Методика и алгоритмы защиты аутентификационных данных пользователей в WEB - приложениях тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат наук Дзьобан, Павел Игоревич
- Специальность ВАК РФ05.13.19
- Количество страниц 173
Оглавление диссертации кандидат наук Дзьобан, Павел Игоревич
ОГЛАВЛЕНИЕ
1 ОБЗОР МЕТОДОВ И АЛГОРИТМОВ АУТЕНТИФИКАЦИИ
ПОЛЬЗОВАТЕЛЕЙ В WEB-ПРИЛОЖЕНИЯХ
1.1 Международный опыт создания защищенных web-приложений с учетом актуальных атак злоумышленников
1.2 Методы обеспечения информационной безопасности аутентификации пользователей в web-приложениях
1.3 Методы и алгоритмы аутентификации пользователей
в web-приложениях
1.3.1 Метод парольной аутентификации
1.3.2 Метод аутентификации по сертификатам
1.3.3 Метод аутентификации по одноразовым паролям
1.3.4 Метод аутентификации по ключам доступа
1.3.5 Метода аутентификации по токенам
1.4 Методы вторичной аутентификации
1.4.1 Метод генерирования одноразовых паролей
1.4.2 Метод табличной аутентификации
1.4.3 Метод с контрольными вопросами
1.4.4 Другие методы вторичной аутентификации
1.5 Международные и отечественные стандарты аутентификации
1.6 Выводы по первой главе
2 АНАЛИЗ АКТУАЛЬНЫХ ТИПОВ АТАК НА АУТЕНТИФИКАЦИОННЫЕ
ДАННЫЕ ПОЛЬЗОВАТЕЛЕЙ WEB-ПРИЛОЖЕНИЯ
2.1 Классификация атак на web-приложения
2.2 Примеры реализации атак на аутентификационные данные пользователей web-приложения
2.2.1 Реализация сетевой атаки типа «фишинг»
2.2.2 Реализация сетевой атаки типа «Sql - инъекция»
2.2.3 Реализация сетевой атаки типа <ар-спуфинг»
2.3 Кеширование в web-браузере пользователей, как канал утечки аутентификационных данных
2.4 Анализ SSL/TLS шифрования
2.4.1 Реализация дешифрования аутентификационных данных SSL/TLS шифрования
2.5 Выводы по второй главе
3 ИСПОЛЬЗОВАНИЕ БАЙЕСОВСКОЙ СЕТИ ДЛЯ ЗАЩИТЫ КЛИЕНТСКОЙ СТОРОНЫ ОТ АТАК ЗЛОУМЫШЛЕННИКОВ
3.1 Существующие методы защиты от атак злоумышленников на стороне клиента web-приложения
3.2 Описание математической модели байесовской сети
3.3 Байесовская математическая модель обнаружения и предотвращения хищения аутентификационных данных пользователя web-приложения
3.4 Алгоритм реализации математической модели
3.5 Оценка эффективности предавторизационной проверки пользователей web-приложений
3.6 Выводы по третьей главе
4 РАЗРАБОТКА МЕТОДИКИ И АЛГОРИТМОВ ЗАЩИТЫ
АУТЕНТИФИКАЦИОННЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЕЙ В №ЕВ-ПРИЛОЖЕНИИ
4.1 Разработка методики и алгоритмов защиты аутентификационных данных пользователей на стороне web-ресурса
4.2 Анализ и моделирование действий злоумышленника на возможность хищения аутентификационных данных пользователей в результате атаки на сервер web-приложения
4.2.1 Использование метода радужных таблиц
4.2.2 Использование метода «грубого перебора»
4.2.3 Использование логирования для дешифровки аутентификационных данных
4.3 Нагрузочное тестирование авторизационными данными сервера web-
приложения
4.4 Тестирование производительности многоканальной системой массового обслуживания с неограниченной очередью авторизаций пользователей
4.5 Выводы по четвертой главе
5 ОЦЕНКА ЭФФЕКТИВНОСТИ МЕТОДИКИ И АЛГОРИТМОВ ЗАЩИТЫ
АУТЕНТИФИКАЦИОННЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЕЙ WEB-ПРИЛОЖЕНИЯ
5.1 Расчет возникновения риска реализации актуальных сетевых атак на аутентификационные данные пользователей web-приложения
5.2 Влияние методики и алгоритмов защиты аутентификационных данных пользователей web-приложения на информационные риски предприятия в целом
5.3 Выводы по пятой главе
ЗАКЛЮЧЕНИЕ
СПИСОК СОКРАЩЕНИЙ И УСЛОВНЫХ ОБОЗНАЧЕНИЙ
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ
ПРИЛОЖЕНИЕ А
Листинг скрипта аутентификации для web-приложения c использованием
Php
ПРИЛОЖЕНИЕ Б
Листинг кода PHP базы данных web-приложения
ПРИЛОЖЕНИЕ В
Листинг кода Php для хеширования пароля
ПРИЛОЖЕНИЕ Г
Листинг реализации усиленной методики и алгоритмов защиты аутентификационных данных пользователей web-приложения
с модификатором «соль»
ПРИЛОЖЕНИЕ Д
Свидетельство о государственной регистрации базы данных
ПРИЛОЖЕНИЕ Е
Свидетельство о государственной регистрации базы данных
ПРИЛОЖЕНИЕ Ж
Свидетельство о государственной регистрации базы данных
ПРИЛОЖЕНИЕ З
Акт о внедрении результатов диссертационной работы
ПРИЛОЖЕНИЕ И
Акт о внедрении результатов диссертационной работы
ПРИЛОЖЕНИЕ К
Акт о внедрении результатов диссертационной работы
Рекомендованный список диссертаций по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Метод повышения устойчивости браузеров мобильных устройств к атакам на основе межсайтового выполнения сценариев2013 год, кандидат наук Глабай, Сергей Николаевич
Модели и алгоритмы повышения криптостойкости и производительности защищенного канала связи в телекоммуникационных сетях TCP/IP2018 год, кандидат наук Метлинов, Александр Дмитриевич
Высоконадежная биометрическая аутентификация на основе защищенного исполнения нейросетевых моделей и алгоритмов искусственного интеллекта2023 год, доктор наук Сулавко Алексей Евгеньевич
Разработка и исследование метода создания и использования хранилищ ключевой информации на основе распознавания биометрических образов2003 год, кандидат технических наук Тумоян, Евгений Петрович
Методика и инструментальное средство оценки корректности функционирования информационных ресурсов2018 год, кандидат наук Быстрицкий Николай Дмитриевич
Введение диссертации (часть автореферата) на тему «Методика и алгоритмы защиты аутентификационных данных пользователей в WEB - приложениях»
ВВЕДЕНИЕ
Актуальность исследования. Разработка web-приложений (интернет-банкинг, различные платежные системы, ресурсы, обрабатываемые персональные данные и др.) является новым и наиболее перспективным направлением развития информационных и телекоммуникационных технологий. Задача разработчиков и любого web-ресурса - уберечь конфиденциальную информацию от хищения, последствия которого выражаются в изменении или уничтожении контента ресурса. В случае получения злоумышленником аутентификационных данных пользователя на web-ресурсе, в 90 % прецедентов, идентификатор и аутентификатор будут действительными на других web-ресурсах.
Реализация SSL/TLS соединения на web-ресурсе - это гарант обеспечения целостности передачи данных между клиентом и сервером на момент ведения диалога. В данном случае злоумышленнику необходимо выявить уязвимости либо на клиентской стороне, либо на серверной. На стороне клиента хищение данных аутентификации может произойти на этапе возобновления сессий браузера пользователя или хищения приватных ключей RSA, если был выбран данный алгоритм шифрования. Остается угроза хищения идентификаторов сессии web-браузера пользователя и cookies-файлов, содержащих идентификаторы и пароли, а также идентификаторы предыдущих сессий пользователя на том или ином web-приложении и ресурсе, где прибегают к «снифферу» и элементарному анализатору сетевых пакетов, например, «Wireshark», или реализуют атаки, основанные на «фи-шинге». Данная угроза реализована относительно недавно и основывается на том, что популярные web-браузеры «Mozilla Firefox» и «Google Chrome» поддерживают логирование симметричных сессионных ключей в файл «.log». С помощью закрытых симметричных ключей и происходит шифрование трафика во время диалога «клиент-сервер». Таким образом, реализуется угроза на клиентской стороне, и весь трафик дешифруется с помощью «логов» пользователя.
Со стороны сервера также допускается угроза утери данных аутентификации пользователей. Злоумышленник способен организовать атаку непосредственно на базу данных сервера web-приложения, реализуя DOS/DDOS-атаки, SQL-инъекции, XSS-атаки и прочие. Допуская реализацию описанных типов атак, в результате злоумышленник будет иметь доступ к данным, содержащимся и обрабатываемым на web-сервере приложения, к идентификационным и аутентификационным данным пользователей в том числе, помимо самого контента web-ресурса.
В связи с вышеизложенным, представляется актуальным разработка и реализация алгоритма предавторизационной проверки web-ресурса, позволяющего предотвратить ввод идентификационных и аутентификационных данных в web-приложение, если вероятность его нелегетимности выше 30 % и одновременно направить отчет в «центр аутентификации» о фишинговом web-ресурсе. Тем самым предотвратить угрозу по хищению и дальнейшему использованию злоумышленниками идентификационных и аутентификаци-онных данных пользователя, так как их ввод на фишинговый ресурс не был произведен. Алгоритм реализован в виде плагина браузера и сообщает о возможности и степени возникновения сетевой угрозы, основанной на принципах реализации «фишинговых» атак, атак типа «Man In The Middle», а также подмены «CA» сертификатов SSL/TLS с учетом ближайшего эволюционирования.
Для предотвращения последствий, в случае доступа злоумышленником к базе данных web-приложения, авторская методика мотивирована на шифрование передаваемых данных для упорядочивания процедуры аутентификации и дальнейшей аутентификации, причем для каждого пользователя с оди-наквыми входными данными будет получена уникальная хеш-сумма, помимо SSL/TLS шифрования, для предотвращения реализации угроз как с клиентской, так и с серверной сторон. На web-сервере сравниваются не данные аутентификации пользователей в открытом виде, а их хеш-сумма по заданному криптографическому алгоритму с учетом «сдвига» и «замены» символов (в
настоящее время используется FIPS 202 - Стандарт SHA-3: Алгоритмы вычисления хеш-функции и функций с переменной длиной выхода на основе перестановок), с обманной оболочкой, коллизиообладаюшего алгоритма хеширования md5.
Идентификация и аутентификация пользователей web-приложения являются первостепенными процедурами для дальнейшей аутентификации, которая обеспечивает выполнение следующих функции:
- определение вероятности наступления сетевой атаки, перед вводом идентификационных и аутентификационных данных пользователем;
- определение легитимности web-ресурса, на котором предполагается передача, обработка и хранение аутентификационных данных для дальнейшего взаимодействия;
- выявление соответствия подлинности и определения полномочии" субъекта при его допуске в систему по цифровому отпечатку в виде хеш-суммы, который для каждого пользователя является уникальным;
- контроль установленных полномочии", прав доступа в процессе сеанса работы в зависимости от статуса субъекта;
- учет действий пользователя, в том числе выявление подозрительной активности и др.
Таким образом, актуальность темы диссертационной работы обусловлена необходимостью разработки методики и алгоритмов защиты аутентификационных данных пользователей в web-приложениях.
Разработанная методика включает в себя этап проверки web-ресурса на наличие потенциала сетевых атак, а также расчета вероятности их реализации. В случае принятия пользователем решения о ведении диалога с web-приложением аутентификационные данные передаются, обрабатываются и хранятся в формате единой, цельной и уникальной для каждого пользователя хеш-суммы, в независимости от реализации SSL/TLS шифрования.
Разработанная методика требует больше вычислительного ресурса, чем
обычная парольная аутентификация. Для расчета потенциала от внедрения в предполагаемой информационной системе предлагается тестирование вычислительного ресурса с помощью программного обеспечения системы массового обслуживания без очереди.
Работа выполнена в соответствии с п.п. паспорта научной специальности 05.13.19 - Методы и системы защиты информации, информационная безопасность - технические науки Высшей
аттестационной комиссии при Министерстве образования и науки Российской Федерации:
- п.3 «Методы, модели и средства выявления, идентификации и классификации угроз нарушения информационной безопасности объектов различного вида и класса»;
- п.5 «Методы и средства (комплексы средств) информационного противодействия угрозам нарушения информационной безопасности в открытых компьютерных сетях, включая Интернет»;
- п.6 «Модели и методы формирования комплексов средств противодействия угрозам хищения (разрушения, модификации) информации и нарушения информационной безопасности для различного вида объектов защиты вне зависимости от области их функционирования»;
- п.11 «Технологии идентификации и аутентификации пользователей и субъектов информационных процессов. Системы разграничения доступа».
Степень разработанности темы исследования. Рассмотрены вопросы обеспечения информационной безопасности, в частности методик и алгоритмов защиты аутентификационных данных пользователей в web-приложениях, а также особенностей их реализации; опубликовано значительное количество работ, в которых проанализированы как сами атаки, так и возможные меры и средства противодействия им.
Изучение степени проработанности темы показало, что в области защиты аутентификационных данных пользователей в web-приложениях теоретическая, а также методологическая базы в настоящее время формируются
усилиями таких ученых как Д.П. Зегждой [26,27], Е.Ф. Алёшкиным [3], А.Ю. Щербаковым [81], Ю.В. Вайнштейном [8], A.A. Чеминым, [78], А.И. Костогрызовым [37], В.В. Домаревым [20], А.В. Лейманом [42], А.В. Ниж-никовским [47], Ю.И. Рыжиковым [65,66,67], В.П. Бубновым [6,7], А.Д. Хо-моненко [7,76], А.А. Корниенко [36] и другими учеными, включая зарубежных авторов.
Проведено сравнение полученных данных с результатами упомянутых ученых, а также описанное стандартами FIPS 113, FIPS 140-2 и ГОСТ 28147-89, функционирование большинства программно-аппаратных средств защиты информации и специальных технических средств, направленных на сохранение целостности передачи данных во время диалога между клиентом и сервером web-приложения.
Обеспечению безопасности ввода аутентификационных данных на клиентской стороне в web-приложение, легитимность которого не подтверждена, должного внимания выделено не было. В основном меры по противодействию и предотвращению подобного рода потенциала являются больше организационными и направлены на «воспитание» пользователя с точки зрения информационной безопасности. Также, если рассмотреть диалог между клиентом и сервером web-приложения с ракурса базы данных, можно заметить, что в итоге аутентификационные данные сравниваются в открытом (дешифрованном) виде. В случае проведения «успешной» атаки на базу данных web-приложения злоумышленнику будут доступны хеш-суммы всех пользователей и дальнейшая конвертация (в случае необходимости), не сложная техническая задача.
Отсюда вытекает научно-техническая задача диссертационной работы: разработка методики и алгоритмов защиты аутентификационных данных, обеспечения безопасного и осознанного их ввода в web-приложение пользователем с дальнейшей передачей, обработкой и хранением их на сервере в виде уникальной хеш-суммы, исключающей коллизии и возможность дешифрации.
Объектом исследования является аутентификация клиента на сервере web-приложения.
Предметом исследования являются методики и алгоритмы защиты аутентификационных данных пользователей web-приложения, способы их модернизации, обнаружение и предотвращение сетевых атак.
Целью исследования является повышение уровня целостности и конфиденциальности передачи, обработки и хранения идентификационных и аутентификационных данных пользователей и, как результат, защищенности контента web-ресурса в целом.
На защиту выносятся:
- алгоритм расчета вероятности реализации сетевой угрозы и легитимности web-приложения, до ввода пользователем идентификационных и аутентификационных данных, работающий в режиме реального времени;
- методика и алгоритмы защиты аутентификационных данных пользователей web-приложения с использованием криптографического синтеза пароля, оригинального энтропийного модификатора «соль», зависящего от уникального ярлыка каждого пользователя и «общая соль», зависящая от 1р и шае-адресов сетевого устройства клиента;
- алгоритм для определения вычислительного потенциала информационной системы, выраженного в способности обрабатывать определенное количество данных аутентификации пользователей в единицу времени, с учетом специфики авторской методики;
- оценка эффективности разработанной методики и алгоритмов защиты аутентификационных данных пользователей web-приложения.
Методы исследования. Для решения поставленных задач были использованы: аппарат вычислительной математики, Байесовская сеть, Марковские процессы, многоканальная система массового обслуживания с неограниченной очередью, методы противодействия угрозам нарушения целостности аутентификационных данных , имитационное моделирование, модели уг-
роз и нарушителя, объектно-ориентированное проектирование и программирование на PHP.
Научная новизна. В диссертации получены следующие, характеризующиеся научной новизной, результаты:
1. Предложен алгоритм определения вероятности возникновения сетевых атак и уровня легитимности web-приложения, до ввода пользователем аутентификационных данных, по 17 критериям и свойствам посредством байесовской сети, реализованный в виде плагин-расширения web-браузера «Google Chrome» и работающий в режиме реального времени.
2. Предложена авторская методика и алгоритмы защиты аутентификационных данных пользователей в web-приложении с использованием криптографического синтеза пароля, n-разового хеширования, с имитацией скомпрометированного коллизиообладаюшего шифрования, оригинального энтропийного модификатора «соль», зависимой от уникального ярлыка каждого пользователя и «общая соль», зависящая от ip и тас-адресов сетевого устройства клиента.
3. Представлен алгоритм для определения вычислительного потенциала информационной системы, выраженного в способности обрабатывать определенное количество авторизаций пользователей в единицу времени, с учетом специфики авторской методики.
4. Произведена оценка эффективности разработанной методики и алгоритмов защиты аутентификационных данных пользователей web-приложения, повышения уровня целостности, конфиденциальности и доступности, влияние на пропускную способность и вычислительный ресурс информационной системы, а также влияние на реальное предприятие в целом, с учетом расчета частной модели угроз, нарушителя и информационных рисков.
Практическая значимость. Полученные результаты в диссертационной работе могут быть использованы в открытых системах, а именно web-браузерах - в виде плагина или расширения
(предавторизационная проверка на наличие различных сетевых атак), а также при разработке web-приложений для решения задач безопасности передачи, обработки и хранения, входных аутентификационных данных пользователей web-приложений и подобных по структуре различных web-ресурсов.
Разработанные методика и алгоритмы защиты аутентификационных данных пользователей в web-приложении позволят формализовать:
- процедуру предавторизационной проверки web-приложения до ввода на клиентской стороне входных аутентификационных данных с помощью байесовской сети;
- процедуру определения статуса пользователя и дальнейшей методики его аутентификации;
- процедуру хеширования и/или п-го хеширования пароля с использованием энтропийного модификатора «соль» для дальнейшей передачи на web-сервер;
- процедуру определения одновременного числа авторизаций пользователей с учетом вычислительного ресурса web-сервера, пропускной способности сети и авторской методики посредством разработанной программы, на основе марковских процессов, системы массового обслуживания без очереди.
Реализация и внедрение работы. Результаты научного исследования внедрены в рабочий процесс компании ООО «Южный инновационный центр» г. Краснодар, ООО «Коммерческий банк «Кубань Кредит» г. Краснодар и департамент информационной безопасности АО «Сириус» г. Краснодар, о чем свидетельствуют акты о внедрении.
Апробация результатов диссертации. Основные положения диссертационной работы докладывались и обсуждались на научно-практических конференциях и семинарах, в том числе: на II Всероссийской научно-практической конференции «Актуальные вопросы науки и практики». Разработаны модели и методы идентификации и аутентификации пользователей для web-приложений в 2013 г., в материалах XVI Международной научной конференции 19-21 октября 2015 г. в г. Кисловодске «Современные пробле-
мы проектирования, применения и безопасности информационных систем», а также в материалах IV Международной научно-практической конференции «Автоматизированные информационные и электроэнергетические системы» 9-11 сентября 2016 г. в ФГБОУ ВО «Кубанский государственный технологический университет».
Достоверность и обоснованность научных положений подтверждается использованием системного подхода и математического аппарата к решению задач научного исследования; применением признанных научным сообществом литературных источников предметной области решаемой задачи; построением блок-схем алгоритмов; согласованностью проведенных научных исследований с практическим опытом и известными знаниями предметной области; апробацией, программной реализаций и результатами внедрения методики и алгоритмов защиты аутентификационных данных пользователей web-приложения.
Публикация результатов работы. По теме диссертации опубликовано 15 печатных работ, в том числе четыре публикации в ведущих рецензируемых научных изданиях, рекомендованных ВАК при Минобрнауки России, пять публикаций в сборниках научных статей, три публикации в трудах научных конференций и три свидетельства о государственной регистрации баз данных.
Структура и объем диссертации. Диссертационная работа состоит из введения, пяти глав, выводов по каждой главе, заключения, списка используемой литературы и приложений. Диссертационная работа изложена на 173 страницах основного текста, содержит 51 рисунок, 29 таблиц, 10 приложений. Список используемой литературы содержит 95 наименований.
В диссертационной работе рассмотрены международный опыт создания защищенных web-приложений с учетом актуальных типов атак, методы и алгоритмы построения web-приложений, методы и алгоритмы идентификации, аутентификации и авторизации пользователей web-приложения, алгоритмы защиты канала между сервером и клиентом, методы
и алгоритмы кеширования в web-приложениях, математический аппарат, синтезированный в байесовской сети вычисления вероятности наступления сетевых атак типа «фишинг» по 17 критериям и свойствам, методика и алгоритмы защиты аутентификационных данных пользователей, алгоритм реализации многоканальной системы массового обслуживания с неограниченной очередью аутентификации пользователей в web-приложении и оценка эффективности после внедрения реализованной методики и алгоритмов защиты аутентификационных данных на конкретном предприятии.
В первой главе произведен аналитический обзор методов и алгоритмов аутентификации пользователей в web-приложениях. Проведен анализ отчественного и международного опыта создания web-приложений и, в частности, реализации аутентификации пользователей, с точки зрения информационной безопасности и защиты информации. Подробно рассмотрены методы первичной и вторичной аутентифкации, их синтез и взаимодействие исходя из отечественных и международных стандартов аутентифкации.
Во второй главе произведен анализ существующих и актуальных типов атак на web-приложения, в частности, с целью хищения аутентификационных данных пользователей. Рассмотрены различные классификации актуальных атак, а также приведены примеры их реализации и последствий. Процедура кеширования показана как канал утечки аутентификационных данных . Тем самым представлена угроза хищения и дальнейшего использования злоумышленником аутентификационных данных пользователя web-приложения с помощью сетевых атак, основанных на фишинге. Таким образом, для автора была сформулирована первая проблема, на пользовательской стороне. Также произведен анализ защищенного соединения «https», с использованием актуального TLS 1.2. Были смоделированы действия злоумышленника по дешифрованию данного трафика и пошагово продемонстрирована данная уязвимость. Данная утечка
представляет собой вторую проблему, только уже на стороне ресурса web-приложения, которую автору необходимо решить в диссертационном исследовании.
В третьей главе представлена первая часть разработанной методики, реализованная с помощью байесовской сети для защиты клиентской стороны от сетевых атак злоумышленников и выполняющая обнаружение и предотвращение сетевых атак типа «фишинг» и компрометации SSL/TLS сертификатов. Реализация разработанной предавторизационной проверки позволяет определить вероятность вредоносного потенциала класса «фишинг» атак, подмены SSL/TLS сертификата, аутентификационных данных пользователя до факта их ввода, статус и легетимность web-приложения в целом. В результате пользователь осведомлен о потенциале хищения идентификационных и аутентификационных данных, перед тем как доверить их web-серверу, для предотвращения негативных последствий. Также продемонстрированы фрагменты работы плагин-приложения web-браузера «Google Chrome» на предмет обнаружения сетевых атак, работающего в режиме реального времени, и произведена оценка его эффективности.
В четвертой главе представлены методика и алгоритм аутентификации пользователей в web-прилоржении, реализация методики и алгоритмов защиты аутентификационных данных пользователей, авторские алгоритм и методика с учетом реализации уникального для каждого пользователя энтропийного модификатора «соль». В примере реализации авторской методики использовался коллизиообладающий 32-битный
криптографический алгоритм хеширования md5. Для демонстрации эффективности была проведена проверка криптоскойсти в случае хищения аутентификационных данных на противостояние методикам «грубого» подбора, обратных, радужных таблиц, а также «логирование» для дешифровки всего трафика дилога клиент-сервера, которое нейтрализовало SSL/TLS шифрование. Представлен алгоритм и программная реализация
многоканальной системы массового обслуживания аутентификации пользователей web-приложения для вычисления пропускной способности потенциальной информационной системы. Представленная реализация может выступать в качестве шаблона, поэтому ее можно модернизировать использованием более криптостойких алгоритмов хеширования и увеличением масштаба словаря инструметов «сдвига» и «замены» при обработке значительно большего числа аутентификационных данных .
В пятой главе произведена оценка эффективности разработанной методики как цельного объекта. Представлен расчет возникновения риска реализации сетевых атак на идентификационные и аутентификационные данные web-приложения, построены и рассчитаны модель угроз и модель нарушителя, выявлена положительная тенденция. В результате интеграции разработанного алгоритма и методики рассчитана и получена реальная экономическая эффективность от внедрения авторской методики и алгоритмов защиты аутентификационных данных пользователей в КБ «Кубань Кредит» ООО, выраженная в снижении ежемесячного возможностного ущерба от возникновения информационных рисков на 1,211 млн руб.
В результате диссертационной работы разработаны методика и алгоритмы защиты аутентификационных данных пользователей в web-приложениях, а также осуществлена их программная реализация.
1 ОБЗОР МЕТОДОВ И АЛГОРИТМОВ АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ В WEB-ПРИЛОЖЕНИЯХ
1.1 Международный опыт создания защищенных web-приложений с учетом актуальных атак злоумышленников.
Web-приложения как часть глобальной информационной системы становятся все более популярными средствами хранения и обработки информации. Вместе с популярностью растет количество информации и иных ресурсов, которые необходимо защитить, а также количество злоумышленников, старающихся получить несанкционированный доступ к этим ресурсам. Как показывает практика, традиционных методов защиты, например, использование шифрованного соединения «https» или «сложного» пароля для аутентификации, на сегодняшний день недостаточно.
Найти компромисс между защищенностью и удобством использования позволяют специальные проекты, посвященные безопасности web-приложений. Одним из подобных проектов является OWASP - Open Web Application Security Project [91]. OWASP - это не столько актуальный список наиболее популярных атак и методов борьбы с ними, сколько руководство по обеспечению информационной безопасности на всех этапах жизненного цикла программного обеспечения. Основная цель OWASP — передать разработчикам, архитекторам программного обеспечения, менеджерам проектов и даже целым организациям знания о наиболее важных уязвимых местах в безопасности web-приложений. Разработчики могут учиться на чужих ошибках, руководители же должны использовать полученные данные для управления затратами и рисками, связанными с применением защищаемого программного обеспечения в бизнесе соответственно. OWASP Top 10 [91] — это подборка десяти наиболее распространенных уязвимостей, вызванных ошибками, допускаемыми программистами и используемыми злоумышленниками, а также описание способов защиты. В начале 2016 года была выпущена новая версия этого рейтинга. Ниже приводится сравнитель-
ный анализ свежей версии с предыдущим вариантом, датируемым 2013 годом.
Таблица 1 - Анализ частоты реализации 10 актуальных атак на web-
приложения злоумышленниками в мировой практике
Актуальные атаки 2013 года Актуальные атаки 2016 года
1. Инъекция программного кода (Injection) 1. Инъекция программного кода (Injection)
2. Межсайтовый скриптинг (Cross Site Scripting) 2. Межсайтовый скриптинг (Cross Site Scripting)
3. Ошибки при аутентификации и управлении сессиями (Broken Authentication and Session Management) 3. Ошибки при аутентификации и управлении сессиями (Broken Authentication and Session Management)
4. Небезопасные прямые ссылки на объекты (Insecure Direct Object References) 4. Небезопасные прямые ссылки на объекты (Insecure Direct Object References)
5. Межсайтовая подделка запросов (Cross Site Request Forgery) 5. Небезопасные настройки ПО (Security Misconfiguration)
6. Небезопасные настройки ПО (Security Misconfiguration) 6. Публикация конфиденциальной информации (Sensitive Data Exposure)
7. Небезопасная криптография (Insecure Cryptographic Storage) 7. Отсутсвие контроля доступа на уровне функций (Missing Function Level Access Control)
8. Отсутствие контроля за доступом к URL- адресам (Failure to Restrict URL Access) 8. Межсайтовая подделка запросов (Cross Site Request Forgery)
9. Недостаточная защита транспортного уровня (Insufficient Transport Layer Protection) 9. Использование компонентов с известными уязвимостями (Using Known Vulnerable Components)
10. Непроверенные редирект и форвардинг (Unvalidated Redirects and Forwards) 10. Непроверенные редирект и форвардинг (Unvalidated Redirects and Forwards)
Похожие диссертационные работы по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Алгоритмы и методы повышения степени доверия безопасности вычислительной среды на тонких клиентах2016 год, кандидат наук Теплоухова, Ольга Александровна
Методы защиты информации на основе псевдовероятностного преобразования для мобильных устройств телекоммуникационных систем2017 год, кандидат наук Биричевский, Алексей Романович
Методика проведения расследования киберинцидента на основе автоматизированного анализа событий безопасности домена2022 год, кандидат наук Смирнов Станислав Игоревич
Методы повышения эффективности систем биометрической аутентификации пользователей информационных систем по изображению лица2017 год, кандидат наук Волкова Светлана Сергеевна
Методология формирования иерархии доверия к результатам идентификации и аутентификации субъектов доступа2020 год, доктор наук Сабанов Алексей Геннадьевич
Список литературы диссертационного исследования кандидат наук Дзьобан, Павел Игоревич, 2017 год
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ
1. Аверченков В.И. Организационная защита информации: учеб. пособие./ В.И. Аверченков, М.Ю. Рытов. Брянск: БГТУ, 2005. - 184 с.
2. Автоматизация проектирования систем и средств управления: учебное пособие / А.Ф. Иванько, М.А. Иванько, В.Г. Сидоренко, Г.Б. Фалк. М.: Изд-воМГУП, 2001.- 148 с.
3. Алёшкин Е.Ф. Автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.13, диссертация на тему: Информационная сеть автоматизированной системы учета персональных данных населения административного округа города Москвы. - Москва : 2006.
4. Андрианов В.В., Зефиров С.Л., Голованов В.Б., Голдуев H.A. Обеспечение информационной безопасности бизнеса / Под ред. Курило А.П. М.: Аль-пина Паблишерз, 2011.
5. Боридько И.С. Диссертация на тему: Методическое обеспечение защиты информации автоматизированной системы от несанкционированного доступа с учетом менеджмента инцидентов информационной безопасности 05.13.19, - Ин-т инженер. Физики , 2013, - 143 с.
6. Бубнов В.П., Еремин А. С., Сергеев С.А. Особенности программной реализации численно-аналитического метода расчёта моделей нестационарных систем обслуживания // Труды СПИИРАН. 2015. Вып. 38. C. 218-232.
7. Бубнов В. П., Тырва А. В., Хомоненко А. Д. Обоснование стратегии отладки программ на основе нестационарной модели надежности // Научно-технические ведомости СПбГПУ. Информатика. Телекоммуникации. Управление. 2010 № 2(97) - с. 85-92.
8. Вайнштейн Ю.В., Демин С.Л., Кирко И.Н., Кучеров М.М., Сомова М.В. Основы информационной безопасность. Учебное пособие по дисциплинам «Основы информационной безопасности», «Информационная безопасность и защита информации» для студентов направления подготовки дипломированных специалистов 090100 - «Информационная безопасность», 230200 - «Информационные системы и технологии». - Красноярск: СФУ,
2007. - 303с.
9. Вишняков Я.Д. Общая теория рисков: учеб. пособие для студ. высш. учеб. заведений/ Я.Д.Вишняков, H.H. Радаев. 2-е изд., испр. - М.: Издательский центр «Академия», 2008. - 368 с.
10. Гаврилова Т. А., Хорошевский В. Ф. Базы знаний интеллектуальных систем: Учебник для вузов. СПб: Питер,2001.- 384 с.
11. Герасименко В.А. Защита информации в автоматизированных системах обработки данных: В 2-х кн.: Кн. 1. - М.: Энергоатомиздат, 1994. - 400 с.
12. Герасименко В.А., Малюк А.А. Основы защиты информации: Учебник для высших учебных заведений Министерства общего и профессионального образования РФ - М.: МИФИ, 1997. - 538 с.
13. Гиндин С.И., Хомоненко А.Д., Ададуров С.Е. Численный расчет многоканальной системы массового обслуживания с рекуррентным входящим потоком и «Разогревом» // Известия Петербургского университета путей сообщения. 2013. №4 (37).
14. Голембиовская О.М. Диссертация на тему: Автоматизация выбора средств защиты персональных данных на основе анализа их защищенности, 05.13.19, - С.-Петерб. нац. исслед. ун-т информац. технологий, механики и оптики, 2013, - 171 с.
15. ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Основные положения: принят и введен в действие Постановлением Госстандарта России от 6 апреля 2000 г. № 95-ст. 12 с.
16. ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Основные положения: принят и введен в действие Постановлением Госстандарта России от 30 июня 2000 г. № 175-ст.
17. ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности М.: ФГУП «СТАНДАРТИНФОРМ», 2010.- 51 с.
18. Григорьев М.Ю. Методы обеспечения безопасности использования веб-приложений [Электронный ресурс]. - Режим доступа: http://diss.seluk.ru/pr-bezopasnost/1018786-1 -magisterskaya-programma-matematicheskoe-programmnoe-obespechenie-zaschiti-informacii-magisterskaya-dissertaciya-metodi.php.
19. Грушо, A.A., Тимонина, E.E. Двойственность многоуровневой политики безопасности Текст. // Методы и технические средства обеспечения безопасности информации: Тез. докл. СПб: Изд-во СПбГТУ, 2000. c. 40-41.
20. Домарев В.В. «Безопасность информационных технологий. Методология создания систем защиты» - К.: ООО ТИД «ДС», 2002 - 688 с.
21. Жижелев А. В., Панфилов А. П., Язов Ю. К., Батищев Р. В. К оценке эффективности защиты информации в телекоммуникационных системах посредством нечетких множеств // Изв. вузов. Приборостроение. 2003. т. 46, № 7.
22. Жуков И.Ю., Иванов М.А., Осмоловский С.А. Принципы построения генераторов псевдослучайных кодов, используемых при построении стойких криптоалгоритмов // Проблемы информационной безопасности. Компьютерные системы. 2001. № 1. c. 55-65.
23. Закон Российской Федерации «О государственной тайне» от 21 июля 1993 г. № 5485-1.
24. Закон Российской Федерации «О коммерческой тайне» от 29 июля 2004 г. № 98-ФЗ // Рос.газ. - 2004. - 5 августа.
25. Закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ // Рос. газ. — 2006.— 29 июля.
26. Зегжда Д.П. Основы безопасности информационных систем [Текст] : [учеб. пособие для вузов] / Д. П. Зегжда, А. М. Ивашко. - Москва : Горячая линия - Телеком, 2000.
27. Зегжда Д.П., Ивашко A.M. Основы безопасности информационных систем. - М.: Горячая линия - Телеком, 2000. - 452 с.
28. Зегжда П.Д. Теория и практика обеспечения информационной безопасности. - М.: Издательство «Яхтсмен», 1996. - 192 с.
29. Интегрированные системы в решении задач комплексной безопасности объектов, к.т.н., С.И.Козьминых (НИЦ «Охрана» ГУВО МВД России).
30. Информатика: учебник для высших учебных заведений МВД России. Том 2. Информатика: Средства и системы обработки данных / В.А. Минаев, С.В. Скрыль, С.В. Дворянкин, М.М. Никитина, Н.С. Хохлов - М.: Маросейка, 2008. - 544 с.
31. Карпычев В. Ю., Минаев В. А. Цена информационной безопасности // Системы безопасности. 2003, № 5. С. 128 130.
32. Ключко В.И., Лойко В.И. Архитектура вычислительных систем и сетей ЭВМ //Учебное пособие. - Краснодар: Издательство КубГТУ. 1998. -136 с.
33. КлючкоВ.И. Кодированиеинформации. Курс лекций.// Краснодар, КГТУ, 1998.
34. Корнев, П. А. Методика нечеткого нейросетевого категорирования персональных данных в информационных системах / П. А. Корнев, В. Н. Малыш И Проблемы информационной безопасности. Компьютерные системы. 2012. -№ 3. - С. 29-34.
35. Корнеев В. В., Гареев А. Ф., Васютин С. В., Райх В. В. Базы данных. Интеллектуальная обработка информации. -М.: Нолидж, 2001.-486 с.
36. Корниенко А. А., Штанько С. В. Криптографический протокол защиты информации в радиоканалах сетевых спутниковых систем с использованием асимметричных алгоритмов // Информационно-управляющие системы. 2006. №5.
37. Костогрызов А.И. Вычислительная техника в управлении./ Исследование условий эффективного применения пакетной обработки заявок в приоритетных вычислительных системах с ограничением на время ожидания в очереди . 1987, № 12, 158-164.
38. Куракин A.C., Краснов А.Г. Анализ методов и средств защиты персональных данных // Сборник тезисов докладов конференции молодых ученых. Труды молодых ученых. СПб: СПбГУ ИТМО, 2011. №1. с. 134-136.
39. Куракин А.С., Диссертация на тему: Методы и алгоритмы построения информационных систем персональных данных в защищенном исполнении 05.13.19, - С.-Петерб. нац. исслед. ун-т информац. технологий, механики и оптики, 2013, - 123 с.
40. Л.М. Бойцов. Классификация и экспериментальное исследование современных алгоритмов нечеткого словарногопоиска http: //rcdl .ru/doc/2004/paper27. pdf.
41. Левенштейн В. И. Двоичные коды с исправлением выпадений, вставок и замещений символов. Доклады Академий Наук СССР, 1965г. с. 845-848.
42. Лейман А.В. Диссертация на тему: Защита конфиденциальной информации в медиа-пространстве на базе стеганографических методов, 05.13.19, - Санкт-Петербург: 2013, - 109 с.
43. Логвинов В.И.Основы алгоритмизации: учебно-методическое пособие/ В.И.Логинов, Шемагина Л.Н.- М.: Изд-во МГУП,2010.-135 с.
44. Мельников В.В. Защита информации в компьютерных системах. -М.: Финансы и статистика; Электронинформ, 1997. -368 с.
45. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных: утверждена Федеральной службой по техническому и экспортному контролю Российской Федерации 14 февраля 2008 г.
46. Нестерук Г. Ф., Осовецкий Л. Г., Нестерук Ф. Г. Фахрутдинов Р. Ш. Кразработке модели адаптивной защиты информации // Специальная техника. 2005, № 2. С.52-58.
47.Нижниковский А.В. Диссертация на тему: Методическое обеспеч-ние формирования ключевой информации в беспроводных мобильных сетях на базе дискретных отображений класса «клеточные автоматы», 05.13.19, -Серпухов : 2013, - 109 с.
48. Новый стандарт FIPS PUB 202 «Федеральный стандарт обработки информации FIPS 202 - Стандарт SHA-3: Алгоритмы вычисления хеш-функции и функций с переменной длиной выхода на основе перестановок» (Federal Information Processing Standard (FIPS) 202, SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions) доступен на сайте NIST по адресу http://www.nist.gov/customcf/get_pdf.cfm?pub_id=919061.
49. Нурдинов Р.А., Диссертация на тему: Модель количественной оценки рисков безопасности корпоративной информационной системы на основе метрик 05.13.19, - С.-Петерб. нац. исслед. ун-т информац. технологий, механики и оптики, 2016, - 186 с.
50. Основы защиты информации / В. А. Герасименко, А. А. Малюк. М.: МИФИ, 1997. 539 с.
51. Основы информационной безопасности: учебник для высших учебных заведений МВД России / Под ред. Минаева, В.А. и Скрыля С.В. — Воронеж: Воронежский институт МВД России, 2001. — 464 с.
52. Открытый проект о безопасности web-приложений-The Open Web Application Security Project (OWASP) URL: http://owasp.org
53. Пархоменко Н., Яковлев С., Пархоменко П., Мисник Н. Угрозы информационной безопасности. Новые реалии и адекватность классификации // Защита информации. Конфидент. 2003. № 6. С. 15-18.
54. Петренко С.А. Управление информационными рисками. Экономически оправданная безопасность / С.А. Петренко, C.B. Симонов. —М.: Компания АйТи; ДМК Пресс, 2004. 384 с.
55. Платонов Д. В. Интегрированная ЗИ как фактор повышения эффективности систем безопасности /Д. В. Платонов // Вестник Воронежского института МВД России - 2008 г. - №1 (2008). - с. 191-197.
56. Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных »// «Российская газета» от 7 ноября 2012. № 256.
57. Приказ ФСТЭК России от 11 февраля 2013 г. N 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
58. Приказ ФСТЭК России от 14 марта 2014г. N 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
59. Приказ ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
60. Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных»// «Российская газета» от 5 марта 2010. № 46.
61. Просихин, В.П. Формализация условий безопасности и моделирование действий нарушителя в системах, построенных на основе модели Бел-ла-Ла Падула Текст. // Проблемы информационной безопасности. Компьютерные системы. 2000. №2. с. 57-64.
62. PC БР ИББС-2.2-2009. Обеспечение информационной безопасности банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности: введен 11 ноября 2009 г. М., 2009. 23 с.
63. Рассмотрение способа обезличивания персональных данных через разделение системы и присвоение идентификаторов Электронный ресурс. URL: http:// ispdn.ru/forum/index.php?PAGENAME=read&FID=l&TID= 1161.
64. Рейтинг CMS от компании iTrack Электронный ресурс URL: http://www. itrack. ru/research/cmsrate/.
65. Рыжиков Ю. И. Пакет программ для расчета систем с очередями и его тестирования // Труды СПИИРАН. 2008. Выпуск 7. С. 265-284.
66. Рыжиков Ю.И. Имитационное моделирование. Теория и технологии. -СПб.: КОРОНА принт; М.: Альтекс-А, 2004. 384 с.
67. Рыжиков Ю.И. Расчёт гиперэкспоненциальной системы обслуживания с заявками, нетерпеливыми в очереди | Вестн. Том. гос. ун-та. Управление, вычислительная техника и информатика. 2014. № 2(27).
68. Тараскин М. М., Царегородцев А. В. Защита информации в организациях: методика исследования угроз, уязвимостей и рисков - М.: Академия ФСБ России, 2012 г.
69.Толковый словарь русского языка: В 4 т. / Под ред. Д. Н. Ушакова. Т. 1. М., 1935; Т. 2. М., 1938; Т. 3. М, 1939; Т. 4, М., 1940. (Переиздавался в 1947-1948 гг.); Репринтное издание: М., 1995; М., 2000.
70. Травкин Ю.В. Персональные данные: Научное изда-ние./Ю.Травкин.- М.Амандавник, 2007.- 430с.
71. Указ президента «Об утверждении перечня сведений конфиденциального характера» от 06 марта 1997 г. № 188 // Рос. Газ. - 1997. - 09 марта.
72. Федеральный закон № 152 «О персональных данных», от 27 июля 2006 года//«Российская газета» от 29 июля 2006 г. № 165.
73. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 06.07.2016) «Об информации, информационных технологиях и о защите информации».
74. Филин, С.А. Информационная безопасность/С.А.Филин.Альфа-Пресс, 2006.
75. Формализация критериев выбора состава средств защиты информационных систем на основе оценки показателей угроз и уязвимостей Текст. / О.М.Голембиовская, В.И.Аверченков, М.Ю.Рытов /Информация и безопасность. Воронеж, № 4, 2011. - С. 31-37.
76. Хомоненко А.Д., Гиндин С.И. Моделирование транспортных облачных систем с помощью многоканальных систем массового обслуживания с разогревом.// Интеллектуальные системы на транспорте. Программа и тези-
сы докладов III-й международной научно-практической конференции «Ин-теллектТранс-2013» / под ред. профессора А.А.Корниенко.
77. Цыганков А.С. Диссертация на тему: Адаптивное управление межсетевым экранированием информационно-телекоммуникационных сетей на этапе обнаружения вторжений 05.13.19, - Воронеж. гос. техн. ун-т, 2008, -137 с.
78.Чемин А.А. Автореферат диссертации на тему: Разработка методов оценки эффективности систем защиты информации в распределенных информационных системах специального назначения, 05.13.19, - Москва : 2009, - 213 с.
79. Черноруцкий И.Г. Методы принятия решений. СПб.: БХВ-Петербург, 2005.-416 с.
80. Шерешик, А. Ю. Тестирование генераторов псевдослучайных последовательностей с помощью трехмерной модели Изинга // Вестник Омского университета. 2011. № 4. С. 172-174.
81. Щербаков А.Ю. Современная компьютерная безопасность. Практические аспекты. М.: Книжный мир, 2009. - 352с.
82.Anderson R. The classification of hash functions. Proc. of the IMA Conference on Cryptography and Coding, Cirencester, December 1993, Oxford University Press, 1995, pp. 83-95.
83. Bertino, E., Jajodia, S., Samarati, P. A flexible authorization mechanism for relational data management systems Текст. ACM Transactions on Information Systems 17(2), 1999. Pp. 101-140.
84. Biham E. On the Applicability of Differential Cryptoanalysis to Hash Functions. In E.I.S.S Workshop on Cryptographic Hash Functions, pages 25-27, March 1992.
85. Citavicius A., Jonavicius A., Japertas S. Unpredictable Cryptographic Pseudo-Random Number Generator based on Non-linear Dynamic chaotic system// Electronics and electrical engineering. 2007. № 7. P. 29-32.
86. Cormen T. H.; Leiserson C. E., Rivest R. L., Stein C. Introduction to Algorithms (3rd ed.). 2009. MIT Press and McGraw-Hill.
87. Diffie W., Hellman M. New directions in cryptography // IEEE Information Theory Society. — New York: Institute of Electrical and Electronics Engineers, Vol. 22, 1976. Pp. 644-654.
88. Judea Pearl, Stuart Russell. Bayesian Networks, in M. A. Arbib (Ed.), Handbook of Brain Theory and Neural Networks, pp. 157—160, Cambridge, MA: MIT Press, 2003, ISBN 0-262-01197-2.
89. Kaspersky Lab.The evolution ofphishing attacks: 2011-2013. URL:http://media.kaspersky.com/pdf/Kaspersky_Lab_KSN_report_The_Evolution _of_Phishing_Attacks_2011-2013.pdf.
90. Neil M, Fenton N, Tailor M, «Using Bayesian Networks to model Expected and Unexpected Operational Losses», Risk Analysis: An International Journal, Vol 25(4), Рр. 963—972, 2005. http : //www.dcs.qmul. ac.uk/~norman/papers/oprisk.pdf.
91. OWASP Top 10. URL: https://www.owasp.org /index.php/ Category: OWASP_Top_Ten_Proj ect.
92. RFC5246 -The Transport Layer Security (TLS) Protocol Version 1.2.URL : http : //tools.ietf.org/html/rfc5246
93. Stephen, Northcutt, Judy Novak. Network Intrusion Detection Текст. 3rd edition. Indianapolis, Indiana 46290: «New Riders», 2002. 456 p.
94.Tidswell, J. E., Jaeger, T. An Access Control Model for Simplifying Constrai nt Expression // Proc. of the 7th ACM conference on Computer and Communications Security, 2000. Pp. 154-163.
95.V. Miller. Use of elliptic curves in cryptography // Advances in cryptolo-gy: Proceedings of Crypto'85. Lecture Notes in Computer Sciences. Berlin. Springer -Verlag. 1986. Vol. 218. Pp. 417-426.
ОПУБЛИКОВАНЫ В СЛЕДУЮЩИХ РАБОТАХ
Публикации в ведущих рецензируемых журналах и изданиях, рекомендованных ВАК при Минобрнауки России:
1. Дзьобан П.И. Разработка алгоритмов и программ выбора оптимального набора компонент нейтрализации актуальных угроз на основе описания модели и интеграции их в web - приложение/ Власенко А.В., Дзьобан П.И.// Научный журнал «Вестник Адыгейского государственного университет». Серия «Естественно-математические и технические науки», Выпуск 3, 2014 г. -С. 189-193.
2. Дзьобан П.И. Разработка и системный анализ математической модели угроз, модели нарушителя, процедур защиты web - приложений на всех этапах функционирования/ Власенко А.В., Дзьобан П.И.// Политематический сетевой электронный научный журнал Кубанского государственного аграрного университета (Научный журнал КубГАУ) [Электронный ресурс]. -Краснодар: КубГАУ, 2014. - №07(101). - IDA [article ID]: 1011407143. - Режим доступа: http://ej.kubagro.ru/2014/07/pdf/143.pdf, 0,688 у.п.л.
3. Дзьобан П.И.Разработка алгоритмов, инструментов и методов авторизации пользователей в web - приложениях с использованием хеш-функций / Власенко А.В., Дзьобан П.И., Тимченко М.В.// Научный журнал «Вестник Адыгейского государственного университет». Серия «Естественно-математические и технические науки», Выпуск 4, 2015 г.
4. Дзьобан П.И.Создание нейросетевой модели по методу «нейросете-вой аппроксиматор» с применением структурированных знаний/ Власенко А.В., Дзьобан П.И., Тимченко М.В.// Научный журнал «Вестник Адыгейского государственного университет». Серия «Естественно-математические и технические науки», Выпуск 1, 2016 г.
Публикации в других изданиях:
5. Дзьобан П.И. Защита сайтов и web-приложений / Дзьобан П.И., Ха-лизев В.Н.// Сборник научных статей студентов Института информационных технологий и безопасности.-Краснодар. Вып.3. - 2012 г. С. 102-106.
6. Дзьобан П.И. Разработка методик создания web-приложений с интеграцией функций защиты информации / Власенко А.В., Дзьобан П.И.// Сборник статей IV Международной научно-практической конференции «Теория и практика актуальных исследований».- Краснодар. 2013.
7. Дзьобан П.И. Разработка модели и метода идентификации и аутентификации пользователей для web-приложений/ Власенко А.В., Дзьобан П.И.// II Всероссийская научно-практическая конференция «Актуальные вопросы науки и практики». 2013 г.
8. Дзьобан П.И. Разработка методов создания web-приложений с интеграцией функций защиты информации / Дзьобан П.И., Хализев В.Н.// Сборник научных статей студентов Кубанского государственного технологического университета.- Краснодар. 2013. - С. 108-112.
9. Дзьобан П.И. Разработка алгоритма и программного кода оптимального набора компонент нейтрализации актуальных угроз / Власенко А.В., Дзьобан П.И.// Сборник научных статей студентов Кубанского государственного технологического университета.- Краснодар. 2013. - С. 113-115.
10. Дзьобан П.И. Разработка алгоритмов и программ выбора оптимального набора компонент нейтрализации актуальных угроз на основе описания модели и интеграции их в web - приложение / Власенко А.В., Дзьобан П.И.// Сборник научных статей Краснодарского университета МВД России. Краснодар. 2014.
11. Дзьобан П.И. Системный анализ и программная реализация процедуры идентификации пользователей в web-приложениях/ Власенко А.В., Дзьобан П.И.// Материалы XVI Международной научной конференции 19-21 октября 2015 г. в г. Кисловодске. Современные проблемы проектирования, применения и безопасности информационных систем.
12. Дзьобан П.И. Алгоритм и методика контроля и управления авторизацией пользователей в web-приложении / Власенко А.В., Дзьобан П.И.// IV Международная научно-практическая конференция «Автоматизированные информационные и электроэнергетические системы» 9-11 сентября 2016 г. в ФГБОУ ВО «Кубанский государственный технологический университет».
Свидетельства о государственной регистрации баз данных:
13. Дзьобан П.И. Аутентификация и авторизация пользователей в защищенных web-приложениях / Власенко А.В., Дзьобан П.И.// Свидетельство о государственной регистрации базы данных №2014620505. Зарегистрировано в реестре баз данных 28.03.2014 г.
14. Дзьобан П.И. Интеграция функций защиты информации в web-приложения с интерактивной системой контроля управления доступом / Вла-сенко А.В., Дзьобан П.И.// Свидетельство о государственной регистрации базы данных №2014620585. Зарегистрировано в реестре баз данных 21.04.2014 г.
15. Дзьобан П.И. Тестирование защищенных web-приложений / Власенко А.В., Дзьобан П.И.// Свидетельство о государственной регистрации базы данных №2014620586. Зарегистрировано в реестре баз данных 21.04.2014 г.
использованием Php
004. *
005.** Файл: obj_user.php
006.** Описание: Управление пользователями
007.** Зависимость:_database.php
008.** Версия: 2.4 {public) 00?.** Создано: 14.11.2015
010.** Автор: DzobanP.
011.* 012.
013.classmiuser
014. {
015. оаза Olô.privateîdb;
017. Окончание работы класса
018.function destructn { 01&.if(fthis->db)
020J
021 .mvsqJ_closeQ : 022.} 023.}
024... Соеднненне с оазон данных O25.protectedfunctiondb connecte) { 02ó.if(]Sthis->db) 027.;
028 .require_once'_databas e.php1;
029.My SqJ: : GetConnectionO ;
030.îthis->db=true:
031.}
032.}
033.
034.
035. Хзш пароля [после shal нзд) 03ó.protectedfunctiorihash_pass(ttext) {
03 7,.$text=md5(îtexfi. " solo" .md5 (îtext).îtext {1}) ; 03 8Jtext^md5 [ îtext {7}. îtext. îtext {0}) ; 03 9.retum[ îtext):
040.}
041. Пров ерка и п одготовка логин а
042.protectedfunctï onmodi.fv_login(îlogm) { 043 .if(! empty [ îlogin)) {
044. îlogin=tr ïm(îlogin) :
045. if(preg_match("%л(|_ . -]?[a-zA-ZO-0])+î%", îlogin))
046. {
O47.if(strlen(ítlogin)>=3 andstr len(tlogin)<=4 О')
048.[
049.retumr£login):
050.}
051.}
052.}
053.unset($login);
054. retum(false) ;
055.}
056,. Проверка н подготовка пароля
05 7.рт otectedfuncti onmodi fy_pas5^vord($pa ss) {
0 5 8 .if( ! empty [ Spass)) {
05 9. if[pr eg_match(r [a-zA-Z0-9] ípass»
OfiO.f
061 .if(strlen($pass)=40) 0Ó2.£
Ofi3,$pass=$thi s->hash_pa ss($pa ss) ; 064 retum($pass),
065.}
066.}
067.}
068.unset(tpass); 069 retum(false) ; 070.}
07 L- Дооавленне блокировки
072,protectedfiinctionban_user_addQ {
073.^this->db connect[); 074.Stime=t]meQ-15*6(j; вреня блокировки
075,íban auery= raysql queryí"SELECT * FROM "ban' WHERE Hp = ' {$_SERVER[ REMOTEADDR] } '") ;
076,îban array- mysql_fetch_array($ban_queiy);
077,$my sql_num_r ows=^ny sql_nmn_ro^v s(îban_queiy) ; 078,. ранее был разблокирован
07?.ifi[$mysql_num_rows!=0 and$ban_arrav[ïime']<timeQ) 0S0.{
OS 1 OTV5ql_query( " UP DATE 'ban" SET "time='$time', 'number" = 1 WHERE îp =' {S_SERVER{REMOTE_ADDR] } '; ") : 082.}
083,. ранее быд заблокирован О 84. elsei f[ $mysql_num_rows !=0) 0S5.£
0 8 6,.$number=$ban_array [ "number']-1 ;
O&TOTVSqLqueryCUPDATE 'ban" SET tune=ttmi^ 'number" ='$number' WHERE ' ip' ='{S_SERVER[REMO TE_ADDR']} '; ") :
ПЙЙ \
092.mysqlqueryC INSERT INTO ban ('ip' .'time'. number\ 'comment') VALUES ({$_SERVER[REMOTEADDR]}' '{$time}'r 1, 'EjioKHpoBicaiipH aETopEsanHH);");
0'93.unset($time):
094.}
095.}
096... IIpoE epsa ip e a onokhpoeky O97.publicfunctionban_user0 {
0 9 8,Sthi s->db_connectQ;
099.£banquery= mysqlqueryi1 SELECT time' FROM ban WHERE ip" =
1 {$_S ER\rE R[ RE MOTE ADDR] }1AND 'time' > " .timeO-'1 AND' number' >4") 1 OO.if[mysqljiumjrows($ban_query)<l) {
10 Lunset($ban_query);
102.retum[ false):
103.}
104. tban_quer>:i=my sql_fetch_array ($ban_query); 10 5 .retum( $ban_query [ "time']):
106.}
107. AETopE.3auHJi 10 8 .publicfimctionlogjn(£userr $pass) {
109. iuser=ithi s->modi.fy_login($u5er);
110.tpass=$this->hasli_pass($pass);
111. iff empty [$ user) orempty($pas5)) { $this->ban_user_addQ: return[ false); } 112.Sthis->db_connectO;
113.tuser_quer?^mysql_queryC"SELECT * FROM 'users' WHERE 'login' = 'Suser' AXD 'password1 = 'Spass"),
114.if[mvsql_num_irows($user_querv) = 1) ABTopro npoE anca
116. $ dbData=mvsql_fetch_anav( $user_querv): 117_mysql query (-DELEIE FROM'ban" WHERE ' ip' = 1 { $_S ER\E R[ RE MOTE ADDR] }'■);
118.retum[$dbData['id']):
119.}
120.else
ihi s->ban_user_addQ
123.}
124,remm[ false): 125}
126.
127.}
128. 129.?>
SETSQL MODE=" NO AUTOVALUEONZER О ";
CREATETAB LEIF NOTEXISTS ban (
"ip" textNOTNULL,
"rime' textNOTNTTLL,
"number" int(4)NOTNULL,
'comment' textNOTNULL,
PRIMARYKEYf numb er )
) ENGINE=MyISAM D EFAUETC HARSET=cp 1251;
CREATETABLEIF NOTEXISTS "users" <
"id" bigint(20)NOTNULLAUTO INCREMENT,
"login" text NOTNHLL:
"password" text NOTNULL
PRIMARYKEYf id )
) ENGINE=MyISAM DEFAULTCHARSET=cp 1251 AUTO INCREMENT= 1 INSERTINTO'users' ("id": "login : password ) VALUES <3= radmin'= ,64c35fa70Se48d2573624e0799622aSl'X
* PBKDF2 key derivation function as definedby RSA's PKCS ff 5: http s:. wwwjetf. org rfс rfc 2 S9 S.txt
* Salgorithm - The hash algorithm to use. Recommended: SHA256
* Spas sword - The password.
* Ssalt - A salt that is unique to the password.
* $ count - Iteration count. Higher is better, but slower. Recommended: At least 1000.
* Skev length - The length of the derived key in bytes.
* Jraw output - If true: the key is returned in raw binary format. Hex encoded otherwise.
* Returns: A Skeylength-byte key derived from the password and salt.
*
* Test vectors с an be found here: http s: www.i etf. org rfc. rfc6 07 O.txt
*
* This implementation ofPBKDF2 was originally created by http s: defuse, с a
* With improvements by http: www-variations-of-shadow.com
*
function pbkdf2(S algorithm, Spas sword, Ssalt: $ count, Skey_Iength:
$raw_output=fals e)
{
S algorithm=strtol о wer($ algorithm); if(!in_array($ algorithm, hashalgosQ, true))
trigger_erro.r('PBKDF2 ERROR: Invalid hash algorithm.', E_USER_ERROR): i f($ с ount<=011 SkeyJ ength<=0)
trigger_errori'PBKDF2 ERROR: Invahd parameters.', E_USER_ERROR); i f(functi on_esi sts ("hash_pbkdf2r')) {
The output length is in NIBBLES (4-bits) if Sraw output is false! i.f(! $raw_output){
Skeyl ength=Skev1 ength *2:
}
return hash j?bkdf2 (Sal gorithm: Spas sword $salt: $ count, $key_length:
Srawoutput);
}
Shash_length=strlen(ha5h($algorithm, rm: true)); Sbl о ck_c ouni^c eil($key_length Sh ashlength); $output=":
for£Si=l: Si<=Sblock_count; Si—){
h Si encoded as 4 bytes, big endian. Slasi^£salt.pack("N": Si); first iteration
SIasl^Ssorsum=hasb_hmac^Salgorithm, Slast: (password true); L perform the other $ count - 1 iterations
for(Sj=l; Sj<Scount; Sj—){
Ssorsinm-v'-=(SlaslF=hash_hinac(Salgorithm. Slast. Spas sword. true));
}
S output.=Sxorsum:
}
i f($ra\v_ output)
retumsubstr^S output, 0= Skeylength); else
retumbin2tes(substr(Soutput. 0. Skey_length));
}
Листинг реализации усиленной методики и алгоритмов защиты аутентификационных данных пользователей web-приложения с модификатором «соль»
var simpleMD5 = ne\v com.ocHb.javascript.security.MessageDigestQ;
// создание объекта MessageDigest для вычисления МОЗ-хэша var salt = Г|123 !£&%asgfHTAr'; // соль
var specSymbols = "!Г|, "@.г,: "Г.. г'$", "%Г|= Г'ЛГ|= Я&Г, "*"._ "?"]; //массив спецсимволов
var saLtHash = simpleN^5.getNro5^simpLeMD5.getMD5(salt) +
simpleMD5.getMDf(text)): // "солёный"хэш: md5(md5(salf) - md5(text) )
varplainHash — simpleMD5.getMD5( text); " mdS-xjni от строки text
var resultH ash =Г|"; // сюда будет записан усшенный \Ю5-хэш.
И вычисление усиленного \Ю5-хэша
for(i=0: i%lt ;s althash.length; i++)="" {
if (pars elm (plainH ash. charAt (i)) >= 0 &&
pars elnt (plainH ash. charAt (i)) <= 9) {
// если очередной символ eplainHash - цифра
resultH ash += specSvmb ols [pars elnt (plainH ash. charAt (i))^;
} else {
i f (plainH ash. charC о d eAt (i) >= 97 && plainH ash. char С odeAt(i)<= 100) { // если очередной символ eplainHash от а до d resultH ash += plainH ash. charAt (i).t о Upper С as e0; } else {
resultHash+= saltH ash. charAt (i): }
}
resultH ash = simpleMD5.getMD5£resultHash ):
Исх. «Я9» 2016 г.
АКТ
о внедрении результатов диссертации на тему: «Методика и алгоритмы защиты аутентификационных данных пользователей в ууеЬ-приложениях»
Научные и практические результаты полученные, в результате выполнения диссертационной работы Дзьобана Павла Игоревича внедрены в департаменте информационной безопасности АО «Сириус»:
Разработан и реализован алгоритм предавторизационной проверки пользователей \уеЬ-приложения, основанный на 17 критериях идентификации угроз сетевого характера, посредством байесовской сети.
Произведен анализ атак «грубым перебором», сниффером, а так же, дешифрование «Ипря» - трафика с помощью логирования шсЬ-браузеров на аутентификационные данные пользователей \уеЬ-приложения.
Разработан шаблон аутентификации пользователей \уеЬ-приложения, с учетом частности подхода к хеш-сумме входных данных пользователей.
Заместитель генерального директора
АО «Сириус»
Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.