Задачами третьего этапа выполнения работ являлись теоретические исследования поставленных перед ПНИ задач (2-я очередь), в том числе:
Кроме этого задачами третьего этапа являлись работы по установке и наладке базовой ОС и прикладного ПО на оборудовании, входящем в исследовательский стенд, а также тестирование программой реализации разработанных алгоритмов.
На третьем этапе выполнения работ по контракту осуществлена программная реализация разработанных на предыдущем этапе алгоритмов. Осуществлено развертывание аппаратной части исследовательского стенда для исследования ЭО ПК инфраструктуры безопасности РИВС, а также разработана Программа и методики проведения экспериментальных исследований ЭО ПК инфраструктуры безопасности РИВС. Разработана программная документация на ЭО ПК инфраструктуры безопасности РИВС в соответствии с Техническим заданием. Осуществлены работы по установке и наладке базовой ОС и прикладного ПО на оборудовании, входящем в исследовательский стенд, а также тестирование программой реализации разработанных алгоритмов.
Результаты работы по проекту представлены на двух всероссийских и одной международной конференциях, а также опубликованы в двух статьях.
Разработанные и реализованные в качестве программного комплекса архитектура и алгоритмы позволяют существенно упростить использование РИВС для конечных пользователей, а также эксплуатацию инфраструктуры безопасности. При этом уровень безопасности при работе РИВС превосходит уровень систем, построенных с использованием инфраструктуры открытых ключей.
Новизна предложенного решения заключается в пересмотре подхода к построению инфраструктуры безопасности РИВС. В частности, предполагается отказаться от использования прокси-сертификатов для доступа к ресурсам РИВС, а аутентификацию пользователеи производить на время сессии посредством пары логин-пароль с возможностью использования многофакторнои аутентификации в необходимых случаях. Четко разделен процесс первичной аутентификации пользователей и повторной аутентификации, а также предложено использовать сессионные ключи с ограниченным сроком действия. Каждый сформированный пользователем запрос подписывается специально сгенерированным хешем, который позволяет предотвратить возможность модификации данного запроса злоумышленником и, как следствие, под видом авторизованного пользователя, выполнить подложный запрос. Разработанные архитектура и алгоритмы соответствуют требованиям Технического задания на выполнение прикладных научных исследований в рамках данного проекта.
В мировой литературе существует ряд подходов для решения проблем, связанных с короткоживущими прокси- сертификатами. В частности, в работе P.Kacsuk и S.Gergely (Journal of Grid Computing, 3 (2005) 221) авторами предложено упрощение взаимодействия пользователя с сервисом MyProxy с помощью долговечного прокси, помещенного в MyProxy, который автоматически генерирует короткоживущий прокси. Однако, этот подход не решает проблему сложности управления X.509-сертификатами. В работе O. Kornievskaia и др. (USENIX Security Symposium, 2001) предложен подход на основе билетов Kerberos для генерации прокси-сертификатов на лету, используя информацию об учетных данных, содержащуюся в билетах. В нашем подходе мы предлагаем полностью отказаться от прокси-сертификатов. Анализ показывает, что предложенный в данном проекте подход обладает существенными преимуществами, особенно для распределенных систем с неоднородными ресурсами включая хранилища данных, суперкомпьютеры, облачные системы и др.