Разработка математического и программного обеспечения национального удостоверяющего центра для "электронного правительства" Социалистической Республики Вьетнам

Чан Конг Тан

автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.11, диссертация на тему:Разработка математического и программного обеспечения национального удостоверяющего центра для "электронного правительства" Социалистической Республики Вьетнам

кандидата технических наук: Чан Конг Тан
город: Москва
год: 2012
специальность ВАК РФ: 05.13.11
цена: 450 рублей

Диссертация по информатике, вычислительной технике и управлению на тему «Разработка математического и программного обеспечения национального удостоверяющего центра для "электронного правительства" Социалистической Республики Вьетнам»

Автореферат диссертации по теме "Разработка математического и программного обеспечения национального удостоверяющего центра для "электронного правительства" Социалистической Республики Вьетнам"

На правах рукописи

Чан Конг Тан

РАЗРАБОТКА МАТЕМАТИЧЕСКОГО И ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ НАЦИОНАЛЬНОГО УДОСТОВЕРЯЮЩЕГО ЦЕНТРА ДЛЯ «ЭЛЕКТРОННОГО ПРАВИТЕЛЬСТВА» СОЦИАЛИСТИЧЕСКОЙ РЕСПУБЛИКИ ВЬЕТНАМ ,

Специальность: 05.13.11 - Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей

Автореферат

диссертации на соискание ученой степени кандидата технических наук

л 5 НОЯ 2012

Москва 2012

005054920

Работа выполнена на кафедре «Математическое обеспечение вычислительных систем» (МОВС) в федеральном государственном бюджетном образовательном учреждении высшего профессионального образования «Московский государственный технический университет радиотехники, электроники и автоматики» (МГТУ МИРЭА).

Научный руководитель: д.т.н., профессор, профессор кафедры МОВС МГТУ МИРЭА Ткаченко Владимир Максимович

Официальные оппоненты:

д.ф-м.н., профессор, заведующий кафедрой «Прикладная математика» МГТУ МИРЭА Самохин Александр Борисович

к.в.н., с.н.с., вед. научный сотрудник Всероссийского научно-исследовательского института по проблемам гражданской обороны и чрезвычайных ситуаций МЧС России (ФГБУ НИИ ГОЧС(ФЦ)) Вдовиченко Евгений Александрович

Ведущая организация: Федеральное государственное бюджетное учреждение науки Вычислительный центр им. А. А. Дородницына Российской академии наук (ВЦ РАН), г. Москва.

Защита диссертации состоится 30 ноября 2012 г. в 16-00 на заседании диссертационного совета Д212.131.05 в МГТУ МИРЭА по адресу: 119454, Москва, Проспект Вернадского, дом 78.

С диссертацией можно ознакомиться в библиотеке МГТУ МИРЭА.

Автореферат разослан «29» октября 2012 г. Ученый секретарь

диссертационного совета Д212.131.05,

кандидат технических наук, доцент ~ Андрианова Е.Г.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность работы. Применение информационно-коммуникационных технологий (ИКТ) в процессе государственного управления, в том числе является одним из приоритетных направлений, способствующим повышению эффективности и результативности государственного управления, улучшению качества и увеличению количества предоставляемых государственных услуг.

Органы государственной власти (ОГВ) применяют новые технологии в своей работе, чтобы и рядовые граждане, и организации, и предприятия получили более удобный и эффективный доступ к информации и услугам, предоставляемым государством, обеспечивая им тем самым более широкие возможности для участия в процессе национального развития.

Учитывая тенденции глобализации и международной экономической интеграции, и вступление Социалистической Республики Вьетнам (СРВ) во Всемирную торговую организацию в 2006 г., построение системы электронного правительства в СРВ является неизбежной необходимостью для повышения эффективности и результативности государственного управления.

Электронное правительство СРВ было создано в 2010 г. указом № 63/<30-ТТ§ Премьер-министра СРВ Нгуен Тан Зунга «Административная реформа, развитие ИКТ и повышение способности в государственном управлении» с целью к 2020 г. сделать Вьетнам одной из самых развитых стран мира в области предоставления электронных государственных услуг и создания единого информационного пространства государственного управления (электронного правительства).

Создание электронного правительства СРВ столкнулось со следующими трудностями:

• хаотичность обмена данными, организуемыми каждым из ведомств по своим административным регламентам;

• отсутствие хранения истории оказания услуг и истории обмена данными;

• отсутствие единой системы мониторинга производительности и доступности информационных ресурсов ведомственных компьютерных систем;

• отсутствие единой системы электронной идентификации

и аутентификации потребителей государственных услуг.

Базой успешного построения электронного правительства СРВ являются дата-центры, национальные удостоверяющие центры (НУЦ), центры обработки информации, различные удостоверяющие центры и т.д. Такие центры необходимы для обработки электронных транзакций через Интернет между правительством, ОГВ, гражданами и организациями.

Технология удостоверяющих центров (УЦ) электронно-цифровых подписей (ЭЦП), базируется на концепции инфраструктуры открытых ключей (ИОК), основанной на криптографических методах и теориях, объединенных в единую систему для практического применения.

Строительство НУЦ для электронного правительства СРВ в настоящее время находится на начальной стадии, и потребуется много времени, чтобы реализовать все поставленные задачи. Существуют проекты строительства НУЦ для электронного правительства с Вьетнамским министерством науки и технологии. Также к настоящему времени разработаны стандарты для ЭЦП, электронный цифровой сертификат с использованием иБВ-Токена. Но до сих пор не достигнуто принципиальное соглашение о введении единых стандартов для всех областей страны. На данный момент во Вьетнаме действует более 30 различных УЦ, а во взаимодействие с использованием ЭЦП сегодня вовлечено более 150 тыс. юридических лиц.

Поэтому одной из основных практических задач данной работы являлось исследование и построение НУЦ для электронного правительства СРВ с целью предоставления услуг ЭЦП потребителям государственных услуг посредством шифрованных каналов связи и межсетевого экранирования.

Степень изученности проблемы. Проблемы математического обеспечения в разработке ЭЦП в инфраструктуре электронного правительства нашли отражение в трудах И.В. Трифаленкова, В.В. Гриднева, в федеральном проекте «Информационное общество» ОАО «Ростелеком», в работе «Электронное правительство: рекомендации по внедрению в Российской Федерации» под ред. В.И. Дрожжинова и Е.З. Зиндера и в целевом проекте «Электронный Вьетнам» министерства науки и технологии СРВ.

Целью диссертационной работы являлась разработка

4

математического обеспечения и соответствующего программного компонента НУЦ для электронного правительства СРВ.

Для достижения поставленной цели в работе решались следующие задачи:

1. Анализ опыта создания электронного правительства в Российской Федерации, Южной Кореи, Японии, Сингапуре, США.

2. Разработка модели инфраструктурных компонентов электронного правительства СРВ на базе технологии «облачных вычислений».

3. Разработка математического и программного обеспечения НУЦ СРВ: создание электронного цифрового сертификата, шифрование и дешифрование данных, ЭЦП и подтверждения подлинности ЭЦП на основе криптографического алгоритма Эль-Гамаля.

4. Разработка методики рационального выбора для создания модели НУЦ и методики расчета рисков НУЦ.

5. Экспериментальное исследование разработанного программного обеспечения VGCA (Vietnam government certification authority).

Методы исследования. Результаты диссертационной работы были получены на основе использования теории системного анализа, теории распознавания образцов, методов и технологий обработки данных, теории оптимизации, методов структурного анализа и проектирования, методов и средств защиты информации, а также рекомендаций действующих отечественных и международных стандартов по защитам информации.

Научная новизна работы: Впервые проведены исследования и выработаны рекомендации по созданию НУЦ для электронного правительства СРВ, для обмена информацией между органами государственной власти и гражданами, с учетом специфики организации политики и регламента электронных транзакций электронного правительства СРВ. Полученные результаты послужат основой для успешного построения электронного правительства СРВ в период 2010-2015 гг.

В частности был получен ряд новых научных результатов, позволяющих спроектировать НУЦ для электронного правительства СРВ, а именно:

1. На основе анализа специфики организации политики и регламента электронных транзакций электронного правительства

5

СРВ предложены модели инфраструктурных компонентов электронного правительства СРВ на базе технологии «облачных вычислений».

2. Исследовано и разработано математическое и программное обеспечение НУЦ СРВ на основе криптографических алгоритмов Эль-Гамаля для аутентификации электронных документов по ЭЦП.

3. Предложена методика рационального выбора модели НУЦ СРВ, позволяющая выбрать способе проектирования НУЦ в рамках инсорсинга.

4. Предложена методика расчета риска для каждой модели, позволяющая оценить величину потерь от реализации всех угроз в выбранной модели.

5. На базе предложенных методик и моделей создана единая информационная система идентификации и аутентификации (ЕСИА) УвСА, предназначенная для исследования и развития систем удостоверяющих документов СРВ. Система УвСА в настоящее время одобрена Узловым отделом правительства СРВ и включена в программу исследований, проводимых с целью создания НУЦ для электронного правительства СРВ.

Основные результаты, выносимые на защиту:

1. Инфраструктурная модель электронного правительства СРВ на базе технологии «облачных вычислений».

2. Методика выбора рациональной модели НУЦ и методика расчета риска НУЦ.

3. Набор сценариев использования системы ЕСИА УвСА при межведомственном взаимодействии для оказания государственных услуг ОГВ электронного правительства СРВ.

Практическая ценность

1. Разработанная в диссертационной работе инфраструктурная модель электронного правительства СРВ позволяет существенно сократить время, затрачиваемое на проектирование и реализацию «Электронного правительства» СРВ.

2. Применение разработанной модели ЭЦП, методики выбора рациональной модели НУЦ и методики расчета риска НУЦ, набора сценариев использования системы ЕСИА УвСА, позволяет снизить риски, связанные с ошибками проектирования, и повысить эффективность планирования процессов разработки и внедрения «Электронного правительства» СРВ.

б

Внедрение результатов работы

1. Разработанная инфраструктурная модель «Электронного правительства» СРВ, математическая модель ЭЦП с применением криптографических алгоритмов Эль-Гамаля и методология по использованию системы ЕСИА УвСА использованы Вьетнамской научно-технической ассоциацией в Российской Федерации при проектировании и разработке подсистемы ведения «Электронного правительства» СРВ, входящей с состав целевого проекта «Электронный Вьетнам 2010-2015гг.», обеспечивающий сбор, обработку и получение итогов.

2. Полученные в диссертации результаты использованы в учебном процессе на кафедре «Математическое обеспечение вычислительных систем» МГТУ МИРЭА (Москва) в рамках дисциплин «Технология разработки программного обеспечения», «Методы и средства защиты информации».

Апробация работы

Основные положения и результаты работы докладывались на следующих научно-технических конференциях и семинарах: 56-ой и 57-ой научно-технической конференции МГТУ МИРЭА, 2007 г., 2008 г., 12-ой международной конференции «Информатика: Проблемы, методология, технология». 2012 г., Воронеж.

Публикации результатов

По материалам диссертации опубликовано 5 научных работ, в том числе 2 в журналах, входящих в список рекомендованных изданий ВАК РФ.

Структура и объем диссертации

Диссертация состоит из введения, 4 глав, заключения, списка литературы в 63 наименований, всего 147 страниц, включая 61 рисунок и 8 таблиц.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается актуальность исследования диссертационной работы, формулируется цель и задачи диссертации, определяется научная новизна и дается общая характеристика работы, перечисляются положения, выносимые на защиту.

В первой главе приведены результаты анализа опыта ведущих стран по разработке национальных электронных

7

правительств. Рассмотрены этапы и цели строительства инфраструктуры электронного правительства СРВ, проектирования систем электронного межведомственного взаимодействия между ОГВ на основе концепции «облачных вычислений».

Реализация автоматизации государственных услуг для всех ОГВ субъекта СРВ предполагает проектирование следующих инфраструктурных элементов:

■ инфраструктура доступа к данным и сервисам;

■ инфраструктура нормативно-справочной информации (НСИ) и данных;

■ инфраструктура межведомственного обмена;

■ развитие системы электронного документооборота (СЭД);

■ технологическая инфраструктура и инфраструктура безопасности.

Общая схема инфраструктурных компонентов «электронного правительства» субъекта СРВ представлена на рис. 1.

А

жф&тщттшб К)

Коммерческие структуры

а к

4~

Рис.1.Схема инфраструктурных компонентов архитектуры электронного правительства СРВ.

Задачей разработки инфраструктуры доступа к данным и сервисам является обеспечение многоканального доступа к

сервисам информационного взаимодействия ОГВ субъекта СРВ на основе единого стандарта взаимодействия.

Задача реализации инфраструктуры НСИ и данных - создание единой системы справочников и классификаторов, используемых в государственных (муниципальных) информационных системах субъекта СРВ, а также формирование базовых учетных реестров, обеспечивающих сбор, хранение предоставляемой информации по основным объектам управления.

Инфраструктура межведомственного обмена создается для автоматизации процессов обмена данными между отдельными ведомственными информационными системами субъекта СРВ, а также для обеспечения доступа к ним других ОГВ с учетом требований по информационной безопасности.

Развитие защищенной информационно-коммуникационной среды межведомственного электронного документооборота ОГВ субъекта СРВ позволяет производить обмен электронными сообщениями с применением средств шифрования, электронной цифровой подписи и осуществлять доступ к ИКТ-ресурсам. Развитие СЭД субъекта СРВ должно обеспечить оперативный информационный и документационный обмен между органами исполнительной власти региона. В свою очередь, технологическая инфраструктура и инфраструктура безопасности предполагает создание регионального центра обработки данных и развитие сетей передачи данных субъекта СРВ.

Все пять инфраструктурных компонентов субъекта СРВ для перевода государственных услуг в электронный вид являются частью комплексной конструкции и должны быть реализованы на основе общей технологической политики в рамках единой системы координации и централизованного проектного управления.

Для эффективной реализации функциональной конструкции инфраструктурных компонентов, поддерживающих процессы предоставления государственных услуг в субъекте СРВ, необходимо определиться с базовым подходом к ее созданию. С учетом формирования инфраструктурных компонентов электронного правительства на государственном уровне и существующих требований к региональным инфраструктурным системам, в качестве подхода к реализации имеет смысл обратиться к «облачным вычислениям».

В табл. 1 приведены цели, которые будут достигнуты в процессе создания электронного правительства СРВ до 2015 г.

Таблица 1.

Этапы создания и достигаемые результаты создания электронного правительства СРВ

Этапы и сроки Достигаемые результаты

01/01/2012 Обеспечение возможности гражданам не предоставлять документы и информацию, находящуюся в распоряжении органов власти (за счет организации межведомственного обмена между органами государственной власти)

01/01/2013 Предоставление 15 приоритетных государственных услуг в электронном виде на Ш-ом этапе (обеспечить прием заявлений в электронном виде)

01/01/2014 Выдача гражданам с 1 января 2014 г. универсальных электронных карт (УЭК)

2014 г. Предоставление 38 приоритетных государственных услуг полностью в электронном виде

2015 г. Предоставление всех 100% государственных услуг полностью в электронном виде

Анализ возможностей моделей облачной парадигмы показывает: если на государственном уровне инфраструктурные компоненты электронного правительства создаются в концепции «публичного облака», то на локальном уровне необходима реализация в модели «частного облака» региона. Соотнесение моделей «публичного облака» и «частного облака» представлено на рис. 2. Наиболее важными аргументами при выборе концепции «частного облака» субъекта СРВ для реализации инфраструктурных компонентов являются безопасность и сохранение собственной инициативы информационного развития и возможности для самостоятельного наращивания ИТ -возможностей на региональном уровне.

Сравнение между «частным облаком» и «публичным облаком» приведено в табл. 2.

Сервисы государственного «публичного облака» должны быть востребованы в региональной системе «электронного правительства» СРВ, но являются лишь частью компонентов всей системы.

ю

JS-

Обращение

ia госуспугом

госуспуг через "Ч единый портал госуслуг ипи через региональный портал (CRM) субъекта СРВ

public cloud

"Публичное облако" государственного ответственного ведомства и "Единого оператора"

ИНФРАСТРУКТУРА

private cloud

"Частное облако" правительства СРВ

ПРАВИТЕЛЬСТВО СУБЪЕКТА СРВ

• Передача заявок на предоставление госуслуг в ведомство

Рис.2. Общая схема взаимодействия "частного облака" региона и компонентов государственных компонентов "публичного облака".

Таблица 2.

Сравнение между «частным облаком» и «публичным облаком».

«Частное облако» «Публичное облако»

Общие затраты на создание и функционирование ниже, чем у «публичного облака» Начальные затраты на использование «облачных сервисов» ниже, чем у «частного облака»

Собственное управление и возможность сохранения ИТ-инициативы Внешнее управление и жесткость сервисов

Возможность поддержки и миграции унаследованных приложений Только новые приложения, написанные подшеЬ - платформу

Существующий набор сервисов «публичного облака»:

• получение на портале муниципальных услуг региона в электронном виде услуг государственных органов исполнительной власти, реализованных на едином портале государственных и муниципальных услуг;

• возможность единой идентификации и аутентификации пользователей систем электронного правительства (сервис использования идентификации по СНИЛС и ЭЦП);

• возможность использования сервиса единого личного кабинета при обращении заявителей за получением государственных и муниципальных услуг на региональном портале государственных и муниципальных услуг, а также определение состояния заявки на получение запрошенных услуг;

• техническая возможность решения задач и реализации функций, изложенных в Положении о единой системе межведомственного электронного взаимодействия, утвержденного постановлением Правительства от№ 697/12-2010.

Во второй главе работы приведен анализ структуры УЦ и их моделей, анализ процесса функционирования УЦ, анализ угроз информационной безопасности системы и анализ методов развертывания НУЦ СРВ.

Обмен электронными документами должен быть надлежащим образом защищен. Документы должны быть снабжены электронной подписью, гарантирующей авторство и неизменность содержания документа, а в отдельных случаях и закрыты криптографическими средствами от несанкционированного доступа.

Удостоверяющий центр является комплексом организационно-технических мероприятий и программно-аппаратных средств, необходимых для использования электронного документооборота с применением сертификатов открытых ключей. Его основными функциями являются: поддержка жизненного цикла цифровых ключей и сертификатов (т.е. их генерация, распределение, отзыв и пр.), а также поддержка процесса идентификации и аутентификации пользователей и реализация механизма интеграции существующих приложений и всех компонентов подсистемы защиты информации.

Проанализированы способы внедрения удостоверяющего центра: инсорсинг, который означает внедрение удостоверяющего центра на базе собственной организации и аутсорсинг, предполагающий заказ услуг внедрения у поставщика. Также были проанализированы причины использования каждого их этих методов.

Решение о применении способа развертывания удостоверяющего центра (аутсорсинг или инсорсинг) непосредственно зависит от следующих критериев:

• количество планируемых сертификатов;

• возможности организации, а именно количество

12

ресурсов и времени;

• желание руководителя организации иметь полный контроль над выпуском сертификатов.

Рис. 3. Сетевая модель УЦ.

Проанализированы модели доверия удостоверяющего центра: одиночная УЦ, иерархическая, сетевая, гибридная, мостовая модели. На рис. 3 представлена сетевая модель доверия УЦ.

При выборе модели УЦ рекомендуется руководствоваться следующими критериями:

• структура организации заявителя: строгая иерархическая; организация, не имеющая строгой иерархической структуры.

• количество филиалов внутри организации, между которыми необходимо организовать электронный документооборот.

• количество организаций партнеров, между которыми необходимо организовать электронный документооборот, если планируется межкорпоративное взаимодействие.

В инфраструктуре открытых ключей закрытой корпоративной системы все владельцы сертификатов работают в одной организации, доверяют одному и тому же удостоверяющему центру, и путь доверия строится на базе корневого сертификата этого центра;

Организация межкорпоративного взаимодействия

осуществляется путем установления кросс-сертификационных связей между сертифицирующими центрами различных

организаций-партнеров, которые осуществляются на любом уровне иерархии центра сертификата;

В случае, если проектируемая ИОК будет устанавливать отношения кросс-сертификации с другими ИОК, ключевыми моментами согласования являются криптографические алгоритмы, критичные дополнения и способы распространения информации об аннулировании сертификата.

При развертывании ИОК сложной структуры определяется, будет ли организация доверять сертификатам пользователей и приложений только своего домена доверия или других доменов тоже. Организация взаимодействия между ИОК различных организаций предполагает проведение взаимной сертификации (кросс-сертификации) между центрами сертификатов (ЦС) этих организаций. Выбор центра сертификата, участвующего в процессе кросс-сертификации, зависит от целей и задач, стоящих перед организацией-партнером в процессе взаимодействия

В третьей главе приведено математическое и программное обеспечение НУЦ VGCA для электронного правительства СРВ; приложения создания/аутентификации электронной цифровой подписи на основе криптографического алгоритма Эль-Гамаля; шифрование/расшифрование документов; создание цифровых сертификатов (ID-Card) для государственных учреждений и граждан СРВ. НУЦ VGCA предоставляет услуги по обеспечению безопасности операций через сеть. Основные услуги, которые предоставляет система аутентификации: услуга аутентификации, услуга конфиденциальности, услуга целостности.

Схема Эль-Гамаля - криптосистема с открытым ключом, основанная на трудности вычисления дискретных логарифмов в конечном поле. Криптосистема включает в себя алгоритм шифрования и алгоритм цифровой подписи. Схема Эль-Гамаля лежит в основе стандартов электронной цифровой подписи в США (DSA), России (ГОСТ Р 34.10-94) и во Вьетнаме.

Генерация ключей

1. Генерируется случайное простое число р длины п битов.

2. Выбирается случайное целое число g такое, что 1 < д < р.

3. Выбирается случайное целое число х такое, что 1 < х < р.

4. Вычисляется у = ij*mod р.

5. Открытым ключом является тройка (p,g,y), закрытым ключом — число х.

Работа в режиме шифрования

Шифр система Эль-Гамаля является фактически одним из способов выработки открытых ключей Диффи-Хеллмана. Шифрование по схеме Эль-Гамаля не следует путать с алгоритмом цифровой подписи по схеме Эль-Гамаля (рис. 4).

Общедоступный клю* (p«g,yj

Исходный текст

а = дк modp b - укМ moaу Где к - случайное целое число такое, то 1 < к < р

Шифрованный текст

ш*

Генерация ключей

1. Выбирать большое простое число р

2. Выбирать случайное целое число g такое, то 1 < д < р

3. Выбирать случайное целое число х такое, что 1 < х < р

4. Вычислять у = д* тоар

Секретный ключ <

Ы = b(ax)~l moa р

Исходя ый текст

Рис. 4. Схема шифрования и дешифрования. Шифрование

Сообщение Мшифруется следующим образом:

1. Выбирается сессионный ключ — случайное целое число к такое, что 1 < к < р — 1.

2. Вычисляются числа а — gkmod р и b = укМ mod р.

3. Пара чисел (а, b) является шифротекстом.

Дешифрование

Зная закрытый ключ х, исходное сообщение можно вычислить из шифротекста (a, b) по формуле:

М = b(ax)~1mod р. При этом нетрудно проверить, что (а*)-1 = д~кх (mod р)

15

и поэтому Ь(ах)-1 = (укМ)д~хк = (дхкМ)д~хк = М (mod р) Для практических вычислений больше подходит следующая формула: М = Ь(ах)~г mod р = b. а(р_1_д:) mod р. Работа в режиме подписи

Цифровая подпись служит для того, чтобы можно было установить изменения данных и подлинность подписавшейся стороны. При работе в режиме подписи предполагается наличие фиксированной хеш-функции h(M), значения которой лежат в интервале (1,р-1)

Подпись сообщений

Для подписи сообщения М выполняются следующие операции:

1. Вычисляется дайджест сообщения М: т= h(M).

2. Выбирается случайное число 1 <к<р-1 взаимно простое ср-1 и вычисляется г = gkmodp.

3. Вычисляется число s = (m — xr)fc_1(mod p - 1).

4. Подписью сообщения А/является пара (г,s). Проверка подписи

Зная открытый ключ (p,g,y), подпись (r,s) сообщения М проверяется следующим образом:

1. Проверяется выполнимость условий: 0<г<ри0<х< р — 1. Если хотя бы одно из них не выполняется, то подпись считается неверной.

2. Вычисляется дайджест сообщения М: т= h(М).

3. Подпись считается верной, если выполняется сравнение: yrrs = дт mod р.

Разработка методики рационального выбора модели УЦ В работе разработана методика выбора рациональной модели УЦ, позволяющая решить вопрос о способе проектирования УЦ в рамках инсорсинга и включает в себя следующие шаги: формирование критериев отбора модели УЦ, задание значения каждому из критериев, сравнение значений с эталонными для каждой модели УЦ и выбор подходящей из них. Пусть имеется множество А моделей УЦ А = {А 1, Аг, ..., Ат}, где т количество вариантов построения моделей УЦ; С - множество критериев выбора модели УЦ; С= {Су ... Ст„}, где п - количество критериев выбора; /-номер модели УЦ,у — номер критерия выбора.

Составляются п векторов значений по каждому критерию С\ = {Сп; С12;.... С\т }; С22, С2щ};

Сп {Сп!, ..., Сщп},

где Су - значение7-го критерия для /"-ой модели.

Критерии группируются в три группы: тип метода развертывания УЦ; параметры организации заявителя; параметры организации партнера. В качестве критериев принимаются следующие 3 группы:

1. Тип метода развертывания УЦ:

• С] - количество сертификатов, С1={0,..ЛГ};

• С2- ресурсы и время, С2={0-ограничены, 1-не ограничены};

• С3 — полный контроль над выпуском сертификатов, С3 ={0-нет,1-да};

2. Параметры организации заявителя:

• С4 — организация со строгой иерархической структурой, С4={0-нет,1-да};

• С5 - уровень безопасности, С5={«низкий», «средний», «высокий»};

• С6 - количество подчиненных УЦ в организации, С6={0...к};

• Су— количество независимых УЦ в организации, С7={0...&};

3. Параметры организации партнера:

• С8 — межкорпоративное взаимодействие организации, С8={0-нет,1-да} ;

• Сд количество организаций-партнеров, Сд ={0...с/}.

По критериям С\ - С3 выбирается метод развертывания УЦ в организации (инсорсинг или аутсорсинг),

Критерии С4- С7 отвечают за выбор параметров организации заявителя,

Критерии С8, Сд— взаимодействие с другими организациями.

Выбор рациональной модели осуществляется по следующему правилу:

__Л/ = ггиЛ)(Су =Си),

где С/у - эталонное значение у-го критерия для /"-ой модели.

Разработка методики расчета риска УЦ

Оценку рисков информационной системы предлагается проводить по методике, включающей следующие этапы.

На первом этапе проводится анализ существующих уязвимостей в УЦ и формируется их список.

На втором этапе определяется список наиболее актуальных угроз УЦ и совокупность механизмов защиты от этих угроз.

На третьем этапе проводится оценка вероятностей реализации угроз. Оценка осуществляется на основе статистической базы инцидентов по каждой атаке.

На четвертом этапе проводится экспертная оценка ущерба.

На пятом этапе проводится расчет риска при реализации /- й модели УЦ по следующей формуле:

Р|у *

* (Х:,

где Яг - суммарное значение риска для /- ой модели УЦ, Р[„- вероятность эксплуатации у-ой угрозы в ¡-ой модели из множества А;

иущерб и от у-ой угрозы в /-ой модели из множества Л; А - количество угроз УЦ;

а& - весовые коэффициенты, которые удовлетворяют условию нормировки:

И"=1аю = 1 •

Расчет по методике автоматизирован в рамках модели удостоверяющего центра. Исходные данные для расчета рисков представляются в виде трех матриц С/, Р, а:

и=

и

11

и

т

Д

7711

и„

Матрица С/ содержит данные величин ущерба от каждой угрозы для всех моделей, где т - количество моделей УЦ, п - количество угроз для УЦ.

Рщ]

Р=

11

Гт1

1тп->

Матрица Р содержит набор количественных оценок вероятности эксплуатации каждой угрозы для всех моделей, где т — количество моделей УЦ, п — количество угроз для УЦ.

В четвертой главе представлена разработанная методология по использованию единой системы электронной идентификации и аутентификации (ЕСИА) VGCA при доступе к услугам органов исполнительной власти (ОИВ), которая включается в себя:

• регистрацию представителей ОИВ в ЕСИА через графический интерфейс ЕСИА, веб-сервисы СМЭВ и систему IdM (Identity management);

• регистрацию информационной системы (ИС), использующей ЕСИА для идентификации и аутентификации пользователей;

• предоставление и отзыв полномочий представителям ОИВ в ЕСИА;

• идентификацию и аутентификацию пользователей Интернет в ЕСИА.

Должностное лицо ОИВ запрашивает доступ к защищенному ресурсу ИС ОИВ, ИС ОИВ запрашивает в системе ЕСИА информацию о должностном лице ОИВ и принимает решение о предоставлении доступа.

1. Должностное лицо ОИВ запрашивает доступ к защищенному ресурсу ИС ОИВ.

2. ИС ОИВ направляет в систему ЕСИА запрос на аутентификацию.

3. Система ЕСИА проверяет наличие у должностного лица ОИВ открытой сессии, если активная сессия отсутствует, проводит его аутентификацию. Для этого система ЕСИА направляет пользователя на свою страницу аутентификации.

4. Система ЕСИА передает в ИС ОИВ набор утверждений, содержащих идентификационные данные пользователя, информацию о контексте аутентификации и полномочиях пользователя.

5. На основании полученной из системы ЕСИА информации, ИС принимает решение об авторизации - разрешает или запрещает доступ к ресурсу.

На рис. 5 показана блок-схема идентификации и аутентификации пользователей в системе ЕСИА VGCA.

Совместно с коллективом исследовательской команды СРВ создано программное обеспечение ЕСИА VGCA, предназначенное для исследования и развития систем удостоверяющих документов СРВ. Система ЕСИА VGCA в настоящее время одобрена Узловым

19

отделом правительства и включена в программу исследований, обслуживающих для создания НУЦ для электронного правительства СРВ (рис. ба-б).

Рис. 5. Идентификация/аутентификация пользователей в системе ЕСИА. 20

I

6 a)

"лГ^ШвЯЩ - ' -Ч/ :: « Единая система идентификации и аутентификации г для электронного правительства СРВ ^¿Уй- X t

Шифрование данных ::::: :

J tí 'ЗЦП я провеса ЗЦП д в Т|rk у.ж tr*ft mírh f erg 1 и Ре5упызты j

Tc? c*Jky: l ;J C.jCóog яд

DáJ-wüitkiCSkyío: Jícrgvárl.« J Ccrg v¿r& xxx Проверка файлов с ЭЦП

2 HOIItaiWMt. Tj<c«43U(».»r:> Автор ЗЦП

Список сертификатов л 1 Ky UitTHÍdífn: ?#2CIC 1027<1AK$H^7} (4ÍV íhü йСЩЬим TSP

ЕЗМа* cK; Гиг> fro qsyi fii T:jJ»! '2t:. rh<!: Ciуй¡ flStí' (ii; s» feftac & v« .

i

6 6)

Рис. 6. Процесс формирования ЭЦП (а) и проверки ЭЦП (б) в системе ECHA VGCA. В заключении подводятся итоги проделанной работы. Приводятся основные выводы и результаты работы.

Список подписанных файлов

Выходным файл с ЗЦП

Автор ЭЦП

DiCaro ver2w

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

1. Разработана инфраструктурная модель электронного правительства СРВ на базе технологии «облачных вычислений», позволяющая существенно сократить время, затрачиваемое на проектирование и реализацию системы электронного правительства СРВ.

2. Разработано математическое и программное обеспечение для НУЦ СРВ.

3. Предложена методика выбора рациональной модели НУЦ, позволяющая решить вопрос о способе проектирования НУЦ в рамках инсорсинга.

4. Предложена методика расчета рисков для каждой модели НУЦ, позволяющая оценить величину потерь от реализации всех угроз в выбранной модели.

5. Проведено экспериментальное исследование разработанного программного обеспечения ЕСИА VGCA.

Публикации по теме диссертационной работы

1. Хоанг Чунг Киен, Чан Конг Тан. Математическое обеспечение в обработке биометрической информации для создания биометрических паспортов в СРВ. Сборник труды ИСА РАН Т32(1). 2008 г. - с. 276-283.

2. Чан Конг Тан, Ткаченко В.М. Подход к формированию «Э-правительства» Вьетнама с применением технологии «облачных вычислений» в период 2010-2015 гг. Сборник труды ИСА РАН Т53. 2010 г.-с. 139-146.

3. RC6. Сборник научных трудов по материалам 56-ой научно-технической конференции. -М.: МГТУ МИРЭА, часть 1-2007.-с. 94-98.

4. Чан Конг Тан. Оценка достоинств и недостатков алгоритмов AES (Advanced Encryption Standard). Сборник научных трудов по материалам 57-ой научно-технической конференции. -М.: МГТУ МИРЭА, часть 1-2008. - с. 119-123.

5. Чан Конг Тан. Электронная цифровая подпись для сети передачи данных электронного правительства Социалистической Республики Вьетнам. - М.: 12-ой международной конференции «Информатика: Проблемы, методология, технология». 2012 г. Воронеж.

Подписано в печать: 29.10.2012 Тираж 100 экз. Заказ №908 Отпечатано в типографии «Реглет» г. Москва, Ленинградский пр-тд.74 (495)790-74-77 www.reglet.ru

Оглавление автор диссертации — кандидата технических наук Чан Конг Тан

ВВЕДЕНИЕ.

Глава 1 - ФОРМИРОВАНИЕ ЭЛЕКТРОННОГО ПРАВИТЕЛЬСТВА ВО ВЬЕТНАМЕ

1.1 Цель формирования электронного правительства Вьетнама.

1.2 Инфраструктура электронного правительства Вьетнама.

1.2.1 Инфраструктурные элементы электронного правительства Вьетнама.

1.2.2 Реализация инфраструктуры электронного правительства Вьетнама.

1.3 Реформы государственных органов, административная реформа.

1.4 Управление ИКТ.

1.4.1 Разработка политики в области ИКТ.

1.4.2 Модель развития ИКТ.

1.5 Система порталов государственных услуг.

1.6 Создание универсальной электронной карты.

1.6.1 Сфера применения У ЭК для граждан Вьетнама.

1.6.2 Инфраструктура УЭК.

1.6.3 Реальность и внедрение УЭК для электронного правительства Вьетнама.

1.7 Многофункциональные центры предоставления государственных услуг (МФЦ).

1.7.1 Традиционный порядок предоставления услуг.

1.7.2 Принцип «Единого окна».

1.7.3 О деятельности МФЦ.

1.7.4 Технология предоставления государственных услуг через МФЦ.

1.8 Система межведомственного электронного взаимодействия (СМЭВ).

1.8.1 Цель создания СМЭВ.

1.8.2 Основные функции СМЭВ.

1.9 Этапы и сроки создания электронного правительства Вьетнама.

1.10 Реализация инфраструктурных компонентов электронного правительства Вьетнама в концепции «вычислительного облака ».

1.11 «Дорожная карта» реализации инфраструктурных компонентов электронного правительства Вьетнама.

Глава 2 - АНАЛИЗ СТРУКТУРЫ УДОСТОВЕРЯЮЩИХ ЦЕНТРОВ И ИХ МОДЕЛЕЙ

2.1 Анализ компонентов удостоверяющего центра.

2.1.1 Состав удостоверяющего центра.

2.1.2 Виды сертификатов удостоверяющего центра.

2.1.3 Основные документы для организации работы УЦ.

2.2 Анализ процесса функционирования удостоверяющего центра.

2.3 Анализ угроз информационной безопасности системы ИОК.

2.4 Анализ методов развертывания удостоверяющего центра в организации.

2.5 Анализ моделей доверия ИОК.

Глава 3 - РАЗРАБОТКА МАТЕМАТИЧЕСКОГО И ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ НАЦИОНАЛЬНОГО УДОСТОВЕРЯЮЩЕГО ЦЕНТРА ДЛЯ ЭЛЕКТРОННОГО ПРАВИТЕЛЬСТВА ВЬЕТНАМА.

3.1 О национальном удостоверяющем центре для электронного правительства СРВ 80 3.1.1 Функции и обязанности НУЦ УвСА

3.1.2 Компоненты НУЦ VGCA

3.1.3 Применение НУЦ VGCA.

3.2 Организационная модель и архитектура общей сети НУЦ VGCA

3.3 Создание инфраструктуры открытых ключей PKI.

3.4 Создание электронного удостоверения личности.

3.4.1 Основные компоненты электронного удостоверения личности.

3.4.2 Процесс получения электронного удостоверения личности.

3.5 Создание электронной подпись на базе схемы Эль-Гамаля.

3.5.1 Схема Эль-Гамаля.

3.5.2 Генерация ключей.

3.5.3 Работа в режиме шифрования.

3.5.4 Работа в режиме подписи.

3.6 Разработка модели удостоверяющего центра VGCA.

3.6.1 Разработка методики рационального выбора модели.

3.6.2 Разработка методики расчета рисков.

3.6.3 Разработка алгоритма модуля выбора рациональной модели.

3.6.4 Разработка алгоритма модуля расчета рисков.

3.7 Результаты экспериментального исследования.

Глава 4 - ЕДИНАЯ ИНФОРМАЦИОННАЯ СИСТЕМА ЭЛЕКТРОННОЙ ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ ДЛЯ ЭЛЕКТРОННОГО ПРАВИТЕЛЬСТВА ВЬЕТНАМА.

4.1 Общие сведения о системе ЕСИА.

4.1.1 Цель создания системы ЕСИА.

4.1.2 Основные функциональные возможности системы ЕСИА.

4.1.3 Функциональные возможности системы ЕСИА для ОИВ.

4.1.3.1 Особенности регистрации в системе ЕСИА.

4.1.3.2 Роль пользователей в системе ЕСИА для ОИВ.

4.2 Схемы использования системы ЕСИА при доступе представителей ОИВ.

4.2.1 Регистрация представителей ОИВ в системе ЕСИА.

4.2.1.1 Регистрация представителей ОИВ через графический интерфейс системы ЕСИА.

4.2.1.2 Регистрация представителей ОИВ через веб-сервисы СМЭВ.

4.2.1.1 Регистрация представителей ОИВ через систему IdM и веб-сервисы

СМЭВ.

4.2.2 Предоставление-отзыв полномочий представителям ОИВ в систему ЕСИА

4.2.2.1 Предоставление-отзыв полномочий представителям ОИВ через графический интерфейс системы ЕСИА.

4.2.2.2 Предоставление-отзыв полномочий представителям ОИВ через систему IdM и веб-сервисы СМЭВ.

4.2.3 Идентификация-аутентификация представителей ОИВ в системе ЕСИА.

4.2.4 Регистрация информационной системы, использующей ЕСИА для идентификации-аутентификации пользователей.

4.2.5 Ведение справочника полномочий ИС ОИВ.

4.3 Схема использования системы ЕСИА при доступе пользователей Интернет.

4.3.1 Регистрация пользователей Интернет в системе ЕСИА.

4.3.2 Идентификация-аутентификация пользователей Интернет в системе ЕСИА

4.4 Схема использования системы ЕСИА при межведомственном взаимодействии.

4.4.1 Регистрация информационных систем ОИВ, осуществляющих межведомственное взаимодействие через СМЭВ.

4.4.1.1 Регистрация информационной системы, использующей сервисы СМЭВ

4.4.1.2 Регистрация информационной системы, предоставляющей сервисы в СМЭВ.

4.4.2 Ведение справочника полномочий СМЭВ.

4.4.3 Предоставление информационным системам ОИВ полномочий по доступу к сервисам СМЭВ.

4.4.4 Авторизация информационных систем при межведомственном взаимодействии.

4.5 Различия между технологическими порталами ЕСИА и СМЭВ.

4.6 Рекомендации для владельцев ИС ОИВ.

4.6.1 Рекомендации по регистрации должностных лиц ОИВ в ЕСИА.

4.6.2 Рекомендации по авторизации доступа пользователей, которые прошли аутентификацию в системе ЕСИА.

4.6.3 Рекомендации по регистрации в ИС ОИВ пользователей, которые прошли аутентификацию в системе ЕСИА.

4.6.4 Рекомендации по выбору механизма аутентификации в ИС ОИВ.

4.6.5 Некоторые ограничения по использованию ЕСИА.

Введение 2012 год, диссертация по информатике, вычислительной технике и управлению, Чан Конг Тан

Применение информационно-коммуникационных технологий (ИКТ) в процессе государственного управления, в том числе является одним из приоритетных направлений, способствующим повышению эффективности и результативности государственного управления, улучшению качества и увеличению количества предоставляемых государственных услуг.

Органы государственной власти (ОГВ) применяют новые технологии в своей работе, чтобы и рядовые граждане, и организации, и предприятия получили более удобный и эффективный доступ к информации и услугам, предоставляемым государством, обеспечивая им тем самым более широкие возможности для участия в процессе национального развития.

Учитывая тенденции глобализации и международной экономической интеграции, и вступление Социалистической Республики Вьетнам (СРВ) во Всемирную торговую организацию в 2006 г., построение системы электронного правительства в СРВ является неизбежной необходимостью для повышения эффективности и результативности государственного управления.

Электронное правительство СРВ было создано в 2010 г. указом № бЗ/СЮ-Т^ Премьер-министра СРВ Нгуен Тан Зунга «Административная реформа, развитие ИКТ и повышение способности в государственном управлении» с целью к 2020 г. сделать Вьетнам одной из самых развитых стран мира в области предоставления электронных государственных услуг и создания единого информационного пространства государственного управления (электронного правительства).

Создание электронного правительства СРВ столкнулось со следующими трудностями:

• хаотичность обмена данными, организуемыми каждым из ведомств по своим административным регламентам;

• отсутствие хранения истории оказания услуг и истории обмена данными;

• отсутствие единой системы мониторинга производительности и доступности информационных ресурсов ведомственных компьютерных систем;

• отсутствие единой системы электронной идентификации и аутентификации потребителей государственных услуг.

Базой успешного построения электронного правительства СРВ являются дата-центры, национальные удостоверяющие центры (НУЦ), центры обработки информации, различные удостоверяющие центры и т.д. Такие центры необходимы для обработки электронных транзакций через Интернет между правительством, ОГВ, гражданами и организациями.

Технология удостоверяющих центров (УЦ) электронно-цифровых подписей (ЭЦП), базируется на концепции инфраструктуры открытых ключей (ИОК), основанной на криптографических методах и теориях, объединенных в единую систему для практического применения.

Строительство НУЦ для электронного правительства СРВ в настоящее время находится на начальной стадии, и потребуется много времени, чтобы реализовать все поставленные задачи. Существуют проекты строительства НУЦ для электронного правительства с Вьетнамским министерством науки и технологии. Также к настоящему времени разработаны стандарты для ЭЦП, электронный цифровой сертификат с использованием USB-токен. Но до сих пор не достигнуто принципиальное соглашение о введении единых стандартов для всех областей страны. На данный момент во Вьетнаме действует более 30 различных УЦ, а во взаимодействие с использованием ЭЦП сегодня вовлечено более 150 тыс. юридических лиц.

Поэтому одной из основных практических задач данной работы являлось исследование и построение НУЦ для электронного правительства СРВ с целью предоставления услуг ЭЦП потребителям государственных услуг посредством шифрованных каналов связи и межсетевого экранирования.

Степень изученности проблемы. Проблемы математического обеспечения в разработке ЭЦП в инфраструктуре электронного правительства нашли отражение в трудах И.В. Трифаленкова, В.В. Гриднева, в федеральном проекте «Информационное общество» ОАО «Ростелеком», в работе «Электронное правительство: рекомендации по внедрению в Российской Федерации» под ред. В.И. Дрожжинова и Е.З. Зиндера и в целевом проекте «Электронный Вьетнам» министерства науки и технологии СРВ.

Целью диссертационной работы являлась разработка математического обеспечения и соответствующего программного компонента НУЦ для электронного правительства СРВ.