поиск по сайту
Повторная регистрация специальных носителей «Секрет»

C.С. Лыдин, ЗАО «ОКБ САПР», г. Пенза, sansara@penza.okbsapr.ru

Повторная регистрация специальных носителей «Секрет»

Введение.

Программно-аппаратный комплекс (ПАК) «Секрет» выпускается в трех модификациях [1]:

- «Личный секрет» [2];

- «Секрет фирмы»;

- «Профессиональный секрет».

Одним из определяющих механизмов, положенных в основу концепции «Секрет» (для получения подробной информации относительно решений, применяемых в ПАК «Секрет», см., например, [3], [4], [5], [6]) является регистрация специального носителя «Секрет» (СН).

Различаются процедуры первичной и повторной регистрации СН. Первичная регистрация позволяет СН функционировать на обособленной рабочей станции (РС) (для локальной модификации - «Личный секрет») или РС сегмента сети, обслуживаемого одним сервером аутентификации (СА) (для распределенных модификаций - «Секрет фирмы» и «Профессиональный секрет»). Повторная регистрация предназначена для расширения области функционирования СН за счет дополнительных сегментов сети или обособленных рабочих станций (в соответствующих модификациях).

Следует отметить, что если концепция механизма первичной регистрации является одинаковой для всех модификаций «Секрет», то механизм повторной регистрации различается. Различия в реализации концепции повторной регистрации обусловлены разницей в назначении и архитектуре СН соответствующих модификаций.

Повторная регистрация СН «Личный секрет».

Процедура повторной регистрации СН «Личный секрет» проиллюстрирована на рисунке 1.


Рисунок 1 - Повторная регистрация в системе «Личный секрет»

Для выполнения повторной регистрации СН на дополнительной РС используется код регистрации, сформированный при регистрации СН на первичной РС. Производится сопоставление кода регистрации, записанного в защищенную память СН на этапе первичной регистрации, и кода регистрации, введенного пользователем посредством программного обеспечения (ПО) РС

В случае успешного выполнения процедуры повторной регистрации СН может использоваться на дополнительной РС, т. е. данная РС попадает в область функционирования СН «Личный секрет». Для исключения РС из области функционирования должна быть выполнена операция сброса на данной РС.

Повторная регистрация СН «Секрет фирмы».

Модификация СН «Секрет фирмы» рекомендована к использованию в условиях сети организации, состоящей из нескольких обособленных сегментов, между которыми могут отсутствовать сетевые коммуникации [1]. Данное обстоятельство влечет за собой необходимость развертывания собственного СА в каждом обособленном сегменте сети. В этом случае СН первоначально регистрируется в одном из СА, который для этого СН становится первичным, и далее может быть повторно зарегистрирован на другом СА организации.

В отличие от подхода, применяемого в модификации «Личный секрет», перед повторной регистрацией СН предварительно должен пройти процедуру подготовки к повторной регистрации, которая выполняется в первичном СА. При этом в СН из СА передается структура данных, называемая мандатом регистрации СН, в котором указывается идентификатор СА для повторной регистрации. Мандат регистрации СН сохраняется во внутренней памяти СН и недоступен извне.


Рисунок 2 - Повторная регистрация в системе «Секрет фирмы»

Кроме того, на первичном СА создается специальный файл, представляющий собой мандат регистрации СА, который безопасным образом (с обеспечением конфиденциальности и целостности) должен быть передан на СА для повторной регистрации. Защищенная передача мандата регистрации СА обеспечивается средствами организации.

При повторной регистрации СН на СА производится проверка соответствия мандатов регистрации СН и СА. В процессе повторной регистрации PIN-код и код регистрации остаются неизменными. В случае успешного завершения процедуры СН включается в область функционирования СН «Секрет фирмы» и может использоваться на РС сегмента сети, обслуживаемого данным СА. Данная концепция проиллюстрирована на рисунке 2.

Для исключения из сегмента сети, обслуживаемого некоторым СА, должна быть выполнена операция сброса на этом СА.

Повторная регистрация СН «Профессиональный секрет».

В отличие от ПАК «Секрет фирмы» повторная регистрация СН «Профессиональный секрет» не требует выполнения этапа подготовки. Подготовка мандатов регистрации производится автоматически. Для этого между СА для повторной регистрации и первичным СА должна существовать сетевая коммуникация по протоколу TCP/IP.


Рисунок 3 - Повторная регистрация в системе «Профессиональный секрет»

Как показано на рисунке 3, пользователь СН должен обратиться к администратору СА для повторной регистрации. Процедура повторной регистрации внешне выглядит так же, как и в модификации «Секрет фирмы». Однако в процессе ее выполнения ПО СА для повторной регистрации обращается с соответствующим запросом по сети к ПО первичного СА. Если повторная регистрация в сегменте СА разрешена, первичный СА готовит два файла мандата регистрации, один из которых передается в СН через СА для повторной регистрации, а второй используется ПО СА для выполнения протокола повторной регистрации.

Литература

1      Хазов Р.Ю. Программно-аппаратный комплекс «Секрет». // В этом же сборнике.

2      Коробов В.В. Программно-аппаратный комплекс «Личный секрет». // В этом же сборнике.

3      Грунтович М.М. Безопасность мобильных USB-носителей, или хвост, который виляет собакой. // В этом же сборнике.

4      Грунтович М.М. Концепция безопасности изготовления и эксплуатации специальных носителей «Секрет». // В этом же сборнике.

5      Конявская С.В. «Храните данные в секрете!» // Connect! Мир связи. 2010. № 3. С. 35.

6      Тюнин В.А., Лаптев П.Н., Простяков С.Л. Аппаратное решение специального носителя «Секрет».

 


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них