Исследование и разработка технологии построения закрытых виртуальных сред организации распределенных информационно-вычислительных ресурсов в глобальном сетевом пространстве

Номер Соглашения о предоставлении субсидии: 14.575.21.0099

Руководитель: д.т.н., профессор И.С. Константинов

Приоритетное направление: Информационно-телекоммуникационные системы

Критическая технология: Технологии информационных, управляющих, навигационных систем

Период выполнения: 20.11.2014 - 31.12.2016

Плановое финансирование проекта: 19,37 млн. руб., из них:

• Бюджетные средства 14,46 млн. руб.,
• Внебюджетные средства 4,91 млн. руб.

Исполнитель: Федеральное государственное автономное образовательное учреждение высшего профессионального образования «Белгородский государственный национальный исследовательский университет»

Индустриальный партнер: ООО «Стерх-2», Россия

Ключевые слова: Распределенные информационно-вычислительные ресурсы, сеть порталов, информационная ассоциация, управление доступом, информационный обмен, виртуальная среда, глобальное информационное пространство, информационная безопасность.

1 этап:

В ходе выполнения проекта по Соглашению о предоставлении субсидии от 20.11.2014 № 14.575.21.0099 с Минобрнауки России в рамках федеральной целевой программы «Исследования и разработки по приоритетным направлениям развития научно-технологического комплекса России на 2014-2020 годы» на этапе № 1 в период с 20.11.2014 по 31.12.2014 выполнялись следующие работы:

• проведение аналитического обзора информационных источников по теме проекта;
• проведение патентных исследований;
• обоснование и выбор направления исследований и способы решения поставленных задач;
• разработка новых принципов и подходов к построению системы безопасности на основе применения сессионного ключа с ограниченным данной сессией временем действия для повышения надежности системы от несанкционированного доступа; использования подписанных хешей для исключения подмены запросов в распределенной информационно-вычислительной среде (РИВС) и содержимого передаваемой информации;
• разработка архитектуры инфраструктуры безопасности РИВС в форме защищенной сети порталов;
• проведение аналитических исследований программно-аппаратной архитектуры устройств управления доступом к информационным ресурсам.

При этом были получены следующие результаты:

1. Аналитический обзор информационных источников по теме проекта.

2. Отчет о патентных исследованиях в соответствии с ГОСТ Р 7.32-2001.
Проведены патентные исследования с использованием реестра баз данных изобретений и полезных моделей Роспатента (http://www.fips.ru), а также с использованием реестра баз данных Европейского патентного ведомства. Было выявлено более 50 патентных документов, имеющих отношение к теме поиска, по запросам, составленным в соответствии с регламентом. Среди 13 патентов РФ всего 3 выдано на имя российских заявителей. К странам с наибольшим числом патентов по тематике поиска на конец 2014 года относятся США, Китай, Япония и Россия. Анализ найденных патентов показал, что полных аналогов разрабатываемой системы не существует. Однако отдельные функции системы реализуются и в других решениях. При этом лидерами в данной области являются производители преимущественно из США.

3. Обоснование направления исследований.
В рамках реализации проекта предлагается решение актуальной задачи создания комплекса новых научно-технических решений в области создания программного обеспечения инфраструктуры безопасности РИВС на основе открытых протоколов прикладного уровня, позволяющего существенно упростить использование РИВС для конечных пользователей, а также эксплуатацию инфраструктуры при условии обеспечения безопасности на уровне РИВС или превосходящем уровень систем, построенных с использованием инфраструктуры открытых ключей.

4. Новые принципы и подходы к построению системы безопасности РИВС, включающие:

• применение сессионного ключа с ограниченным данной сессией временем действия для повышения надежности системы от несанкционированного доступа. Данный подход позволяет достичь существенного повышения безопасности сетевого взаимодействия в разрезе подсистем авторизации. К основным уязвимостям данного подхода можно отнести кражу и подмену ключей, которых можно избежать, применяя шифрование сетевого трафика и используя последние версии применяемого программного обеспечения.
• использование подписанных хешей для исключения подмены запросов в РИВС и содержимого передаваемой информации. Для исключения подмены запросов при клиент-серверном взаимодействии применяется подход, в основе которого лежит механизм создания сигнатур (хешей) пересылаемых сообщений на стороне отправителя и верификации полученных данных и сигнатуры на стороне получателя. Важной особенностью является создание подписи сообщения (или его дайджеста) при помощи закрытого ключа отправителя, что делает абсолютно защищенным канал передачи сообщений от подмены. В качестве сообщения, применительно к РИВС, подразумевается http запрос или ответ, упакованный в специализированный формат.

5. Архитектура инфраструктуры безопасности РИВС в форме защищенной сети порталов.
Разработана трехуровневая архитектура инфраструктуры безопасности закрытых виртуальных сред организации. В ее рамках, модель программного комплекса разбивается на три слоя: слой представления данных, слой приложения, слой данных, что накладывает свои особенности на выделение, построение и взаимосвязи компонентов разрабатываемой инфраструктуры.

В качестве инструмента для описания архитектуры использовался язык архитектурного моделирования ArchiMate, разработанный на базе стандарта IEEE-1471-2000.

В ходе разработки были определены компоненты инфраструктуры и их взаимосвязи. Это позволило сформировать четкую архитектуру программного комплекса и его проектный каркас.

6. Аналитические исследования программно-аппаратной архитектуры устройств управления доступом к информационным ресурсам.

В ходе проведения исследований программно-аппаратной архитектуры были проанализированы программные, технические, технологические и функциональные решения по управлению доступом.

В результате проведенных исследований сделан вывод, что на данный момент нет аналогов программного обеспечения, решающего поставленные задачи. Однако существуют программно-аппаратные решения, позволяющие выполнять отдельные функции управления доступом к информационным ресурсам. Данные решения были рассмотрены в ходе исследования, выявлены характеристики и функциональные особенности каждого из них.

Комиссия Минобрнауки России признала обязательства по Соглашению на отчетном этапе исполненными надлежащим образом.

2 этап:

В ходе выполнения проекта по Соглашению о предоставлении субсидии от 20.11.2014 № 14.575.21.0099 с Минобрнауки России в рамках федеральной целевой программы «Исследования и разработки по приоритетным направлениям развития научно-технологического комплекса России на 2014-2020 годы» на этапе № 2 в период с 01.01.2015 по 30.06.2015 выполнялись следующие работы:

• разработка методики построения инфраструктуры безопасности распределенной информационно-вычислительной среды (РИВС) в сети порталов через публичные каналы;
• разработка алгоритма аутентификации пользователей с использованием пары логин-пароль и секретного сессионного ключа;
• разработка алгоритма регистрации новых пользователей РИВС.

При этом были получены следующие результаты:

1. Методика построения инфраструктуры безопасности распределенной информационно-вычислительной среды (РИВС) в сети порталов через публичные каналы.
Данная методика обеспечивает построение инфраструктуры РИВС в форме сети порталов в глобальной сети на основе новых принципов организации информационного пространства и современных стандартов безопасности.

Методика построения инфраструктуры безопасности РИВС описывает:

• порядок и правила развертывания безопасной инфраструктуры РИВС;
• правила организации защищенного информационного взаимодействия в распределенной сети порталов;
• механизмы реализации определенной модели доступа к информационным ресурсам, модели пользовательского сеанса, механизмов безопасной аутентификации и использования протоколов безопасного взаимодействия пользователей и обмена данными;
• последовательность действий для ее построения.

2. Алгоритм аутентификации пользователей с использованием пары логин-пароль и секретного сессионного ключа.
Разработанный алгоритм позволяет повысить уровень безопасности системы за счет снижения риска дискредитации пароля и данных пользователя, а также применения различных механизмов многофакторной аутентификации с использованием средств криптографической защиты информации о пользовательском сеансе. Обеспечивает однократный запрос идентификации данных пользователя только при первоначальном обращении к любому из узлов сети и исключает повторный запрос идентификационных данных при обращении к другим узлам сети для пользователей прошедших аутентификацию. Проработан механизм повышения безопасности процедуры аутентификации за счет многофакторного подхода, основанный на использовании персонального цифрового ключа доступа в сети порталов.

3. Алгоритм регистрации новых пользователей РИВС.
Разработанный алгоритм регистрации новых пользователей РИВС обеспечивает высокий уровень защиты от «сетевых роботов», «нежелательных пользователей» и средств организации сетевых атак класса DoS, сохраняя одновременно максимально простой и удобный механизм взаимодействия с реальным пользователем. Данный алгоритм максимально автоматизирует процесс регистрации новых пользователей и работу с их учетными данными, требуя внимания администратора РИВС только в исключительных случаях. С целью исключения повторной регистрации и поддержки пользователей в алгоритме регистрации проработан механизм проверки совпадения учетных данных и восстановления пароля пользователя при необходимости. Данный алгоритм учитывает особенности и специфику предметной области, связанную с назначением прав доступа для новых пользователей, а также способствует обеспечению высокой доступности сети порталов посредством репликации и распределенной модели хранения учетных данных пользователей.

Более подробная информация о результатах реализации проекта на 2 этапе приведена в резюме проекта.

Комиссия Минобрнауки России признала обязательства по Соглашению на отчетном этапе исполненными надлежащим образом.

3 этап:

В ходе выполнения проекта по Соглашению о предоставлении субсидии от 20.11.2014 № 14.575.21.0099 с Минобрнауки России в рамках федеральной целевой программы «Исследования и разработки по приоритетным направлениям развития научно-технологического комплекса России на 2014-2020 годы» на этапе № 3 в период с 01.07.2015 по 31.12.2015 выполнялись следующие работы:

• разработка алгоритма авторизации пользователей с использованием принадлежности пользователя к группам и его ролям в них для определения прав доступа пользователей к ресурсам;
• разработка алгоритма делегирования прав пользователя, полученных на основе упрощенной аутентификации и авторизации, веб-сервисам, входящим в состав распределенных информационно-вычислительных систем (РИВС);
• программная реализация разработанных алгоритмов;
• разработка программы и методики проведения экспериментальных исследований инфраструктуры безопасности РИВС.

При этом были получены следующие результаты:

1 Алгоритм авторизации пользователей с использованием принадлежности пользователя к группам и его ролям в них для определения прав доступа пользователей к ресурсам.
Данный алгоритм предназначен для предоставления пользователям прав доступа к ресурсам тонкой настройки прав пользователей, групп пользователей и администраторов в отношении доступа к отдельным аппаратно-программным ресурсам РИВС, а также обеспечивает проверку и подтверждение прав пользователей на всех узлах сети с учетом принадлежности пользователя к определенной группе и полномочий данной группы пользователей.

2 Алгоритм делегирования прав пользователя, полученных на основе упрощенной аутентификации и авторизации, веб-сервисам, входящим в состав РИВС.
Данный алгоритм предназначен для согласованной работы и безопасного взаимодействия отдельных компонентов РИВС в процессе взаимодействия пользователей с РИВС, а также обеспечивает подтверждение полномочий пользователей при обращении к веб-сервисам РИВС посредствам реализации единой модели сеансового доступа в рамках всей сети.

Данный алгоритм основан на результатах диссертационного исследования на соискание ученой степени кандидата технических наук на тему «Модели и алгоритмы интеграции и управления Web-сервисами образовательного учреждения», защищенного в диссертационном совете Д 212.021.03 по специальности 05.13.10 – «Управление в социальных и экономических системах».

3 Программная реализация разработанных алгоритмов.
Программная реализация разработанных алгоритмов выполнена с использованием программных средств разработки, распространяемых по свободным лицензиям.

Используемые языки разработки: Python, PHP и С++, СУБД LDAP (в соответствии с требованиями технического задания). Используемые средства разработки: JetBrains PyCharm & PhpStorm, Eclipse, VIM, LDAP Jxplorer.

4 Программа и методика проведения экспериментальных исследований инфраструктуры безопасности РИВС.
Разработана программа и методика исследовательских испытаний экспериментального образца программного комплекса инфраструктуры безопасности РИВС. Предназначена для проверки соответствия экспериментального образца программного комплекса требованиям технического задания и является частью программной документации на программный комплекс, разработка которого запланирована на следующем этапе реализации проекта.

5 Отчет о патентных исследованиях.
Проведен поиск по патентной и научно-исследовательской документации наиболее развитых в данной области стран для выявления результатов интеллектуальной деятельности в сфере создания программного обеспечения инфраструктуры безопасности РИВС на основе открытых протоколов прикладного уровня.

По результатам реализации подготовлена заявка на регистрацию программы для ЭВМ «Подсистема аутентификации пользователей в распределенной сети порталов на основе секретного сессионного ключа».

Более подробная информация о результатах реализации проекта на 3 этапе приведена в резюме проекта.

Комиссия Минобрнауки России признала обязательства по Соглашению на отчетном этапе исполненными надлежащим образом.

3 этап:

В ходе выполнения проекта по Соглашению о предоставлении субсидии от 20.11.2014 № 14.575.21.0099 с Минобрнауки России в рамках федеральной целевой программы «Исследования и разработки по приоритетным направлениям развития научно-технологического комплекса России на 2014-2020 годы» на этапе № 4 в период с 01.01.2016 по 30.06.2016 выполнялись следующие работы:

- выполнена компиляция экспериментального образца программного комплекса инфраструктуры безопасности РИВС;

- выполнено развертывание исследовательского стенда сети порталов для исследования экспериментального образца программного комплекса;

- разработана техническая документация на экспериментальный образец программного комплекса инфраструктуры безопасности РИВС;

- проведены экспериментальные исследования экспериментального образца программного комплекса инфраструктуры безопасности РИВС.

При этом были получены следующие результаты:

1 Экспериментальный образец программного комплекса (ЭО ПК) инфраструктуры безопасности РИВС. ЭО ПК инфраструктуры безопасности РИВС скомпилирован для функционирования на Интел-совместимых серверах (х86-64) под управлением ОС Линукс. ЭО ПК реализован с использованием языка программирования Python и свободно распространяемых библиотек на С/С++. Обмен данными между компонентами инфраструктуры безопасности РИВС осуществляться в формате JSON. Аутентификация пользователей и обмен информационными ресурсами между узлами сети осуществляется по шифрованному протоколу HTTPS. В реализации программного комплекса обмен служебной информацией между узлами сети и между узлами сети и пользователями осуществляется по шифрованным протоколам SSL/TLS.

2 Исследовательский стенд сети порталов для исследования экспериментального образца программного комплекса. Исследовательский стенд сети порталов развернут для проведения экспериментальных исследований ЭО ПК. На серверах сети порталов и сервере эмуляции запросов развернут образ операционной системы Linux. На компонентах исследовательского стенда установлены программные средства для фиксации параметров работы ЭО ПК (время обработки запроса на авторизацию, время обработки запроса на доступ к информационному ресурсу, скорость загрузки информации, количество обрабатываемых запросов в единицу времени).

3 Техническая документация на экспериментальный образец программного комплекса инфраструктуры безопасности РИВС «Программный комплекс инфраструктуры безопасности распределенных информационно-вычислительных систем» в составе:

• спецификация;
• текст программы;
• описание программы;
• описание применения;
• руководство системного программиста;
• руководство оператора.

4 Экспериментальные исследования экспериментального образца программного комплекса инфраструктуры безопасности РИВС. В ходе экспериментальных исследований ЭО ПК выполнялась проверка его соответствия требованиям к назначению и техническим характеристикам научно-технических результатов ПНИ, а также к объектам экспериментальных исследований. Результаты экспериментальных исследований подтверждают соответствие ЭО ПК требованиям ТЗ.

По результатам реализации проекта подготовлена заявка на регистрацию изобретения «Способ предоставления доступа к распределенным информационно-вычислительным ресурсам в виде корпоративных порталов через защищенную виртуальную среду» и получено свидетельство о государственной регистрации программы для ЭВМ «Подсистема аутентификации пользователей в распределенной сети порталов на основе секретного сессионного ключа».

Более подробная информация о результатах реализации проекта приведена в резюме проекта.

Комиссия Минобрнауки России признала обязательства по Соглашению на отчетном этапе исполненными надлежащим образом.

Резюме проекта, полученные результаты:  Результаты 1 этапа:  Загрузить / Результаты 2 этапа:  Загрузить / Результаты 3 этапа:  Загрузить / :  Загрузить