АЛГОРИТМ АДАПТИВНОГО УПРАВЛЕНИЯ УДАЛЕННОЙ АУТЕНТИФИКАЦИЕЙ В КОРПОРАТИВНЫХ СЕТЯХ СВЯЗИ
Аннотация и ключевые слова
Аннотация (русский):
В работе предложен алгоритм адаптивного управления удаленной аутентификацией в корпоративных сетях связи в различных условиях состояния сети. Рассматриваемый алгоритм позволяет решить задачу управления процедурами аутентификации и обеспечения гарантированности того, что взаимодействующие субъекты и объекты остаются теми же, что и в начальной фазе соединения. При этом аутентификация осуществляется с оптимальной периодичностью, заданной вероятностью правильной аутентификацией и своевременностью и с учетом ограничения по пропускной способности и выполнения конечной цели обеспечения оперативного обмена данными в корпоративных сетях связи.

Ключевые слова:
алгоритм адаптивного управления, удаленная аутентификация, достоверность, оперативный обмен данными, оптимальная периодичность
Текст
Текст (PDF): Читать Скачать

Перевод в 2020 г. во время карантинных мероприятий основных финансовых потоков в цифровое пространство способствовал значительному росту финансового ущерба [1−6]. Одним из действенных методов хищения личных данных или денежных средств является компьютерная атака типа «человек посередине», направленная на подмену доверенного пользователя. Успех данной атаки обусловлен тем, что злоумышленники способны определить и воспользоваться уязвимостями алгоритмами аутентификации [7−13]. Для устранения указанной угрозы и повышении защищенности корпоративной сети связи (КСС) разработан алгоритм, предназначенный для адаптивного управления удаленной аутентификацией субъектов и объектов при удаленном доступе пользователей к информационным ресурсам ограниченного доступа, а также установления оперативного и служебного обмена данными и позволяет обеспечить выполнение требований к процедурам аутентификации в различных условиях функционирования КСС [14−20].

Целью алгоритма является:

1. Выбор метода аутентификации –  под различные ситуации ,.

2. Выбор периодичности проведения аутентификации от 0…k для сложившейся ситуации ,.

3. Обоснование выбора параметров аутентификации (V – объем аутентифицирующей информации,  – вероятность правильной аутентификации,  ошибки 1 и 2 рода) под различные ситуации .

4. Управление порядком взаимодействия с осуществлением третьей доверенной стороны (ТДС) и без нее под ситуации .

В настоящее время для КСС используются протоколы NTLM, RADIUS, IPSec и др., которые реализуют процедуры аутентификации, но при этом не позволяют реализовать адаптацию с учетом различных ситуаций и условий функционирования сети. На рис. 1 представлена удаленная аутентификация с использованием каналов ЕСЭ РФ и хранением аутентификационной информации (эталонов) непосредственно на сервере с информационным ресурсом. В данной ситуации воздействовать на процедуры аутентификации за пределами контролируемой зоны может внешний нарушитель типа Н1, Н5.

На рис. 2 представлена удаленная аутентификация с использованием каналов ЕСЭ РФ с привлечением ТДС. Особенностью использования ТДС наряду с тем, что аутентификация субъектов и объектов осуществляется на ней, также имеет место при проведении подлинности самой третьей доверенной стороны.

Таким образом, учитывая ситуации , возникает задача по выбору применения методов (способов) аутентификации (табл. 1) [21].

 

Таблица 1

Существующие методы и процедуры аутентификации и их характеристики

 

Название метода

Вид процедуры

Значение
объема эталона

Вероятность правильной аутентификации

Ошибка 1 рода

Ошибка 2 рода

Биомет-рические методы

Отпечаток пальца

234 421 байт (228 бит (нейросеть))

0,998

0,01

0,3

Голос

от 2 до 20 Кбайт

0,982

0,35

0,1

Радужная оболочка

11 921 байт

0,99925

0,1

0,05

Сетчатка глаза

от 40 до 160 байт

0,997995

0,001

0,4

Геометрия лица 2D

419 430 байт

0,987

0,1

0,25

Геометрия лица 3D

838 860 байт

0,9994615

0,0047

0,103

Геометрия руки

от 9 до 1000 байт

0,999

0,1

0,1

Ручная подпись

40 бит (5 букв)

0,999865

0,015

0,012

Пароль

Символы

от 4 байт

н/о

Цифры

от 4 байт

н/о

Символы + Цифры

от 4 байт

н/о

С+Ц+Спец знаки

от 4 байт

н/о

Хэш

Цифровой код

128 - 2048 бит

н/о

н/о

Токен

Цифровой код

32 бит + 256 бит

Зависит от реализации устройства

н/о

н/о

Смарт карта

Цифровой код

4 байта + 256 бит

Зависит от реализации устройства

н/о

н/о

Электрон-ная подпись

Цифровой код

512 - 1024 бит

н/о

н/о

Сертифи-кат

Сертификат X.509

920 байт – 1,5 Кбайт (ЭП 512 - 1024 бит)

Зависит от вероятности ошибки в канале связи

н/о

н/о

Рассматривая удаленную аутентификацию и процедуры, которые могут использоваться в зависимости от условий, необходимо учесть не только выполнение требований по правильной аутентификации , но и своевременность выполнения сеанса связи , а также учесть возможности сети по пропускной способности информационного направления и реализовать оптимальную периодичность проведения аутентификации. При допущении на выполнение процедур аутентификации может быть выделено не более 3−5% от информационного обмена  [22−26]. Данное допущение обусловлено периодической аутентификацией на уровне объект – объект, которым является протокол IPSec, где на аутентификацию от общего размера IP-пакета выделяется от 3–5%  от общего объема оперативных и служебных данных в зависимости от режима работы протокола (транспортный или туннельный). На рис. 3 представлен обобщенный алгоритм адаптивного управления удаленной аутентификацией.

В блоке 1 вводятся исходные данные по существующей ситуации, условиям и характеристикам сети.

В блоке 2 производится формирование требований к процедурам удаленной аутентификации по своевременности и вероятности правильной аутентификации , .

В блоке 3 производится комплексирование процедур аутентификации (табл. 1) для протоколов удаленной аутентификации.

В блоке 4 производится сравнение конечного количества возможных вариантов. В случае, если перебор всех вариантов не окончен, то происходит дальнейшее комплексирование и переход к блоку 3. Если перебор всех вариантов окончен, то осуществляется их оценка по своевременности выполнения в протоколах удаленного взаимодействия.

В блоке 5 производится расчет времени выполнения процедур аутентификации и оптимальной периодичности.

В блоке 6 производится сравнение выполненного протокола со всеми процедурами аутентификации по критерию своевременности . Если выполненный протокол удовлетворяет критерию, то осуществляется переход к блоку 8. Если нет, то осуществляется переход к блоку 7. Кроме того, необходимо увеличить пропускную способность и перейти к блоку 1.

Зная объем аутентификационной информации, которую можно вводить в трафик, можно определить оптимальный период выполнения аутентификации. Исходя из заданного объема аутентификационной информации, можно определить количество процедур, что позволяет повысить вероятность правильной аутентификации. Зная характеристики оперативного трафика с заданной вероятностью правильной аутентификации, возможно определить пропускную способность канала.

В блоке 9 производится расчет вероятности правильности аутентификации процедур для различных ситуаций .

В блоке 10 производится сравнение полученных данных по вероятности правильной аутентификации с требуемой .

На рис. 4 представлен возможный максимальный порог для различных условий. Если требование не выполняется, происходит переход к блоку 11 (уточнение требований к аутентификации), в случае выполнения требования –переход к блоку 12.

В блоке 12 происходит использование процедур аутентификации на заданном информационном направлении с оптимальной периодичностью. На рис. 4 представлен условный порог по вероятности правильной аутентификации для различных условий и фиксированных параметров трафика.

Представленный алгоритм управления аутентификацией в корпоративных сетях связи позволит оптимально выбрать необходимые процедуры аутентификации для различных ситуаций и условий с требуемой вероятностью правильной аутентификации, своевременностью и возможностью оптимальной периодичности, что снижает угрозу подмены субъектов и объектов аутентификации при их взаимодействии [27−29].

Список литературы

1. Сауренко Т.Н. Прогнозирование инцидентов информационной безопасности // Проблемы информационной безопасности. Компьютерные системы. − 2019. − № 3. − С. 24-28.

2. Анисимов В.Г. Моделирование возможных последствий внешних информационных воздействий на распределенную сеть связи / В.Г. Анисимов [и др.] // Телекоммуникации. - 2020. - № 12. - С. 32-38.

3. Анисимов В.Г. Проблема инновационного развития систем обеспечения информационной безопасности в сфере транспорта // Проблемы информационной безопасности. Компьютерные системы. − 2017. − № 4. − С. 27-32.

4. Анисимов Е.Г., Анисимов В.Г., Солохов И.В. Проблемы научно-методического обеспечения межведомственного информационного взаимодействия // Военная мысль. − 2017. − № 12. − С. 45-51.

5. Анисимов В.Г., Анисимов Е.Г., Белов А.С., Скубьев А.В. Эффективность обеспечения живучести подсистемы управления сложной организационно-технической системы // Телекоммуникации. − 2020. − № 11. − С. 41-47.

6. Anisimov V.G., Anisimov E.G., Saurenko T.N., Zotova E.A. Models of forecasting destructive influence risks for information processes in management systems // Информационно-управляющие системы. − 2019. − № 5 (102). − С. 18-23.

7. Добрышин М.М. Моделирование процессов деструктивных воздействий на компьютерную сеть связи с применением компьютерной атаки типа «человек посередине» // Телекоммуникации. − 2019. − № 11. − С. 32-36.

8. Anisimov V.G., Zegzhda P.D., Anisimov E.G., Bazhin D.A. A risk-oriented approach to the control arrangement of security protection subsystems of information systems // Automatic Control and Computer Sciences. 2016. Т. 50. № 8. С. 717-721.

9. Anisimov V.G., Anisimov E.G., Saurenko T.N. Efficiency of ensuring the survivability of logistics information and control systems // E3S Web of Conferences: Сер. "International Scientific and Practical Conference "Environmental Risks and Safety in Mechanical Engineering", ERSME 2020" 2020. С. 07025. https://doi.org/10.1051/e3sconf/202021707025.

10. Зегжда П.Д. Методический подход к построению моделей прогнозирования показателей свойств систем информационной безопасности // Проблемы информационной безопасности. Компьютерные системы. − 2019. − № 4. − С. 45-49.

11. Анисимов А.В., Анисимов А.Е., Анисимов В.Г., Анисимов Е.Г., Барабанов В.В. Проблема сравнения и выбора варианта построения системы безопасности // Актуальные проблемы защиты и безопасности: Труды Четвертой Всероссийской научно-практической конференции. − 2001. − С. 348-351.

12. Анисимов Е.Г. Межведомственное информационное взаимодействие в сфере обороны российской федерации. − Москва: Военная академия Генерального штаба Вооруженных Сил Российской Федерации, Военный институт (управления национальной обороной), 2017. − 198 с.

13. Добрышин М.М., Шугуров Д.Е. Способ моделирования сетевой атаки типа "человек посередине" / Патент РФ на изобретение № 2645294 от 14.11.2016 бил. № 5. Заявка № 2016144639 от 14.11.2016. Патентообладатель: Академия ФСО России. H04W 16/22 (2009.01), G06N 7/06 (2006.01), G06N 7/04 (2006.01), H04L 12/00 (2006.01).

14. RFC 4301. Security Architecture for the Internet Protocol. S. Kent, K. Seo. December 2005.

15. Зегжда П.Д. Модели и метод поддержки принятия решений по обеспечению информационной безопасности информационно-управляющих систем// Проблемы информационной безопасности. Компьютерные системы. − 2018. − № 1. − С. 43-47.

16. Анисимов В.Г. Показатели эффективности защиты информации в системе информационного взаимодействия при управлении сложными распределенными организационными объектами // Проблемы информационной безопасности. Компьютерные системы. − 2016. − № 4. − С. 140-145.

17. RFC 4302. IP Authentication Header. S. Kent. December 2005.

18. Зегжда П.Д. Эффективность функционирования компьютерной сети в условиях вредоносных информационных воздействий // Проблемы информационной безопасности. Компьютерные системы. − 2021. − № 1 (45). − С. 96-101.

19. Зегжда П.Д. Подход к оцениванию эффективности защиты информации в управляющих системах // Проблемы информационной безопасности. Компьютерные системы. − 2020. − № 1 (41). − С. 9-16.

20. Зегжда П.Д., Зегжда Д.П., Анисимов В.Г., Анисимов Е.Г., Сауренко Т.Н. Модель формирования программы развития системы обеспечения информационной безопасности организации // Проблемы информационной безопасности. Компьютерные системы. − 2021. − № 2 (46). − С. 109-117.

21. Шугуров Д.Е. Методы и протоколы аутентификации. - Орёл: Академия ФСО России, 2013. - 219 с.

22. Ямпольский С.М. Научно-методические основы информационно-аналитического обеспечения деятельности органов государственного и военного управления в ходе межведомственного информационного взаимодействия / Москва: Военная академия Генерального штаба Вооруженных Сил Российской Федерации, Военный институт (управления национальной обороной). 2019. − 146 с.

23. Анисимов В.Г., Анисимов Е.Г., Бажин Д.А., Барабанов В.В., Филиппов А.А. Модели организации и проведения испытаний элементов системы информационного обеспечения применения высокоточных средств // Труды Военно-космической академии им. А.Ф. Можайского. − 2015. − № 648. − С. 6-12.

24. Анисимов Е.Г. Показатели эффективности межведомственного информационного взаимодействия при управлении обороной государства // Вопросы оборонной техники. Серия 16: Технические средства противодействия терроризму. − 2016. − № 7-8 (97-98). − С. 12-16.

25. Анисимов В.Г. Обобщенный показатель эффективности взаимодействия федеральных органов исполнительной власти при решении задач обеспечения национальной безопасности государства // Вопросы оборонной техники. Серия 16: Технические средства противодействия терроризму. − 2017. − № 5-6 (107-108). − С. 101-106.

26. Зегжда П.Д. Модель оптимального комплексирования мероприятий обеспечения информационной безопасности // Проблемы информационной безопасности. Компьютерные системы. − 2020. − № 2. − С. 9-15.

27. Анисимов В.Г., Селиванов А.А., Анисимов Е.Г. Методика оценки эффективности защиты информации в системе межведомственного информационного взаимодействия при управлении обороной государства // Информация и космос. − 2016. − № 4. − С. 76-80.

28. Анисимов Е.Г., Селиванов А.А., Анисимов В.Г. Расчет эффективности межведомственного информационного взаимодействия в области обороны государства // Система межведомственного информационного взаимодействия при решении задач в области обороны Российской Федерации: Сборник материалов II Межведомственной научно-практической конференции.- Национальный центр управления обороной Российской Федерации. − 2016. − С. 21-26.

29. Стародубцев Ю.И. Методика удалённой аутентификации личности // Интернет-журнал "Технологии техносферной безопасности" (http://ipb.mos.ru/ttb). - 2015. − № 5 (63). - С. 265-273.

Войти или Создать
* Забыли пароль?