Projekat 6411

Win logon sistem na bazi smart kartica za zaštićenu kontrolu pristupa radnim stanicama

Rukovodilac: dr Zoran Marković

Rezime

Predmet istraživanja

Predmet istraživanja predstavlja razvoj sistema zaštićenog logovanja na radnu stanicu ili mrežni domen na bazi smart kartice - zaštićeni smart card Win Logon sistem. Operativni sistemi raćunara kao što su Windows 2000 i Windows XP omogućavaju podizanje operativnog sistema radne stanice, logovanje na mrežni domen i učitavanje korisničkog profila na bazi smart kartice. Postoje generalno dva načina za realizaciju Win Logon funkcije: metoda bazirana na digitalnom certifikatu i metoda bazirana na korisničkom imenu i lozinki za pristup domenu koji se čuvaju na smart kartici. Kod metode sa digitalnim certifikatom, pri logovanju korisnika na radnu stanicu (primenom PIN-a ili korisničkog imena i lozinke), digitalni certifikat se uzima sa smart kartice i šalje do aktivnog direktorijuma gde se nalaze izdati i povučeni certifikati u cilju provere validnosti. Ako je certifikat validan, korisniku se dopušta da se loguje na radnu stanicu, ili na domen, u zavisnosti od realizacije rešenja. Druga metoda koristi korisničko ime i lozinku za standardno logovanje na mrežni domen, ali se do korisničkog imena i lozinke za pristup mrežnom domenu dolazi ukucavanjem PIN koda (ili korisničkog imena i lozinke) za pristup smart kartici.

Postoji nekoliko scenarija za rad sa Win logon funkcijom.

Win Logon na bazi PIN koda - U ovom slučaju, pri podizanju operativnog sistema radne stanice, korisnik ubacuje smart karticu u čitač i upisuje PIN kod kartice. Operativni sistem određenim alatima prilazi tajnom delu memorije (otvorenom posredstvom PIN koda), uzima sertifikat ili korisničko ime i lozinku koji su sačuvani na kartici i na bazi njih se loguje na mrežni domen.

Win Logon na bazi korisničkog imena i lozinke - U ovom slučaju, korisnik ubacuje karticu i kuca korisničko ime i lozinka umesto PIN koda, na taj način prilazi tajnom delu memorije gde se nalazi sertifikat ili korisničko ime i lozinka za logovanje na mrežni domen. Oba korisnička imena i lozinke mogu biti isti, a i ne moraju. Korisnik može svoju lozinku za pristup kartici slobodno da menja, bez uticaja na korisničko ime i lozinku koji služe za pristup mrežnom domenu. Korisničko ime i lozinka za pristup mrežnom domenu predstavljaju sistemske parametre i mogu služiti za pristup aplikacijama zaštite i centralnim servisima.

Win Logon na bazi otiska prsta - U ovom slučaju, korisnik ubacuje svoju karticu i umesto PIN koda (ili korisničkog imena i lozinke) koristi svoj otisak prsta za pristup tajnom delu memorije kartice i uzimanje korisničkog imena i lozinke za pristup mrežnom domenu. Postoji i varijanta korišćenja sve tri autentikacione komponente, tj. da korisnik pored toga što je ubacio smart karticu, ukuca korisničko ime i lozinku i iskoristi svoj otisak prsta.

Na svetskom tržištu postoje komercijalni proizvodi za ovu namenu i praktično svi najpoznatiji proizvođači operativnih sistema za smart kartice imaju odgovarajući proizvod za ovu namenu. Međutim, sistem čiji se razvoj predlaže imaće daleko više funkcija od komercijalno dostupnih proizvoda i, imajući u vidu da je u potpusnosti originalan proizvod i da je potpuno plod domaćeg razvoja, moguće ga je kastomizovati kako u smislu dodavanja novih funkcionalnosti po želji krajnjeg korisnika tako i u smislu modifikacije kriptografskih funkcija u smislu ugradnje sopstvenih kriptografskih algoritama, definisanih od strane samih krajnjih korisnika.

Sadržaj istraživanja

Predloženi zaštićeni sistem logičkog pristupa Win Logon kontroliše pristup korisničkim nalozima, regularno kreiranim na domenskom serveru (domenski baziran sistem), ili lokalno na radnu stanicu, kroz originalno razvijenu proceduru logovanja baziranu na smart kartici kojoj se pristupa na osnovu PIN koda ili korisničkog imena i lozinke.

Ovaj sistem će se bazirati na originalno razvijenom GINA dll. Win logon modul je generalno odgovoran za prepoznavanje SAS (Secure Attention Sequences) sekvenci. SAS je ključna sekvenca kojom počinju procesi prijave (logon) i odjave (logoff) sa sistema (podrazumevana sekvenca je CTRL+ALT+DEL) i praćenje različitih SAS događaja. GINA je sa svoje strane odgovorna za prihvatanje obaveštenja o SAS događajima, odnosno njihovu obradu (pokretanja adekvatnih akcija i procedura).

Nakon prihvatanja SAS sekvence, otvara se dijalog za autentikaciju na bazi smart kartice (izgleda slično kao i standardni dijalog za Windows logovanje) i, umesto standardnog Gina.dll, učitavaće se originalni Gina.dll sa ugraćenim funkcijama specifičnog kriptografskog API koje će omogućiti rad sa smart karticama.

Nakon uspešnog logovanja na smart karticu, što se kontroliše pomoću pomenutog originalnog Gina.dll, struktura parametara za pristup se čita iz tajne memorije smart kartice i koristi se od originalnog Gina.dll za logovanje na domen server (ili lokalno logovanje) i dobijanje korisničkih profila sa domenskog servera. Nakon uspešne realizacije svih pomenutih aktivnosti, proces se kreira za datog korisnika i nastavlja se sa praćenjem SAS događaja.

Administriranje sistema zaštićenog Win 2000 logovanja sprovodiće se kroz sledeće radnje i aktivnosti:

U procesu personalizacije smart kartica kreiraće se i posebna parametarska struktura na smart kartici za pristup mrežnim resursima (korisničko ime, lozinka i domen),
Administrator domena kreiraće korisničke naloge i korisničke profile sa posebno definisanim pravima za pristup mrežnim resursima za svakog korisnika, na samom domen kontroleru, na osnovu podataka o korisničkim imenima i lozinkama dobijenih iz baze Certifikaciono tela (CA) u dogovorenom formatu.

Administrator sistema će instalirati prethodno opisani sistem zaštićenog Win 2000 logovanja na sledeći način:

Startovaće se specifični program na datoj radnoj stanici koja treba da ima Win Logon mogućnosti na bazi smart kartice, koja će upisati određene informacije u sistem registry,
Instaliraće se odreĥeni originalno razvijeni programi (dlls) u specificirane direktorijume koji su zabranjeni za pristup od strane samog korisnika.

Sadržaj predloženog istraživanja je razvoj svih neophodnih modula i podsistema da bi se realizovao gore opisani sistem.

Cilj istraživanja

Cilj predloženog istraživanja je da se razvije originalni sistem zaštićenog Win Logon pristupa na radnu stanicu ili mrežni domen na bazi smart kartice sa sledećim karakteristikama:

Zaštićeni sistem logičkog pristupa na Windows radne stanice (Win 2000 and XP) i servere (Win 2000 and 2003); kontrola pristupa može biti lokalna ili domenska,
Predstavlja originalno razvijenu proceduru na bazi smart kartice,
Sistem podržava rad sa različitim smart karticama, kako sa privatnim tako i sa JAVA operativnim sistemom,
Struktura parametara za pristup (korisničko ime, lozinka, domen) se bezbedno čuva na smart kartici ograničavajući pristup resursima samo za korisnike koji imaju odgovarajuće smart kartice iz datog sistema,
Korišćenje profila korisnika (roaming ili mandatory) se definiše i uspostavlja na serveru od strane autorizovanog sistem administratora,
Korisnici mogu slobodno da menjaju lozinku za pristup smart kartici ali ne mogu da menjaju parametre za pristup sistemu (to može da uradi samo administrator),
Praćenje aktivnosti/neaktivnosti i kontrola akcija koje treba da budu izvršene kada je kartica van čitača, ili u slučaju unapred specificiranog perioda neaktivnosti korisnika (operativni sistem može zaključati monitor radne stanice u unapred definisanoj formi (ništa se ne može videti na monitoru) ili pristupiti sa korisničkom Log Off procedurom ili čak Shut Down procedurom radne stanice); Takođe, vreme neaktivnosti nakon koga će se zaključati raćunar može biti unapred određeno i definisano u skladu sa usvojenom politikom od strane administratora,
Zaštićeni Win logon sistem će biti rezultat originalnog razvoja i baziraće se na primeni pristupa smart kartici na bazi korisničkog imena i lozinke, PIN koda, ili sertifikata i baziraće se dodatno na originalnom kriptografskom API koji posreduje pri pristupu smart kartici.
Sistem omogućava tro-komponentnu proceduru autentikacije sa uključenjem funkcije provere otiska prsta korisnika.
S obzirom da predstavlja domaći i originalno razvijen sistem, predloženi zaštićeni Win logon sistema na bazi smart kartica nudi različite mogućnosti kastomizacije sistema od strane krajnjih korisnika u odnosu na izvršenje specifičnih aktivnosti za vreme procedure logovanja. Imajući to u vidu, ovaj sistem predstavlja mnogo povoljnije rešenje od sličnih sistema dostupnih na svetskom tržištu.
Pomenuti sistem se može integrisati sa sistemom fizičke kontrole pristupa korišćenjem hibridnih kartica sa dodatkom beskontaktnog čipa (kontaktni čip bi služio za Win logon a beskontaktni za kontrolu fizičkog pristupa).

Rezultat istraživanja treba da bude prototip sistema za zaštićeni Win logon na bazi smart kartica koji će imati sve gore navedene karakteristike.

Znaćaj istraživanja

Predložena razvojna istraživanja su od izuzetnog značaja za realizaciju pouzdanog i bezbednog sistema zaštite logičkog pristupa na radne stanice na bazi smart kartica. Danas na svetskom tržištu postoji veliki broj različitih sistema za realizaciju sličnih Win logon sistema. Naime, većina (ako ne i svi) proizvođača operativnih sistema za smart kartice imaju u svom proizvodnom programu i sistem za zaštićeno logovanje na bazi smart kartica. Svi ti sistemi uglavnom vrše iste funkcije. Predloženi sistem koji treba da proistekne iz programa tehnološkog razvoja, imaće sve funkcionalnosti kao i sistemi dostupni na svetskom tržištu. Međutim, s obzirom da u potpunosti predstavlja plod domaćeg razvoja, predloženo rešenje će omogućiti punu kastomizaciju od strane krajnjeg korisnika, i to kako u pogledu izbora ili dodavanja novih funkcionalnosti tako i u pogledu sopstenog definisanja kriptografskih elemenata koji su ugrađeni u sistem. Sa druge strane, primenom ovih istraživanja dobiće se sistem koji će biti jedan od najsofisticiranijih sistema, imajući u vidu stanje na tržištu, jer će u sebi uključiti i proveru biometrijskih karakteristika (kao na primer: otisak prsta).

Pored osnovnih funkcionalnosti, predloženi sistem će, za razliku od komercijalnih proizvoda sa tržišta, imati i ugrađene kriptografske funkcije tako da će biti u potpunosti bezbedan i pogodan za korišćenje od strane specijalizovanih institucija koje inače ne koriste komercijalne proizvode iz bezbednosnih razloga.