WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!


Pages:     || 2 | 3 | 4 | 5 |   ...   | 18 |

Методы и средства криптографии

С.Н. Смирнов

Россия, г. Москва, ИКСИ

ТЕХНОЛОГИЯ ОРГАНИЗАЦИИ ЗАЩИЩЕННОГО ДОКУМЕНТООБОРОТА

НА БАЗЕ СУБД ПРОМЫШЛЕННОГО УРОВНЯ

Ядром современной системы хранения и управления потоками документов масштаба предприятия является СУБД промышленного уровня. Только такие системы могут обеспечить эффективный многопользовательский доступ к документам и надежное и безопасное управление данными. В то же время в традиционных СУБД типы данных, используемые для хранения документов в реляционных таблицах, до недавнего времени были производными от базовых типов, таких, как строки постоянной или переменной длины, даты и времени.

Для систем электронного документооборота широко распространенным стандартом является представление документов языковыми средствами XML. Платформа XML – это совокупность взаимосвязанных стандартов, разрабатываемых консорциумом W3C, имеющих своей целью создать универсальный формат для структурирования, поиска, обеспечения целостности и безопасности процесса обмена документами в автоматическом режиме. Основное назначение платформы XML состоит в поддержка не только содержания, но и структуры документа, что является необходимым условием автоматического предобразования различных форм хранения документов, отражающих одну и ту же информацию о реальном мире. За счет своей открытости и расширяемости, обеспечиваемой отсутствием жестких конструкций описания метаданных, XML обладает большим потенциалом для подготовки документов, предназначенных для обработки в автоматизированных системах документооборота.

В последнее время фирмыпроизводители СУБД промышленного уровня предложили ряд новых решений в области использования специализированных типов данных для хранения и обработки XMLдокументов. В частности, в СУБД Oracle, начиная с версии 9i, представлен набор средств и типов данных для хранения и управления XMLдокументами. Реализованы две модели хранения документов:

1. «Расщепление» (shredding) документа (реконструирование XMLфайла в реляционные таблицы с последующей возможностью оперирования с ними стандартными средствами SQL);

2. Модель хранения документа как большого символьного объекта (CLOB) с поддержкой специализированной библиотеки функций выборки элементов структуры документа.

Описание документов поддерживается в специализированном хранилище репозитории XML DB. Наличие нескольких вариантов хранения документов и управления ими с использованием различных средств СУБД определило характер исследования.

В докладе рассматриваются преимущества и недостатки различных моделей хранения XML документов в СУБД Oracle9i. Основные вопросы исследования: сравнительные временные характеристики, определяющие процессы ввода, модификации и выборки документов, эффективность организации контроля доступа к документам и их фрагментам, а также сравнение технологий поддержки целостности документов.

Наличие в технологии XML стандартов, определяющих формы представления и методы формирования электронных подписей всего документа или его фрагментов, а также стандартных средств интеграции в документ шифрованных элементов (контейнеров) дает большое количество вариантов для хранения документов в базах данных, используемых при организации защищенного документооборота.

Проведенное исследование показало, что XMLдокументов для организации взаимодействия между приложениями системы защищенного документооборота обеспечивает следующие преимущества:

1. Осуществляется стандартизованная доставка данных для проведения локальной обработки. Эти данные могут быть прочитаны программой синтаксического разбора XML, а затем переданы в локальное приложение для последующей обработки в рамках отработанных технологий. Элементы данных, извлеченные из основного документа, могут обрабатываться программными средствами существующих подсистем с последующей сборкой итогового документа на основе объектной модели, хранимой в репозитарии.

2. Пользователь получает требуемое адекватное представление структурированных данных. Извлеченные из документа данные могут быть представлены различными способами. Для локального использования данных можно динамически выбирать наиболее подходящее представление, зависящее от уровня обучения пользователя и имеющихся программнотехнических средств.

3. Обеспечивается интеграция структурированных данных из нескольких источников в общие логические представления. Могут быть разработаны специализированные приложения, предназначенные для интеграции данных из различных баз данных и других приложений.

4. Существуют предпосылки оптимизации производительности систем за счет детализации обновлений.

Обеспечение информационной безопасности является критически важной задачей для системы защищенного документооборота, реализованной на основе стандартов XML. Особенностью условий решения задачи является то, что защищаемые информационные объекты могут содержать не только внутренние элементы, но и внешние элементы, на которые указывают унифицированные идентификаторы ресурсов (URI).

Экземпляры XMLдокументов могут одинаково выглядеть, но различаться по содержанию. Даже правильно построенные экземпляры могут быть поразному структурированы изза особенностей размещения тегов, использования пробелов и прочих стилистических приемов. Хотя эти различия и не влияют на качество и содержание информации, они вносят некоторую неопределенность, затрудняющую использование формальных методов обеспечения конфиденциальности и целостности документов, а также аутентификации участников документооборота.

Решение задач обеспечения конфиденциальности и целостности документов предполагает встраивание технологий XML Signature и XML Encryption в стандартные средства обработки данных СУБД промышленного уровня. XML Signature – это единый стандарт для реализации на его основе ключей электронной цифровой подписи. XML Signature обеспечивает целостное представление данных и все необходимые инструменты идентификации, позволяющие проводить обмен электронными документами на необходимом уровне безопасности. Кроме того, положения спецификации стандарта универсальны и могут быть использованы в самых разных приложениях и программах.

Механизм электронной цифровой подписи обеспечивает получателям документов высокую степень уверенности в подлинности личности отправителя, подписавшего документ, а также целостность полученного документа. Стандарт XML Signature поддерживает возможность верификации отдельных элементов документа, а не только полного его текста. Данное свойство весьма важно для документов, в процессе подготовки и прохождения которых задействовано большое число участников, когда на каждом этапе прохождения документа необходима значимая фиксация прохождения этапа (электронное визирование).

В соответствии с технологией XML Encryption шифрование XMLдоку­ментов или их частей производится традиционными методами криптографии с открытыми ключами. Сначала шифруются сами данные, как правило, с помощью симметричного шифрования на случайно формируемом секретном ключе. Сам секретный ключ шифруется на открытом ключе получателя документа. Информация о технологии шифрования документа упаковывается так, чтобы извлечь секретный ключ и расшифровать данные мог только указанный получатель. Для восстановления секретного ключа используется закрытый ключ получателя документа. Восстановленный ключ обеспечивает расшифрование зашифрованных данных документа.

Дополнительно безопасность доступа к ресурсам репозитория обеспечивается с использованием механизма списков управления доступом (Access Control Lists). Ресурсы – это либо контейнеры, либо файлы с текстами документов. Все ресурсы идентифицированы составным именем, а также параметров или метаданных, определяющих специфику конкретного документа.

Каждый ресурс в репозитории имеет собственный, ассоциированный с ним список доступа. Всякий раз, когда происходит обращение к ресурсам репозитория, осуществляется дополнительная проверка по спискам управления доступом на допустимость операции.

В современных СУБД промышленного уровня представлены средства управления XMLдокументами, необходимые для создания систем защищенного документооборота.

Библиографический список 1. Пярин В.А., Кузьмин А.С., Смирнов С.Н. Безопасность электронного бизнеса. М.: Гелиос АРВ, 2002.

2. Чанг Б. и др., ORACLE 9i XML – М.: Лори, 2003.

Huss, S.A., Jung, M. and Madlener F.

Germany, Darmstadt University of Technology, Integrated Circuits and Systems Lab.

{ huss | mjung | madlener } HIGH SPEED ELLIPTIC CURVE CRYPTO PROCESSORS:

DESIGN SPACE EXPLORATION BY MEANS OF RECONFIGURABLE HARDWARE Elliptic curve cryptography (ECC) has emerged in the recent past as an important alternative to the wellknown RSA public key scheme. The implementation of a public key infrastructure (PKI) has to address aspects as low level as efficient hardware implementations as well as higher level aspects such as integration with user level programs. This paper reports on two representative aspects from this wide range of topics. First, a highly scalable and performant multiplier for finite fields is presented. Then we illustrate the integration of cryptoprocessors developed at our institute into the commercial FlexiProvider system [1].

Efficient Finite Field Multiplication The mathematical theory of elliptic curve cryptosystems exhibits a strictly layered architecture, where each layer provides increasingly complex operations for the next higher layer [2]. While our research interest spans the complete spectrum [3], in this section we will concentrate on the lowest layer, which adheres to the field axioms. Most of the operations provided here are of low complexity, but their efficient hardware implementation is fundamental for the overall encryption efficiency.

Digital systems can not handle infinite fields this is why all elliptic curve based cryptosystems employ Galois Fields [4]. We concentrate on finite fields of the class GF(2­n), whose elements can be interpreted as polynomials of degree n1 with binary coefficients. These fields provide some features that allow for efficient implementation techniques in hardware. First, evidently field elements can be represented by bit vectors of length n. Secondly, addition and subtraction are identical operations and can be computed with a simple bitwise exclusive or, but multiplication and inversion are quite expensive operations. Several algorithms exist that reduce the number of inversions to a point where the multiplication becomes the dominant factor in terms of time and logic resources. Therefore we focus on the multiplication operation.

Depending on the application, polynomial degrees from 163 up to 253 are currently considered to provide an appropriate level of security for elliptic curve based cryptographic applications. Implementing the multiplication operation for these operand widths combinational [1 Combinational means here that the result is being computed in a single clock cycle with a stateless circuit(e.g., ROM).] would be prohibitively expensive. Therefore, a sequential computation of intermediate results is needed, which exploits a given combinational multiplier of reasonable size.

In 1962 Karatsuba and Ofman [5] reported on a multiplication scheme (KOA), which computes the product of two n digit numbers with three n/2 digit multiplications and six additions. Compared to the straight forward “schoolbook method” one expensive multiplication is replaced by three cheap additions. Until today the recursive generalization of this scheme is the fastest known multiplication algorithm, which does not rely on precomputations.

The KOA can easily be adapted for GF(2n): To compute the product of two n1 degree polynomials both of them are split into two segments ( and ). With the three partial results, and the product can be computed as. Obviously, a recursive approach is possible to derive a multiplication algorithm that splits the polynomials into four, eight or any number of segments being a power of 2. However, recursion does not lend itself very well to dedicated hardware implementations. Furthermore, we observed during our studies that the constraints on the number of segments are too restrictive to yield a good tradeoff between requirements on time and logic resources. As a result of our work to circumvent these problems, we developed a modified KOA, which we call MultiSegmentKaratsuba (MSK).

The basic idea behind the MSK is to provide a scheme to derive multiplier implementations with an arbitrary number of segments. Before we describe the general MSK scheme, we will show by example how to derive a multiplier with three segments, i.e., MSK3. Using the following intermediate results, the MSK3 can be denoted as:

.

Pages:     || 2 | 3 | 4 | 5 |   ...   | 18 |




© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.