Петров А.А. Комп без-ть

362 Компьютерная безопасность и практическое применение криптографии

ЗЛУ.ЕЕТ. может применяться для обмена информацией и осуществления взаиморасчетов при операциях с ценными бумагами и дорожными чеками. В перспективе предполагается использование данной технологии и в дру­ гих сферах экономики, где необходима оперативная, качественная среда для передачи финансово значимой информации, требующая высокого уровня обеспечения конфиденциальности.

С технической точки зрения 5ЛУ.1.ЕТ. представляет собой международ­ ную телекоммуникационную сеть, позволяющую финансовым организа­ циям из разных стран, используя компьютеры и терминалы различных типов, подключиться к ней для передачи банковской и финансовой инфор­ мации. В системе принят особый формат банковских сообщений - стандарт, который развивается с помощью рабочей группы специалистов банков и организации 8ЛУ.1.ЕТ. В системе З.УУ.1.ЕТ. используются как междуна­ родные стандарты, разработанные 130, так и стандарты Международной торговой палаты (Ю С ). В результате развития 5.АУ.1.ЕТ. образовалась но­ вая сеть - ЗЛУ.1.ЕТ. II, которая базируется на четырехуровневой сетевой архитектуре и на системе управления процессорами, находящимися в опе­ рационных центрах 5.\У.1.ЕТ.

Логическая архитектура системы 5.УУ.1.ЕТ. II подчиняется основным принципам, установленным 130 (Международная организация стандарти­ зации) для взаимодействия открытых систем. Каждый активный компо­ нент архитектуры 5.\У.1.ЕТ. II называется узлом. Узлы могут быть связан­ ны между собой:

•прямыми выделенными линиями;

•местными (международными) коммутируемыми линиями;

•локальными сетями;

•спутниковыми каналами связи.

Архитектура системы состоит из четырех основных компонентов:

•процессор управления системой (З С Р );

•коммутационный процессор (З Р );

•региональный процессор (К Р );

•процессор передачи (С Р ).

Фактически вся система 5ЛУ.1.ЕТ. II сосредоточена в двух центрах управ­ ления системой (ЗСС), которые расположены в Зетервуде недалеко от Лей­ дена (Нидерланды) и в Калпепере (С Ш А ). ЗСС состоит из двух ключевых компонентов системы, а именно: ЗСР и ЗР. Для улучшения работоспособ­ ности и защиты от сбоев в системе ЗАУХЕТ. II применяется дублирование

каждого ЗСР и резервирование работы каждого ЗР. В любое время только один ЗСР является активным и осуществляет непосредственное управление системой. Остальные три ЗСР постоянно находятся в резерве и непрерывно обновляют свое состояние по данным конфигурации активного ЗСР.

Процессор управления системой ЗСР отвечает за функционирование всей системы в целом. Он постоянно контролирует и управляет всеми активными компонентами системы, так же как и всем доступом к систе­ ме в целом. К функциям управления ЗСР относятся:

•разрешение открытия нового сеанса и хранение данных сеанса;

•распространение нового программного обеспечения по системе;

•контроль всех технических и программных средств;

•сбор диагностической информации о неисправностях;

•управление процессом восстановления после ошибки;

•динамическое распределение системных ресурсов.

Коммутационные процессоры ЗР управляют маршрутизацией и хране­

нием сообщений. Основные функции ЗР:

•маршрутизация сообщений между пользователями через КР;

•надежное хранение двух копий всех обработанных данным ЗР сообще­ ний (на двух разных носителях) и соответствующей им предыстории доставки;

•формирование подтверждений о хранении, доставке обработанных дан­ ным ЗР сообщений или их недоставки;

•обработка выборки сообщений.

Региональный процессор К Р осуществляет логическое подключение пользователей к сети ЗЛУХЕТ. II и, по сути, является входной и выходной точкой системы. Программное обеспечение КР, взаимодействуя с програм­ мами пользователя, осуществляет точное и безопасное логическое подклю­ чение к ЗЛУХЕТ. II. В его функции входит:

•проверка входных сообщений до пересылки в ЗР;

•обработка протоколов прикладного уровня;

•контроль и проверка номеров входной последовательности (13Ы) всех сообщений;

•верификация контрольных сумм сообщений;

•формирование положительных (А С К ) и отрицательных (К А К ) под­ тверждений приема сообщений.

Каждый КР обслуживает конкретную страну или территорию и рас­

положен в безопасных (с контролем доступа) центрах. Д ля каждого

364 Компьютерная безопасность и практическое применение криптографии

пользователя системы, известного по его физическому адресу, назнача­ ется основной КР, который и будет производить обслуживание данного пользователя.

Процессор передачи СР обеспечивает связь между КР и другими узла­ ми системы, тем самым позволяя КР, подключенному к собственному ЗР, принимать информацию от других ЗР.

Для того чтобы получить физический доступ к системе ЗЛУХЕТ. II, индивидуальные пользователи должны иметь компьютерный терминал (С В Т), который подключается к системе ЗЛУХЕТ. II через ряд местных узлов подключения, известных как точки доступа к ЗЛУХЕТ. II (З А Р ) или удаленные точки доступа (К А Р ). В состав ЗАР/КАР входят:

•процессор, выполняющий функции управления линиями пользовате­ ля и линиями подключения ЗАР/КАР к транспортной сети ЗЛУХЕТ. II (ЗИЛ);

•порты, предоставляемые пользователям.

Доступ к услугам ЗЛУХЕТ. II через точки доступа (З А Р ) или удаленные точки доступа (К А Р ) обеспечивается с помощью транспортной сети ЗТЫ, работающей под коммуникационным протоколом Х.25. Различие между ЗАР и К АР заключается в обеспечении уровня безопасности, хотя они об­ ладают одинаковыми операционными возможностями при работе с не­ сколькими отдельно подключенными пользователями. Если из-за проблем на линии связи или неисправности точек доступа ЗАР (К А Р ) пользователь не может войти в систему в свою основную ЗАР (К А Р ), альтернативный вход производится в другой точке.

Подключение пользователей к сети ЗЛУХЕТ. II возможно по выделен­ ным линиям связи, через общие сети передачи дапныос (Р Э И ) или через Р5ТМ ( коммутируемые линии), подсоединенные к точке доступа.

Подключение выделенных линий возможно во всех ЗАР со скоростью передачи данных по линиям 2400, 4800 и 9600 бит/с. Для данного типа подключения характерно, что пользователю выделяется отдельный порт на точке доступа. Для данного типа подключения по желанию пользовате­ ля может использоваться шифрование.

Подключение через РБЫ возможно только со скоростями, эквивалент­ ными скоростям выделенных линий. Подключение пользователя к РЭЫ обеспечивается при помощи выделенных линий с применением протокола Х.25. Для данного типа подключения предполагается обязательное шиф­ рование данных согласно протоколу Х.25.

В системе ЗЛУХЕТ. II имеется два типа подключения через коммутиру­ емые линии (Р5ТЫ ):

•через порты РЗТМ совместного использования, к которым все пользо­ ватели имеют доступ иа основе строгой конкуренции. Скорость рабо­ ты через эти порты не более 2400 бит/с, и средства шифрования не применяются;

•через выделенные порты (для каждого пользователя свой) со скоро­ стью передачи данных до 9600 бит/с и возможностью (по желанию пользователя) применять средства шифрования информации.

Безопасность в системе З.Ш.1.Б.Т. II

Все вопросы, связанные с безопасностью в системе ЗЛУХЕТ. II, условно

можно отнести к следующим разделам:

•физическая безопасность;

•безопасность логического доступа к системе ЗЛУХЕТ. II;

•обеспечение безопасности сообщений, передаваемых и хранящихся в системе;

•безопасность обмена сообщениями «пользователь-пользователь».

Средства безопасности, обеспечиваемые системой ЗЛУХЕТ. II, состоят из:

•процедуры входа в систему;

•процедуры выбора приложения;

•нумерации сообщений;

•проверки ошибок:

•криптозащиты, пока сообщение находится в части сети ЗЛУХЕТ. II;

•контроля доступа к сообщениям в ЗАР, региональных процессорах,

коммутационных процессорах, центрах управления системой.

Отдел главного инспектора системы ЗЛУХЕТ. II (С Ю ) управляет всеми вопросами, связанными с безопасностью работы сети ЗЛУХЕТ. II. Пользова­ телям рекомендуется обеспечивать надлежащую безопасность процедур, осу­ ществляемых в их собственных организациях, например контроль доступа к терминалам ЗЛУХЕТ. II, управление их подключением и использованием.

Физическая безопасность

Осуществляется иа основе разграничения и контроля доступа ко всем опе­ рационным и административным узлам ЗЛУХЕТ. II путем использования электронных средств и средств обнаружения несанкционированного досту­ па. Применяется также дистанционное управление для узлов ЗЛУХЕТ. II,

366 Компьютерная безопасность и практическое применение криптографии

которые управляются автоматически. Если пользователь запрашивает центр

одоступе к ЗАР, то в обязательном порядке должен быть сделан запрос

кСЮ и без его санкции никому не будет дано разрешение на доступ к ЗАР.

Безопасность логического доступа к системе 5Ж1.Р.Т. II

Как уже говорилось выше, пользователи могут получить физический до­ ступ к системе 8ЛЛ.1.ЕТ. II только через СВТ, работающее с одним или бо­ лее логическим терминалом (Ь Т ). Каждому ЬТ назначаются уникальные таблицы безопасности для процедур Ш С Ш и ЗЕЬЕСТ (выбор финансо­ вого приложения - Р Ш ), которые представляют собой последовательнос­ ти ключей в табличном виде. Каждый ключ в таблице может применяться только один раз и связан с последовательными номерами процедур, исполь­ зующих эти ключи. Эти таблицы формируются и отсылаются пользовате­ лю до их подключения к системе 5ЛУ.1.ЕТ. II на основе запроса иа их применение, причем новые таблицы безопасности создаются сразу пос­ ле высылки очередных таблиц и пересылаются пользователю только по мере необходимости. Пользователи, активно применяющие таблицы безопас­ ности, могут запросить в отделе главного инспектора таблицы с 2400 ключа­ ми вместо обычных таблиц (1200 ключей).

Доступ ЬТ к системе З.УУ.1.ЕТ. II производится с помощью команды ЬООШ. До того как будет послан запрос ЬООШ, пользователю необходи­ мо ввести ключ запроса и ключ ответа из таблицы безопасности ЬОСШ . Цель запроса Ю С Ш :

•определить логический путь для связи ЬТ с системой;

•ограничить доступ в систему несанкционированных пользователей;

•позволить пользователям проверить, что они подключились к подлин­ ной системе 5.УУ.1.ЕТ. II;

•указать размер окна, которое должно быть открыто для сеанса СРА.

При запросе процедуры ЕО СШ система ЗЛУ.ЕЕТ. II производит следу­

ющие действия:

1.Проверяет заголовок и текст сообщения, отправляемого процедурой ЬООШ .

2.Проверяет подлинность концевика МАС, сформированного с исполь­ зованием ключа из таблицы безопасности, но не содержащего инфор­ мацию о самом ключе.

3.Если подтверждение подлинности пользователя прошло успешно, по­ рядковый номер запроса ИОСШ (Ь5М ) сравнивается с ожидаемым си­ стемой ИЗК Если ИЗН находится в допустимом диапазоне, система проверяет, что запрос ЬО С Ш выдан после дня, указанного в последней

команде Е О С О Ц Т (указывает временные рамки для ЬТ, в течение которых от данного ЬТ не будут приниматься запросы). Если же ЬЗЫ не совпадает с ожидаемым, то в поле подтверждения подлинности системы указывается следующий ожидаемый ЬЗИ.

4. Подтверждает запрос Ш С Ш , возвращая либо положительное подтвер­ ждение Ш С Ш (Ь А К ), либо отрицательное подтверждение Ю С Ш (1Ш К). Подтверждение будет содержать концевик М АС, основанный на ключе ответа, но не содержащий информацию о нем и позволяю­ щий пользователю проверить подлинность системы.

5.Записывает попытку Ш С Ш вместе с ответом системы в предысто­ рию ЬТ,

#шел в систему, рассматривается как серьезная ошибка и игнорируется системой.Попытка произвести запрос ШСШ на линии связи, по которой IIуже во­

Доступ к приложению Р Ш (и з которого отправляются сообщения «пользователь-пользователь» и ряд системных сообщений) производится с помощью команды ЗЕЬЕСТ, которая проходит процедуру подтвержде­ ния для гарантии того, что:

•только проверенные пользователи могут получить доступ к системе З .Ш .Е Т . И;

•пользователь связался с подлинной системой 5.АУ.1.ЕТ. II.

Алгоритм подтверждения подлинности сообщения формирует конце­ вик М АС, используя при этом произвольный ключ защиты и ключ от­ вета, связанные последовательным номером с запросами Ш С Ш или ЗЕЬЕСТ, а также другие элементы данных (день/время отметки).

Э то т процесс отличается о т процесса подтверждения подлинности со­ общения «пользователь-пользователь». Он не требует обмена «ключа­ ми достоверности», но в нем используются уникальные таблицы безо­ пасности, созданные для каждого пользователя.

Помимо произвольных ключей защиты и ответа, известных только сис­ теме 5ЛУ.1.ЕТ. II и конечному пользователю, элементы данных, применяе­ мые для формирования МАС, посылаются в составе М АС как часть сооб­ щений ЬО С Ш и ЗЕЬЕСТ. В ответ система ЗДЩ .ЕТ. II формирует новый концевик М АС с тем же ключом защиты, но с другими элементами дан­ ных и включает его в З А К или 1ШК, давая возможность пользователю

368 Компьютерная безопасность и практическое применение криптографии

подтвердить достоверность системы 5ЛУ.1.ЕТ. II. Далее происходит при­ остановка подключения пользователя к системе и формируется запрос с новым концевиком, используя новый ключ доступа, для гарантии того, что сеанс будет возобновлен санкционированным ЬТ с одновременной проверкой подлинности системы ЗЛШ .ЕТ. II

В 5Ж1.ЕТ. II разработана и рекомендована Советом директоров для по­ всеместного использования улучшенная архитектура системы обеспечения безопасности, которая соответствует в широком смысле современному уров­ ню развития телекоммуникационных технологий и криптографических ме­ тодов. Основой нового подхода стало применение интеллектуальных карт (1СС), изменение алгоритма проверки достоверности и увеличение длины двусторонних ключей, которыми обмениваются пользователи.

Для обеспечения безопасности логического доступа к системе 5ЛЩ .ЕТ. II в рамках нового подхода была разработана служба безопасного входа

всистему и выбора режима (ЗЬЗ), которая позволяет пользователям по­ лучить доступ к услугам системы З.Ш.ЕЕТ. II с помощью 1СС вместо ис­ пользования бумажных таблиц Ь о § т и 5е1есЕ При применении Ю С тре­ буются считыватели карт. Необходимо заметить, что иа данном этапе предлагается два различных типа считывателей карт. Первый - упрощенный считыватель карт (В С Е ), который поддерживает только службу ЗЕЗ. Вто­ рой - считыватель карт с модулем защиты (З С Е ), в котором кроме функ­ ций считывателя реализована также функция модуля аппаратной защиты, выполняющего генерирование ключей и шифрование секретной информа­ ции (применяется как для поддержки ЗЕЗ, так и других служб, созданных

врамках нового подхода). Так как в ЗСЕ должны храниться секретные дан­ ные, это устройство выполнено защищенным от вскрытия - любая попыт­ ка добраться до его внутренних частей вызывает автоматическое уничто­ жение секретной информации, хранящейся в ЗСЕ.

Кроме того, при обслуживании ЗСЕ или ВСЕ предусмотрено несколько. различных режимов работы (отключенный от С В Т или подключенный к С В Т), широкий перечень услуг по обучению персонала организации и варианты конфигурирования этих устройств специально выделяемы­ ми людьми (офицерами безопасности).

Служба 31$ и операции в рамках этой службы

Как уже говорилось, основное назначение ЗЬЗ - замена бумажных таблиц Ьофп/Зекс!: механизмом, способным генерировать сеансовые ключи до­ ступа к системе, которые при использовании бумажных таблиц приходи­ лось считывать операторам СВТ вручную. Необходимо отметить, что Ю С

не содержит самих ключей доступа, но хранит алгоритм, который может сгенерировать требуемый сеансовый ключ для любого запроса 1юфп/3е1ес1:. Так как данный алгоритм не совпадает с применяемым в системе ЗЛУ.1.ЕТ. II в настоящее время алгоритмом для генерации бумажных таблиц, ключи доступа, получаемые из 1СС, отличаются от своих эквивалентов в бумаж­ ных таблицах.

Для обеспечения логического доступа к услугам системы 5Ж 1 .Е Т. II необходимо вставить соответствующим образом сконфигурированную 1СС в считыватель карт и ввести РШ -код иа клавиатуре считывателя. При выборе функции Бофп (5е1есЦ) на С В Т необходимые коды автоматически генерируются 1СС и передаются в СВТ, к которому подключен считыва­ тель. Затем С ВТ продолжает обрабатывать запрос Ь о § т (5е1ес!;) обычным образом. Для большинства пользователей считыватель карт будет оста­ ваться подключенным к С ВТ с целыо получения максимальной выгоды от службы ЗЬЗ. Но есть возможность использования и неподключенного счи­ тывателя карт (например, для удаленных терминалов или в случае ава­ рии), когда необходимые коды доступа хотя и генерируются в Ю С, но отображаются иа дисплее считывателя карт, а затем вручную вводятся в СВТ.

Обеспечение безопасности сообщений,

передаваемых и хранящихся в системе

Безопасность обмена сообщениями в системе 5Ж 1.Р.Т. II заключается

вследующем:

•обеспечении безопасности передачи;

•проверке сообщений;

•обеспечении безопасности доставки.

Учитывая, что сеть защищена от несанкционированного доступа, поток сообщений при передаче и хранении должен иметь защиту от:

•утраты, повреждения, ошибочной доставки или задержки сообщений;

•ошибок при передаче и хранении;

•утраты конфиденциальности;

•внесения в сообщение ложных изменений.

Обеспечение безопасности передачи

Во все сообщения приложений С РА и Р Ш системы ЗЛУХЕТ. II добавляет­ ся обязательное окончание - так называемый концевик СН К, который со­ держит контрольную сумму данного сообщения, пересчитываемую в уз­ лах ввода/вывода сети. Если произошло искажение сообщения во время