поиск по сайту
Защищенный доступ к ресурсам терминального сервера с неограниченного числа компьютеров

Основная задача с точки зрения защиты информации в таких системах состоит в том, чтобы предоставить пользователю возможность защищенного доступа к ресурсам терминального сервера с любого имеющегося в распоряжении компьютера, подключенного к Интернет. Для этого пользовательская среда должна поддерживать широкий спектр оборудования, применяемого в компьютерах общего назначения, а также должна содержать сертифицированные СКЗИ для обеспечения защищенного доступа к терминальному серверу, используя в качестве сети связи Интернет.

Основным элементом разработанной среды может быть ПСКЗИ ШИПКА версии 2.0, оснащённое интерфейсом стандарта USB 2.0 и большим объемом (несколько гигабайт) флеш-памяти, доступной для пользователя как устройство mass-storage. В этой памяти хранится образ ОС Linux, предназначенный для создания защищенной среды для запуска ППО, которое также содержится в ПСКЗИ ШИПКА. В состав образа ОС включены сертифицированные СКЗИ Lirvpn (VPN-клиент) и Lirssl (библиотека криптографических функций), предназначенные для создания защищенных виртуальных корпоративных сетей с использованием Интернет в качестве транспортной среды.

Сеанс работы пользователя со средой выглядит следующим образом. После того, как ПСКЗИ ШИПКА присоединена и включено питание компьютера, с флеш-памяти устройства загружается ОС, которая предварительно была записана в память в виде сжатого образа. Целостность загружаемых данных обеспечивается встроенными механизмами ПСКЗИ ШИПКА. 

Например, в качестве ОС может использоваться дистрибутив Slax, разработанный и поддерживаемый сообществом и предназначенный для запуска с флеш-носителей на максимально большом парке оборудования. Стоит отметить, что в качестве ОС может выступать любой другой дистрибутив, обладающий схожими характеристиками. 

По окончании загрузки ОС стартует Lirvpn в конфигурации VPN-клиента. Lirvpn использует программную библиотеку Lirssl для криптографических преобразований. Lirssl, в свою очередь, использует так называемый engine (динамически загружаемый криптографический модуль), который задействует функционал ПСКЗИ ШИПКА для проведения криптографических преобразований.

 

Клиент Lirvpn соединяется с сервером, на котором также запущен Lirvpn, но уже в конфигурации VPN-сервера. Таким образом между клиентом и VPN-сервером устанавливается защищенный туннель. 

Далее, для доступа к информационным ресурсам, клиент использует web-браузер, например, – «Konqueror», входящий в состав Slax. Konqueror позволяет использовать Lirssl в качестве замены стандартной для Linux криптографической библиотеки OpenSSL, которая не поддерживает криптоалгоритмы ГОСТ.

Для того чтобы Lirvpn, посредством библиотеки криптографических функций Lirssl, имел возможность использовать функции ПСКЗИ ШИПКА, был разработан упомянутый выше программный модуль engine для Lirssl. По своей сути, данный модуль служит «мостом» между интерфейсами библиотек Lirssl и PKCS#11. Он преобразует запросы от приложений, использующих функции Lirssl в вызовы соответствующих функций PKCS#11, которые в итоге транслируются в команды и блоки данных, передаваемых в устройство через драйвер. Аналогично происходит преобразование структур данных из форматов Lirssl в форматы, поддерживаемые библиотекой PKCS#11.

При создании мобильной защищенной среды, как и при решении большинства других задач защиты информации, наряду с программными компонентами, необходимо использовать специализированное аппаратное обеспечение, в данном случае ПСКЗИ ШИПКА. Данное требование обусловлено двумя основными факторами: необходимостью контроля целостности загружаемого образа ОС и необходимостью хранения ключевой информации в защищенной области памяти. Благодаря гибкой архитектуре решения и незначительным требованиям к загружаемой ОС, ядро среды можно довольно легко перенести и интегрировать как в существующие решения на основе тонких или терминальных клиентов, так и в иные дистрибутивы ОС Linux.


ЦеныЦены
Прайс-лист
ЗаказатьЗаказать
Купить наши изделия
ФорумФорум
Форум на сайте ОКБ САПР
программирование и верстка сайта - shs