border=0


Строителство на авиационни двигатели Административно право Административно право Беларус Алгебра Архитектура Безопасност на живота Въведение в професията „психолог” Въведение в икономиката на културата Висша математика Геология Геоморфология Хидрология и хидрометрия Хидросистеми и хидравлични машини Машиностроене Медицина Психология икономика дескриптивна геометрия Основи на икономически т Oria професионална безопасност Пожарна тактика процеси и структури на мисълта, Професионална психология Психология Психология на управлението на съвременната фундаментални и приложни изследвания в апаратура социалната психология социални и философски проблеми Социология Статистика теоретичните основи на компютъра автоматично управление теория на вероятностите транспорт Закон Turoperator Наказателно право Наказателно-процесуалния управление модерна производствена Физика Физични феномени Философия Охлаждане и екология Икономика История на икономиката Основи на икономиката Икономика на предприятието Икономическа история Икономическа теория Икономически анализ Развитие на икономиката на ЕС Извънредни ситуации ВКонтакте Однокласници Моят свят Facebook LiveJournal Instagram

Принципи за създаване на защитени комуникационни системи в разпределени изчислителни системи




Липсата на криптиране на съобщенията в RVS

В разпределените въздухоплавателни средства комуникацията между обектите на системата се осъществява чрез комуникационни канали. Следователно, винаги има основна възможност за нападателя да слуша канала и да получи неоторизиран достъп до информацията, която абонатите му обменят по мрежата. Ако информацията, преминаваща през канала, не е криптирана и нападателят по някакъв начин получи достъп до канала, тогава "Анализът на мрежовия трафик" АА е най-ефективният начин за получаване на информация. Причината, поради която тази атака е толкова ефективна, също е очевидна. Тази причина е предаването на некриптирана информация по мрежата.

Използването на криптографски алгоритми за кодиране за обмен на пакети между RVS обекти на ниво канал и приложение прави анализа на мрежовия трафик почти безсмислен. В случай на канално криптиране, което обикновено се извършва от хардуер, изцяло кодирани пакети се предават по мрежата. Ако мрежата използва алгоритми за шифроване на пакети в мрежово-приложните нива, тогава криптирането се прилага само към полетата за данни на пакетите на съответните нива, т.е. заглавките на пакети, съдържащи служебната информация, не са криптирани, следователно атакуващият има възможност да прихване пакета анализ на тази информация за услугата.

Очевидно е, че при изграждането на сигурни системи е необходимо да не се справяме със заплахите, произтичащи от слабостите на системата, а с причините за възможния успех на атаките. Ясно е, че за да се преодолее разследването, е необходимо да се отстрани причината. Ето защо, за да се премахнат заплахите (отдалечени атаки), извършвани чрез комуникационни канали, е необходимо да се отстранят причините, които ги пораждат. Това е основният принцип, ръководен от който, по-нататък формулираме изискванията за сигурни комуникационни системи в разпределените въздухоплавателни средства.

1. Специализиран комуникационен канал между разпределените въздухоплавателни обекти

Всички обекти на разпределените въоръжени сили взаимодействат помежду си чрез комуникационни канали. Клауза 5.1.1 разглежда причината за успеха на АА, състояща се в използването на RVS за комуникация между обекти на електронни медии, което означава, че всички обекти на разпределеното въздухоплавателно средство са свързани към една обща шина (мрежова топология - "обща шина", фиг. 6.1). Това води до факта, че съобщението, предназначено (адресирано) само към един обект на системата, ще бъде получено от всички негови обекти. Обаче само обект, чийто адрес е посочен в заглавката на съобщението като адрес на дестинация, ще се счита за обект, на който това съобщение е изпратено директно. Очевидно е, че в RVS с топологията „обща шина“ е необходимо да се използват специални методи за идентифициране на обекти (раздел 7.1), тъй като идентификацията на слоя за връзка с данни е възможна само ако се използват мрежови крипто-карти.


border=0


Също така е очевидно, че идеалът от гледна точка на сигурността ще бъде взаимодействието на обекти, разпределени от въоръжените сили чрез специалните канали. Съществуват два възможни начина за организиране на топологията на разпределения CS с отделни канали. В първия случай всеки обект е свързан с физически линии на комуникация с всички обекти на системата (фиг. 7.2). Във втория случай в системата може да се използва мрежов хъб, чрез който се осъществява комуникация между обектите (топология "звезда" - фиг. 7.3).


Фиг. 7.1. Обща топология на мрежата.

Фиг. 7.2. Топология на мрежата "N-обекти - N-канали".

Фиг. 7.3. Топология на звездната мрежа.

Предимствата на разпределеното въздухоплавателно средство със специални комуникационни канали между обектите са следните:

· Предаването на съобщения се извършва директно между източника и приемника, заобикаляйки другите обекти на системата. В такава система, ако няма достъп до обектите, през които се предава съобщението, няма софтуерна възможност за анализ на мрежовия трафик;

Възможно е да се идентифицират обекти на разпределена система в слоя за връзка с данни по техните адреси, без да се използват специални криптоалгоритми за криптиране на трафика. Това се оказва, тъй като системата е конструирана по такъв начин, че само определен обект може да бъде свързан чрез определен канал. Появата на фалшив обект в такава разпределена система е невъзможна без хардуерна намеса (свързване на допълнително устройство към комуникационния канал);



· Система със специални комуникационни канали е система, в която няма несигурност с информация за нейните обекти. Всеки обект в такава система първоначално е идентифициран уникално и има пълна информация за други обекти на системата.

Към минусите RVS с предназначени канали са:

· Сложност на изпълнението и високи разходи за създаване на система;

· Ограничен брой системни обекти (в зависимост от броя на входовете в хъба);

· Сложността на въвеждане на нов обект в системата.

Също така е очевидно, че създаването на глобална RVS със специални канали ще изисква огромни разходи и е невъзможно днес.

Анализирайки всички предимства и недостатъци на използването на специализирани канали за изграждане на защитени комуникационни системи между обекти на RVS, можем да заключим, че изграждането на разпределени системи, използващи само медийни предавания или със специално предназначени канали, е неефективно. Ето защо изглежда правилно при изграждането на разпределени изчислителни системи с разклонена топология и голям брой обекти да се използват комбинирани опции за свързване на обекти. За да се осигури комуникация между обектите от голямо значение, можете да използвате специален канал. Комуникацията на по-малко значими обекти на системата може да се осъществи чрез комбинация от общ канал, предназначен за шината.

В този раздел разгледахме опции за мрежови топологии със специални канали за комуникация. В този случай бяха разгледани само физически комуникационни канали и бяха предложени повече или по-малко сигурни начини за взаимодействие на системните обекти по тези канали. Изборът на сигурна топология на RVS обаче е необходимо, но в никакъв случай не е достатъчно условие за създаването на сигурни комуникационни системи между разпределените въздухоплавателни средства.

Така, в края на този параграф, нека формулираме първия принцип за създаване на сигурни средства за комуникация на обекти в RVS:

Декларация 1.
Най-доброто от гледна точка на сигурността, взаимодействието на обекти в разпределен CS е възможно само чрез физически посветен канал.

2. Виртуален канал като средство за осигуряване на допълнителна идентификация / разпознаване на обекти в разпределено въздухоплавателно средство

В предходния параграф бяха разгледани възможните най-безопасни варианти за физическото изграждане на мрежата: как в РВС е необходимо да се свържат обекти, за да се осигури най-безопасното взаимодействие. Тези мерки обаче очевидно не са достатъчни, за да се създаде сигурно взаимодействие на отдалечени обекти, защото, на първо място, на практика е доста трудно да се осигури взаимодействието на всички обекти чрез специален канал и, второ, невъзможно е да не се предвиди възможност за физическа връзка с канала. Следователно, разработчикът на защитена комуникационна система в разпределена СС следва да изхожда от следния принцип:

Декларация 2.
Когато се изгражда защитена комуникационна система в разпределена КС, трябва да се приеме, че всички съобщения, предавани по комуникационния канал, могат да бъдат прихванати, но това не трябва да води до нарушаване на сигурността на системата като цяло.

По този начин, това изявление налага на разработчика следните изисквания: необходимостта от въвеждане на допълнителни средства за идентифициране на обекти в разпределена VS и криптозащита на съобщенията, предавани по комуникационния канал.

Клауза 5.1.2 доказва, че идентифицирането на RVS обекти, при липса на статична ключова информация, е възможно само когато обектите взаимодействат с виртуален канал (имайте предвид, че в бъдеще се разглеждат само разпределени въздухоплавателни средства, чиито обекти нямат ключова информация, за да комуникират помежду си - в такава система решаването на проблема за безопасно взаимодействие е малко по-трудно. Ето защо, за да се елиминира причината за успеха на дистанционните атаки, описани в параграф 5.1.2.1, а също и, въз основа на изявление 2, е необходимо да се ръководи от следното правило:

Изявление 3.
Всяко взаимодействие на два обекта в разпределен CS трябва да се осъществява чрез виртуален комуникационен канал.

Помислете как в разпределената VS виртуалният канал (VC) на комуникацията може да бъде използван за надеждно, независимо от топологията и физическата организация на системата, да идентифицира отдалечените му обекти.

За да направите това, при създаването на VC могат да се използват криптографски алгоритми с публичен ключ (например, интернет е приел подобен стандарт за сигурност на VC, наречен Secret Socket Layer - SSL). Тези криптоалгоритми се основават на резултатите от изследванията, получени през 1970 г. от W. Diffie. Той въведе концепцията за еднопосочна функция с таен вход. Това не е само еднопосочна изчислителна функция, която не може да бъде достъпна, тя съдържа таен вход (trapdoor), който позволява на получателя на тайния ключ да изчисли обратната функция. Същността на криптографията с публичен ключ (или криптографията с два ключа) е, че ключовете в криптосистемата са включени в нея по двойки и всяка двойка удовлетворява следните две свойства:

· Текст, шифрован на един ключ, може да бъде декриптиран на друг;

· Познаването на един ключ не позволява да се изчисли другото.

Следователно един от ключовете може да бъде публикуван. С публичен (публичен) ключ за криптиране и секретен ключ за дешифриране се получава система за шифроване с публичен ключ. Всеки потребител на комуникационна мрежа може да кодира съобщение, използвайки публичен ключ, и само собственикът на частния ключ може да го дешифрира. При публикуването на ключа за дешифриране се получава система за цифров подпис. Тук само собственикът на ключа за създаване на частен подпис може правилно да шифрира текста (т.е. да го подпише) и всеки може да провери подписа (декриптира текста) въз основа на публикувания ключ за проверка на подписа.

През 1976 г. У. Дифи и М. Хелман предлагат следния метод за разпространение на публичния ключ. Нека два обекта А и Б се съгласят на избора като обща първоначална информация на голямо премиер p и примитивен корен от степен p - 1 от 1 в полето на остатъка по модул p. Тогава тези потребители действат в съответствие с протокола (фиг. 6.4):

А генерира случайно число x, изчислява числото a x (mod p) и го изпраща на B ;

B генерира случайно число y, изчислява числото y (mod p) и го изпраща на A ;

тогава А и Б повишават полученото число до сила със собствен индекс и получават числото xy (mod p).


Фиг. 7.4. Алгоритъм на разпространението на публичния ключ на W. Diffie и M. Hellman

Този номер е ключът за сесията за алгоритъм с един ключ, например DES. За да се разкрие този ключ, криптоаналитик трябва да намери xy (mod p) от познатия a x (mod p), y (mod p) намерете x или y. Намирането на числото x чрез неговия експонентен a x (mod p) се нарича дискретен логаритмичен проблем в едно просто поле. Тази задача е непреодолима и затова полученият ключ по принцип може да бъде устойчив.

Особеността на този криптоалгоритм е, че прихващането на съобщенията a x (mod p) и y (mod p), изпратени по време на създаването на виртуален канал, не позволява на нападателя да получи окончателния ключ за криптиране xy (mod p). След това този ключ трябва да се използва, първо, за цифрово подписване на съобщения и, второ, за криптиране на съобщенията. Цифровият подпис на съобщенията ви позволява надеждно да идентифицирате обекта на разпределеното въздухоплавателно средство и виртуалния канал. Шифроването на съобщения е необходимо, за да се спази изявление 2. В заключението на тази клауза формулираме следното изискване за създаване на защитени комуникационни системи в разпределени въздухоплавателни средства и две последствия от него:

Декларация 4.
За да се осигури надеждна идентификация на обекти на разпределена VS при създаването на виртуален канал, е необходимо да се използват криптографски алгоритми с публичен ключ.

Следствие 4.1.
Трябва да подпишете цифрово съобщенията.

Следствие 4.2.
Трябва да предоставите възможност за шифроване на съобщения.

3. Контрол на маршрута на съобщението в разпределено въздухоплавателно средство

Както е известно, всеки обект на разпределена VS трябва да има адрес, който уникално да го идентифицира. За да може дадено съобщение от един обект да бъде предадено на друг обект на системата, то трябва да премине през верига от маршрутизатори, чиято задача е да анализира посочения в съобщението адрес на дестинацията, да избере най-добрия маршрут и, въз основа на него, да препрати пакета или към следващия маршрутизатор или директно абонат, ако той е пряко свързан с този възел. По този начин маршрутът към обекта се определя от веригата от възли, предавани от съобщението. Както е показано в точка 5.1.4, маршрутът на съобщението може да бъде информация, удостоверяваща, с точност на подмрежата, автентичността на адреса на субекта, който е изпратил съобщението. Очевидно е, че преди всяка комуникационна система от обекти в RVS има стандартен проблем за проверка на автентичността на адреса на съобщението, което пристига в обекта. От една страна, този проблем може да бъде решен чрез въвеждане на допълнителна идентификация на съобщенията на друго, по-високо OSI ниво. Така че, адресирането се извършва на мрежово ниво и допълнителна идентификация, например на транспортно ниво. Но такова решение няма да избегне проблема с контрола върху създаването на връзки (раздел 5.1.3), тъй като допълнителната идентификация на абонатите ще бъде възможна едва след създаването на връзка. Ето защо, разработчиците на разпределени въздухоплавателни средства могат да предложат следните начини за решаване на проблема.

В първия случай функцията за удостоверяване на адреса на изпращача може да бъде зададена на маршрутизатора. Това е лесно да се направи, тъй като маршрутизаторът може да следи откъде идва пакетът (от друг рутер или от хост, свързан с него от подмрежи, директно свързани с този рутер). Маршрутизаторът може да провери съответствието на адреса на изпращача с адреса на съответната подмрежа, от която е постъпило съобщението. Ако има съвпадение, съобщението се изпраща допълнително и в противен случай се филтрира. Този метод ще позволи на началния етап да изхвърли пакети с невалидни адреси на податели.

Друго решение би могло да бъде създаването на специални полета в заглавната част на пакета, където всеки рутер, през който преминава пакетът, влиза в маршрутизираща информация (например част от адреса си). В този случай първият маршрутизатор, към който пристига пакетът, също въвежда информацията за мрежовия клас (A, B, C), от който е пристигнал пакетът. Въпреки това, добавянето на всички маршрутизатори по пътя към пакета ще бъде неоптимално решение, тъй като в този случай е трудно предварително да се определи максималният размер на заглавната част на пакета.

Когато съобщението достигне до крайния получател, пълният маршрут ще бъде маркиран в заглавието му. На този маршрут, независимо от мрежовия адрес на подателя, посочен в пакета, е възможно, първо, да се идентифицира автентичността на адреса с точност към подмрежата и, второ, да се определи истинският адрес на подателя с точност към подмрежата. Така, след като получи подобно съобщение с посочения маршрут, мрежовата операционна система анализира маршрута и проверява автентичността на адреса на изпращача. В случай на ненадеждност, пакетът се изхвърля.

От гореизложеното следва следното изискване за създаване на защитени комуникационни системи в разпределените въздухоплавателни средства:

Декларация 5.
В разпределена СС е необходимо да се осигури на мрежовото ниво контрол върху маршрута на съобщенията за удостоверяване на адреса на изпращача.

4. Контрол на виртуалните връзки в разпределените въздухоплавателни средства

В предишната глава беше показано, че взаимодействието на RVS обекти чрез виртуален канал ви позволява надеждно да защитите връзката от възможни ефекти на разрушаване на информацията чрез комуникационни канали. Въпреки това, както е отбелязано в точка 5.1.3, взаимодействието върху VC има своите недостатъци. Недостатъците включват необходимостта от контрол на връзката. Ако комуникационната система на отдалечени обекти RVS не предвижда използването на надеждни алгоритми за контрол на връзката, тогава, като се отървем от един вид дистанционна атака върху връзката ("Замяна на доверен обект" - виж раздел 3.2.2), можете да замените системата с друг типичен UA „Отказ на обслужване“ (точка 3.2.4). Следователно, за да се осигури надеждна работа и наличност (наличност) на всеки обект на разпределена КС, първо е необходимо да се контролира процесът на създаване на връзка. Както е посочено в параграф 5.1.3, задачата за контролиране на рисковия капитал попада в два подзадачи:

· Контрол върху създаването на връзка;

· Контрол върху използването на връзката.

Решението на втория проблем е на повърхността: тъй като мрежовата операционна система не може едновременно да има безкраен брой отворени VC, ако VC не работи за определен период от време, системата го затваря.

След това разглеждаме възможен алгоритъм за управление на създаването на връзка в RVS.

Напомним, что при создании ВК полученный системой запрос на создание соединения ставится в очередь запросов, и, когда до него дойдет время, система выработает ответ на запрос и отошлет его обратно отправителю запроса. Задача контроля за созданием соединения заключается как раз в том, чтобы определить те правила, исходя из которых система могла бы либо поставить запрос в очередь, либо нет. Если все пришедшие запросы автоматически ставятся системой в очередь (так построены все сетевые ОС, поддерживающие протокол TCP/IP), то это в случае атаки ведет к переполнению очереди и к отказу в обслуживании всех остальных легальных запросов. Такое происходит из-за того, что атакующий посылает в секунду столько запросов, сколько позволит трафик (тысячи запросов в секунду), а обычный пользователь с легальным запросом на подключение может послать лишь несколько запросов в минуту ! Следовательно, вероятность подключения в такой ситуации, при условии переполнения очереди, один к миллиону в лучшем случае. Поэтому необходимо ввести ограничения на постановку в очередь запросов от одного объекта. Однако, если в РВС любой объект системы может послать запрос от имени (с адреса) любого другого объекта системы, то, как отмечалось ранее, решить задачу контроля не представляется возможным. Поэтому для обеспечения этой возможности было введено Утверждение 5, исходя из которого в каждом пришедшем на объект пакете должен быть указан пройденный им маршрут, позволяющий с точностью до подсети подтвердить подлинность адреса отправителя. Учитывая данный факт, позволяющий отсеять все пакеты с неверным адресом отправителя, можно предложить следующее условие постановки запроса в очередь: в системе вводится ограничение на число обрабатываемых в секунду запросов из одной подсети.