1. ВІЙСЬКОВИЙ ІНСТИТУТ ТЕЛЕКОМУНІКАЦІЙ ТА ІНФОРМАТИЗАЦІЇ
НАЦІОНАЛЬНОГО ТЕХНІЧНОГО УНІВЕРСИТЕТУ УКРАЇНИ „КПІ”
Всеукраїнський конкурс студентських наукових робіт з
природничих, технічних та гуманітарних наук у галузі:
„ Інформаційна безпека ”
ДОПОВІДЬ НА ТЕМУ:
„ОРГАНІЗАЦІЯ ЗАХИЩЕНОГО ОБМІНУ
ІНФОРМАЦІЙНИМИ ПОВІДОМЛЕННЯМИ
В КЛІЄНТ-СЕРВЕРНИХ АРХІТЕКТУРАХ НА ОСНОВІ
WEB-СЕРВІСІВ
Доповідач: курсант ВІТІ НТУУ „КПІ”
ПАШКОВ Володимир Юрійович
Керівник: доцент кафедри ВІТІ НТУУ „КПІ” к.т.н.
ЛЮБАРСЬКИЙ Сергій Володимирович
1
Київ – 2012 р.
2. Архітектура „клієнт-сервер” на основі WEB-сервісу 2
Web-вузол Web-вузол
Web-сервер
URL
HTTP
Web-браузер Web-додаток
HTML-сторінка
TCP/IP
Модуль створення
Web-вузол HTTP
об’єкту, котрий викликає
метод Web-сервісу
TCP/IP
Web-сервер
SOAP-запит
Модуль розширення SOAP
Модуль розширення SOAP
SOAP-
відповідь в
шифрованому
Web-сервіс вигляді
ПЕРЕВАГИ ОБМЕЖЕННЯ
передає логіку визначений, як є незалежним від не забезпечує передачу
додатка іншим компонент мови або конфіденційної
Web-додаткам багаторазового об’єктної моделі інформації на основі
використання існуючих стандартів
3. Організація захищеного інформаційного обміну SOAP- 3
повідмленнями
Процес взаємодії між Web-додатком і Web-сервісом
Розширення SOAP на стороні Розширення SOAP на стороні
Web-додатка Web-сервісі
4. Мета, наукова задача, об’єкт та предмет дослідження 4
Мета дослідження полягає в забезпеченні належного
рівня криптозахищеності інформаційних повідомлень, що
передаються в корпоративних мережах за протоколом SOAP
в клієнт-серверних архітектурах.
Наукова задача полягає в запропонуванні методу
шифрування інформаційних повідомлень клієнт-серверних
з’єднань на основі WEB-сервісів за рахунок використання
існуючих алгоритмів блочного шифрування .
Об‘єктом дослідження виступає структура
інформаційного повідомлення обміну даними за
протоколом SOAP в клієнт-серверній архітектурі.
Предметом дослідження виступають алгоритми
багатокритеріальної оптимізації та алгоритми блочного
шифрування на основі операцій заміни байтів, зсуву рядків,
перемішування стовпців та складання за раундовим ключем.
5. Часткові задачі дослідження 5
аналіз технологічних підходів щодо забезпечення безпеки
криптозахисту інформаційних повідомлень, які передаються за
протоколом SOAP;
обгрунтування вибору раціональної моделі
криптографічного захисту даних для інтеграції її в алгоритм
роботи модулю інтерпритації SOAP-повідомлень клієнт-
серверних архітектур на основі WEB-сервісів;
удосконалення алгоритму забезпечення конфіденційності
інформації в SOAP-повідомленнях для корпоративних мереж
на основі симетричного блочного шифрування;
розробка практичної реалізації запропонованого алгоритму
шифрування інформаційних повідомлень, які передаються за
протоколом SOAP між ASP.NET Web-сервісом та Web-
додатком в корпоративних мережах.
6. ОБГРУНТУВАННЯ ВИБОРУ РАЦІОНАЛЬНОЇ МОДЕЛІ КРИПТОГРАФІЧНОГО
ЗАХИСТУ ДАНИХ
6
Сутність методу полягає в ієрархічному представленні завдання вибору
раціональної моделі організації криптозахисту SOAP-повідомлення, встановленні
пріоритетів показників та попарному порівняння елементів ієрархії по відношенню
до їх впливу на загальну для них характеристику.
Формальна постановка задачі вибору раціональної моделі криптозахисту:
Необхідно:
Рішення задачі полягає:
7. Алгоритм вирішення задачі вибору раціонального варіанту
7
моделі криптозахисту за методом аналізу ієрархій
1. Формалізація завдання у вигляді ієрархічної
1-й рівень
структури з декількома рівнями: ціль, показники, Вибір моделі криптозахисту
альтернативи.
альтернатив за показниками якості МК з виявленням найбільш переважної з них.
2. Ранжуються показники якості МКЗ за відносною
важливістю за методом попарних порівнянь С1 С2 С3 С4 С5 С6 С7
Ротштейна і 9-ти бальною шкалою Сааті. показники
3. Будуються матриці експертних оцінок, в яких
Довжина блока, біт
2-й рівень
Розмір ключа, біт
Кількість раундів
Кількість циклів
Кількість циклів
шифрування
елементи ієрархії третього рівня (альтернативи)
Патентність
Швидкість
на раунд
порівнюються попарно по відношенню до їх впливу
(їхня вага, інтенсивність) на загальну для них
характеристику (показник другого рівня) і являють
собою зворотньосиметричні квадратні матриці
А1 А2 А3 А4 А5
4. Усереднюються значення вагових коефіцієнтів
а л ь т е р н а т и в и
по кожному показнику. Підраховуються підсумкові
3-й рівень
ваги кожної з альтернатив і визначається DES (Data
AES IDEA
(International
(Advanced і
найкраща альтернатива. Encryption
Standard )
Encryption Decryption-
Encryption
Blowfish ГОСТ 28147-89
Standard) Algorithm).
Алгоритм блочного шифрування
6.
AES (Advanced Encryption Standard).
Відмінність даного методу від існуючих полягає в застосуванні відкритих
експертних оцінок у вигляді ієрархії міркувань, що дозволяє зменшити
неузгодженість суджень експертів та підвищити якість приймаємих рішень.
8. Алгоритм вирішення задачі криптографічного захисту
8
SOAP-повідомлень на основі алгоритму AES
Вхідними даними виступають:
SOAP-повідомлення, що містить конфіденційну інформацію;
ключ для шифрування та дешифрування.
Цільовою настановою застосування методу шифрування SOAP-повідомлення за
алгоритмом AES є забезпечення шифрозахищеності даних за рахунок застосувування операції
шифрування сегменту користних даних структури SOAP-повідомлення, що містить конфіденційну
інформацію і яке передається в корпоративній мережі.
•Визначається формат блоків даних і
число раундів шифрування
Архітектура „Квадрат”
2. Масив вхідних даних
in0, in1, ..., in15 перетворюється в s[r,c] = in[r + 4c],
масив State
Наприкінці дії алгоритму виконується out[r + 4c] = s[r, c],
зворотне перетворення
3. Ключ шифрування представляється Для алгоритму AES число
у вигляді прямокутного масиву з раундів Nr визначається на
чотирма рядками. Кількість стовпців старті в залежності від значення
Nk
цього масиву дорівнює Nk.
9. Алгоритм вирішення задачі криптографічного захисту
9
SOAP-повідомлень на основі алгоритму AES
4. Після заповнення масиву State В залежності від величини Nk, масив State піддається
елементами вхідних даних до нього трансформації раундової 10, 12 або 14 разів, причому
застосовується перетворення фінальний раунд є кілька укороченим – в ньому відсутнє
AddRoundKey. перетворення MixColumns.
Організація зворотнього перетворення
Якщо замість SubBytes, ShiftRows, MixColumns і AddRoundKey у зворотній послідовності виконати інверсні їм
перетворення, можна побудувати функцію зворотного розшифрування. При цьому порядок використання
раундовий ключів є зворотним по відношенню до того, який використовується при зашифровуванні.
Процедура розширення та вибірки
раундового ключа
Перетворення стану за допомогою S-Box
Запропоноване рішення спрямоване не тільки на вирішення завдання шифрування відповідного відкритого
трафіку між сторонами інформаційного обміну мережі корпоративного призначення, але і на скорочення
показнику часу виконання операцій криптозахиcту SOAP-повідомлення за алгоритмом блокового
симетричного шифрування AES шляхом застосування криптозахисту до сегментів корисних даних структури
SOAP-повідомлення.
11. ВИСНОВКИ 11
• Актуальність дослідження грунтується на унеможливленні передачі
конфіденційної інформації в архітектурі з WEB-сервісами корпоративного
призначення на основі існуючих стандартів, що носять відкритий характер.
• В мережевих архітектурах на основі WEB-сервісів за технологією .NET
об’єктом захисту інформації виступає структура інформаційного повідомлення
обміну даними за протоколом SOAP.
• Обгрунтування вибору раціональної моделі криптографічного захисту даних
для інтеграції її в алгоритм роботи модулю інтерпритації SOAP-повідомлень базується
на методі аналізу ієрархій. Відмінність даного методу від існуючих полягає в
застосуванні відкритих експертних оцінок у вигляді ієрархії міркувань, що дозволяє
зменшити неузгодженість суджень експертів та підвищити якість приймаємих рішень.
• Запропонований підхід в організації конфіденційності інформації в SOAP-
повідомленнях на основі алгоритму блочного шифрування AES відрізняється від
існуючих технологічних рішень можливостю паралельного виконання деяких операцій
та спрямуванням процесу шифрування/дешифрування не усієї структури SOAP-
повідомлення, а тільки сегменту цієї структури, що містить корисні (не службові) дані.
Це забезпечить суттєве скорочення показнику часу виконання операцій криптозахиcту
SOAP-повідомлення.
АПРОБАЦІЇ ТА ПУБЛІКАЦІЇ
Пашков В.Ю. Безпека обміну SOAP-повідомленнями між ASP.NET Web-сервісом та Web-додатком за допомогою
симетричного алгоритму блочного шифрування AES // Конкурс ВІТІ НТУУ “КПІ” на кращу наукову працю
присвячений Дню науки України (2011 р. м. Київ). Лауреат конкурсу 1-го ступеня. .
Пашков В.Ю., Любарський С.В. Безпека обміну SOAP-повідомленнями між ASP.NET Web-сервісом та Web-
додатком // Воєнно-наукова конференція студентів і курсантів ВІТІ НТУУ “КПІ” (26 травня 2011 р. м. Київ. ).