CC BY
26ИНФОРМАТИКА, ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА И УПРАВЛЕНИЕ
DOI: 10.12737/article_5926a05a06de99.61503162
Еременко В.Т., д-р техн. наук, проф., Шпичак С.А., ст. препод.
Брянский государственный технический университет
АВТОМАТИЗАЦИЯ УПРАВЛЕНИЯ ДОСТУПОМ К РЕСУРСАМ АСУ ТП ПРЕДПРИЯТИЙ СТРОИТЕЛЬНОЙ ИНДУСТРИИ И ЖКХ
frb113@lenta.ru
В статье представлены: модель процесса обеспечения доступа к ресурсам автоматизированных систем управления технологическими процессами (АСУТП) предприятий строительной индустрии и жилищно-коммунального хозяйства (ЖКХ), базовая структура автоматизированной подсистемы управления доступом и метод оперативного управления доступом на основе комбинирования политики доступа, схемы предварительного распределения аутентификаторов и полного разделения секрета. Рассмотрены алгоритмы штатного предоставления доступа и оперативного предоставления временного доступа в случае внештатных и чрезвычайных ситуаций с использованием эволюции аутентификаторов. Приведен состав программных и аппаратных компонентов автоматизированной подсистемы управления доступом к ресурсам АСУ ТП предприятий водоснабжения ЖКХ.
Ключевые слова: автоматизированные системы управления, управление доступом, аутентификация, технологические ресурсы._
Введение. Предприятия строительной индустрии и ЖКХ относятся к критическим объектам народного хозяйства и характеризуются наличием большого количества технологических и информационных ресурсов. Данные ресурсы на практике объединены под управлением автоматизированной системы, включающей в себя такие компоненты как ERP-системы, СУБД, САУ технологическим оборудованием, системы связи с мобильными и стационарными объектами и их позиционирования и пр.
Управление объектами в таких системах директивное, централизованное. Для АСУ характерно наличие большого количества различных каналов связи: ЛВС, полудуплексная радиосвязь в сочетании с радиомодемами, связь посредством каналов GSM и аналоговая телефонная связь.
В таких системах возникают периодические и систематические отказы в обслуживании в каналах связи. На предприятиях происходит сокращение кадров и возникает систематическая нехватка рабочих смен. В результате актуальной становится необходимость обеспечения оперативного перекрестного доступа к технологическим и информационным ресурсам в случае сложных и чрезвычайных ситуаций.
Среда управления определена как доверенная. Циркулирующая в системе технологическая информация не является конфиденциальной, но существует необходимость обеспечения ее до-
ступности, достоверности (аутентичности) и разграничения доступа внутри доверенной среды.
На основе сравнительного анализа моделей разграничения доступа: дискреционной, мандатной, ролевой - выявлено следующее. Модели управления доступом [1] не учитывают дискретный характер доступности ресурсов и абонентов, а также надежность коммуникационных каналов. Существующие модели [2] не учитывают необходимость наличия набора аутенти-фикаторов технологических ресурсов, требующихся для обеспечения достоверности доступа через двухстороннюю аутентификацию пользователя и ресурса.
Основная часть. На основе анализа существующих моделей управления доступом предложена формализованная модель управления доступом к ресурсам АСУ ТП ПСИ ЖКХ (таб-лица.1).
Данная модель учитывает наличие различных каналов связи с информационными системами и технологическим оборудованием. Кроме того, с целью повышения гибкости управления модель допускает внесение дополнительных ограничений на комбинации компонентов, например ограничения прав доступа субъекта по количеству сеансов или по времени и пр.
На основе формализованной модели управления доступом предложена базовая структура автоматизированной подсистемы оперативного
обеспечения достоверного доступа к информационно-технологическим ресурсам (рис. 1).
Структура подсистемы включает в качестве компонентов, помимо серверов доступа, пользователей и ресурсов, также коммуникационные каналы. В структурной схеме учтена возмож-
ность оперативного назначения временного аутентификатора доступа по открытому каналу связи с администратором в случае отказа в штатном канале обслуживания или перекрестного запроса из другой рабочей группы g.
Формализованная модель управления доступом
Таблица 1
M = U, T, S, P, R Z, G,F) •
Множества Наборы, отношения Базовые функции F
и = {и1, u2,•••, иис) субъекты доступа I = {1 ik } A = {al, a2,• • •, aak} идентификаторы аутентификаторы user : I ^ U, id : A ^ I
T = {ti, t2.., } ресурсы C = {cl, c2,..., cck } K = {ki, k2,..., kc } коммуникационные каналы протоколы -
S ^v- ssc} идентификаторы сеанса sid : S ^ I, suser: S ^ U, sauth : S ^ A.
P = p P2,•••, Ppc} права UP = U x P PH = P x P соответствие прав иерархия « У » permission: U ^ 2P
permission: (ui) ^ {p | (3p0 Уp) a ((u, p0) e UP)}
R N роли UR = U x R RP = R x P RH e R x R субъект-роль субъект-права иерархия « У » role : S ^ R
Z = {г^ Z2 ,•••, zj серверы доступа zi ={ и, tj, gk e G) -
G = ^2,• • •, ggc} пользовательские группы u, с g, для j e {l,...,uc} и i e {l,...,gc} serv: Z ^ G,
autorization : t, x {permission(uk ) | uk e U} x U ^ {ok, access denied}
Правило взаимодействия пользователей и информационных ресурсов
3( g, privacy) e Dr (t): g e D (и) a privacy > access (и)
Правило предоставления оперативного перекрёстного доступа
3(a, c) e D (t): a e A, c e C: a e sauth(s) a resourses(t, k, a, c)
Рис. 1. Структурная схема автоматизированной подсистемы оперативного обеспечения достоверного доступа к информационно-технологическим ресурсам
На базе формализованной модели и структурной схемы предложен метод обеспечения доступа к информационно-технологическим ресурсам на основе предварительного распределения депонированных аутентификаторов [3].
Предложенный метод предусматривает комбинированное совместное применение политики управления доступом, схемы предварительного распределения ключей, схемы разделения секрета для выработки временного аутенти-фикатора доступа и алгоритма эволюции аутентификаторов.
В доверенной коммуникационной среде рекомендовано использование уникального ключа для связи между каждой парой абонентов, что влечет за собой для сети из п абонентов необходимость генерации и хранения п(п - 1)/2 ключей. Причем каждый из п абонентов должен хранить п - 1 аутентификатор. Сократить количество аутентификаторов, генерируемых и хранимых в среде автоматизированной системы управления позволяет применение схем предварительного распределения ключей (Блома, KDP и пр.).
Рассмотрим в качестве базовой схемы предварительного распределения аутентификаторов схему Блома [4]. В данной схеме над конечным полем ¥ фиксируется п различных нетривиальных элементов г\, ..., Гп е ¥, которые приписываются в качестве идентификаторов абонентам сети. Далее выбирается многочлен над полем ¥ степени 2т, 1< т < п, вида
т т
/ (х у )=ЕЕ а«х'у],
(\)
1=0 ]=0
коэффициенты а- которого образуют симметричную относительно главной диагонали обратимую квадратную матрицу аутентификаторов Л = (а. ) над конечным полем ¥. Матрица Л
V У/тхт
секретна и депонируется на сервере аутентификации. Каждый абонент А получает в качестве универсального аутентификатора набор (а(л),а(л),...,а^), состоящий из коэффициентов многочлена
ёл(х) = I(х, ГА) = а0А) + а(л)х +... + а^Х .(2)
Далее для связи между каждой парой абонентов А и В используется уникальный аутентификатор кАБ'.
клв = кБА = /(гл,гв)= ёл(гв)= ёв(гл), (3)
что в конечном итоге позволяет вместо п - \ хранить т аутентификаторов.
В классической схеме Блома идентификаторы находятся в открытом доступе. При ис-
пользовании же комбинированной (матрично-ролевой) политики доступа используется алгоритм, реализующий правило взаимодействия пользователей и информационных ресурсов (см. табл. 1.). Устанавливается соответствие в матрице доступа между правами абонента, запрашивающего доступ и идентификатором гб запрашиваемого информационного ресурса или абонента.
Технологические ресурсы зачастую имеют фиксированный аутентификатор доступа. Кроме того, при организации перекрестного доступа полномочия абонента могут быть ограничены по времени или количеству сеансов. Также возможен отказ в обслуживании по аутентичному (защищенному) каналу связи. Для экстренного предоставления доступа предлагается использовать комбинацию схемы предварительного распределения ключей и схемы полного разделения секрета (СРС).
Предположим необходимо предоставить доступ к технологическому ресурсу V, имеющему фиксированный аутентификатор ки. Сервером аутентификации в данном случае генерируется случайный битовый вектор Ь длины т:
Ь = (Ьо, Ь\, ..., Ьт)2,
(4)
и вычисляется временный аутентификатор г' как:
т
г' = + ЕЪ{а\л) над полем G¥2. (5)
1=0
Вычисленный таким образом временный аутентификатор г' и случайный вектор Ь передаются абоненту по открытому резервному каналу. Получив их, абонент восстанавливает аутентификатор ки как:
т
ки = г'+ЕЪр\л) над полем G¥2. (6)
1=0
Для увеличения стойкости можно дополнительно применить к результату суммирования аутентификаторов функцию хэширования Н(х):
г' = + Н
Е ъа
(л)
Л
V 1=0
(7)
Проведение аналогичного комбинирования возможно также на основе схемы KDP[5], основанной на пересечении множеств. Для п>2 абонентов и множества аутентификаторов А, |А| = q вводится прямая нумерация аутентификаторов \, 2, .. q. Выбирается некоторое семейство ..., Sn} подмножеств множества {1, 2, .. q}, являющееся семейством Шпернера в котором ни одно из подмножеств не содержится в другом. В
т
У
оригинальной схеме KDP семейство ..., Sn} представляет собой несекретную таблицу с номерами аутентификаторов из набора щк, k е Si, переданного предварительно каждому абоненту по защищенному каналу. При использовании комбинированной (матрично-ролевой) политики доступа устанавливается соответствие в матрице доступа между правами абонента, запрашивающего доступ и элементом Si запрашиваемого информационного ресурса или абонента.
Для выработки общего аутентификатора связи между абонентами А и Б используют пересечение SA п SБ. Например:
к = к =
клв квл
Е а1 над полем О^. (7)
При возникновении необходимости предоставить доступ к технологическому ресурсу и, имеющему фиксированный аутентификатор ки, сервером аутентификации как и в предыдущем случае генерируется случайный битовый вектор Ь длины т = |5А|:
Ь = (Ьо, Ь\, ..., Ьт)2,
(8)
и вычисляется временный аутентификатор г' как:
г' = ку + Н
Е ъа
V'=0
Л
над полем GF2. (9)
Вычисленный таким образом временный аутентификатор г' и случайный вектор Ь передаются абоненту по открытому резервному каналу. Получив их, абонент может восстановить аутентификатор ки аналогично рассмотренному выше случаю.
Недостатком приведенных выше методов является то, что полученный абонентом А аутентификатор ки является постоянным. Для прекращения временных экстренных прав доступа абонента А к ресурсу и предлагается использовать эволюцию аутентификаторов технологических ресурсов.
В качестве методов эволюции аутентифика-торов рассмотрены: протокол одноразовой аутентификации Лампорта[6]; динамическое изменения аутентификатора в режиме гаммиро-вания (СТЯ)[7]; комбинация двух предыдущих методов.
При использовании протокола Лампорта для каждого технологического ресурса и, имеющего фиксированный аутентификатор ки, устанавливается продолжительность действия Ьи базового аутентификатора ки и предполагаемая периодичность замены Ьг временных аутен-
тификаторов киг. Вычисляется необходимое количество периодов как
I = Ьи / и (\0)
На базовом шаге протокола используется однонаправленная функция хэширования Н. Для текущего г-го периода действия временный аутентификатор ки определяется как:
ки, = Н (Н (...к )...)) = Н1-' (ки ). (\\)
1-' раз
Таким образом для предоставления временных прав доступа абоненту А передаюстя сервером аутентификации по открытому каналу связи: случайный двоичный вектор Ь, период действия аутентификатора Ьг, номер периода i , количество периодов ^ и временный аутентифика-тор г' вычисленный как:
( т \
г = Н1-'(ки) + Н ЕЪгаг(л) над полем в¥2.(\2)
Н к ' V'=0 У
Получив их абонент может восстановить действующий в течении периода Т аутентификатор ки как:
киг = г'+Н
т \
ЕЪгаг(л) над полем а¥2. (\3)
V'=0 У
Недостатками данного метода являются ограниченный период действия аутентификато-ра ки, а также возрастание вычислительной нагрузки при высокой интенсивности информационного обмена.
При использовании режима гаммирования, аутентификатор ки динамически изменяется через некоторый период Ьг посредством шифрования в режиме гаммирования.
Аутентификатор ки является очередным фрагментом блочной гаммы.
киг = ТДек(СТЯг)),
(\4)
где СТЯ\ = IV - инициирующий вектор (синхро-посылка), СТЯг = гпс(СТЯг-\) - значение счетчика, ек - блочный алгоритм шифрования [8] на секретном ключе К, Т - процедура взятия старших 5 бит.
В данном случае аутентификатор ки может выступать как в роли ключа к так и в роли син-хропосылки IV.
Два вышеописанных метода могут быть скомбинированы следующим образом. Временному администратору технологического ресурса с помощью протокола Лампорта выдается аутентификатор, используемый в качестве ключа к, а администратор в свою очередь может передавать пользователям временные аутенти-
1
У
фикаторы, сгенерированные в CTR режиме, пользуясь упрощенным способом генерации r':
r
= kUt е н (kAB)® ь
(15)
где клв - общий аутентификатор связи между пользователем и администратором.
На основе предложенных метода и алгоритмов управления доступом разработан программно-аппаратный комплекс оперативного обеспечения доступа к информационно -технологическим ресурсам автоматизированных систем управления предприятиями водоснабжения, состоящий из АРМ администратора и конечных пользователей.
Программные компоненты, комплекса реализуют:
- предварительное распределение аутен-тификаторов (схемы Блома, KDP), в сочетании с политиками доступа;
- эволюцию аутентификаторов на основе протокола Лампорта или режима Counter (CTR);
- генерацию и передачу временных аутен-тификаторов доступа с использованием комбинации схемы предварительного распределения аутентификаторов и схемы полного разделения секрета.
Программная часть комплекса, разработанная с использованием высокоуровневых библиотек стандарта PKCS#11[9], использует крип-топровайдер Rutoken CSP, который реализует основные операции по обеспечению имитоза-щиты и целостности (выработка имитовставки CMAC [7] и прочие преобразования). Подсистема мультиплатформенная, предъявляет низкие системные требования, что обеспечивает стыку-емость с аппаратным компонентом технологического оборудования.
Аппаратная часть комплекса представлена криптографическими идентификаторами Руто-кен ЭЦП/ЭЦП Flash, платформой Raspberry Pi/Orange Pi и контроллерами технологического оборудования.
Результаты анализа эффективности принятых решений приведены на рисунке 1.
Рис. 2. Анализ эффективности подсистемы управления доступом
Выводы. Использование разработанной автоматизированной подсистемы управления доступом к ресурсам АСУ на основе модифицированной схемы Блома в штатном режиме в сравнении с асимметричной аутентификацией с использованием электронной подписи и удостоверяющего центра дает выигрыш в быстродействии, стоимости и объеме хранимых в системе аутен-тификаторов, при количестве абонентов до 500. В сравнении же с классическими системами симметричной аутентификации дает уменьшение стоимости и значительное уменьшение объема аутентификаторов, при незначительном снижении быстродействия.
Достоинством подсистемы является возможность предоставления оперативного перекресного доступа к ресурсам АСУ ТП предприятий строительной индустрии и ЖКХ в случае внештатных и чрезвычайных ситуаций.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Демидов А.В., Офицеров А.И., Афонин С.И. Моделирование процессов информационного обмена с приоритетами в сетях передачи данных промышленных предприятий // Информационные технологии в науке, образовании и производстве. 2010. Т. 5. С. 94-101.
2. Ерёменко В.Т, Мишин Д.С., Парамохина Т.М., Ерёменко А.В., Ерёменко С.В. Направления и проблемы интеграции автоматизирован-
ных систем управления для предприятий с непрерывным технологическим циклом // Информационные системы и технологии. 2014. № 3. С. 51-58
3. Рытов М.Ю., Шпичак С.А. Метод управления оперативным доступом на основе комбинирования схем предварительного распределения ключей и разделения секрета // Информация и безопасность. 2016. Т.19. вып.1 С. 118-122
4. Blom R. Nonpublic key distribution // Advances in Cryptology. Proceeding of EU-ROCRYPT'82 Plenum New York. 1983. Pp. 231236.
5. Dyer M., Fenner T., Frieze A., Thomason A. On key storage in secure networks // J. Cryptology. 1995. 8. Pp.189-200.
6. Lamport L. (July 1978). Time, Clocks and the Ordering of Events in a Distributed System // Communications of the ACM 21 (7). 1979. Pp. 558-565.
7. ГОСТ Р 34.13 - 2015 Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров. М. Стандартинформ. 2015. 38 с.
8. ГОСТ Р 34.12 - 2015 Информационная технология. Криптографическая защита информации. Блочные шифры. М. Стандартинформ. -2015. 21 с.
9. PKCS #11 Base Functionality v2.30: Cryp-toki - Draft 4. RSA Laboratories. 10 July 2009
Shpichyack S.A.
AUTOMATION ACCESS CONTROL TO THE RESOURCESOF AUTOMATED CONTROL SYSTEM IN BUILDING INDUSTRY AND UTILITIES
Model of the process of ensuring access to the resources of the process control system of building industry, the basic structure of automated access management subsystem and method of operative access control based on a combination of access policies, schemes preliminary distribution of authenticators and full of secret sharing. The algorithms provide regular access to and timely provision of temporary access in case of contingency and emergency situations using the evolution of authenticators. Given the composition of hardware and software components of the automated subsystem control access to the resources of ACS of water supply utilities.
Key words: automated control systems, access control, authentication, technological resources.
Еременко Владимир Тарасович, профессор кафедры «Системы информационной безопасности». Брянский государственный технический университет. Адрес: Россия, 241035, Брянск, бул. 50-лет Октября, д. 7.
Шпичак Сергей Александрович, старший преподаватель кафедры «Системы информационной безопасности».
Брянский государственный технический университет. Адрес: Россия, 241035, Брянск, бул. 50-лет Октября, д. 7. E-mail: frb113@lenta.ru
