повторяется на протяжении всей сессии. 

Взаимодействие на этом слое защиты происходит непосредственно между СЗИ (контроллерами Аккорд и ПСКЗИ ШИПКА), установленными на терминалах, серверах загрузки и терминальных серверах. 

Подтверждение подлинности станций А и В происходит в 4 шага обмена подписанными ЭЦП случайными данными (X и Y) и проверки этих случайных данных и подписей. При этом случайные числа являются «одноразовыми» идентификаторами, «выдаваемыми» станциями друг другу (так, обратно на А должно вернуться именно то число, которое было ею сгенерировано и отправлено), а ЭЦП, которыми подписаны эти числа, являются подтверждением принадлежности идентификаторов станциям (если подпись проверена (с помощью заранее надежно распределенных открытых ключей) и оказалась подлинной). Тот факт, что случайные числа генерируются каждый раз заново, обеспечивает невозможность предъявления «подслушанного» пакета «идентификатор + подпись».

Именно такая логика лежит в основе установления защищенного виртуального канала в ПАК СЗИ НСД Аккорд-NT/2000 V3.0 TSE 

Взаимная аутентификация станций не просто желательна, а принципиальна, потому что СЗИ, работающее с использованием незащищенного канала передачи данных, только повышает уязвимость системы, а не снижает ее. 

Аутентификация терминального сервера особенно важна для пользователя. Зачастую для пользователя терминальный сервер представляется ярлычком на его рабочем столе. Пользователь знает, что его данные хранятся и обрабатываются на терминальном сервере, знает, что для доступа к этим данным он должен пройти процедуры идентификации и аутентификации, но не знает, откуда приходит к нему изображение на монитор терминала и куда он передает нажатия кнопок на клавиатуре и мыши, а может только верить в то, что это именно его сервер. Реально у пользователя нет механизма проверить, куда он подсоединяется, откуда получает данные и куда передает результаты их обработки. Пользователь взаимодействует в первую очередь с терминалом, и это функция терминала – обеспечить корректное соединение с терминальным сервером. 

С другой стороны в рамках политики безопасности правильно разграничивать подключения легальных пользователей к терминальному серверу в зависимости от того, с какого терминала он обращается. Терминалы могут существенно отличаться друг от друга не только составом аппаратных средств, но и набором программного обеспечения, функционирующего на них.

Подсистема Аккорд-AcXNet V3.0, обеспечивающая взаимную аутентификацию СЗИ, имеет следующую архитектуру (рис. 1):

1. Ядро - предоставляет интерфейсы для обмена данными:

  • интерфейсы для приложений 
    • основной (для обмена данными с рабочими станциями и приложениями пользователей),
    • служебный (для регистрации рабочих станций  в системе и приложений пользователей на каждой станции);
  • интерфейсы для подсистем взаимодействия с модулями (для взаимодействия ядра с его подсистемами через специальный диспетчер).

 2. Подсистемы взаимодействия с модулями (набор подключаемых модулей в каждой подсистеме может быть расширен):

  • Подсистема шифрования – обеспечивает взаимодействие с модулями шифрования данных (алгоритмы по ГОСТ 28147-89). 
  • Подсистема аутентификации – обеспечивает взаимодействие с модулями аутентификации данных (алгоритмы ЭЦП по ГОСТ Р 34.10-2001, алгоритмы ЗКА). 
  • Подсистема транспорта – обеспечивает взаимосвязь с модулями передачи данных в сети (транспортные протоколы IPX, UDP, TCP/IP).

Рис. 1. Архитектура Аккорд-AcXNet

Достаточно очевидно, что подобную систему можно построить только на базе аппаратного СЗИ, причем такого, как Аппаратный Модуль Доверенной Загрузки (Аккорд-АМДЗ), обладающего достаточными ресурсами и необходимой функциональностью. Оно должно иметь в своем составе по меньшей мере аппаратный генератор случайных чисел, защищенное хранилище ключевой информации и собственную криптографическую подсистему, а также обеспечивать защищенность аутентифицируемого ПК от несанкционированных изменений, иначе смысл аутентификации сводится на нет: зачем подтверждать подлинность устройства, которое, возможно, было модифицировано злоумышленником? 

Функционирование ПАК СЗИ НСД Аккорд-NT/2000 V 3.0 предполагает обеспечение на каждом СВТ, входящем в систему,  контроля целостности аппаратной и программной составляющих, что делает аутентификацию станций целесообразной. А архитектура входящих в комплекс аппаратных средств обеспечивает доверенность как среды вычислений, так и самих вычислений. Совокупность этих условий обеспечивает режим, при котором взаимодействие происходит только между теми СВТ, которым положено взаимодействовать, и только при условии отсутствия в них несанкционированных модификаций и под управлением легального пользователя.


ЦеныЦены
Прайс-лист
ЗаказатьЗаказать
Купить наши изделия
ФорумФорум
Форум на сайте ОКБ САПР
программирование и верстка сайта - shs