ВІЙСЬКОВИЙ ІНСТИТУТ ТЕЛЕКОМУНІКАЦІЙ ТА ІНФОРМАТИЗАЦІЇНАЦІОНАЛЬНОГО ТЕХНІЧНОГО УНІВЕРСИТЕТУ УКРАЇНИ „КПІ”

„ОРГАНІЗАЦІЯ ЗАХИЩЕНОГО ОБМІНУ ІНФОРМАЦІЙНИМИ ПОВІДОМЛЕННЯМИ В КЛІЄНТ-СЕРВЕРНИХ АРХІТЕКТУРАХ НА ОСНОВІ

WEB-СЕРВІСІВ

Доповідач: курсант ВІТІ НТУУ „КПІ” ПАШКОВ Володимир ЮрійовичКерівник: доцент кафедри ВІТІ НТУУ „КПІ” к.т.н. ЛЮБАРСЬКИЙ Сергій Володимирович

Київ – 2012 р. 1

Всеукраїнський конкурс студентських наукових робіт з природничих, технічних та гуманітарних наук у галузі:

„ Інформаційна безпека ”

ДОПОВІДЬ НА ТЕМУ:

Архітектура „клієнт-сервер” на основі WEB-сервісу 2

Web-вузол

Web-браузер

Web-вузол

Web-сервер

Web-додаток

Модуль розширення SOAP

Модуль створення об’єкту, котрий викликає

метод Web-сервісу

URL

HTML-сторінка

HTTP

TCP/IP

Web-вузол

Web-сервер

Модуль розширення SOAP

HTTP

TCP/IP

SOAP-відповідь вшифрованому вигляді

SOAP-запит

Web-сервіс

передає логіку додатка іншим Web-додаткам

визначений, як компонент багаторазового використання

є незалежним від мови або об’єктної моделі

ПЕРЕВАГИ ОБМЕЖЕННЯ

не забезпечує передачу конфіденційної інформації на основі існуючих стандартів

Організація захищеного інформаційного обміну SOAP-повідмленнями 3

Розширення SOAP на стороніWeb-сервісі

Розширення SOAP на стороні Web-додатка

Процес взаємодії між Web-додатком і Web-сервісом

Мета дослідження полягає в забезпеченні належного рівня криптозахищеності інформаційних повідомлень, що передаються в корпоративних мережах за протоколом SOAP в клієнт-серверних архітектурах.

Наукова задача полягає в запропонуванні методу шифрування інформаційних повідомлень клієнт-серверних з’єднань на основі WEB-сервісів за рахунок використання існуючих алгоритмів блочного шифрування .

Об‘єктом дослідження виступає структура інформаційного повідомлення обміну даними за протоколом SOAP в клієнт-серверній архітектурі.

Предметом дослідження виступають алгоритми багатокритеріальної оптимізації та алгоритми блочного шифрування на основі операцій заміни байтів, зсуву рядків, перемішування стовпців та складання за раундовим ключем.

Мета, наукова задача, об’єкт та предмет дослідження 4

аналіз технологічних підходів щодо забезпечення безпеки криптозахисту інформаційних повідомлень, які передаються за протоколом SOAP;

обгрунтування вибору раціональної моделі криптографічного захисту даних для інтеграції її в алгоритм роботи модулю інтерпритації SOAP-повідомлень клієнт-серверних архітектур на основі WEB-сервісів;

удосконалення алгоритму забезпечення конфіденційності інформації в SOAP-повідомленнях для корпоративних мереж на основі симетричного блочного шифрування;

розробка практичної реалізації запропонованого алгоритму шифрування інформаційних повідомлень, які передаються за протоколом SOAP між ASP.NET Web-сервісом та Web-додатком в корпоративних мережах.

Часткові задачі дослідження 5

ОБГРУНТУВАННЯ ВИБОРУ РАЦІОНАЛЬНОЇ МОДЕЛІ КРИПТОГРАФІЧНОГО ЗАХИСТУ ДАНИХ

6Сутність методу полягає в ієрархічному представленні завдання вибору

раціональної моделі організації криптозахисту SOAP-повідомлення, встановленні пріоритетів показників та попарному порівняння елементів ієрархії по відношенню до їх впливу на загальну для них характеристику.

Формальна постановка задачі вибору раціональної моделі криптозахисту:

Необхідно:

Рішення задачі полягає:

Алгоритм вирішення задачі вибору раціонального варіанту моделі криптозахисту за методом аналізу ієрархій

7

3. Оцінюється кожна з альтернатив за показниками якості МК з виявленням найбільш переважної з них.

1. Формалізація завдання у вигляді ієрархічної структури з декількома рівнями: ціль, показники, альтернативи.

Алгоритм блочного шифрування

AES (Advanced Encryption Standard).

2. Ранжуються показники якості МКЗ за відносною важливістю за методом попарних порівнянь Ротштейна і 9-ти бальною шкалою Сааті.

3. Будуються матриці експертних оцінок, в яких елементи ієрархії третього рівня (альтернативи) порівнюються попарно по відношенню до їх впливу (їхня вага, інтенсивність) на загальну для них характеристику (показник другого рівня) і являють собою зворотньосиметричні квадратні матриці

4. Усереднюються значення вагових коефіцієнтів по кожному показнику. Підраховуються підсумкові ваги кожної з альтернатив і визначається найкраща альтернатива.

6.

Вибір моделі криптозахисту

С1 С2 С3 С4 С5 С6 С7

Роз

мір

клю

ча, б

іт

Дов

жин

а бл

ока,

біт

Кіл

ькіс

ть ц

иклі

в

DES (Data Encryption Standard)

AES (Advanced Encryption Standard)

і

IDEA (International Decryption-Encryption Algorithm).

Blowfish ГОСТ 28147-89

А1 А2 А3 А4 А5

1-й

рів

ен

ь2-

й р

івен

ь3-

й р

іве

нь

п о к а з н и к и

а л ь т е р н а т и в и

Кіл

ькіс

ть ц

иклі

в на

рау

нд

Пат

ентн

ість

Кіл

ькіс

ть р

аунд

ів

Шви

дкіс

ть

шиф

рува

ння

Відмінність даного методу від існуючих полягає в застосуванні відкритих експертних оцінок у вигляді ієрархії міркувань, що дозволяє зменшити неузгодженість суджень експертів та підвищити якість приймаємих рішень.

Алгоритм вирішення задачі криптографічного захисту SOAP-повідомлень на основі алгоритму AES

8

1.Визначається формат блоків даних і число раундів шифрування

Архітектура „Квадрат” 2. Масив вхідних даних in0, in1, ..., in15 перетворюється в масив State Наприкінці дії алгоритму виконується зворотне перетворення

s[r,c] = in[r + 4c], out[r + 4c] = s[r, c],

3. Ключ шифрування представляється у вигляді прямокутного масиву з чотирма рядками. Кількість стовпців цього масиву дорівнює Nk.

Для алгоритму AES число раундів Nr визначається на старті в залежності від значення Nk

Вхідними даними виступають: SOAP-повідомлення, що містить конфіденційну інформацію; ключ для шифрування та дешифрування.

Цільовою настановою застосування методу шифрування SOAP-повідомлення за алгоритмом AES є забезпечення шифрозахищеності даних за рахунок застосувування операції шифрування сегменту користних даних структури SOAP-повідомлення, що містить конфіденційну інформацію і яке передається в корпоративній мережі.

Алгоритм вирішення задачі криптографічного захисту SOAP-повідомлень на основі алгоритму AES

9

4. Після заповнення масиву State елементами вхідних даних до нього застосовується перетворення AddRoundKey.

В залежності від величини Nk, масив State піддається трансформації раундової 10, 12 або 14 разів, причому фінальний раунд є кілька укороченим – в ньому відсутнє перетворення MixColumns.

Організація зворотнього перетворенняЯкщо замість SubBytes, ShiftRows, MixColumns і AddRoundKey у зворотній послідовності виконати інверсні їм

перетворення, можна побудувати функцію зворотного розшифрування. При цьому порядок використання раундовий ключів є зворотним по відношенню до того, який використовується при зашифровуванні.Процедура розширення та вибірки

раундового ключа

Перетворення стану за допомогою S-Box

Запропоноване рішення спрямоване не тільки на вирішення завдання шифрування відповідного відкритого трафіку між сторонами інформаційного обміну мережі корпоративного призначення, але і на скорочення показнику часу виконання операцій криптозахиcту SOAP-повідомлення за алгоритмом блокового симетричного шифрування AES шляхом застосування криптозахисту до сегментів корисних даних структури SOAP-повідомлення.

Екранні форми 10

<?xml version=«1.0» encoding=«utf-8»?><soap:Envelope

xmlns:xsi=«http://www.w3.org/2001/XMLSchema-instance» xmlns:xsd=«http://www.w3.org/2001/XMLSchema» xmlns:soap=«http://schemas.xmlsoap.org/soap/envelope/»>

<soap:Body><Distance xmlns=«http://tempuri.org/»><pred>Танк</pred><B>8</B><K>25</K></Distance></soap:Body></soap:Envelope>

<?xml version=«1.0» encoding=«utf-8»?><soap:Envelope

xmlns:xsi=«http://www.w3.org/2001/XMLSchema-instance» xmlns:xsd=«http://www.w3.org/2001/XMLSchema» xmlns:soap=«http://schemas.xmlsoap.org/soap/envelope/»>

<soap:Body> o1+1Pxufdi2GFlh1rACfFli7KQB9VHlCYB2Mofmeoia0jzv6VMtXY0Fv+u19Wc4HQeNsAZ582N/t8xfw7dTfNAItWHmdX7FsbVMeiNfd3qdEzXwc/UiAMECAWpLLKDXAMgAecsomCfhBM+fUAgY//pnrDukUUeeKRdPcfbwB/vFKLMxM7v7dbFD59h+2P01ufTp68/6ZB4UX38/8rckNN3FXNljQ24yQSHEtSb4stFqwe2MbVsPSbZVEiFG7NU0vJg+YpLnyTWLvSA/bMLL1CRU8rtyeBUq9TWKNEbEDpVIRAmrAwuio

</soap:Body></soap:Envelope>

SOAP-запит від Web-додатку до Web-сервісу SOAP-відповідь від Web-сервісу

Практичний експеримент

ВИСНОВКИВИСНОВКИ 11

АПРОБАЦІЇ ТА ПУБЛІКАЦІЇАПРОБАЦІЇ ТА ПУБЛІКАЦІЇ Пашков В.Ю. Безпека обміну SOAP-повідомленнями між ASP.NET Web-сервісом та Web-додатком за допомогою симетричного алгоритму блочного шифрування AES // Конкурс ВІТІ НТУУ “КПІ” на кращу наукову працю присвячений Дню науки України (2011 р. м. Київ). Лауреат конкурсу 1-го ступеня. . Пашков В.Ю., Любарський С.В. Безпека обміну SOAP-повідомленнями між ASP.NET Web-сервісом та Web-додатком // Воєнно-наукова конференція студентів і курсантів ВІТІ НТУУ “КПІ” (26 травня 2011 р. м. Київ. ).

• Актуальність дослідження грунтується на унеможливленні передачі конфіденційної інформації в архітектурі з WEB-сервісами корпоративного призначення на основі існуючих стандартів, що носять відкритий характер. • В мережевих архітектурах на основі WEB-сервісів за технологією .NET об’єктом захисту інформації виступає структура інформаційного повідомлення обміну даними за протоколом SOAP. • Обгрунтування вибору раціональної моделі криптографічного захисту даних для інтеграції її в алгоритм роботи модулю інтерпритації SOAP-повідомлень базується на методі аналізу ієрархій. Відмінність даного методу від існуючих полягає в застосуванні відкритих експертних оцінок у вигляді ієрархії міркувань, що дозволяє зменшити неузгодженість суджень експертів та підвищити якість приймаємих рішень.• Запропонований підхід в організації конфіденційності інформації в SOAP-повідомленнях на основі алгоритму блочного шифрування AES відрізняється від існуючих технологічних рішень можливостю паралельного виконання деяких операцій та спрямуванням процесу шифрування/дешифрування не усієї структури SOAP-повідомлення, а тільки сегменту цієї структури, що містить корисні (не службові) дані. Це забезпечить суттєве скорочення показнику часу виконання операцій криптозахиcту SOAP-повідомлення.