Идентификация и аутентификация «ФПСУ-IP» и УА ФПСУ-IP |
Главный принцип защищенного удаленного администрирования «ФПСУ-IP» –обеспечение взаимной идентификации и строгой двухсторонней аутентификации «ФПСУ-IP» и УА ФПСУ-IP. Механизмы идентификации и аутентификации при взаимодействии «ФПСУ-IP» и их удалённых администраторов базируются на обязательной процедуре взаимной регистрации, без которой доступ удалённых администраторов к «ФПСУ-IP» не предоставляется. Для осуществления взаимной регистрации каждая сторона вырабатывает персональную ключевую пару, состоящую из закрытого и открытого ключа: закрытый будет использоваться этой стороной в процессе аутентификации, а открытый предназначен для выдачи на внешний носитель и регистрации на противоположной стороне. Регистрация производится отдельно для каждой пары субъекта и объекта управления путём обмена открытыми ключами. Кроме того, при регистрации каждого удалённого администратора на каждом «ФПСУ-IP» локальные администраторы предоставляют удалённым администраторам права на осуществление конкретных операций дистанционного управления, которые будут контролироваться «ФПСУ-IP» в процессе взаимодействия с удалёнными администраторами. Впоследствии полученные при регистрации от противоположной стороны открытые ключи используются в процессе обращения удалённого администратора к «ФПСУ-IP» с целью обеспечения взаимной двухсторонней аутентификации. Инициатором идентификации и аутентификации всегда является УА ФПСУ-IP. На этапе взаимной идентификации «ФПСУ-IP» проверяет, что удалённый администратор, осуществляющий запрос, зарегистрирован по уникальному имени и не производит работу с данным «ФПСУ-IP» в текущий момент времени, а посылающая запрос программа удаленного администрирования проверяет, что ответивший на запрос «ФПСУ-IP» является именно тем «ФПСУ-IP», к которому обращался удалённый администратор. На этапе взаимной аутентификации будет проверено, что удалённый администратор, от которого пришел запрос, обладает теми же заранее зарегистрированными данными, которыми должен обладать администратор с выявленным в процессе идентификации именем, а также что «ФПСУ-IP», к которому обращался удалённый администратор, обладает теми же заранее зарегистрированными данными, которыми должен обладать «ФПСУ-IP» с данным серийным номером. Взаимная идентификация «ФПСУ-IP» и их удалённых администраторов осуществляется следующим образом. При посылке к «ФПСУ-IP» IP-пакета запроса, программа УА ФПСУ-IP помещает в него уникальное имя администратора (взятое из подключенного к УА ФПСУ-IP устройства «VPN-Key/UA»). При получении этого пакета «ФПСУ-IP» производит поиск имени удалённого администратора в своей регистрационной таблице. В случае отрицательного результата идентификация удалённого администратора на «ФПСУ-IP» считается невыполненной, а полученный запрос будет сброшен (с регистрацией данного события в подсистеме статистики). В случае положительного результата «ФПСУ-IP» вышлет на УА ФПСУ-IP ответный IP‑пакет, снабдив его именем удалённого администратора, которое он обнаружил в своей таблице. УА ФПСУ-IP, приняв пакет, проверяет совпадение посланных и полученных данных. При отрицательном результате проверок идентификация удалённого «ФПСУ-IP» на УА ФПСУ-IP считается невыполненной, а полученный ответ от «ФПСУ‑IP» будет сброшен. Если процесс взаимной идентификации «ФПСУ-IP» и удалённого администратора завершился успешно, УА ФПСУ-IP с использованием открытого ключа «ФПСУ-IP» проверяет, что полученный блок информации был передан именно тем зарегистрированным «ФПСУ-IP», к которому он обращался. При отрицательном результате проверки аутентификация «ФПСУ-IP» на УА ФПСУ-IP считается невыполненной, а соответствующий IP-пакет сбрасывается (с оповещением администратора УА ФПСУ-IP о данном событии). В случае успеха, аналогичным образом производится процедура аутентификация удалённого администратора на «ФПСУ-IP». В случае неудачи, процесс обмена информацией между «ФПСУ-IP» и удалённым администратором прекращается. В случае успешного завершения аутентификации, полученные каждой стороной блоки информации будут являться сеансовыми аутентификаторами, используемыми при передаче каждого блока данных между «ФПСУ-IP» и УА ФПСУ-IP. Реализованная описанным образом схема взаимной аутентификации удалённого администратора при запросах на доступ к «ФПСУ-IP» с целью контроля или управления обеспечивает устойчивость передачи данных к пассивному и активному перехвату информации в глобальных Интернет-сетях. |