CC BY
74
Разработка криптографического протокола двухфакторной аутентификации Иванов Р. В.
Иванов Роман Витальевич /Ivanov Roman Vitalevich - студент, группа МП-49, кафедра «Телекоммуникационные системы», факультет микроприборов и технической кибернетики (МПиТК),
Национальный исследовательский университет Московский институт электронной техники, г. Зеленоград
Аннотация: в статье анализируются методы защиты от несанкционированного доступа
информационных систем по причине недостаточно сложной системы аутентификации. Рассматривается разработка криптографического протокола двухфакторной аутентификации на основе российских криптографических алгоритмов, соответствующего требованиям ФСТЭК для информационных систем третьего класса.
Ключевые слова: защита информации от несанкционированного доступа, методы аутентификации, двухфакторная аутентификация, криптография, криптографический протокол, симметричное шифрование, обмен ключами по алгоритму Диффи-Хелмана, аутентификация по смарт-карте.
Защита информационных и инфокоммуникационных систем от несанкционированного доступа является одной из актуальных и приоритетных задач. Интерес к этой теме на сегодняшний день велик, так как получение злоумышленником доступа к информационной системе представляет множество серьёзных угроз. Такие как:
• кража конфиденциальной информации;
• изменение критически важных данных автоматизированных систем и дезорганизации работы устройств;
• захват управления над системой [1, с. 41] и т. п.
Одним из причин получения злоумышленником доступа в систему является недостаточно надежная система аутентификации. Поэтому для решения данной проблемы была разработана программно-аппаратная система двухфакторной аутентификации, соответствующая требованиям ФСТЭК для информационных систем третьего класса.
Целью работы является защита автоматизированной системы и открытого канала связи, предназначенного для аутентификации, от несанкционированного доступа путем применения средств криптографической защиты информации.
Для достижения поставленной цели необходимо решить следующие задачи:
- реализовать программную часть системы;
- разработать криптографический протокол на основе российских стандартов, предназначенный для проверки подлинности клиента и обеспечения безопасности пользовательских данных, передаваемых по открытому каналу связи;
- разработать приложение для тестирования;
- написать документ, описывающий интерфейс доступа к программной части.
<----
Сервер
управления
Программноаппаратная система двухфакторной аутентификации со стороны сеовеоа
открытый
защищены ый канал_
связи
Разрабатываемая система
К
(встр
си
Про апп си двухф аутент со с
К/1
Рис. 1. Архитектура системы
На рисунке 1 представлена архитектура системы. Основными компонентами системы являются клиент, который представляет собой встраиваемую систему на платформе Linux, согласно техническому заданию, и сервер управления. Для обеспечения безопасного доступа используется программно-аппаратная система двухфакторной аутентификации на основе смарт-карты и пароля.
Перехват и анализ сетевого трафика, направление на получение пароля и идентификатора пользователя путем «прослушивания сети» с помощью специального программного анализатора предотвращается путем применения симметричного шифрования. Нарушение целостности данных, передаваемых по каналу связи, решается использованием однонаправленной хеш-функции. Для предотвращения подмены доверенного объекта в сети и передачи сообщения от его имени с присвоением его прав и привилегий применяется процедура проверки подлинности клиента, описанные в международном стандарте ISO [1, с. 57]. С целью выявления уязвимостей программного обеспечения, относящихся к средствам защиты информации, согласно руководящему документу ФСТЭК «Защита от несанкционированного доступа к информации часть 1» от 4 июня 1999 г. - должны подвергаться статическому и динамическому анализу.
При разработке протокола решены основные задачи:
1) Выработать механизм проверки подлинности клиента, инициирующий соединение с сервером.
2) Обеспечить безопасность пользовательских данных при передаче по каналу связи.
Для решения первой задачи наиболее подходящим алгоритмом является аутентификация клиента на основе случайных чисел и имитовставок. Для решения второй задачи было выбрано симметричное шифрование на основе российского стандарта ГОСТ 28147-89 [2]. Применение симметричного шифрования, требует необходимость выработки сессионного ключа. Эту задачу можно решить алгоритмом Диффи-Хеллмана [3, с. 75].
Таким образом, протокол условно делиться на три этапа:
1) Проверка подлинности клиента, инициирующее соединение.
2) Обмен сессионным ключом симметричного шифрования.
3) Безопасная передача пользовательских данных, предназначенных для двухфакторной аутентификации, по открытому каналу связи.
Рассмотрим формат передаваемых сообщений в данном протоколе.
id
клиента
ш
&I
Ю-1
код ответа/ запроса
5 х 2 х
X
го
X
&
данн
ые
Рис. 2. Формат передаваемого сообщения
На рисунке 2 представлен формат передаваемого сообщения. Первые два байта данных отведены для ID (идентификатора) клиента. На примере клиент с ID = 0x01. Следующий байт содержит специальные флаги и режимы. В данном случае все флаги не активны. Далее 2 байта отводятся под код ответа или запроса. Исходя из этого кода, клиент или сервер узнают, что содержит сообщение. Следующий байт показывает длину передаваемых данных. В этом примере 4 байта. После размера данных идут сами данные.
Таким образом, исследуя выбранную тему, я пришел к выводу о том, что защита от несанкционированного доступа в систему является одной из актуальных и приоритетных задач в обеспечении безопасности информационных систем. Для предотвращения несанкционированного доступа был разработан криптографический протокол двухфакторной аутентификации.
Литература
1. Батура В. П., Панасенко С. П. «Основы криптографии для экономистов», М.: Издательство «Финансы и статистика», 2005 - 176 с.
2. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования. ГОСТ 28147-89.
3. Панасенко С. П. «Алгоритмы шифрования, специальный справочник», Санкт-Петербург, Издательство «БХВ-Петербург», 2009 - 576 с.
