Использование криптографических интерфейсов операционной системы Windows при разработке систем IP-телефонии, защищенных от несанкционированного доступа Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 519.68

C.B. нопин*

В.Г. ШАХОВ

"Омский государственный технический университет

Омский государственный университет путей сообщения

ИСПОЛЬЗОВАНИЕ

КРИПТОГРАФИЧЕСКИХ ИНТЕРФЕЙСОВ ОПЕРАЦИОННОЙ СИСТЕМЫ WINDOWS ПРИ РАЗРАБОТКЕ

СИСТЕМ IP-ТЕЛЕФОНИИ, ЗАЩИЩЕННЫХ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА_

В статье рассматриваются возможности использования криптографических интерфейсов операционной системы (ОС) Windows при разработке систем передачи речи через сеть Internet/Ethernet в сжатом и защищенных от несанкционированного доступа (НСД) виде.

С развитием современных информационных и телекоммуникационных технологий все большее распространение получают компьютерные сети. Увеличение производительности стандартных персональных компьютеров позволяет эффективно обрабатыватыютоки аудиоинформации в реальном масштабе времени, а пропускная способность сетей становится достаточной дли передачи больших объемов данных с высокой скоростью. Стремительный рост масштабов сетей, как локальных, так и глобальных по пропускной способности и по числу пользователей приводит к большому росту интереса к подобного рода услугам. По мнению аналитиков западной консалтинговой компании IDC (7), государства Европы вступают в эру IP-телефонии. Анализ состояния этого сегмента телекоммуникационного рынка свидетельствует о более чем пятикратном увеличении измеренного в минутах VoIP-трафика в 2005 году по сравнению с предыдущим. Ожидается, что в 2006 году трафик возрастет еще в три раза. Возможность потенциальной экономии делает IP-телефонию более привлекательной как для крупных компаний, так и для частных домохозяйств. По прогнозам исследовательской фирмы Forrester Research (б), полный переход отрасли связи европейских стран на технологию IP займет 14-15 лет и завершится примерно в 2020 г. Использование открытых IP-сетей для передачи конфиденциальных данных предъявляет особые требования для защиты этой информации.

Современные IBM-совместимые компьютеры, как правило, обладают аппаратной возможностью вводить-выводить звук с помощью стандартной звуковой карты f31. Во всех версиях ОС Windows (начиная с Windows NT 4.0) присутствует специальный интерфейс, предназначенный для работы со звуком DirectSound, который является составной частью пакета DirectX. Интерфейс позволяет воспроиз-¿1 водить, записывать звук, создавать трехмерные

эффекты при воспроизведении звуковых данных. Кроме DirectSound во всех версиях ОС Windows (начиная с Windows 95) присутствует специальный интерфейс, предназначенный для преобразования форматов звуковых данных. Он называется (АСМ) Audio Compression Manager {диспетчер сжатия звука) (2). Интерфейс позволяет изменять частоту, разрядность, количество каналов, а также тип сжатия звуковых данных (formal tag). АСМ включает в себя набор кодеков, выполняющих необходимые преобразования. Кодеки, компрессоры/декомпрессоры, представляют собой исполняемые файлы с расширением \acrn. Они находятся в системной папке C:\Windows\system. При достаточной мощности процессора преобразование может выполняться в реальном времени и использоваться для построения систем IP телефонии на основе ОС Windows (4).

Современные операционные системы Microsoft (Windows 2000. Windows 2003, Windows X P, Windows ME) содержат множество криптографических подсистем различного назначения как прикладного уровня, так и уровня ядра, и ключевую роль в реализации этих подсистем иг рает интерфейс Microsoft Cryptographic Application Programming Interface jCryptoA-PIj (5) На уровне ядра системы базовые криптографические преобразования (шифрование, хеширование, цифровая подпись и несимметричный обмен ключами) происходят непосредственно в драйверах, реализующих основные подсистемы ОС Windows. Такие драйверы называются криптопровайдерами. Криптопровайдеры имеют стандартный набор функций. который состоит из 23 обязательных и 2 необязательных процедур. Функции CryptoAPI в таких случаях используются для вспомогательных операций на прикладном уровне. Набор базовых криптографических функций называют также интерфейсом CryptoAPI версии 1.0. Кроме стандартных (входящих в поставку ОС Windows) криптопровайдеров система позволяет установить дополнительные криптопро-

вайдеры (разработанные сторонними разработчиками), что придает ей гибкость. В качестве примера можно принести криптопропайдер Signal-COM CSP (Сертификат ФСБ России СФ/114-0868 от 23.04.2006 г.) компании «Сигнал-КОМ», который реализует сертифицированные российские криптографические алгоритмы и обеспечивает к ним доступ из пользовательских приложений через стандартный криптографический интерфейс компании Microsoft -CryptoAPI.

Оцифровка звука, компрессия / декомпрессия, базовые криптографические функции, реализация сетевых протоколов TCP/IP, UDPn воспроизведение звука на уровне функций и процедур управляются с помощью средств application programming interface (API) ОС Windows. Современные среды программирования С+ + Builder, Delphi, Visual С++, и др. обладают возможностью использования интерфейса API, DirectSound, ACM. CriploAPI [1,2,4.5] и. соответственно, могут применяться для создания программ ввода, компрессии/декомпрессии, воспроизведения звука, криптографического преобразования и передачи потока сжатой зашифрованной речи по IP сети.

Целыо исследования явился анализ возможностей применения интерфейсов CriploAPI ОС Windows для шифрации/дешифрации и цифрового подписывания информации при разработке программного обеспечения для передачи речи в защищенном режиме через IP сети.

Для исследования возможностей интерфейсов CriploAPI ОС Windows в среде С++ Builder 6.0 11,5) разработана программа CriptoProjecl (рис.1).

Она функционирует следующим образом. Через интерфейсы CryptoAPI 1.0 содержащиеся в системной библиотеке Windows\system32\advapi32.dll программа последовательно вызывает все установленные в системе криптопровайдеры непосредственно выполняющих криптографические преобразования. У каждою криптопровайдера запрашивается подробная информация о криптографических стандартах, кото-

рые он реализует. Полученные данные выводятся в текстовый редактор и могут быть сохранены в файл. Далее может быть выбран интересующий нас криптопровайдер и криптографический алгоритм криптопровайдера. После нажатия клавиш "Шифра-ция (тестовая)" указанным выше криптоалгоритмом выбранного криптопровайдера тестовое сообщение "Test" зашифровывается. Результат преобразования выводится на экран. Аналогично возможно обратное преобразование.

Исследование управления криптосистемами ОС Windows для использования при разработке систем IP-телефонии проводилось в следующем порядке:

На двух компьютерах с установленными ОС Windows ХР и Windows 2003 были запущены и протестированы копии указанных выше программ. Полученные результаты приведены в таблице 1 (для одного криптопровайдера). Общий обобщенный перечень криптопровайдеров и их возможностей приведен в таблице 2

Анализ полученных данных о криптоалгоритмах встроенных в криптопровайдеры установленных в операционных системах Windows ХР и Windows 2003 показывает, что возможно их применение для разработки систем защищенных от несанкционированного доступа (втом числе систем IP-телефонии) с защитой информации на уровне интерфейсов прикладных программ семиуровневой модели OS1/ISO. Использование стандартных ин терфейсов CriploAPI и сертифицированных криптоалгоритмов и библиотек позволяетуже на уровне начального проектирования упростить общую разработку, тестирование и отладку криптосистем. На уровне эксплуатации упрощается обновление криптосистем и повышается надежность их работы за счет использования модульной структуры криптопровайдеров.

Апробация разработанной программы CriptoProjecl показала эффективность применения технологии CriploAPI в управлении криптонровайдерами при криптопреобразованиях пакетов информации.

^ Тестирование? криптосистем ОС Windows

BE®

Полутени-*о&цей(♦«Формацииокркпопромйаервхсист«мы| Крмптопром^еры ¡MiaotoftErhaneedRSAendAESOypJogropttcProvtfw(Piototypc) jr]

Шифраиия [тест ома )

Дси*»СфОЦИЯ (гостООля)

KfMTTOdirOpKTf.tbl

Имя Mcowft Erhanced RSA end AES Ci>p<ocraphc PiowJm |Prc*ot>i»)

Версия гсосойдсра 2.0 T ип гроыАаерфЗД 24 Тип реал«мции гсосл'ибра Програг-т.«^

I Имя алгоритма IП5А Data Sccu-t/i RC2 'RSADaiaSecurtyt RC4 I DfbEnc.-y&cn SUrtded |DES) ! Two Key Tiipfe DES I Thee Key TrpfeDES ' Sccuc Hash£Jj>3<iihm [SHA-1) > Menage Oigott 2(M02| I Menage Digest 4 {VD4| 'Mestage Digeii5(WD51 ISSL3 SHAMD5 IW eiioge AuthsnbcMn Cede IRSAS>ywtuto i RSA Key Exchar-ge

i hugos mac ;hmac;

I Ameiican Ervaypton Stored 123-bt i American Eroypion Slarrfaid 1S2M i African Enc<yp6on StsnC-Md 2S5t><

Имя npcc-:*«eiM Mooioft RSA SCoyv-id Оус*озг«У*с Prowler

Версия rpocaAa coa 20

lin лросайаера RSA SCh.yr»fJ

Тлт реа/^эации пссвайаера Пра-рм-т^ый

I Даша г.почэ«»»т|

Algid 1 T vtfl I0d |Ма*

I iL'^j-powMne и 28 ! 128 '40

6301 h i Шифрование 428 1128 140

6601 h 1 il>»WWiwc •56 '56 '56

660* • Шифроынке пи ! 112 1112

6503b ! Ulit^poe-SM^S •168 И 68 1168

8031h 1 Хэш пео П60 1160

8001 h 'Хэш •128 • 128 ! 128

8032h 'Хэш •128 И28 М28

8033h 'Хэш 1128 1128 428

8033h 'Хэш • 268 ' 2S3 '238

8035h 'Хэш '0 "0 "0

24»h ' П com кь 11024 115384 ! 334

a400h ' Обмен >1024 ! 16334 '334

80Wh 1 Хэш •0 10 10

6&0eh ! Шифрование ? 128 ! 128 ! 128

660t?. ! Шифрюегние «192 1192 М92

esioh ' Шифромние »256 ■2К '256

SSL3SHAMD5 A t

Ме«оэс AUhenbcttbon Cock

R$A Signature I

RSA Key Exchange i

Hugo's MAC (HWACI

A/neiiean Efictypljon Slandvd 128-Ы |

African Елстльоп Slar«daid 192-bi _ - I

Авкюм ЕпауЛоо Stardad 2Еый. 521

Рис. 1. Главное окно программы CrlptoProjccI

ГаОлнца 1

Криптографические средства криптопровайдера Ccmplus GcmSAFE Card CSF vl.O

Имя провайдера: (Jeniplus CernSAFE Card CSP vl.O

Версия провайдера: 2.20

Тип провайдера; USA Full (Signature and Key Exchange)

Идентификатор Тип криптоалгоритма Длина ключа (бит) Имя криптоалгоритма

Текущая Мах Мш

6602h Шифрование 128 128 40 RSA I>dia Security's RC2

6801h Шифрование 123 128 40 RSA Dala Security's RC4

6601h Шифрование 56 56 56 Data Encryption Standard (DES)

6609h Шифрование 112 112 112 Two Key Triple DES

6603h Шифрование 163 108 168 Three Key Triple DES

8004 h Хэш 160 100 100 Secure Hash Algorithm (SHA-1)

8001h Хэш 123 128 128 Message Digest 2 (MD2)

8002h Хэш 128 128 128 Message Digest 4 (MD4)

£003h Хэш 128 128 128 Message Digest 5 (MD5)

«008h Хэш 283 238 283 SSL3 SHAMD5

8005h Хэш 0 0 0 Message Authentication Code

2400h Подпись 1024 1024 512 RSA Signature

o400h Обмен 1024 1024 512 RSA Key Exchange

3000h Хэш и 0 0 Hugo's MAC (HMAC)

Таблица 2

Криптопропайдеры ОС" Windows

Имя провайдера Tu ii npOBafiAepa. Количество поддерживаемых криптоалгоритмов

Gi-ш plus <¡emSAFE Card CSP vl.O RSA Full (Signature and Key Exchange) 14

Infineon SICRYPT Base Snvail Card CSP RSA Full (Signature and Key Exchange) 14

Megasoil Co.. Ltd. COST with Diffie-Hellman Cryptographic Service Provider PROV_PORTEZZA 3

Microsolt Base Cryptographic Provider vl .O RSA Full (Signature and Key Exchange) 12

Microsoft Base DSS and Diilie-Hellman Cryptographic Provider DSS Signature with Diffie-Helman Key Exchange 9

Microsoft Base OSS Cryptographic Provider DSS Signature 3

Microsoft DHSChannel Cryptographic Provider D)ifie-f lellman SChannel 16

Microsoft Enhanced Cryptographic Provider vl.O RSA Full (Signatureand Key Exchange) 14

Microsoft Enhanced DSSand Diffie-Hellman Cryptographic Provider DSS Signature with Diffiel lei man Key Exchange 11

Microsoft Enhanced RSA and AES Cryptographic Provider {Prototype} 24 17

Microsoft RSASChannel Cryptographic Provider rsa SChannel 19

Microsoft Strong Cryptographic Provider RSA Full (Signature and Key Exchange) 14

Schlumberger Cryptographic Service Provider RSA Full (Signature and Key Exchange) 12

Результаты экспериментов показывают, что криптографические интерфейсы Microsoft и криптомодули, установленные в ОС Windows, могут успешно применяться на практике как частными, так и корпоративными пользователями локальных сетей и отдельных рабочих станций. Сертифицированные ФСБ РФ криптомодули могут применяться в силовых ведомствах, в органах власти и управления.

Таким образом, разработанная прог рамма Crip-toProject, исходные коды к ней, технологии Microsoft CnptoAPI для криптопреобразований пакетов ин-

формации могут быть использованы при компьютерном моделировании защищенной от НСД передаче речевой информации по 1Р-каналам связи. С помощью программы можно исследовать эффективность реализации различных криптографических алгоритмов в составе различных криптопровайдеров. На практике технология МкговоЛ СпрЮАРЬ используемые алгоритмы управления криптопровайдерами могут применяться при разработке программного обеспечения для дуплексной передачи речи по 1Р-каналам связи в защищенном от НСД режиме.

Библиографическим список

1 Архангельский, Л.Я. С++ Builder6. Справочное пособие Книга I. Язык С + +. / А.Я. Архангельский - М.: Бином-Пресс. 2002. - 544 с.

2 Гордеев. О. Программированиезпука в Windows. Руководство для профессионалов / О Гордеев - СПб.. BHV • Санкт-Петербург. 1999 -364 с.

3 Гук. M Аппаратные сродства IBM PC Энциклопедия. / M Гук - СПб. Питер. 2000. - 816 с

•i i Ioiihh.C.B. Использование возможностей операционной системы |ОС| Windows при разработке систем IP-телефонии. / С В Ионии // Микроэлектроника и информатика - 2006. 13-я Всероссийская межвузовская научно-техническая конференция студентов и аспирантов: Тезисы докладов. М.: МИЭТ, 2006.404 с. - С 287.

S Щербаков. А.Ю. Прикладная криптография. Использо-ванне и синтез криптографических интерфейсов /А.Ю. Щербаков. А В. Домашев — М: Русская редакция. 2003. — Л16 е.: ил.

6. imp //www.forresier.com

7. http://www.idc.com

НОПИН Сергей Викторович, аспирант кафедры средств связи и информационной безопасности Омского государственного технического университета.

ШАХОВ Владимир Григорьевич, к.т.н., профессор кафедры автоматики и систем управления Омского государственного университета путей сообщения.

Статья поступила в редакцию 14.12.06 г. © Нопин C.B., Шахов В.Г.

УДК«81.$1 о.з. исьянов

Омский государственный технический университет

К ВОПРОСУ УПРАВЛЕНИЯ ИНТЕЛЛЕКТУАЛЬНЫМ ЗДАНИЕМ_

Рассмотрена современная постановка проблемы автоматизации технических систем зданий и построения автоматизированных систем управления для таких зданий. Здания, оснащенные комплексом автоматизированных систем, управляемых от ЭВМ, получили общее название «интеллектуальных зданий», и разработка их концепции 8 настоящее время является актуальной проблемой.

15 настоящее время широкое распространение получают автоматизированные системы непроизводственного назначения. Ак туальной системой подобною рода является «интеллектуальное здание» (ИЗ). Интеллектуальное здание можно определить как комплекс автоматизированных инженерных систем здания, аппаратного и программного обеспечения, необходимого и достаточного для эффективною управления системами здания, рационального использования людских и энергетических ресурсов, имеющей конечной целью снижение эксплуатационных расходов при одновременном повышении уровня комфортности и безопасности.

Современное здание имеет комплекс технических систем разного назначения. Эти системы неизбежно в той или иной степени автоматизированы и уровень их автоматизации постоянно растет. По мере совершенствования такие системы неизбежно начинают взаимодействовать между собой - происходит их интеграция. Интеграция технических систем здания приводит к появлению единой автоматизированной системы управления зданием (АСУЗ).

На рис. 1 показана структура системы управления автома тизированным зданием. Системы жизнеобеспечения здания (электроснабжение, водоснабжение, теплоснабжение, вентиляция) и охранно -пожарная система объединены с помощью структурированной кабельной сети (СКС) и связаны с автоматизированной системой управления зданием. АСУЗ используют корпоративную локально вычисли тельную сеть (ЛВС) для связи с внешними системами и сетями с мультимидийной системой, Интернет и телефонной сетью.

Функциональность автоматизации здания можно оценить по трем составляющим безопасность, комфортабельность и экономическая выгоду. К системам безопасности можно отнести такие инженерные системы как охранная сигнализация, противопожарная сигнализация, контроль доступа, видеонаблюдение. К комфортабельности относят: систему вентиляции и кондиционирования, теплоснабжения, электроснабжения. теплоснабжения, локальная вычислительная сеть (ЛВС), мультимедийные системы (домашний кинотеатр, музыкальная трансляция, сеть кабельного телевиденья, аудио и видео запись, домо-фония). Из всех этих грамотно спроектированных и интегрированных в единую инфраструктуру систем, вытекает третья и самая важная - экономическая выгода и рентабельность вложений.

Каждый элемент ИЗ должен явля ться интеллектуальным элементом, и иметь способность выбора оптимального решения в эксплуатации с учетом его связей с другими элементами. Следствием этого является возможность создания интеллектуальных элементов ИЗ по разным направлениям, а затем их объединения на основе системного подхода.

Автоматизация здания требует дополнительных капиталовложений и удорожает строительство. По зарубежным данным стоимость строи тельства и проектирования здания составляет лишь 11% от всех затрат. Оставшиеся 89% — это расходы по эксплуатации:

— платежи за энергоресурсы — 14%;

— затраты на ремонт и модернизацию оборудования—25%;

— оплата труда инженеров службы эксплуатации — 50%.