

Разработка устройства для доверенного сеанса связи: S-Terra СПДС-USB-01
По заказу российской компании «С-Терра СиЭсПи» мы спроектировали и подготовили к серийному производству USB-устройство для защиты удаленного доступа.
В основе разработки заложена новая технология — построение среды доверенного сеанса, созданная для замены дорогостоящих и сложных в эксплуатации пакетов защиты типа security suite, NAC или DLP.
Принцип работы устройства: пользователь загружает операционную систему напрямую с USB-накопителя, который обеспечивает изолированное сетевое соединение с сервером приложений и организует доверенную загрузку целостной информационной среды. Данные на устройстве защищены крипто-чипом (смарт-картой): реализована двухэтапная аутентификация и криптографическая защита данных.
Продукты защиты С-Терра «Пост» прошли сертификацию ФСТЭК и ФСБ России.
Итоги проекта |
В процессе реализации проекта специалисты Promwad выполнили следующие задачи: — Подбор материалов для корпуса устройства |
Техническое описание проекта
Заказчик
Компания «С-Терра СиЭсПи» — российский разработчик и производитель средств сетевой информационной безопасности. Решения компании для построения виртуальных частных сетей (VPN) обеспечивают защиту межсетевых взаимодействий, беспроводных и мультисервисных сетей, гарантируют безопасность работы удаленных и мобильных пользователей.
Задача
Разработать и подготовить к постановке на производство специальный загрузочный носитель (далее — СЗН) СПДС-USB-01, который представляет собой USB-устройство для построения среды доверенного сеанса в рамках системы С-Терра «Пост»: http://www.s-terra.ru/products/catalog/s-terra-post/
СПДС-USB-01 должен предоставлять следующие возможности:
- Доступ к криптографическому контроллеру, работающему по стандарту ISO-7816-3
- Доступ к носителю данных посредством интерфейса USB Mass Storage
- Управление доступом к разделам на носителе данных в зависимости от результатов аутентификации
- Возможность загрузки IBM ПК-совместимых компьютеров с устройства
- Скорость передачи данных по USB на уровне флеш-накопителей мировых производителей
Необходимо разработать библиотеку для предоставления программисту API управлением устройством через USB CCID в операционной системе Linux. Также требуется разработать комплекс программного обеспечения, которое будет выполняться на контроллере и на ПК. ПК должен проводить постпроизводственное тестирование и начальную инициализацию устройства: создание паролей и прав, запись образов операционной системы в устройство.
Решение
1. Аппаратное обеспечение
За основу программного обеспечения были взята библиотека AT91LIB компании Atmel. Решение было построено на основе чипа с процессором ARM Cortex M3.
Рис.1. Структурная схема устройства
Рис.2. Аппаратная платформа устройства
2. Программное обеспечение
С учетом требований заказчика была разработана следующая архитектура реализации ПО:
Рис.3. Архитектура ПО
Основные модули ПО:
- USB CCID предоставляет доступ к смарт-карте (смарт-чипу) через интерфейс ISO7816.
- USB MSD предоставляет доступ к содержимому eMMC согласно правам пользователя, который авторизовался через USB CCID.
- Login проверяет ответы смарт-карты по интерфейсу ISO7816 и в соответствии с ними выставляет права на доступ к данным в MSD-инфраструктуре.
Для инициализации устройства была использована операционная система Debian 6.0, библиотеки usblib и libsysfs. На их основе были разработаны три библиотеки:
- libinitsbs предоставляет функции авторизации и записи данных в устройство.
- libsbs предоставляет функции общения со смарт-картой (сброс, создание файловой системы, создание пользователя, авторизация, удаление пользователя, блокировка и др.).
-
Библиотека libsysfsdev.
Преимущества
- Принципиально новая технология (среда построения доверенного сеанса, СПДС), которая лежит в основе работы устройства, позволяет отказаться от дорогостоящих и сложных в эксплуатации пакетов защиты типа security suite, NAC, DLP и др.
- Данные на устройстве защищены крипто-чипом (смарт-картой): пользователь проходит строгую двухфакторную аутентификацию, реализована криптографическая защита трафика и данных
- Устройство обеспечивает изолированное сетевое соединение с сервером приложений и доверенную загрузку целостной информационной среды
- Операционную систему можно загружать напрямую с устройства
- Продукты защиты сертифицированы ФСТЭК России и ФСБ России