Аннотация: Предложено новый механизм генерации и установления единой ключевой пары в облаке без передачи личного ключа. Усовершенствована реализация алгоритма аутентификации пользователей в облаке по протоколу OAuth, путем применения алгоритма электронной цифровой подписи ДСТУ 4145-2012 и аппаратных средств защиты.
Ключевые слова: управления ключами, OAuth, аппаратные средства защиты, облако.
Технічні науки
УДК 004.75
Аулов Іван Федорович
м. н. с. кафедри Безпеки інформаційних технологій
Харківський національний університет радіоелекроніки
Аулов Иван Федорович
м. н. с. кафедры Безопасности информационных технологий
Харьковский национальный университет радиоэлектроники
Aulov I.
junior researcher in Department of Information Technology Security
Kharkiv National University of Radio Electronics
МЕХАНІЗМИ, МЕТОДИ ТА ЗАСОБИ УПРАВЛІННЯ ОСОБИСТИМИ КЛЮЧАМИ КОРИСТУВАЧІВ В ХМАРІ
МЕХАНИЗМЫ, МЕТОДЫ И СРЕДСТВА УПРАВЛЕНИЯ ЛИЧНЫМИ КЛЮЧАМИ ПОЛЬЗОВАТЕЛЕЙ В ОБЛАКЕ
MECHANISMS, METHODS AND MEANS FOR USERS PRIVATE KEYS MANAGEMENT IN THE CLOUD
Анотація: Запропоновано новий механізм генерації та встановлення єдиної ключової пари в хмарі без передачі особистого ключа. Вдосконалено реалізацію алгоритму автентифікації користувачів в хмарі за протоколом OAuth, шляхом застосування алгоритму електронного цифрового підпису ДСТУ 4145-2012 та апаратних засобів захисту.
Ключові слова: управління ключами, OAuth, апаратні засоби захисту, хмара.
Аннотация: Предложено новый механизм генерации и установления единой ключевой пары в облаке без передачи личного ключа. Усовершенствована реализация алгоритма аутентификации пользователей в облаке по протоколу OAuth, путем применения алгоритма электронной цифровой подписи ДСТУ 4145-2012 и аппаратных средств защиты.
Ключевые слова: управления ключами, OAuth, аппаратные средства защиты, облако.
Summary: Proposed a new generation mechanism and the establishment of a private key pair in the cloud without private key transfer. Improved implementation of user authentication algorithm in the cloud using OAuth, by applying the algorithm of digital signature DSTU 4145-2012 and hardware protection.
Key words: key management, the OAuth, hardware protection, cloud.
Вступ
В Україні, як і в більшості держав світу, знаходять своє застосування хмарні сервіси. В провідних державах світу вже прийнято ряд законів та стандартів, що визначають поняття хмарних сервісів та регулюють захист інформації в хмарному середовищі. В Україні також ведеться розробка в цьому напрямку та 24.03.2016 подано законопроект 4302 «Про внесення змін до деяких законодавчих актів України щодо обробки інформації в системах хмарних обчислень» до Верховної Ради України.
Впровадження хмарних технологій в світі виявило ряд проблем та питань з захисту інформації в хмарі. Особливо проблемними питаннями при використанні хмарних сервісів, на наш погляд, є управління ключами користувача в середовищі хмарних обчислень [1, 2].
Таким чином дослідження механізмів та засобів управління ключами користувача для України є важливим і актуальним завданням.
Нехай в хмарі необхідно встановити єдину ключову пару між N з’єднаними між собою вузлами. Кожний з вузлів повинен володіти ключовою парою для підписута ключовою парою для направленого шифрування . Відкритим ключам повинні відповідати сертифікати – ,. Ключі підпису використовуються для автентифікації вузлів, забезпечення цілісності даних, а також підпису відкритих ключів користувача для відправки на сертифікацію до центру сертифікації ключів (ЦСК). Ключі шифрування призначені для забезпечення захищеного каналу передачі інформації між вузлами.
Запропонований механізм дозволяє забезпечити генерацію та встановлення ключової пари в системі з вузлами при використанні якої забезпечується встановлення ключів по відкритому каналу зв’язку.
Налаштування та генерація ключа
Загальносистемні параметри: еліптична крива ‑, базова точка еліптичної кривої ‑ , порядок базової точки ‑ , розмір поля, який визначає базове кінцеве поле –. Алгоритм передбачає встановлення спільної пари ключів між двома вузлами за один прохід. Якщо спочатку спільна пара генерується для двох вузлів, після чого спільна пара генерується між вузлами де вже встановлено ключ та новим вузлом.
Протокол встановлення ключа
У випадках, коли застосування математики ЕК або спарювання точок ЕК не можливе, а вимоги стійкості до атак типу «повне розкриття» дозволяють використовувати криптографічні алгоритми з субекспоненційною стійкістю протокол може бути побудовано з використанням математичних примітивів в полях Галуа наступним чином.
Налаштування та генерація ключа
Загальносистемні параметри: просте поле Галуа , просте сильне число ‑ , первісний елемент поля – . Алгоритм передбачає встановлення спільної пари ключів між двома вузлами за один прохід. Якщо спочатку спільна пара генерується для двох вузлів, після чого спільна пара генерується між вузлами де вже встановлено ключ та новим вузлом.
Протокол встановлення ключа
1.3 Аналіз протоколу
Для оцінки запропонованого криптографічного протоколу застосуємо набір критеріїв, що запропоновані в [3, c. 556-564, c. 611]. Відповідно до висунутих критеріїв в запропонованому протоколі:
На сьогодні в світі в якості методів автентифікації користувачів в хмарі застосовується:
Методи автентифікації реалізуються за рахунок застосування таких протоколів, як OAUTH (Open authentication), FIDO (Fast IDentity Online), OpenID, XSSO (X/Open Single Sign-on) та Kerberos.
В якості засобів автентифікації може застосовуватися:телефонні дзвінки, SMS повідомлення, смарт-картки, ID-картки, токени, мобільні додатки, паролі OTP, модулі довіреної платформи (Trusted Platform Modules, TPM), пристрої з підтримкою NFC.
Найбільше розповсюдження сьогодні отримав метод автентифікації з використанням пароля. Також розповсюдження набуває метод з використанням протоколу OAuth [4], що дозволяє автентифікувати користувача не передаючи на сторонній сайт його дані автентифікації. Існуючий протокол OAuth, що використовує пароль користувача для автентифікації має суттєвий недолік, а саме необхідність зберігання та передавання паролю користувача на сервер автентифікації.
Для вирішення цієї проблеми пропонується застосовувати кінцевими користувачами хмарних сервісів засоби веб-автентифікації користувачів на основі сертифікатів відкритих ключів, що застосовуються в національній системі ЕЦП України.
2.1 Структурна схема засобів веб-автентифікації
До складу засобів веб-автентифікації користувачів на основі сертифікатів відкритих ключів, що пропонується до застосування, входять: сервер веб-автентифікації, сервер прикладної системи, персональний комп’ютер (ПК) чи робоча станція (РС) користувача, ЦСК (рис. 1).
Рисунок 1 – Структурна схема засобів web –автентифікації
Сервер веб-автентифікації, реалізується на основі веб-сервера з інтерпретатором PHP, Java або C# та включає криптографічну бібліотеки для перевірки підписів з інтерфейсом PHP, Java, C#, а також за необхідності мережний крипто модуль.
Засоби у складі прикладних систем виконують функції:
Зазначені функції засоби виконують шляхом застосування протоколу OAuth та механізмів криптографічного захисту інформації.
Автентифікація користувачів ЦСК здійснюється шляхом перевірки електронного цифрового підпису (ЕЦП), що накладається в процесі автентифікації з використанням їх особистих ключів та сертифікатів.
2.2 Функціональна схема засобів веб-автентифікації
На рисунку 2 зображена функціональна схема засобів веб-автентифікації.
Рисунок 2 – Функціональна схема засобів веб –автентифікації
До складу РС (ПК) користувача входить:
– модуль веб-автентифікації, який завантажується автоматично з сервера web-автентифікації;
– носії ключів користувача, що підключаються до РС (ПК).
Веб-сервер прикладної системи повинен реалізувати логічні блоки взаємодії з користувачем ЦСК та сервером веб-автентифікації за протоколом OAuth. Програмно-технічний комплекс ЦСК, є окремою складовою частиною, що не входить безпосередньо до складу засобів, але взаємодіє з ними.
Сервер веб-автентифікації у складі засобів призначений для:
– автентифікації веб-серверів прикладних систем за протоколом OAuth, що включає також ведення реєстру облікових записів прикладних систем (додавання, видалення та зміну реєстраційних даних);
– автентифікації користувачів ЦСК шляхом: надання відповідних web-сторінок автентифікації та модулю автентифікації, перевірки ЕЦП, що накладається користувачем на дані автентифікації в процесі автентифікації, перевірки статусу сертифікатів користувачів у ЦСК за протоколом OCSP та з використанням СВС;
– передачу даних про автентифікованих користувачів ЦСК web-серверам прикладних систем за їх запитами.
Мережний криптомодуль (за наявності) призначений для безпосередньої перевірки ЕЦП, що накладається користувачем на дані автентифікації в процесі автентифікації з метою зменшення навантаження на сервер web-автентифікації.
Модуль автентифікації користувача ЦСК використовується для:
– зчитування особистого ключа користувача та перевірки статусу сертифікатів користувача за протоколами OCSP та з використанням СВС;
– накладання ЕЦП на дані автентифікації з використанням зчитаного особистого ключа для передачі на сервер web-автентифікації.
Електронні ключі призначені для зберігання особистих ключів користувача та апаратної реалізації криптографічних перетворень усередині пристрою для забезпечення більш високого рівня безпеки.
Порядок взаємодії засобів під час автентифікації користувача ЦСК на web-сервері прикладної системи реалізований відповідно до протоколу OAuth [4]. Структурно-функціональна схема взаємодії засобів web-автентифікації наведена на рис. 3.
Рисунок 3 – Структурно-функціональна схема взаємодії засобів веб-автентифікації
Основними відмінностями запропонованого протоколу від існуючого є застосування ЕЦП, що накладається користувачем з використанням особистого ключа, замість логіна та пароля користувача, а також перевірці накладеного ЕЦП сервером веб-автентифікації.
Висновки
Запропонований механізм встановлення спільного ключа дозволяє встановлювати ключі в хмарному середовищі між N вузлами без передавання особистих ключів через недовірений канал зв’язку.
Застосування носіїв особистих ключів користувача, модулів криптографічного захисту дозволяють зменшити ризик реалізації загроз за рахунок використання сертифікатів відритих ключів користувача, хмарного ЦОД та апаратних засобів захисту.
Реалізація автентифікації користувачів в хмарі на основі протоколу OAUTH дозволяє здійснити автентифікацію користувачів за рахунок використання сертифікату відкритого ключа на ресурсі, що захищається, без необхідності безпосереднього використання спеціалізованих бібліотек криптографічного захисту. Використання цього підходу дозволяє забезпечити, як мінімум, 3 рівень безпеки ключових даних, згідно ДСТУ ISO\IES 19790-2012.
Література: