Книжная полка Сохранить
Размер шрифта:
А
А
А
|  Шрифт:
Arial
Times
|  Интервал:
Стандартный
Средний
Большой
|  Цвет сайта:
Ц
Ц
Ц
Ц
Ц

Методология защиты пользовательской информации на основе технологий сетевого уровня мультисервисных сетей связи

Покупка
Артикул: 643423.02.99
Изложены методологические основы обеспечения комплексной защиты пользовательской информации на базе протоколов сетевого уровня мультисервисных сетей связи. Предложены разработанные автором методики, методы и алгоритмы позволяющие исследовать влияние методов маршрутизации на качество обслуживания приложений в мультисервисных сетях связи в условиях воздействия внешних деструктивных факторов и обеспечить комплексную защиту пользовательской информации без снижения качества обслуживания приложений за счет сетевых ресурсов мультисервисных сетей связи. Для инженеров, аспирантов и научных работников, специализирующихся в области комплексной защиты пользовательской информации в мультисервисных сетях связи, будет полезно студентам высших учебных заведений, обучающихся по направлениям подготовки «Инфокоммуникационные технологии и системы связи» и «Информационная безопасность».
Новиков, С.Н. Методология защиты пользовательской информации на основе технологий сетевого уровня мультисервисных сетей связи / С.Н. Новиков ; под ред. В.П. Шувалова. -- Москва : Горячая линия -Телеком, 2018. - 128 с. - ISBN 978-5-9912-0410-1. - Текст : электронный. - URL: https://znanium.com/catalog/product/1040260 (дата обращения: 28.03.2024). – Режим доступа: по подписке.
Фрагмент текстового слоя документа размещен для индексирующих роботов. Для полноценной работы с документом, пожалуйста, перейдите в ридер.
Методология защиты 
пользовательской информации 
на основе технологий 
сетевого уровня 
мультисервисных 
сетей связи

С. Н. Новиков 

Москва

Горячая линия - Телеком

2018

УДК 004.056:621.39 
ББК 32.973-018.2 
 Н73 

Р е ц е н з е н т ы :  зав. кафедрой информационной безопасности ФГБОУ ВПО «ОмГУ 
им. Ф.М. Достоевского», доктор физ.-мат. наук, профессор С. В. Белим; зав. 
кафедрой инфокоммуникационных систем и информационной безопасности 
ФГБОУ ВПО ОмГУПС (ОмИИТ), доктор техн. наук, профессор В. Е. Митрохин; 
г.н.с. ИВМиМГ СО РАН, доктор физ.-мат. наук, профессор В. К. Попков 

Новиков С. Н. 
Н73   Методология защиты пользовательской информации на основе 
технологий сетевого уровня мультисервисных сетей связи / Под 
редакцией профессора В. П. Шувалова. – М.: Горячая линия –
Телеком, 2018. – 128 с., ил. 
ISBN 978-5-9912-0410-1. 

Изложены методологические основы обеспечения комплексной 

защиты пользовательской информации на базе протоколов сетевого 
уровня мультисервисных сетей связи. Предложены разработанные автором методики, методы и алгоритмы позволяющие исследовать 
влияние методов маршрутизации на качество обслуживания приложений в мультисервисных сетях связи в условиях воздействия внешних деструктивных факторов и обеспечить комплексную защиту 
пользовательской информации без снижения качества обслуживания 
приложений за счет сетевых ресурсов мультисервисных сетей связи. 

Для инженеров, аспирантов и научных работников, специализи
рующихся в области комплексной защиты пользовательской информации в мультисервисных сетях связи, будет полезно студентам высших учебных заведений, обучающихся по направлениям подготовки 
«Инфокоммуникационные технологии и системы связи» и «Информационная безопасность». 
ББК 32.973-018.2 

Все права защищены.
Любая часть этого издания не может быть воспроизведена в какой бы то 
ни было форме и какими бы то ни было средствами без письменного 
разрешения правообладателя
© ООО «Научно-техническое издательство «Горячая линия – Телеком»
www.techbook.ru
©  С. Н. Новиков
 

ВВЕДЕНИЕ

Современное состояние и развитие телекоммуникационных систем как в России, так и за рубежом, характеризуется стремлением
производителей и провайдеров услуг к предоставлению пользователям (через единую точку доступа) неограниченного спектра приложений с гарантированным качеством обслуживания (Quality of
Service, QoS).
Необходимо отметить, что решение проблемы доступа пользователей к информации имеет свою историю. В середине ХХ столетия
А.А. Харкевичем была высказана идея создания единой автоматизированной сети связи (ЕАСС) страны для «. . . удовлетворения потребностей в доставке различных видов информации для народного
хозяйства и населения» [110]. Цель ЕАСС — максимально объединить, унифицировать и автоматизировать все средства связи СССР,
что позволило бы значительно сократить финансовые и организационные ресурсы страны на подготовку кадров, проектирование, строительство и обслуживание телекоммуникационных систем. Однако
реализация данной программы изначально была затруднена из-за
использования аналоговых форм представления информации при ее
передаче через ЕАСС.
В конце двадцатого столетия, с появлением новых форм представления информации и методов управления в телекоммуникационных системах, идея объединения и унификации различных служб
электросвязи нашла свое отражение в создании цифровых сетей интегрального обслуживания (ЦСИО).
Первоначально предполагалось, что ЦСИО будет предоставлять
пользователю возможность передачи информации в цифровом формате со скоростью N × 64 кбит/с. В результате такие сети получили
название узкополосные ЦСИО. Однако данное решение оказалось не
способным поддерживать высокоскоростные службы электросвязи,
функционирующие в реальном времени.
С появлением технологии асинхронного метода передачи (Asynchronous Transfer Mode, ATM) [127], фундаментально отличающейся
от других телекоммуникационных технологий, появилась возможность создания транспортного механизма для передачи всех видов
информации с QoS. В результате такие телекоммуникационные системы получили название широкополосных ЦСИО (рекомендации

Введение

МСЭ-Т, серия I.700–799).
Конкуренция производителей, провайдеров услуг в борьбе за
пользователей телекоммуникаций активизировала дальнейшее развитие интернет-протокол (Internet Protocol, IP) технологии.
Как
следствие, рабочей группой, проектировавшей IP (Internet Engineering Task Force, IETF), были разработаны технологии MPLS [161]
(Multiprotocol Label Switching — мультипротокольная коммутация
по меткам) и IP v.6.0 [160], позволяющие предоставить пользователю неограниченный спектр приложений и QoS.
В результате IP/MPLS и ATM стали базовыми технологиями
для мультисервисных сетей связи (МСС) [38], которые имеют отличия, но имеют и много общего:
• любая пользовательская и служебная информация преобразуется в единую форму — цифровые блоки определенной длины
(пакеты);
• к каждому цифровому блоку добавляется заголовок с данными о маршруте, который предварительно определен и гарантирует поддержание требуемых вероятностно-временных характеристик (скорость передачи информации, задержка во времени,
временной джиттер, вероятность неправильного приема на сообщение/пакет/символ, вероятность отказа в обслуживании) передаваемой информации;
• передача пользовательских и служебных пакетов осуществляется путем асинхронного мультиплексирования в соответствующие пользовательские и служебные цифровые тракты и каналы;
• в пункте назначения пакеты объединяются, преобразуются в
первоначальную форму и передаются пользователю для дальнейшей обработки.
Таким образом, представление всех видов информации в едином
цифровом формате и выделение требуемых ресурсов сети, гарантирующих QoS, перед началом передачи пользовательской информации являются обязательными компонентами технологий IP/MPLS
и ATM.
Естественно, что при уникальной возможности мультисервисных сетей связи предоставлять пользователям неограниченный
спектр приложений в реальном времени возникает проблема защиты пользовательской информации. В этой связи исследовательской
комиссией МСЭ-Т в 2003 г. были разработаны рекомендации X.805
«Архитектура безопасности для систем, обеспечивающих связь между оконечными устройствами» [174]. Значимость данного документа
в том, что впервые определена методология организации информационной безопасности телекоммуникационных систем. Архитектура

Введение
5

безопасности разделяет все ресурсы телекоммуникационных систем
(каналы связи, программно-аппаратные комплексы, приложения и
так далее) на независимые модули защиты информации. Каждый
модуль характеризуется параметрами информационной безопасности, поддержание которых в актуальном (обновленном) состоянии является сложной организационной, технической и финансовой проблемой.
Значительный вклад в решение вопросов, связанных с созданием теоретического и практического задела построения защищенных, телекоммуникационных систем, внесли известные работы ученых А.П. Алферова, Д.П. Зегжда, А.С. Кузьмина, А.А. Молдовяна, А.Н. Молдовяна, Б.Я. Рябко, А.А. Шелупанова, В.В. Ященко,
W. Diffie, V. Stollings, M. Hellman, C. Shannon, B. Schneier и многих
других ученых.
В последнее десятилетие, начиная с публикации W. Lou и
Y. Fang [143], ведутся активные исследования возможности обеспечения конфиденциальности информации в мобильных сетях за счет
механизмов сетевого уровня модели взаимосвязи открытых систем
[43, 54, 123, 125, 143, 156, 167]. Данный подход имеет ряд преимуществ. Во-первых, чем масштабней сеть связи, тем больше ее ресурсов можно задействовать для обеспечения конфиденциальности
пользовательской информации.
Во-вторых, пользователь не обязательно должен иметь дополнительное специальное программноаппаратное обеспечение.
По мнению автора, использование территориально-распределенных ресурсов в мультисервисных сетях связи (каналов связи, криптографических программно-аппаратных комплексов, баз данных и
так далее) является одним из путей решения комплексной защиты
пользовательской информации. В этом случае пользователю достаточно определить свой профиль защиты информации — количественные или качественные оценки параметров информационной безопасности. Система управления, проведя мониторинг свободных ресурсов мультисервисной сети связи, реализует не только соединение,
поддерживающее QoS для выбранного приложения, но и заявленный пользователем профиль в виде структуры соединений защиты
информации [128].
Реализация данного подхода возможна за счет механизмов сетевого уровня модели взаимосвязи открытых систем (протоколов
маршрутизации и сигнализации), в основу которых легли результаты научных исследований ученых Г.П. Башарина, В.А. Богатырева,
А.В. Бутрименко, В.М. Вишневского, С.Л. Гинзбурга, В.С. Гладкого, Б.С. Гольдштейна, И.М. Гуревича, А.В. Ершова, Г.П. Заха
Введение

рова, А.Е. Кучерявого, В.Г. Лазарева, А.Н. Назарова, М. Шварца, М.А. Шнепс-Шнеппе, Г.Г. Яновского, D. Barber, D. Bertsekas,
D. Davies, R. Gallager, M. Gerla, L. Kleinrock, W. Price, C. Solomonides
и многих других ученых.
В монографии предлагаются теоретико-методологические основы комплексной защиты пользовательской информации (обеспечение конфиденциальности, целостности и доступности) на базе технологий сетевого уровня (протоколов маршрутизации и сигнализации)
мультисервисных сетей связи.
Материал книги состоит из результатов, в которых автору принадлежит основная роль в постановке, решении задач и в обобщении
полученных результатов. Некоторые результаты получены в соавторстве
с
аспирантами
научной
группы
автора
(А.С.
Буров,
В.О. Жарикова, А.А. Киселев, О.И. Солонская).
Автор выражает глубокую признательность своей супруге
Л.Т. Новиковой за поддержку, оказанную мне на протяжении ряда
лет при написании монографии; д.т.н., профессору В.П. Шувалову
за ценные советы при подготовке настоящей монографии к изданию.
Существенная помощь, способствующая улучшению содержанию книги, была оказана доктором физ.-мат.
наук, профессором
С.В. Белим, доктором техн.
наук В.Е. Митрохиным и доктором
физ.-мат. наук, профессором В.К. Попковым, взявшим на себя труд
по ее рецензированию, за что автор им чрезвычайно благодарен.

Анализ современного состояния
обеспечения комплексной защиты
пользовательской информации
в мультисервисных сетях связи

1.1. Термины и определения предметной области
«Защита информации»
Основополагающими международными стандартами в области
информационной безопасности являются стандарты, определяющие:
архитектуру безопасности взаимосвязи открытых систем [138, 173];
концепции информационной безопасности открытых систем [139,
175]; основные составляющие обеспечения информационной безопасности (ITU-T Recommendation X.810–815, ISO/IEC 10181-2-7).
Для мультисервисной сети связи, ориентированной на предоставление пользователям неограниченного спектра приложений с
QoS, важным документом, определяющим ее архитектуру безопасности, является ITU-T Recommendation X.805 Security Architecture
for Systems providing end-to-end Communications (Архитектура безопасности для систем, обеспечивающих связь между оконечными
устройствами) [174].
Архитектура безопасности (рис. 1.1) разделяет все ресурсы телекоммуникационных систем (ТКС) (каналы связи, программно-аппаратные комплексы, приложения и так далее) на независимые:
1) функциональные плоскости защиты:
• контроля — для передачи служебной информации с целью мониторинга состояния ресурсов ТКС;
• управления — для передачи служебной информации с целью
текущего управления ресурсами ТКС;
• пользователя — для передачи пользовательской информации;
2) уровни защиты:
• приложений — весь спектр приложений МСС (электронная коммерция, поисковые службы, открытый доступ к институтам
управления государством, видеоконференции, дистанционное
обучение, воспитание, реклама, развлечения и так далее);

Р а з д е л 1

Рис. 1.1. Архитектура безопасности ТКС

• сервисов — весь спектр услуг ТКС, которые провайдеры предоставляют своим пользователям (доступ в Интернет, службы
динамической конфигурации хостов, имен доменов, услуги телефонии, QoS, службы позиционирования и так далее);
• инфраструктуры — структурообразующие элементы ТКС (линии связи, каналообразующая аппаратура, маршрутизаторы,
коммутаторы, серверы и так далее).
На пересечении плоскостей и уровней формируется девять независимых модулей защиты ТКС. Каждый модуль, содержащий соответствующие программно-аппаратные средства, характеризуется
восемью параметрами (измерениями) защиты:
1) управление доступом;
2) аутентификация;
3) сохранность информации;
4) конфиденциальность данных;
5) безопасность связи;
6) целостность данных;
7) доступность;
8) секретность.
Таким образом, можно утверждать следующее — для комплексной защиты пользовательской информации от угроз и атак нарушителей, направленных на:
• уничтожение информации;

Анализ состояния обеспечения защиты информации
9

• искажение или изменение информации;
• кражу, удаление или потерю информации;
• раскрытие информации;
• прерывание обслуживания,
необходимо выполнить требования 72 параметров (измерений) защиты (9 модулей, каждый из которых содержит 8 параметров защиты).
Базовыми параметрами (измерениями) комплексной защиты информации принято считать конфиденциальность, целостность и доступность [92, с. 3].
Конфиденциальность данных — «cвойство информации быть
недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса» [23, с. 1] или «cостояние информации,
при котором доступ к ней осуществляют только субъекты, имеющие
на него право» [92, с. 3].
Доступность информации — «cостояние информации, при котором субъекты, имеющие право доступа, могут реализовать их беспрепятственно» [92].
Целостность информации — «Состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется
только преднамеренно субъектами, имеющими на него право» [93,
с. 2].

1.2. Анализ основных подходов по обеспечению
конфиденциальности пользовательской
информации

Обеспечение конфиденциальности основывается на криптографических способах защиты информации, подробно представленных
в многочисленных работах, в том числе [95, 109, 112, 116, 117].
Существует два принципиальных подхода:
• шифрование с одним (секретным) ключом (симметричные алгоритмы шифрования);
• шифрование с двумя (открытым и секретным) ключами (асимметричные алгоритмы шифрования). В первом случае, как правило, время зашифрования/расшифрования прямо пропорционально длине ключа и сложности алгоритмов шифрования.
Недостатком данного подхода является наличие закрытого канала связи для доставки пользователям сеансового секретного
ключа.
В асимметричных криптосистемах данный недостаток отсутствует. Однако зависимость времени шифрования tш от длины ключа

Р а з д е л 1

Lk имеет нелинейный характер [116] и в общем случае определяется как

tш = ALс
k + B,

где A, B и c — постоянные, значения которых определяются криптографическими алгоритмами. При больших значениях Lk время
шифрования резко возрастает, что является неприемлемым для высокоскоростных приложений, функционирующих в реальном времени. Поэтому на практике применяют гибридную систему шифрования. Асимметричные алгоритмы используются для организации
закрытого канала связи (для доставки пользователям сеансовых секретных ключей симметричных алгоритмов шифрования). Симметричные алгоритмы используются непосредственно для шифрования
данных между пользователями.
У данного подхода есть недостаток. Пользователи должны обладать определенными знаниями в области защиты информации и
иметь дополнительное специальное криптографическое программноаппаратное обеспечение, применение которого может быть ограничено вследствие финансовых, временных, технологических или иных
затрат.
В [42, 43, 143–146, 156] предложен подход, обеспечивающий конфиденциальность пользовательской информации за счет применения пороговой схемы разделения секрета и механизмов сетевого
уровня модели взаимосвязи открытых систем (МВОС) — многопутевой маршрутизации.
Основная идея состоит в разделении сообщения M на несколько
частей n по секретной схеме с последующей отправкой этих частей
по n независимым маршрутам к получателю информации. Таким
образом, если даже какое-то небольшое количество маршрутов будет
подвержено атакам со стороны нарушителей, то секретное сообщение
в целом не будет рассекречено и по n′ ⩽ n доставленным получателю
частям будет восстановлено.
На сегодняшний день известно несколько классов пороговых
схем разделения секрета: Шамира (на основе степенного многочлена) [165]; на эллиптической кривой [57]; Блэкли (использование точек многомерного пространства) [130]; Карнин–Грин–Хеллмана (на
основе скалярного произведения) [141]; Асмута–Блума (с использованием простых чисел) [126].
Пороговые схемы разделения секрета нашли широкое применение при решении многих задач: разделенное хранение данных;
безопасная коллективная подпись; управление ключами в протоколах, содержащих большое количество участников и во многих дру