Journal of Technical Research

Журнал технических исследований

2500-3313

47344

Математическое моделирование, численные методы и комплексы программ

Mathematical modeling, numerical methods and program complexes

Математическое моделирование, численные методы и комплексы программ

Algorithm of Adaptive Control by Remote Authentification in Corporate Communication Networks

Алгоритм адаптивного управления удаленной аутентификацией в корпоративных сетях связи

Белов

А. С.

Belov

A. S.

кандидат военных наук;

candidate of military sciences;

Добрышин

Михаил Михайлович

Dobryshin

Mikhail Mikhailovich

Dobrithin@ya.ru

кандидат технических наук;

candidate of technical sciences;

Шугуров

Д. Е.

Shugurov

D. E.

кандидат технических наук;

candidate of technical sciences;

Академия ФСО России Россия Academy of the FSO of Russia Russian Federation

Академия ФСО России Россия Academy of FSO of Russia Russian Federation

7 3 38 46 23 11 2021

https://zh-szf.ru/en/nauka/article/47344/view

В работе предложен алгоритм адаптивного управления удаленной аутентификацией в корпоративных сетях связи в различных условиях состояния сети. Рассматриваемый алгоритм позволяет решить задачу управления процедурами аутентификации и обеспечения гарантированности того, что взаимодействующие субъекты и объекты остаются теми же, что и в начальной фазе соединения. При этом аутентификация осуществляется с оптимальной периодичностью, заданной вероятностью правильной аутентификацией и своевременностью и с учетом ограничения по пропускной способности и выполнения конечной цели обеспечения оперативного обмена данными в корпоративных сетях связи.

In operation the algorithm of adaptive control by remote authentification in corporate communication networks in various conditions of network condition is offered. Considered algorithm allow to solve the task of control of procedures of authentification and support that interacting subjects and objects remain the same, as in an initial phase of connection. Thus authentification is carried out with optimal periodicity, the given probability the correct authentification and timeliness and taking into account restriction on transmission capacity and performance of an ultimate goal of support of an operative data interchange in corporate communication networks.

алгоритм адаптивного управления удаленная аутентификация достоверность оперативный обмен данными оптимальная периодичность

algorithm of adaptive control remote authentification reliability an operative data interchange optimal periodicity

Перевод в 2020 г. во время карантинных мероприятий основных финансовых потоков в цифровое пространство способствовал значительному росту финансового ущерба [1−6]. Одним из действенных методов хищения личных данных или денежных средств является компьютерная атака типа «человек посередине», направленная на подмену доверенного пользователя. Успех данной атаки обусловлен тем, что злоумышленники способны определить и воспользоваться уязвимостями алгоритмами аутентификации [7−13]. Для устранения указанной угрозы и повышении защищенности корпоративной сети связи (КСС) разработан алгоритм, предназначенный для адаптивного управления удаленной аутентификацией субъектов и объектов при удаленном доступе пользователей к информационным ресурсам ограниченного доступа, а также установления оперативного и служебного обмена данными и позволяет обеспечить выполнение требований к процедурам аутентификации в различных условиях функционирования КСС [14−20].Целью алгоритма является:1. Выбор метода аутентификации – под различные ситуации ,.2. Выбор периодичности проведения аутентификации от 0…k для сложившейся ситуации ,.3. Обоснование выбора параметров аутентификации (V – объем аутентифицирующей информации, – вероятность правильной аутентификации, ошибки 1 и 2 рода) под различные ситуации .4. Управление порядком взаимодействия с осуществлением третьей доверенной стороны (ТДС) и без нее под ситуации .В настоящее время для КСС используются протоколы NTLM, RADIUS, IPSec и др., которые реализуют процедуры аутентификации, но при этом не позволяют реализовать адаптацию с учетом различных ситуаций и условий функционирования сети. На рис. 1 представлена удаленная аутентификация с использованием каналов ЕСЭ РФ и хранением аутентификационной информации (эталонов) непосредственно на сервере с информационным ресурсом. В данной ситуации воздействовать на процедуры аутентификации за пределами контролируемой зоны может внешний нарушитель типа Н1, Н5.На рис. 2 представлена удаленная аутентификация с использованием каналов ЕСЭ РФ с привлечением ТДС. Особенностью использования ТДС наряду с тем, что аутентификация субъектов и объектов осуществляется на ней, также имеет место при проведении подлинности самой третьей доверенной стороны.Таким образом, учитывая ситуации , возникает задача по выбору применения методов (способов) аутентификации (табл. 1) [21]. Таблица 1Существующие методы и процедуры аутентификации и их характеристики Название методаВид процедурыЗначениеобъема эталонаВероятность правильной аутентификацииОшибка 1 родаОшибка 2 родаБиомет-рические методыОтпечаток пальца234 421 байт (228 бит (нейросеть))0,9980,010,3Голосот 2 до 20 Кбайт0,9820,350,1Радужная оболочка11 921 байт0,999250,10,05Сетчатка глазаот 40 до 160 байт0,9979950,0010,4Геометрия лица 2D419 430 байт0,9870,10,25Геометрия лица 3D838 860 байт0,99946150,00470,103Геометрия рукиот 9 до 1000 байт0,9990,10,1Ручная подпись40 бит (5 букв)0,9998650,0150,012ПарольСимволыот 4 байтн/оЦифрыот 4 байтн/оСимволы + Цифрыот 4 байтн/оС+Ц+Спец знакиот 4 байтн/оХэшЦифровой код128 - 2048 битн/он/оТокенЦифровой код32 бит + 256 битЗависит от реализации устройстван/он/оСмарт картаЦифровой код4 байта + 256 битЗависит от реализации устройстван/он/оЭлектрон-ная подписьЦифровой код512 - 1024 битн/он/оСертифи-катСертификат X.509920 байт – 1,5 Кбайт (ЭП 512 - 1024 бит)Зависит от вероятности ошибки в канале связин/он/оРассматривая удаленную аутентификацию и процедуры, которые могут использоваться в зависимости от условий, необходимо учесть не только выполнение требований по правильной аутентификации , но и своевременность выполнения сеанса связи , а также учесть возможности сети по пропускной способности информационного направления и реализовать оптимальную периодичность проведения аутентификации. При допущении на выполнение процедур аутентификации может быть выделено не более 3−5% от информационного обмена [22−26]. Данное допущение обусловлено периодической аутентификацией на уровне объект – объект, которым является протокол IPSec, где на аутентификацию от общего размера IP-пакета выделяется от 3–5% от общего объема оперативных и служебных данных в зависимости от режима работы протокола (транспортный или туннельный). На рис. 3 представлен обобщенный алгоритм адаптивного управления удаленной аутентификацией.В блоке 1 вводятся исходные данные по существующей ситуации, условиям и характеристикам сети.В блоке 2 производится формирование требований к процедурам удаленной аутентификации по своевременности и вероятности правильной аутентификации , .В блоке 3 производится комплексирование процедур аутентификации (табл. 1) для протоколов удаленной аутентификации.В блоке 4 производится сравнение конечного количества возможных вариантов. В случае, если перебор всех вариантов не окончен, то происходит дальнейшее комплексирование и переход к блоку 3. Если перебор всех вариантов окончен, то осуществляется их оценка по своевременности выполнения в протоколах удаленного взаимодействия. В блоке 5 производится расчет времени выполнения процедур аутентификации и оптимальной периодичности.В блоке 6 производится сравнение выполненного протокола со всеми процедурами аутентификации по критерию своевременности . Если выполненный протокол удовлетворяет критерию, то осуществляется переход к блоку 8. Если нет, то осуществляется переход к блоку 7. Кроме того, необходимо увеличить пропускную способность и перейти к блоку 1.Зная объем аутентификационной информации, которую можно вводить в трафик, можно определить оптимальный период выполнения аутентификации. Исходя из заданного объема аутентификационной информации, можно определить количество процедур, что позволяет повысить вероятность правильной аутентификации. Зная характеристики оперативного трафика с заданной вероятностью правильной аутентификации, возможно определить пропускную способность канала.В блоке 9 производится расчет вероятности правильности аутентификации процедур для различных ситуаций .В блоке 10 производится сравнение полученных данных по вероятности правильной аутентификации с требуемой .На рис. 4 представлен возможный максимальный порог для различных условий. Если требование не выполняется, происходит переход к блоку 11 (уточнение требований к аутентификации), в случае выполнения требования –переход к блоку 12.В блоке 12 происходит использование процедур аутентификации на заданном информационном направлении с оптимальной периодичностью. На рис. 4 представлен условный порог по вероятности правильной аутентификации для различных условий и фиксированных параметров трафика.Представленный алгоритм управления аутентификацией в корпоративных сетях связи позволит оптимально выбрать необходимые процедуры аутентификации для различных ситуаций и условий с требуемой вероятностью правильной аутентификации, своевременностью и возможностью оптимальной периодичности, что снижает угрозу подмены субъектов и объектов аутентификации при их взаимодействии [27−29].

Сауренко Т.Н. Прогнозирование инцидентов информационной безопасности // Проблемы информационной безопасности. Компьютерные системы. − 2019. − № 3. − С. 24-28.

Saurenko T.N. Prognozirovanie incidentov informacionnoy bezopasnosti // Problemy informacionnoy bezopasnosti. Komp'yuternye sistemy. − 2019. − № 3. − S. 24-28.

Анисимов В.Г. Моделирование возможных последствий внешних информационных воздействий на распределенную сеть связи / В.Г. Анисимов [и др.] // Телекоммуникации. - 2020. - № 12. - С. 32-38.

Anisimov V.G. Modelirovanie vozmozhnyh posledstviy vneshnih informacionnyh vozdeystviy na raspredelennuyu set' svyazi / V.G. Anisimov [i dr.] // Telekommunikacii. - 2020. - № 12. - S. 32-38.

Анисимов В.Г. Проблема инновационного развития систем обеспечения информационной безопасности в сфере транспорта // Проблемы информационной безопасности. Компьютерные системы. − 2017. − № 4. − С. 27-32.

Anisimov V.G. Problema innovacionnogo razvitiya sistem obespecheniya informacionnoy bezopasnosti v sfere transporta // Problemy informacionnoy bezopasnosti. Komp'yuternye sistemy. − 2017. − № 4. − S. 27-32.

Анисимов Е.Г., Анисимов В.Г., Солохов И.В. Проблемы научно-методического обеспечения межведомственного информационного взаимодействия // Военная мысль. − 2017. − № 12. − С. 45-51.

Anisimov E.G., Anisimov V.G., Solohov I.V. Problemy nauchno-metodicheskogo obespecheniya mezhvedomstvennogo informacionnogo vzaimodeystviya // Voennaya mysl'. − 2017. − № 12. − S. 45-51.

Анисимов В.Г., Анисимов Е.Г., Белов А.С., Скубьев А.В. Эффективность обеспечения живучести подсистемы управления сложной организационно-технической системы // Телекоммуникации. − 2020. − № 11. − С. 41-47.

Anisimov V.G., Anisimov E.G., Belov A.S., Skub'ev A.V. Effektivnost' obespecheniya zhivuchesti podsistemy upravleniya slozhnoy organizacionno-tehnicheskoy sistemy // Telekommunikacii. − 2020. − № 11. − S. 41-47.

Anisimov V.G., Anisimov E.G., Saurenko T.N., Zotova E.A. Models of forecasting destructive influence risks for information processes in management systems // Информационно-управляющие системы. − 2019. − № 5 (102). − С. 18-23.

Anisimov V.G., Anisimov E.G., Saurenko T.N., Zotova E.A. Models of forecasting destructive influence risks for information processes in management systems // Informacionno-upravlyayuschie sistemy. − 2019. − № 5 (102). − S. 18-23.

Добрышин М.М. Моделирование процессов деструктивных воздействий на компьютерную сеть связи с применением компьютерной атаки типа «человек посередине» // Телекоммуникации. − 2019. − № 11. − С. 32-36.

Dobryshin M.M. Modelirovanie processov destruktivnyh vozdeystviy na komp'yuternuyu set' svyazi s primeneniem komp'yuternoy ataki tipa «chelovek poseredine» // Telekommunikacii. − 2019. − № 11. − S. 32-36.

Anisimov V.G., Zegzhda P.D., Anisimov E.G., Bazhin D.A. A risk-oriented approach to the control arrangement of security protection subsystems of information systems // Automatic Control and Computer Sciences. 2016. Т. 50. № 8. С. 717-721.

Anisimov V.G., Anisimov E.G., Saurenko T.N. Efficiency of ensuring the survivability of logistics information and control systems // E3S Web of Conferences: Сер. "International Scientific and Practical Conference "Environmental Risks and Safety in Mechanical Engineering", ERSME 2020" 2020. С. 07025. https://doi.org/10.1051/e3sconf/202021707025.

Anisimov V.G., Anisimov E.G., Saurenko T.N. Efficiency of ensuring the survivability of logistics information and control systems // E3S Web of Conferences: Ser. "International Scientific and Practical Conference "Environmental Risks and Safety in Mechanical Engineering", ERSME 2020" 2020. S. 07025. https://doi.org/10.1051/e3sconf/202021707025.

10.

Зегжда П.Д. Методический подход к построению моделей прогнозирования показателей свойств систем информационной безопасности // Проблемы информационной безопасности. Компьютерные системы. − 2019. − № 4. − С. 45-49.

Zegzhda P.D. Metodicheskiy podhod k postroeniyu modeley prognozirovaniya pokazateley svoystv sistem informacionnoy bezopasnosti // Problemy informacionnoy bezopasnosti. Komp'yuternye sistemy. − 2019. − № 4. − S. 45-49.

11.

Анисимов А.В., Анисимов А.Е., Анисимов В.Г., Анисимов Е.Г., Барабанов В.В. Проблема сравнения и выбора варианта построения системы безопасности // Актуальные проблемы защиты и безопасности: Труды Четвертой Всероссийской научно-практической конференции. − 2001. − С. 348-351.

Anisimov A.V., Anisimov A.E., Anisimov V.G., Anisimov E.G., Barabanov V.V. Problema sravneniya i vybora varianta postroeniya sistemy bezopasnosti // Aktual'nye problemy zaschity i bezopasnosti: Trudy Chetvertoy Vserossiyskoy nauchno-prakticheskoy konferencii. − 2001. − S. 348-351.

12.

Анисимов Е.Г. Межведомственное информационное взаимодействие в сфере обороны российской федерации. − Москва: Военная академия Генерального штаба Вооруженных Сил Российской Федерации, Военный институт (управления национальной обороной), 2017. − 198 с.

Anisimov E.G. Mezhvedomstvennoe informacionnoe vzaimodeystvie v sfere oborony rossiyskoy federacii. − Moskva: Voennaya akademiya General'nogo shtaba Vooruzhennyh Sil Rossiyskoy Federacii, Voennyy institut (upravleniya nacional'noy oboronoy), 2017. − 198 s.

13.

Добрышин М.М., Шугуров Д.Е. Способ моделирования сетевой атаки типа "человек посередине" / Патент РФ на изобретение № 2645294 от 14.11.2016 бил. № 5. Заявка № 2016144639 от 14.11.2016. Патентообладатель: Академия ФСО России. H04W 16/22 (2009.01), G06N 7/06 (2006.01), G06N 7/04 (2006.01), H04L 12/00 (2006.01).

Dobryshin M.M., Shugurov D.E. Sposob modelirovaniya setevoy ataki tipa "chelovek poseredine" / Patent RF na izobretenie № 2645294 ot 14.11.2016 bil. № 5. Zayavka № 2016144639 ot 14.11.2016. Patentoobladatel': Akademiya FSO Rossii. H04W 16/22 (2009.01), G06N 7/06 (2006.01), G06N 7/04 (2006.01), H04L 12/00 (2006.01).

14.

RFC 4301. Security Architecture for the Internet Protocol. S. Kent, K. Seo. December 2005.

15.

Зегжда П.Д. Модели и метод поддержки принятия решений по обеспечению информационной безопасности информационно-управляющих систем// Проблемы информационной безопасности. Компьютерные системы. − 2018. − № 1. − С. 43-47.

Zegzhda P.D. Modeli i metod podderzhki prinyatiya resheniy po obespecheniyu informacionnoy bezopasnosti informacionno-upravlyayuschih sistem// Problemy informacionnoy bezopasnosti. Komp'yuternye sistemy. − 2018. − № 1. − S. 43-47.

16.

Анисимов В.Г. Показатели эффективности защиты информации в системе информационного взаимодействия при управлении сложными распределенными организационными объектами // Проблемы информационной безопасности. Компьютерные системы. − 2016. − № 4. − С. 140-145.

Anisimov V.G. Pokazateli effektivnosti zaschity informacii v sisteme informacionnogo vzaimodeystviya pri upravlenii slozhnymi raspredelennymi organizacionnymi ob'ektami // Problemy informacionnoy bezopasnosti. Komp'yuternye sistemy. − 2016. − № 4. − S. 140-145.

17.

RFC 4302. IP Authentication Header. S. Kent. December 2005.

18.

Зегжда П.Д. Эффективность функционирования компьютерной сети в условиях вредоносных информационных воздействий // Проблемы информационной безопасности. Компьютерные системы. − 2021. − № 1 (45). − С. 96-101.

Zegzhda P.D. Effektivnost' funkcionirovaniya komp'yuternoy seti v usloviyah vredonosnyh informacionnyh vozdeystviy // Problemy informacionnoy bezopasnosti. Komp'yuternye sistemy. − 2021. − № 1 (45). − S. 96-101.

19.

Зегжда П.Д. Подход к оцениванию эффективности защиты информации в управляющих системах // Проблемы информационной безопасности. Компьютерные системы. − 2020. − № 1 (41). − С. 9-16.

Zegzhda P.D. Podhod k ocenivaniyu effektivnosti zaschity informacii v upravlyayuschih sistemah // Problemy informacionnoy bezopasnosti. Komp'yuternye sistemy. − 2020. − № 1 (41). − S. 9-16.

20.

Зегжда П.Д., Зегжда Д.П., Анисимов В.Г., Анисимов Е.Г., Сауренко Т.Н. Модель формирования программы развития системы обеспечения информационной безопасности организации // Проблемы информационной безопасности. Компьютерные системы. − 2021. − № 2 (46). − С. 109-117.

Zegzhda P.D., Zegzhda D.P., Anisimov V.G., Anisimov E.G., Saurenko T.N. Model' formirovaniya programmy razvitiya sistemy obespecheniya informacionnoy bezopasnosti organizacii // Problemy informacionnoy bezopasnosti. Komp'yuternye sistemy. − 2021. − № 2 (46). − S. 109-117.

21.

Шугуров Д.Е. Методы и протоколы аутентификации. - Орёл: Академия ФСО России, 2013. - 219 с.

Shugurov D.E. Metody i protokoly autentifikacii. - Orel: Akademiya FSO Rossii, 2013. - 219 s.

22.

Ямпольский С.М. Научно-методические основы информационно-аналитического обеспечения деятельности органов государственного и военного управления в ходе межведомственного информационного взаимодействия / Москва: Военная академия Генерального штаба Вооруженных Сил Российской Федерации, Военный институт (управления национальной обороной). 2019. − 146 с.

Yampol'skiy S.M. Nauchno-metodicheskie osnovy informacionno-analiticheskogo obespecheniya deyatel'nosti organov gosudarstvennogo i voennogo upravleniya v hode mezhvedomstvennogo informacionnogo vzaimodeystviya / Moskva: Voennaya akademiya General'nogo shtaba Vooruzhennyh Sil Rossiyskoy Federacii, Voennyy institut (upravleniya nacional'noy oboronoy). 2019. − 146 s.

23.

Анисимов В.Г., Анисимов Е.Г., Бажин Д.А., Барабанов В.В., Филиппов А.А. Модели организации и проведения испытаний элементов системы информационного обеспечения применения высокоточных средств // Труды Военно-космической академии им. А.Ф. Можайского. − 2015. − № 648. − С. 6-12.

Anisimov V.G., Anisimov E.G., Bazhin D.A., Barabanov V.V., Filippov A.A. Modeli organizacii i provedeniya ispytaniy elementov sistemy informacionnogo obespecheniya primeneniya vysokotochnyh sredstv // Trudy Voenno-kosmicheskoy akademii im. A.F. Mozhayskogo. − 2015. − № 648. − S. 6-12.

24.

Анисимов Е.Г. Показатели эффективности межведомственного информационного взаимодействия при управлении обороной государства // Вопросы оборонной техники. Серия 16: Технические средства противодействия терроризму. − 2016. − № 7-8 (97-98). − С. 12-16.

Anisimov E.G. Pokazateli effektivnosti mezhvedomstvennogo informacionnogo vzaimodeystviya pri upravlenii oboronoy gosudarstva // Voprosy oboronnoy tehniki. Seriya 16: Tehnicheskie sredstva protivodeystviya terrorizmu. − 2016. − № 7-8 (97-98). − S. 12-16.

25.

Анисимов В.Г. Обобщенный показатель эффективности взаимодействия федеральных органов исполнительной власти при решении задач обеспечения национальной безопасности государства // Вопросы оборонной техники. Серия 16: Технические средства противодействия терроризму. − 2017. − № 5-6 (107-108). − С. 101-106.

Anisimov V.G. Obobschennyy pokazatel' effektivnosti vzaimodeystviya federal'nyh organov ispolnitel'noy vlasti pri reshenii zadach obespecheniya nacional'noy bezopasnosti gosudarstva // Voprosy oboronnoy tehniki. Seriya 16: Tehnicheskie sredstva protivodeystviya terrorizmu. − 2017. − № 5-6 (107-108). − S. 101-106.

26.

Зегжда П.Д. Модель оптимального комплексирования мероприятий обеспечения информационной безопасности // Проблемы информационной безопасности. Компьютерные системы. − 2020. − № 2. − С. 9-15.

Zegzhda P.D. Model' optimal'nogo kompleksirovaniya meropriyatiy obespecheniya informacionnoy bezopasnosti // Problemy informacionnoy bezopasnosti. Komp'yuternye sistemy. − 2020. − № 2. − S. 9-15.

27.

Анисимов В.Г., Селиванов А.А., Анисимов Е.Г. Методика оценки эффективности защиты информации в системе межведомственного информационного взаимодействия при управлении обороной государства // Информация и космос. − 2016. − № 4. − С. 76-80.

Anisimov V.G., Selivanov A.A., Anisimov E.G. Metodika ocenki effektivnosti zaschity informacii v sisteme mezhvedomstvennogo informacionnogo vzaimodeystviya pri upravlenii oboronoy gosudarstva // Informaciya i kosmos. − 2016. − № 4. − S. 76-80.

28.

Анисимов Е.Г., Селиванов А.А., Анисимов В.Г. Расчет эффективности межведомственного информационного взаимодействия в области обороны государства // Система межведомственного информационного взаимодействия при решении задач в области обороны Российской Федерации: Сборник материалов II Межведомственной научно-практической конференции.- Национальный центр управления обороной Российской Федерации. − 2016. − С. 21-26.

Anisimov E.G., Selivanov A.A., Anisimov V.G. Raschet effektivnosti mezhvedomstvennogo informacionnogo vzaimodeystviya v oblasti oborony gosudarstva // Sistema mezhvedomstvennogo informacionnogo vzaimodeystviya pri reshenii zadach v oblasti oborony Rossiyskoy Federacii: Sbornik materialov II Mezhvedomstvennoy nauchno-prakticheskoy konferencii.- Nacional'nyy centr upravleniya oboronoy Rossiyskoy Federacii. − 2016. − S. 21-26.

29.

Стародубцев Ю.И. Методика удалённой аутентификации личности // Интернет-журнал "Технологии техносферной безопасности" (http://ipb.mos.ru/ttb). - 2015. − № 5 (63). - С. 265-273.

Starodubcev Yu.I. Metodika udalennoy autentifikacii lichnosti // Internet-zhurnal "Tehnologii tehnosfernoy bezopasnosti" (http://ipb.mos.ru/ttb). - 2015. − № 5 (63). - S. 265-273.