Одним из слабых звеньев разработанной в работе системы мандатного управления доступом является использование парольной системы в процессе передачи данных

Досмухамедов Б.Р.

Астраханский Государственный Технический Университет, Россия

Построение парольной системы доступа удаленных клиентов в сфере
микрокредитования на основе любых пользовательских данных

Введение

В настоящее время идет бурный рост в сфере оказания микрофинансовых услуг: ежегодный средний рост финансовых объемов достигает почти 30%, число микрофинансовых организаций (МФО) за год, начиная с со второго полугодия 2012 г. до второго полугодия 2013 года увеличилось с 2800 до 4600 организаций. Ситуация в сфере оказания микрофинансовых услуг приближается к насыщению, и это дает основание полагать, что в ближайшем будущем МФО вынуждены будут искать новые пути развития, Одним из возможных направлений развития МФО является предоставление услуг физическим и юридическим субъектам, проживающим, расположенным в дали от основных офисов МФО – удаленным клиентам. Данная проблема достаточно подробно обсуждалась в [1], где приведена возможная схема бизнес-процесса обслуживания данной категории клиентов. Там же обосновано, что в соответствии ряда международных стандартов (например, европейского стандарта по электронному документообороту [2]) необходимо использование мандатного контроля доступа.

Одной из специфических проблем, связанных с обслуживанием удаленных клиентов, является затруднения у клиентов при использовании парольной системы, поскольку обычно у клиентов данной категории либо вообще нет, либо нет достаточного опыта работы в компьютерных системах. В данной работе предлагается алгоритм решения данной проблемы. Отметим, что алгоритм удовлетворяет основным требованиям по организации парольных систем [3].

1. Алгоритм организации удаленного доступа на основе доступной
пользовательской информации.

Одним из слабых звеньев в системах мандатного управления доступом, применяемых в МФО, является использование парольной системы в процессе передачи данных. Среди удаленных клиентов МФО достаточно много таких, которые не имеют требуемых навыков работы с компьютером. Использование паролей, удовлетворяющих требованиям безопасности, обычно предполагает формирование паролей на основе датчиков случайных чисел, полученные пароли требуется хранить в записанном виде, что также у данной категории клиентов может вызывать проблемы при вводе паролей. Поэтому ниже предлагается процедура формирования паролей, нацеленная на максимальное упрощение их запоминания и использования.

Предлагаемый процесс формирования пароля состоит из следующих этапов.

1. Вначале клиент формирует текстовой (либо тексто-цифровой) набор, который ему проще всего запомнить или сформировать заново при последующих контактах. Примеры подобных наборов: а) перечисление паспортных данных или иных документальных данных, дополненное в конце определенным ключевым словом, фразой, числом; б) фрагмент песни или частушки, четверостишия, которые запомнилось еще со школьных времен, текстовой фразы; в) печатный материал из книги, газеты, счет оплаты коммунальных услуг и т.п. Этот материал в тестовом режиме вводится в программу с клавиатуры либо с внешнего носителя.

2. Полученная последовательность символов оцифровывается. Например, путем сопоставления каждому символу его ASCII-кода минус число 32, чтобы нумерация символов начиналась с нуля. Пусть полученное последовательность цифр задает число A. Если первая цифра равна нулю, то она отбрасывается. Подсчитывается число символов в исходном тексте – пусть оно равно n.

3. Формируется шаблон перестановки символов исходного текста, состоящий из n ячеек; ячейки перенумеровываются числами от 1 до n. Находится частное и остаток от деления числа A на n. В ячейку с номером записывается число 1. Далее, находится частное и остаток от деления на n-1. Незаполненные ячейки в шаблоне нумеруются заново (числами от 1 до n-1), и число 2 записывается в ячейку с номером в этой нумерации. Процедура продолжается аналогичным образом. Именно, на i-ом шаге находится частное и остаток от деления числа на n-i+1. Незаполненные ячейки шаблона (их число равно n-i) нумеруются заново (числами от 1 до n-i). В ячейку с номером записывается число i. Если в процессе вычислений очередное число оказалось меньше числа n-i+1, то к числу дописывается число A, полученное число и берется в дальнейшем в качестве . Процедура повторяется n раз – до значения i=n. В результате реализации описанной процедуры в ячейках шаблона окажется записанной некоторая перестановка P чисел от 1 до n.

4. Символы исходного текста переставляются в соответствии с перестановкой P. Полученная последовательность оцифровывается аналогично пункту 2 процедуры; в результате получаем некоторое число B.

5. Пусть M рекомендуемая длина пароля. Число B путем применения процедуры хэширования (например, в соответствии со стандартом [4]) сворачивается до числа С длины M, которое и является требуемым паролем.

Общая блок-схема алгоритма, реализующего описанную процедуру, приведена на рис. 4.1. Опишем некоторые особенности предлагаемой процедуры построения пароля.

1. Как уже отмечалось выше, описанная процедура формирования пароля может быть реализована на основе самой разнообразной входной информации, что значительно упрощает пользователям процедуру использования пароля, так как всегда в качестве входной информации можно выбрать такую, которая лучше всего запоминается пользователем.

2. Описанная на этапе 2 алгоритма процедура построения перестановки символов входной информации обладает рядом важных достоинств: а) она имеет высокий уровень автономности, так как формируется только на основе исходного текста, не привлекая никаких других данных, и зависит от этого текста; б) последовательность остатков от деления обладает очень высокой чувствительностью к изменению исходного числа: изменения исходного числа даже на одну цифру почти всегда приводит к резкому изменению набора остатков, а, значит, и к резкому изменению конечной перестановки. Отсюда следует, что подбор ключа на основе последовательных процедур (итеративных, рекурсивных и т.п.) практически невозможен. Напомним, что последовательные процедуры поэтапного нахождения закрытых данных являются одними из основных методов раскрытия закрытых данных.

3. Оценим длину пароля, при которой нет необходимости наращивать исходное число A, дописывая его копии. Так как в ASCII-коде каждому символу для записи требуется не более двух десятичных цифр, то длина числа A будет иметь 2n либо 2n-1 (если первое число меньше 10) десятичных цифр. Пусть A как десятичное число представляется в виде: . Тогда наименьшее возможное значение . Так как остаток на i-ом шаге процедуры деления не превосходит величины , то получаем неравенство:

По формуле Стирлинга отсюда выводим:

, или .

Следовательно, последнее неравенство асимптотически справедливо, если , или , что существенно больше используемых в настоящее время длин паролей. Поэтому реально дописывать число A в процессе реализации шага 2 процедуры не придется.

Таким образом, использование описанного алгоритма как части парольной системы позволит существенно повысить приемлемость процедуры контроля доступа для удаленных клиентов при оказании микрофинансовых услуг.

Заключение

Приведенный в работе алгоритм предполагается использовать как составную часть парольной системы контроля доступа. Упрощение требований к исходным текстовым паролям компенсируется достаточно сильным перемешиваем символов в процессе преобразования на основе алгоритма. Возможно использование данного алгоритма также и при выполнении всех требований к формированию паролей, что повысит стойкость парольной системы.

В работе данная процедура разработана прежде всего для использования в сфере оказания микрофинансовых услуг, поскольку указанная сфера наиболее перспективна как возможная область приложения результатов работы. Однако, разработанные методы могут быть использованы и для других возможных сфер приложения информационных технологий, в том числе опирающихся на использование не текстовых, а числовых данных – например, в системах межмашинного обмена данными. В этом случае необходимо проведение анализа стойкости предлагаемых алгоритмов, что является предметом дальнейших исследований.

Литература

1. Досмухамедов Б.Р., Построение модели управления в удаленном режиме бизнес-процессами в микрофинансовых организациях, Прикаспийский журнал, Астраханского Государственного Университета, Серия - Управление и высокие технологии, 2013, № 3 (23), 180–193.

2. MoReq2 спецификация. Типовые требования к управлению электронными официальными документами. Версия 1.04. – РОО «Гильдия управляющих документацией», 2008. - 287с.

3. Мельников В.В. Безопасность информации в автоматизированных системах. – М.: Финансы и статистика, 2003. – 368с.

4. ГОСТ Р 34.11-2012: функция хеширования «Стрибог».