Table of Contents
Этап 3
Задачи 3 этапа
Задачами третьего этапа выполнения работ являлись теоретические исследования поставленных перед ПНИ задач (2-я очередь), в том числе:
- программная реализация разработанных на предыдущем этапе алгоритмов, а именно:
- алгоритма аутентификации пользователей;
- алгоритма регистрации новых пользователей РИВС;
- алгоритма авторизации пользователей с использованием принадлежности пользователя к группам и его ролям в них;
- алгоритма делегирования прав пользователя веб-сервисам, входящим в состав РИВС.
- развертывание аппаратной части исследовательского стенда для исследования ЭО ПК инфраструктуры безопасности РИВС;
- разработка Программы и методик проведения экспериментальных исследований ЭО ПК инфраструктуры безопасности РИВС;
- разработка программной документация на ЭО ПК инфраструктуры безопасности РИВС.
Кроме этого задачами третьего этапа являлись работы по установке и наладке базовой ОС и прикладного ПО на оборудовании, входящем в исследовательский стенд, а также тестирование программой реализации разработанных алгоритмов.
Результаты 3 этапа
На третьем этапе выполнения работ по контракту осуществлена программная реализация разработанных на предыдущем этапе алгоритмов. Осуществлено развертывание аппаратной части исследовательского стенда для исследования ЭО ПК инфраструктуры безопасности РИВС, а также разработана Программа и методики проведения экспериментальных исследований ЭО ПК инфраструктуры безопасности РИВС. Разработана программная документация на ЭО ПК инфраструктуры безопасности РИВС в соответствии с Техническим заданием. Осуществлены работы по установке и наладке базовой ОС и прикладного ПО на оборудовании, входящем в исследовательский стенд, а также тестирование программой реализации разработанных алгоритмов.
Результаты работы по проекту представлены на двух всероссийских и одной международной конференциях, а также опубликованы в двух статьях.
Преимущества разработанного програмного комплекса
Разработанные и реализованные в качестве программного комплекса архитектура и алгоритмы позволяют существенно упростить использование РИВС для конечных пользователей, а также эксплуатацию инфраструктуры безопасности. При этом уровень безопасности при работе РИВС превосходит уровень систем, построенных с использованием инфраструктуры открытых ключей.
Новизна предложенного решения заключается в пересмотре подхода к построению инфраструктуры безопасности РИВС. В частности, предполагается отказаться от использования прокси-сертификатов для доступа к ресурсам РИВС, а аутентификацию пользователеи производить на время сессии посредством пары логин-пароль с возможностью использования многофакторнои аутентификации в необходимых случаях. Четко разделен процесс первичной аутентификации пользователей и повторной аутентификации, а также предложено использовать сессионные ключи с ограниченным сроком действия. Каждый сформированный пользователем запрос подписывается специально сгенерированным хешем, который позволяет предотвратить возможность модификации данного запроса злоумышленником и, как следствие, под видом авторизованного пользователя, выполнить подложный запрос. Разработанные архитектура и алгоритмы соответствуют требованиям Технического задания на выполнение прикладных научных исследований в рамках данного проекта.
В мировой литературе существует ряд подходов для решения проблем, связанных с короткоживущими прокси- сертификатами. В частности, в работе P.Kacsuk и S.Gergely (Journal of Grid Computing, 3 (2005) 221) авторами предложено упрощение взаимодействия пользователя с сервисом MyProxy с помощью долговечного прокси, помещенного в MyProxy, который автоматически генерирует короткоживущий прокси. Однако, этот подход не решает проблему сложности управления X.509-сертификатами. В работе O. Kornievskaia и др. (USENIX Security Symposium, 2001) предложен подход на основе билетов Kerberos для генерации прокси-сертификатов на лету, используя информацию об учетных данных, содержащуюся в билетах. В нашем подходе мы предлагаем полностью отказаться от прокси-сертификатов. Анализ показывает, что предложенный в данном проекте подход обладает существенными преимуществами, особенно для распределенных систем с неоднородными ресурсами включая хранилища данных, суперкомпьютеры, облачные системы и др.