Содержание к диссертации
Введение
Глава 1. Анализ транспортных подсистем систем электронного документооборота 10
1.1 Системы, основанные на электронной почте 11
1.1.1 Технология компании «Тахсот» 13
1.1.2 Технология компании «Комита» 14
1.1.3 Технологии компании «Калуга-Астрал» и компании «Тензор»... 16
1.2 Системы, основанные на принципе «защищенного временного хранилища» 18
1.2.1 Технология компании СКБ «Контур» 19
1.2.2 Системы защищенного обмена документами / системы защищенного обмена сообщениями (Secure Document Exchange Systems I Secure Message Exchange Systems) зарубежных производителей 20
1.3 Виртуальные частные сети (Virtual Private Networks) 22
1.4 Сравнение разных типов транспортных подсистем 25
Выводы по главе 29
Глава 2. Использование измененных маршрутов в рамках сетей типа Интернет. Метод варьирования маршрутов 30
2.1 Влияние человеческого фактора на защищенность передаваемой информации 30
2.2 Способ передачи конверта как средство его защиты. Использование измененных маршрутов следования передаваемых данных 32
2.3 Обоснование возможности использования измененных маршрутов с точки зрения топологии сети Интернет для противодействия перехвату информационного конверта злоумышленником 35
2.4 Выбор маршрута следования передаваемого информационного конверта 44
2.5 Разбиение информационного конверта и варьирование времени отправки 48
2.6 Метод варьирования маршрутов 51
2.7 Требование надежности при передаче конвертов с использованием метода варьирования маршрутов 58
2.8 Ограничения на использование метода варьирования маршрутов 61
Выводы по главе 64
Глава 3. Экспериментальное подтверждение 66
3.1 Требования к программному обеспечению для проведения эксперимента 66
3.2 Цели эксперимента 71
3.3 Планирование эксперимента 72
3.4 Проведение экспериментальных замеров 75
3.5 Анализ экспериментальных данных 90
3.6 Отправка сообщений с использованием разбиения 93
3.7 Проведение экспериментов с использованием разбиения 94
3.8 Имитационное моделирование системы передачи сообщений, использующей варьирование маршрутов 101
Выводы по главе 113
Глава 4. Анализ эффективности применения метода варьирования маршрутов 114
4.1 Общий случай оценки эффективности 114
4.2 Частный случай оценки эффективности 118
4.2.1 Коэффициенты значимости параметров системы передачи сообщений 118
4.2.2 Определение и оценка эффективности использования метода варьирования маршрутов 120
4.2.3 Вычисление эффективности использования метода варьирования маршрутов с использовашіем рекомендуемых параметров 122
4.2.4 Определение и оценка эффективности 128
4.2.5 Расчет эффективности использования метода варьирования маршрутов в тестовой системе 130
Выводы по главе 131
Заключение 132
Список литературы
- Технологии компании «Калуга-Астрал» и компании «Тензор»...
- Способ передачи конверта как средство его защиты. Использование измененных маршрутов следования передаваемых данных
- Проведение экспериментальных замеров
- Коэффициенты значимости параметров системы передачи сообщений
Введение к работе
Актуальность темы.
Постоянно развивающиеся сети связи общего пользования, такие как сеть Интернет, порождают все большее количество сервисов, одним из которых является передача информационных сообщений от отправителя к получателю. Развитие этого сервиса привело к созданию сложных систем обмена сообщениями, которые кроме функций передачи, должны обеспечивать безопасность циркулируемой информации, включающую ее конфиденциальность и целостность.
При переходе на создание, обработку, хранение и обмен различного рода информации в автоматизированных системах, использующих в качестве среды передачи сеть Интернет, одним из самых актуальных вопросов становится противодействие угрозам информационной безопасности данных в процессе передачи по открытым каналам связи.
Совершенствованием средств обеспечения информационной безопасности данных, передаваемых в рамках сети Интернет, непрерывно занимаются самые крупные мировые компании, разрабатывающие программное, аппаратное и программно-аппаратное обеспечение. В их числе корпорация Microsoft, компании Cisco Systems, RSA Laboratories, крупнейшие мировые компании банковской сферы и т.д. В данном направлении непрерывно работают специалисты по информационной безопасности, среди которых такие ученые как Б. Шиайер, Е. Касперский, Ф. Циммерманн и др.
Особенность работы состоит в комплексном рассмотрении процесса передачи сообщений, построенного по архитектуре, отличной от самой распространенной в настоящее время - клиент-серверной. При этом способ передачи является средством повышения уровня информационной безопасности транспортируемых данных.
Цель работы.
Создание метода противодействия угрозам нарушения информационной безопасности сообщений, передаваемых в открытых компьютерных сетях типа Интернет, в процессе приема/передачи.
Задачи исследования.
Анализ существующих методов противодействия угрозам нарушения информационной безопасности сообщений, передаваемых в открытых компьютерных сетях типа Интернет.
Обоснование способа передачи сообщений по открытым каналам связи, позволяющего снизить вероятность реализации угроз информационной безопасности.
Создание метода противодействия угрозам информационной безопасности сообщений, передаваемых в открытых компьютерных сетях типа Интернет.
Разработка алгоритмического pi программного обеспечения метода и экспериментальное доказательство снижения вероятности реализации угроз.
Исследование влияния предложенного метода на свойства системы обмена сообщениями и оценка эффективности внедрения.
Научная новизна.
Новый метод обмена сообщениями в сетях типа Интернет, который заключается в передаче данных через участников информационного обмена, что позволяет изменять физические маршруты следования передаваемых сообщений.
Новый метод противодействия угрозам информационной безопасности сообщений, передаваемых в открытых компьютерных сетях типа Интернет, который заключается в построении случайных маршрутов следования передаваемых данных для противодействия перехвату в процессе приема/передачи.
3. Подход к оценке эффективности использования предложенного метода противодействия угрозам информационной безопасности, являющийся частным случаем применения теоретико-множественного подхода к описанию системы передачи сообщений и позволяющий формализовать принятие решения об эффективности его внедрения.
Обоснованность и достоверность положений, выводов и рекомендаций подтверждается экспериментальным доказательством теоретических результатов, эффективностью практического внедрения.
Практическая значимость.
Предложен новый метод противодействия угрозам информационной безопасности сообщений, передаваемых в открытых компьютерных сетях типа Интернет.
Создано алгоритмическое и программное обеспечение предложенного метода.
Предложен подход к оценке эффективности внедрения метода в функционирующую систему передачи сообщений.
Результаты диссертационной работы внедрены:
в ОАО «Научно-производственный центр «Полюс»;
в группе компаний «CH6HTSystems»;
в Томском государственном университете управления и радиоэлектроники.
Внедрение результатов подтверждается соответствующими актами. Положения, выносимые на защиту.
Использование предложенного метода обмена сообщениями в открытых компьютерных сетях типа Интернет позволяет изменять физические маршруты передаваемых данных.
Предложенный в работе метод противодействия угрозам информационной безопасности позволяет снизить вероятность реализации угроз.
3. Оценку эффективности внедрения предлагаемого метода в функционирующую систему обмена сообщениями следует проводить с использованием представленного в работе частного случая теоретико-множественного подхода к описанию системы.
Апробация работы.
Материалы работы докладывались и обсуждались на:
Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых «Научная сессия ТУСУР», 2005 г., 2006 г., 2007 г., Томск;
Международной научно-практической конференции «Электронные средства и системы управления. Опыт инновационного развития», 2007 г., Томск;
Научно-техническом семинаре «Интеллектуальные системы моделирования, проектирования и управления», 2006г., 2007г., 2008г., Томск.
Публикации.
По материалам диссертации сделано 15 публикаций, из которых 5 в изданиях, входящих в перечень ведущих рецензируемых научных журналов и изданий ВАК; получено 2 свидетельства о регистрации программ в отраслевом фонде алгоритмов и программ ФГНУ «Государственный координационный центр информационных технологий».
Структура и объем работы.
Диссертация состоит из введения, четырех глав, заключения, содержит 149 страниц основного текста, списка литературы из \\2 наименований и двух приложений.
Краткое содержание работы.
В первой главе проведен анализ транспортных подсистем систем электронного документооборота, для которых приоритетной задачей является обеспечение информационной безопасности передаваемых данных. В процессе анализа выделены два основных типа транспортных подсистем; проведено сравнение систем двух типов, определены ключевые отличия и
сходства; проведено обобщение по признаку используемой сетевой архитектуры, выделены общие недостатки; рассмотрены способы повышения безопасности передаваемых данных, отличные от использования средств криптографической защиты информации (СКЗИ).
Во второй главе рассмотрен способ обеспечения личной безопасности при транспортировке охраняемых персон, который предполагает использование случайного маршрута передвижения персоны до места назначения. Данный способ положен в основу метода противодействия угрозам информационной безопасности сообщений, передаваемых в открытых компьютерных сетях типа Интернет. Для формирования случайного маршрута следования сообщений в рамках сети Интернет сформулирован метод передачи сообщений посредством участников информационного обмена. С использованием сформулированного метода предложен метод варьирования маршрутов, который позволяет изменять физические маршруты следования передаваемых данных, производить разбиение для отправки сегментов различными маршрутами, варьировать время отправки сообщений между участниками информационного обмена.
В третьей главе описано алгоритмическое и программное обеспечение метода варьирования маршрутов, приведены экспериментальные данные для двух наборов участников информационного обмена. Описана имитационная модель программного обеспечения метода и среды его функционирования, приведено обоснование ее адекватности.
В четвертой главе рассмотрено влияние метода варьирования маршрутов на параметры системы передачи сообщений; рассмотрены общий и частный случаи оценки эффективности внедрения метода варьирования маршрутов в функционирующую систему передачи сообщений. Использование частного случая позволяет формализовать процесс принятия решения об эффективности внедрения измененных маршрутов.
В заключении сформулированы основные результаты и выводы диссертационной работы.
Технологии компании «Калуга-Астрал» и компании «Тензор»...
Как поясняют авторы [31], протоколы, близкие к стандартным SMTP/POP3 - это те же протоколы, только с ограниченным набором функций.
Возможности серверной части системы «КОМИТА ОТЧЕТ» и ее описание позволяют сделать вывод, что транспортная подсистема представляет собой специализированный почтовый сервер, основной отличительной особенностью которого является возможность формирования подтверждений. Плюсом данной технологии является только совместимость со всеми клиентами электронной почты. Минусы использования сервера электронной почты описаны выше.
Тем не менее, транспортная.подсистема системы «КОМИТА ОТЧЕТ» является высокопроизводительной. Так как непосредственно сами разработки недоступны для проведения анализа, то можно только предположить, что производительность достигнута путем оптимизации системы под задачи быстрого транспорта сообщений без использования транзитных серверов.
Данные технологии схожи по организации транспортной подсистемы [10, 11, 32]. В качестве серверной части используется почтовый сервер. Отличие состоит только в криптографической защите передаваемых данных.
В технологии «Калуга-Астрал» используется криптопровайдер компании Инфотекс — «ДоменК» [10], тогда как в технологии «Тензор» используется самый распространенный на территории Российской Федерации криптопровайдер «КриптоПро» (по данным на сентябрь 2008 года).
В ходе анализа технологии «Тензор» выявлены те же недостатки, что и остальных технологий на базе почтовых серверов. Дополнительно выявлен недостаток, связанный с распознаванием внутрисистемных сообщений.
Данная технология жестко привязана к стандартам электронной почты и использует в качестве идентификационной информации для зашифрованного сообщения заголовки конверта электронной почты. Распознавание сообщения системой ведется по полям конверта. При наличии нерегламентированных полей заголовка или отсутствии требуемых полей сообщение считается не принадлежащим регламентированному документообороту. Это в свою очередь является препятствием наращиванию распределенности системы, так как почтовые сервера для фиксации маршрута прохождения сообщения добавляют в конверт заголовки, идентифицирующие каждый почтовый сервер-ретранслятор в цепи передачи сообщения [21, 24]. Отсутствие данной информации возможно, но не желательно, а наличие является фактором, который влияет на распознавание сообщения системой.
Таким образом, использование промежуточных серверов-ретрансляторов для передачи сообщений затруднено. Как следствие, требуется наличие прямого подключения к серверу электронной почты системы у клиента для возможности участия в электронном документообороте. А использование протоколов SMPT/POP3 является небезопасным, вследствие их спецификации, согласно которой информация для аутентификации пользователей передается в открытом виде.
Системы, построенные на данном принципе, существенно отличаются от систем, построенных на электронной почте. Обычно они ориентированы на работу с веб-бразуером [7, 31, 33-36] без специализированного ПО, за исключением среды выполнения апплетов (специальные программы, выполняемые в браузере) Java Runtime Environment.
Если в системах предыдущего типа обмен сообщениями происходит по электронной почте с использованием ПО, поддерживающего почтовые стандарты, то для обмена сообщениями данного типа используется браузер. а защищенное временное хранилище», веб-сервис прикладных задач Рисунок 1.3 - Процесс передачи сообщения при помощи «защищенного временного хранилища».
Чтобы передать сообщение через систему данного типа, необходимо создать сообщение с помощью формы, локально его зашифровать и поставить электронно-цифровую подпись (обычно это делается апплетами), затем передать результат на временное хранение в «защищенное временное хранилище» по зашифрованному каналу. В большинстве случаев «хранилище» имеет строгие средства аутентификации и защиты от различного рода атак. Чтобы получить сообщение, адресат должен пройти процедуру аутентификации, после чего он может получить доступ к своим сообщениям. Проверка электронно-цифровой подписи и расшифрование сообщения
Способ передачи конверта как средство его защиты. Использование измененных маршрутов следования передаваемых данных
Чтобы выполнить обратное криптографическое преобразование (расшифрование) передаваемой информации в случае использования СКЗИ в качестве средства защиты, злоумышленник должен обладать преобразованной (зашифрованной) информацией. При использовании в качестве транспортной подсистемы широко распространенных систем злоумышленник имеет возможность осуществить перехват передаваемых данных, что показано в главе 1.
Передаваемая информация так же может быть перехвачена с использованием методов, основанных на пассивном перехвате трафика [47-49]. В случае передачи информационных пакетов целиком, как это делается в электронной почте, достаточно установить оборудование, осуществляющее перехват в любой точке, через которую проходит маршрут пакетов.
Вследствие этого возникает потребность использовать альтернативные способы передачи информации по открытым каналам связи для повышения защищенности передаваемой информации, используя в качестве механизма защиты сам способ передачи. Повышение уровня информационной безопасности передаваемых данных в данном случае будет обусловлено повышением трудоёмкости перехвата злоумышленником.
Для решения задачи транспортировки важных конфиденциальных сведений имеет смысл обратить внимание на способы транспортировки важных персон охранными фирмами или личными телохранителями. Одним из методов обеспечения личной безопасности при транспортировке человека является случайный выбор маршрута следования из точки А в точку Б. Маршруты могут отличаться по точкам следования, типу используемого транспорта и времени прохождения отдельных участков.
Наземную транспортную инфраструктуру можно сравнить с открытыми каналами связи, которыми связаны участники сети Интернет, а важной персоной в данном случае будет являться передаваемый конверт.
При постоянной смене маршрута следования трудоемкость перехвата информации увеличивается вследствие того, что злоумышленнику неизвестно местоположение передаваемого, или транспортируемого, объекта в определенный момент времени. Но, если местоположение становится известно, то время на подготовку мероприятий для перехвата становится неприемлемо мало для его осуществления. Это обстоятельство позволяет закончить транспортировку и вывести транспортируемый объект из открытой (недоверенной, неохраняемой) среды до того, как злоумышленник сможет предпринять эффективные действия по осуществлению перехвата (рис. 2.1).
Если при транспортировке персоны (человека) выбирается один маршрут следования из точки А в точку Б, то при транспортировке составных грузов могут быть использованы нескольких случайных маршрутов: груз перед отправлением разбивается на несколько частей, которые транспортируются до точки назначения независимо друг от друга. Таким образом может быть достигнут более высокий уровень защищенности всего информационного конверта, так как злоумышленнику потребуется среагировать на несколько событий транспортировки одновременно или в какой-либо неопределенный для него промежуток времени, чтобы осуществить полный перехват транспортируемого груза. Этот же принцип справедлив для передачи информационных конвертов по открытым каналам связи компьютерных сетей типа Интернет (рис. 2.2).
Допустим, что Пользователь 1 хочет переслать сообщение Пользователю 2, используя обычный почтовый сервер, установленный в сети какой-либо организации или провайдера, предоставляющего услуги доступа в Интернет.
Путь прохождения передаваемого пакета до почтового сервера обычно фиксирован, так как он может пройти через несколько других локальный сетей (заходя в них или нет), и устройство-маршрутизатор каждой сети перенаправляет пакеты на сетевом уровне в соответствии с таблицами маршрутизации, которые являются фиксированными в случае стабильного функционирования близлежащих сетей. Так как таблицы маршрутизации составляются, учитывая надежность сетей, куда перенаправляются пакеты, то их изменение производится относительно редко, и обычно оно вызвано выходом из строя физической линии связи между смежными сетями. В случае динамической маршрутизации передаваемых пакетов возможно проследить зависимость выбора следующего хопа (от англ. hop - прыжок — прохождение дейтаграммы от одного маршрутизатора к другому) от различных внешних факторов (время суток, день недели, загруженность каналов и пр.)
Наиболее простым способом определения маршрута прохождения передаваемого конверта является использование утилиты tracert (trace route) [59], входящей в состав операционных систем Windows, начиная с версии 95 (рис. 2.4).
Проведение экспериментальных замеров
Как показывают полученные данные, при большом количестве пересечений в маршрутах, эффективность применения метода варьирования маршрутов крайне низка и почти не зависит от количества участников Ny и от ограничения на длину маршрута L. Это вызвано тем, что информационный конверт передается по одинаковым точкам маршрутов независимо от его пункта назначения и пункта отправления, что делает невозможным смену точек маршрута для противодействия перехвату. При выборе участников-посредников таким образом, чтобы количество пересечений в маршрутах следования информационных конвертов было минимально, вероятность перехвата будет так же минимальной.
В проведенных экспериментах при максимальном количестве участников информационного обмена равном 5 самое низкое значение вероятности перехвата достигается при ограничении на длину маршрута L, равном 2. При возрастании значения L, вероятность так же возрастает. Это объяснятся тем, что при увеличении ограничения на длину маршрута L, увеличивается возможное количество точек маршрута прохождения информационного конверта.
Увеличение вероятности перехвата передаваемых данных при ограничении на длину маршрута 3 вызвано возрастающей вероятностью полного вхождения эталонного маршрута в измененный, вследствие чего использование метода варьирования маршрутов становится бесполезным. Например, при количестве участников обмена Ny равном 3 и ограничения на длину маршрута L равном 3, вероятность полного вхождения эталонного маршрута в измененный при отсутствии критериев построения маршрутов будет равна 0,5. Это утверждение объясняется следующим.
Пусть в системе, использующей метод варьирования маршрутов с приведенными начальными условиями, осуществляется передача сообщения от участника 1 к участнику 3 (рис. 3.23). Тогда первым участник-посредником будет участник 2, так как передача по эталонному маршруту запрещена. Участник 2, получив сообщение, осуществляет проверку, является ли он получателем. Получив отрицательный результат, он перенаправляет сообщение одному из участников информационного обмена случайным образом.
Таким образом, вероятность выбора участника 1 и участника 3 становится по 0,5. В этом случае, если будет выбран участник 3, то передача будет завершена по цепочке 1-2-3, а если будет выбран участник 1, то при срабатывании условия ограничения на длину маршрута, передача будет завершена по цепочке 1-2-1-3. То есть первоначальный маршрут 1-3 будет в составе измененного маршрута, вследствие чего вероятность перехвата остается равной 1. При количестве участников-посредников Nj, больше трех вероятность вхождения первоначального маршрута в измененный может быть рассчитана по формуле условной вероятности.
Экспериментальные данные можно считать полными для выбранных рабочих мест, так как в процессе проведения экспериментов были опробованы все возможные варианты выбора участников-посредников, включающие участников с разными количествами пересечений в маршрутах следования информационных конвертов, ограничения на длину маршрута L и количество участников Nr Минимальное значение величины ср, полученное экспериментальным путем в заданных условиях q = 0,587.
Исходя из экспериментальных данных, для использования метода варьирования маршрутов на практике необходимо и достаточно трех участников системы, в маршрутах между которыми есть непересекающиеся участки. В этом случае возможно снизить вероятность перехвата передаваемого сообщения до значения ниже эталонной единицы.
Как было показано в 2.5, эффективность использования метода варьирования маршрутов может быть повышена применением разбиения информационного конверта.
Отправка конверта по частям снижает вероятность события, при котором будет перехвачено необходимое для восстановления сообщения количество частей, что повышает защищенность всего конверта.
Для экспериментального подтверждения снижения вероятности перехвата Р,ш/ при использовании разбиения информационного конверта на части был проведен ряд экспериментов. В качестве рабочих мест был выбран тот же набор, который указан в 3.4.
Коэффициенты значимости параметров системы передачи сообщений
На рис. 3.34 приведен график наложения величины ф, вычисленной по данным от эксперимента на реальной сети на математическое ожидание и отклонения математических ожиданий, вычисленных по результатам серии экспериментов (500) на смоделированной системе. На рис. 3.35 приведен результат наложения полученных результатов с учетом доверительных интервалов. Для серии экспериментов на модели были посчитаны доверительные интервалы, максимальное и минимальное значение. Для максимальных и минимальных значений так же были вычислены доверительные интервалы, на которые были наложены минимальные и максимальные значения от экспериментов на реальной сети.
Как видно из графиков на рис. 3.34 и 3.35, результаты, полученные при проведении эксперимента на реальной сети, попадают в интервал результатов, полученных на сэмулированнои сети и совпадают с ними по характеру кривой, что позволяет говорить о том, что результаты эксперимента на сэмулированнои сети аналогичны результатам на реальной сети с учетом погрешностей.
Для проведения эксперимента с большим количеством участников были выбраны 500 участников-посредников, расположенных в разных автономных системах из приведенной выше топологии.
Для определения значения р при каждом из ограничений на количество участников-посредников проводилось по 1000 измерений. Результаты обработки данных, полученных при моделировании, приведены в таблице
Данные, полученные при большом количестве участников в системе, использующей метод варьирования маршрутов, позволяют оценить рекомендуемое значение для ограничения на длину маршрута L, при котором будет достигнуто максимальное снижение вероятности перехвата.
Как видно из графика на рис. 3.36, величина ср ощутимо снижается с увеличением значения L до уровня Nj/З. При дальнейшем повышении значения L величина (р остается неизменной. Это объясняется тем, что при значении L, превышающем N73, вероятность дублирования какого-либо участка маршрута повышается, то есть дальнейшая смена маршрутов становится неэффективной. Таким образом, для максимального уменьшения значения величины ср требуется использовать ограничение на длину маршрута, близкую к N /3.
Выводы по главе
1. Предложенное алгоритмическое обеспечение, которое содержит алгоритм процесса получения и переадресации передаваемого сообщения, позволяющий сохранить данные даже в случае недоступности получателя, и структура системы передачи сообщений позволяют создать реализацию системы с использованием метода варьирования маршрутов.
2. Созданная программная реализация позволяет использовать все возможности метода варьирования маршрутов, а так же осуществлять централизованный сбор экспериментальных данных для их последующего анализа.
3. Построенная имитационная модель программного обеспечения метода и среды его функционирования является адекватной и позволяет осуществлять сбор экспериментальных данных при большом количестве участников информационного обмена.
4. Использование метода варьирования маршрутов позволяет повысить уровень информационной безопасности данных, передаваемых по открытым каналам связи сетей типа Интернет, что показано экспериментально и с использованием моделирования. Повышение уровня информационной безопасности обусловлено повышением трудоемкости перехвата передаваемых данных.
5. Разбиение передаваемого конверта и отправка частей различными маршрутами позволяет снизить вероятность перехвата с увеличением частей разбиения.
