Доклады, выступления, видео и электронные публикации

Мобильная защищенная среда доступа к сетевым ресурсам на базе ПСКЗИ ШИПКА и СКЗИ Lirvpn

Бажитов И.А., ОКБ САПР

Мобильная защищенная среда доступа к сетевым ресурсам на базе ПСКЗИ ШИПКА и СКЗИ Lirvpn

Презентация: скачать.

В рамках выполнения НИР «Исследование возможности создания программно-технического комплекса доступа населения к ОГИЦ через сеть Интернет с использованием «домашних» компьютеров и обеспечением информационной безопасности по уровню АК-3» в ОКБ САПР, совместно с ООО «ЛИССИ», на базе ПСКЗИ ШИПКА была разработана мобильная защищенная среда доступа пользователя к ресурсам общероссийского государственного информационного центра (ОГИЦ).

Основная задача НИР состояла в следующем: необходимо было предоставить пользователю возможность защищенного доступа к ресурсам ОГИЦ с любого имеющегося в распоряжении компьютера, подключенного к Интернет. Для этого пользовательская среда должна поддерживать широкий спектр оборудования, применяемого в компьютерах общего назначения, а также должна содержать сертифицированные СКЗИ для обеспечения защищенного доступа к ОГИЦ, используя в качестве сети связи Интернет.

Основным элементом разработанной среды является прототип ПСКЗИ ШИПКА версии 2.0, оснащённый интерфейсом стандарта USB 2.0 и большим объемом(несколько гигабайт) флеш-памяти, доступной для пользователя как устройство mass-storage. В этой памяти хранится образ ОС Linux, предназначенный для создания защищенной среды для запуска ППО, которое также содержится в ПСКЗИ ШИПКА. В состав образа ОС включены сертифицированные СКЗИ Lirvpn(VPN-клиент) и Lirssl(библиотека криптографических функций), предназначенные для создания защищенных виртуальных корпоративных сетей с использованием Интернет в качестве транспортной среды.

Сеанс работы пользователя со средой выглядит следующим образом. После того, как ПСКЗИ ШИПКА присоединена и включено питание компьютера, с флеш-памяти устройства загружается ОС, которая предварительно была записана в память в виде сжатого образа. Целостность загружаемых данных обеспечивается встроенными механизмами ПСКЗИ ШИПКА. В описываемой реализации в качестве ОС использовался дистрибутив Slax, разработанный и поддерживаемый сообществом и предназначенный для запуска с флеш-носителей на максимально большом парке оборудования. Стоит отметить, что в качестве ОС может выступать любой другой дистрибутив, обладающий схожими характеристиками. По окончании загрузки ОС стартует Lirvpn в конфигурации VPN-клиента. Lirvpn использует программную библиотеку Lirssl для криптографических преобразований. Lirssl, в свою очередь, использует так называемый engine (динамически загружаемый криптографический модуль), который задействует функционал ПСКЗИ ШИПКА для проведения криптографических преобразований. Клиент Lirvpn соединяется с сервером, на котором также запущен Lirvpn, но уже в конфигурации VPN-сервера. Таким образом между клиентом и VPN-сервером устанавливается защищенный туннель. Далее, для доступа к информационным ресурсам, клиент использует web-браузер, в данном случае - «Konqueror», входящий в состав Slax. Konqueror позволяет использовать Lirssl в качестве замены стандартной для Linux криптографической библиотеки OpenSSL, которая не поддерживает криптоалгоритмы ГОСТ.

Для того, чтобы Lirvpn, посредством библиотеки криптографических функций Lirssl, имел возможность использовать функции ПСКЗИ ШИПКА, был разработан упомянутый выше программный модуль engine для Lirssl. По своей сути, данный модуль служит «мостом» между интерфейсами библиотек Lirssl и PKCS#11. Он преобразует запросы от приложений, использующих функции Lirssl в вызовы соответствующих функций PKCS#11, которые в итоге транслируются в команды и блоки данных, передаваемых в устройство через драйвер. Аналогично происходит преобразование структур данных из форматов Lirssl в форматы, поддерживаемые библиотекой PKCS#11.

При создании мобильной защищенной среды, наряду с программными компонентами, необходимо использовать специализированное аппаратное обеспечение, в данном случае ПСКЗИ ШИПКА. Данное требование обусловлено двумя основными факторами: необходимостью контроля целостности загружаемого образа ОС и необходимостью хранения ключевой информации в защищенной области памяти. Благодаря гибкой архитектуре решения и незначительным требованиям к загружаемой ОС, ядро среды можно довольно легко перенести и интегрировать как в существующие решения на основе тонких или терминальных клиентов, так и в иные дистрибутивы ОС Linux.

Автор: Бажитов И. А.

Дата публикации: 01.01.2009

Библиографическая ссылка: Бажитов И. А. Мобильная защищенная среда доступа к сетевым ресурсам на базе ПСКЗИ ШИПКА и СКЗИ Lirvpn // Комплексная защита информации. Материалы XIV международной конференции (19–22 мая 2009 года). Мн., 2009. С. 28–29.


Scientia potestas est
Кнопка связи