Защищённая транспортная система передачи данных в локальных вычислительных сетях на базе "ACCORD ACXNET V3.0"

Ю. С. Макейчик, Россия, Москва, ОКБ САПР

Используя накопившийся богатый опыт в разработке аппаратных средств защиты информации от несанкционированного доступа и учитывая актуальность проблемы надёжного и безопасного обмена данными по сети ОКБ САПР было разработано ПО "Accord AcXNet V3.0". Это ПО является эволюционным развитием "Подсистемы распределенного аудита и управления".

Новая версия построена по модульной архитектуре и работает под управлением OC DOS, Windows 9x/Me, Windows NT-2003, Linux. "Accord AcXNet V3.0" обеспечивает надёжный и безопасный обмен данными между приложениями в локальной вычислительной сети.

Архитектура системы следующая:

1. Ядро - позволяет устанавливать соединение между компьютерами с использованием процедуры усиленной аутентификации. Передавать и принимать данные в зашифрованном и аутентифицированном виде. Процедура усиленной аутентификации представляет собой следующий алгоритм:
   • Станция №1 генерирует случайные данные RND1, подписывает их и передаёт пакет на Станцию №2.
   • Станция №2 проверяет подпись пакета Станции №1. Генерирует случайные данные RND2, подписывает RND1 + RND2 и передаёт пакет на Станцию №1.
   • Станция №1 проверяет подпись Станции №2, проверяет равенство выработанного RND1 и пришедшего в пакете RND1 . Подписывает RND2 и передаёт пакет на Станцию №2.
   • Станция №2 проверяет подпись пакета Станции №1, проверяет равенство выработанного RND2 и пришедшего в пакете RND2.

   После успешного выполнения всех пунктов такой процедуры Станция №1 и Станция №2 гарантированно уверены в подлинности друг друга. Периодическое проведение этой процедуры в течение жизни сессии соединения позволяет быть уверенным в подлинности участников обмена.

2. Модули сетевых протоколов - позволяют организовывать обмен данными между компьютерами с использованием транспортных протоколов TCP/IP, UDP, IPX, Net BIOS, каналов в рамках протоколов RDP и ICA и т. д.
3. Модули шифрования - позволяют шифровать передаваемые данные по алгоритмам ГОСТ 28147-89, RSA и т. д.
4. Модули подписи - позволяют гарантированно идентифицировать компьютеры в сети при установлении соединения. Реализованы алгоритмы ЗКА (защитные коды аутентификации), ЭЦП ГОСТ 34.10-94 и т.д. Все эти алгоритмы реализованы на базе контроллеров АМДЗ, вычисляются процессором контролеров и соответственно не могут быть искажены злоумышленником. Также можно использовать устройство типа ШИПКА (устройство Шифрования Идентификации Подписи Кодов Аутентификации).
5. Клиенты ядра - программы прикладного уровня. Алгоритмы взаимодействия клиентов могут быть построены по принципу "Равноправия " или "Иерархии". В настоящее время созданы следующие клиенты:
   • клиент Автоматизированного Рабочего Места Администратора Безопасности Информации (АРМ АБИ) - централизованное место сбора, хранения информации и управления рабочими станциями.
   • клиент для контроллеров АМДЗ - позволяет, до загрузки ОС обменятся данными с АРМ АБИ. Передать журнал, обновить базу пользователей контроллера и т. д.
   • клиент усиленной аутентификации сети Microsoft - позволяет, при подключении сетевых ресурсов компьютеров в сети, гарантированно определить "свой-чужой" и разрешить подключение ресурса только зарегистрированным компьютерам.
   • клиент усиленной аутентификации для Terminal Server - работает на серверах Windows 2000, 2003 и Citrix Metaframe XP. Позволяет, при создании терминальных сессий, гарантированно идентифицировать Terminal Client-a и разрешить создание сессии только зарегистрированным компьютерам.
   • клиент для ПО Accord NT/2000 и Accord 1.95. Позволяет в режиме реального времени передавать на АРМ АБИ сообщения о попытках НСД. Обновлять с сервера локальные базы пользователей. С рабочего места АБИ просматривать списки запущенных процессов (останавливать процессы), просматривать экраны рабочих станций, удалённо администрировать рабочие станции, производить обмен файлами, получать локальные журналы с рабочих станций, редактировать базы пользователей рабочих станций, блокировать и перезагружать станции.
   • клиент удалённого чтения данных с TM-идентификатора. Может применяться на Terminal Server.

   Также, стоит отменить, что в системе очень просто создавать свои собственные клиенты, которые, в независимости от среды передачи данных, используемых алогоритмов подписи и шифрования, смогут надёжно и гарантированно обмениваться данными. Ядро системы и её модули могут быть партированы на любую операционную систему, что позволяет обмениваться данными между различными ОС, типа DOS - Windows, Windows - Linux и т. д.

Использование модульной структуры ПО "Accord AcXNet V3.0" и простого API позволяет сторонним разработчикам создавать свои собственные модули. Например, можно написать новый модуль сетевого протокола, новый модуль подписи (например, с использованием Windows Crypto API), новый алгоритм шифрования и новые сетевые клиенты. И это не потребует от разработчиков как-либо модифицировать остальные составляющие системы.

В целом, можно сказать, что " Accord AcXNet V3.0" - это чрезвычайно эффективный комплекс технических и программных средств. Его использование позволяет надёжно защитить данные, передаваемые по локальной вычислительной сети.

Автор: Макейчик Ю. С.

Дата публикации: 01.01.2005

Библиографическая ссылка: Макейчик Ю. С. Защищённая транспортная система передачи данных в локальных вычислительных сетях на базе ACCORD ACXNET V3.0 // Комплексная защита информации. Сборник материалов IX Международной конференции 1–3 марта 2005 года, Раубичи. Минск, 2005. С. 135–136.

---