УДК 004.056
С.Н. Новиков, О. И. Со донская
ОБЕСПЕЧЕНИЕ КОНФИДЕНЦИАЛЬНОСТИ ПЕРЕДАВАЕМОЙ ИНФОРМАЦИИ НА СЕТЕВОМ УРОВНЕ
Сети с гарантированным качеством обслуживания призваны обеспечивать защиту информации при помощи сервисных служб [4) — ее целостность [3], конфиденциальность, доступность и аутентичность. Эти службы ответственны за обеспечение основных пользовательских требований, предъявляемых к телекоммуникационным системам (с точки зрения ее информационной безопасности).
В соответствии с моделью взаимосвязи открытых систем (ВОС) сервисные службы могут быть реализованы на верхних уровнях. Однако в этом случае пользователь должен быть достаточно компетентен для использования тех или иных криптографических средств. Кроме того, существуют определенные ограничения на длину ключа для приложений, критичных к задержкам, что влечет за собой невыполнение требуемого уровня качества обслуживания.
Решение данной проблемы возможно на сетевом уровне модели ВОС с использованием структур соединений зашиты (ССЗ). В данной статье анализируется подход корганизации ССЗ и предложен подход анализа обеспечения конфиденциальности информации, в том числе и с учетом несанкционированных действий.
Основные определения [ 1 ]
Агент защиты (A3) — программно-аппаратный комплекс, функционирующий на сетевом уровне и выполняющий функции шифрования и дешифрования.
Соединение защиты (СЗ) — виртуальное соединение, организованное между парой A3.
Структура соединений защиты (ССЗ) — совокупность A3 и СЗ.
Подход к организации ССЗ
В спецификации ATM [1| описан следующий подход к организации ССЗ: протоколы маршрутизации позволяют получить информацию о топологии сети — определить все возможные
варианты путей, после чего протоколы сигнализации устанавливают СЗ между соответствующими A3.
A3 могут размещаться либо в пределах, либо вне оконечных систем пользователей (ОСП), причем в первом случае они взаимодействуют с сетью через интерфейс "пользователь — сеть + + зашита" (UNI + Sec). Агенты защиты последовательно выполняют следующие действия:
определяют вид сервисных служб, которые должны быть применены к данному виртуальному соединению;
согласовывают службы между собой; применяют требуемые службы к данному виртуальному соединению.
Количество СЗ должно быть равно количеству установленных служб.
Для увеличения надежности зашиты передаваемой информации можно использовать более одной пары A3 и более одного СЗ для реализации одной службы. Исходя из этого утверждения может быть сформирована ССЗ, в основе которой заложен принцип вложения и непересечения СЗ вдоль всего маршрута между источником и получателем сообщений (или ОСП).
Пример реализации этого принципа представлен на рис. 1. Виртуальный канал, организованный между ОСП, состоит из четырех соединений защиты S) (/ = 1, ..., 4) и восьми A3 (А31 — А38). Причем СЗ независимы друг от друга — подход позволяет применять многочисленные стратегии и тактики зашиты различных участков сети.
Из рисунка видно, что представленная ССЗ виртуального канала между ОСП имееттри уровня вложения. Заметим, что предельное количество уровней вложения (для технологии ATM до 16) — единственное ограничение организации ССЗ для одного виртуального соединения. При этом для организации ССЗ используются ключи kj, где j = 1 ,т, m — количество пар A3.
Г
С3| - ключ к|
СЗз - КЛЮЧ
СЗз - ключ к-} С34 - ключ
--- __
< V----
ОС1 к <э> к <£зт>
к к к к ОС2
Рис. 1. Распределение криптографических ключей
Представим ССЗ в виде графа, вершины которого — АЗ, ребра — СЗ. Уровни вложения СЗ предлагаем организовывать в соответствии с правилами, приведенными на рис. 2. При этом выделим участки вдоль всего маршрута, состоящие из совокупности СЗ и АЗ. Начальный уровень защиты представлен ребром 0, уровень зашиты 1 включает ребра 0 и 1, уровень зашиты 2 — ребра 0, 1, 2 и т. д. В соответствии с этим на рис. 2, д изображен граф с уровнем защиты 4, который выполнен с помощью пятнадцати СЗ (ребер) и девяти вершин.
Для описания графов, представленных на рис. 2, введем обозначения: V — количество вершин графа; г — количество ребер графа; к — количество уровней зашиты. Зависимости этих трех параметров между собой представлены следующими формулами:
Вероятность обеспечения конфиденциальности информации
Предположим, что:
вероятности угроз несанкционированных действий (НСД) на всех СЗ равновероятны и независимы;
все АЗ структуры обладают одинаковой криптостой костью.
Введем обозначения для пояснения процесса организации защищенного соединения между пользователями: р — вероятность обеспечения защиты информации с начальным уровнем зашиты: Р.^ — заданная ПЗ пользователя вероятность обеспечения защиты передаваемой информации; Рпол — полученная вероятность обеспечения защиты информации с помошью ССЗ.
а)
б)
г = 2У-3 = 2 -I, Л = 1 + 1<^2(у-1) = 1оё2(г + 1).
Пользователь, выдвигая свои требования к обеспечению безопасности передаваемой информации, фактически формирует в соответствии с |2] профиль зашиты (ПЗ), который в свою очередь реализуется с помощью СЗ и непосредственно АЗ. При организации структуры необходимо учитывать, что увеличение количества уровней зашиты приводит не только к увеличению степени защищенности информации, но и к сложности организации ССЗ.
Рис. 2. Правила организации уровней зашиты: а —начального; б— 1; в — 2; г — 3; д — 4
В таком случае вероятность обеспечения защиты для графа с начальным уровнем защиты (см. рис. 2, а)
Ра = Р\ (О
с уровнем защиты 1 (см. рис. 2, б)
(2)
с уровнем зашиты 2 (см. рис. 2, в)
/>2=1-(1-^)(1-/,2); (3) с уровнем защиты 3
с уровнем защиты 4
/>4=1-(1-/0(1-Р32).
Подобным способом находятся все последующие вероятности для любого уровня зашиты.
Тогда справедливо следующее выражение:
^ = ^=1-0-^(1-^1.); к>з, (4)
где Рк — вероятность обеспечения зашиты информации в графе с к уровнями.
Из (4) следует, что за счет увеличения количества уровней зашиты можно достичь сколь угодно высокой степени зашиты информации. Пользователь только задает ПЗ по обеспечению конфиденциальности информации (Р^), система управления сетью связи должна реализовать эти требования в виде организации ССЗ с целью выполнения следующего условия:
Р < Р
зад — ' пол •
В соответствии с формулой (4) сделаны расчеты (рис. 3) и следующие выводы:
на графике 3, а наблюдается значительный прогиб, обусловленный произведением вероятностей в формуле (2) для расчета графа с уровнем защиты 1, при этом значение вероятности при к = 2 уже выше значения исходной;
с увеличением количества уровней защиты значения вероятностей приходят в насыщение, наблюдается наибольший прирост при исходной вероятности р = 0,6 и наименьший при р = 0,1 (рис. 3, б).
Вероятность обеспечения конфиденциальности с учетом вероятности НСД
Предположим, что ССЗ подвергается НСД при условии,что
V 1
Ра ~ =''
1=1
где Ра — вероятность НСД; V — количество вершин графа, описывающего ССЗ; Ра/П,п — вероятность НСД на участке между /-й и (/' + 1)-й вершинами графа.
Проанализируем граф с тремя вершинами и уровнем зашиты 1 (как на рис. 2, в, но без ребер 0 и 1) при равномерно распределенной атаке. Каждая составляющая результирующей (полученной) вероятности обеспечения безопасности информации — произведение вероятностей на каждом участке между парой вершин:
'пол = Ра(\2)Р\г + Ра(гЪ)Р\Ъ =
= (^(12) + ^23))я3 = РаР\ 3 = />13.
где /7,3 — вероятность обеспечения зашиты ребра (между вершинами 1 и 3).
Рассмотрим граф, как в предыдущем случае, но с добавлением ребра между вершинами 1 и 2 (5)2), количество ребер графа г= 2 и количество уровней защиты стало "два неполных": к = 2*. Получаем:
« = ^(12) 0 - <?12<7.3 ) + Рц(23)Р\3' (5)
где <7|2 и <?,, — вероятности необеспечения безопасности ребра 5,2 и 5,3, соответственно <у,2 = 1
- />12. <713= 1 ~Р\У
Учитывая, что Ра( 12) = />0(23) = 0,5,рп = р2Ъ, формулу (5) можно упростить:
« = Ра(12) (1 - Я\2Я\3 )+ Ра{23)Р\3 = = ^(12)0+Р\з)= '<,(12) (1-<?<? + />) = = 0,5(1 + + " + ' =
_ 2 р + др _ РЧ 2 2 Проведем анализ графа с уровнем зашиты 2,
к = 2:
'пол = ^(12) (1 - ?! 2<7| з) + ^(23) (1 - Ы 3), (6)
где 923 — вероятность необеспечения безопасности ребра 523, <72з = 1 — р2у
Допуская предположения как для (5), получаем значительное упрощение (6):
а)
Рк 0.9
0.8 0.7 0,6 0.5 0.4 0,3 0.? 0,1 0.0
с / ✓ - "" М 1
/
1
: 1
: |
\ 1 г
К
л. ■ X л. -1-
0 2 4 6 8 10 12 14 16 18 20 22 24 26 28 к
23456789 к
Рис. 3. Зависимость вероятности Рк от уровня защиты (а) и прирашение вероятности Рк с увеличением уровня защиты (б) Исходная вероятность Р. (-*—) - 0,1 ;(-©-) - 0.3; (-•-) - 0,5; <--) -0,7; (-) - 0,9
р2 _ р /. \ + р \ В результате формула для общего случая пр*
пол а(12)1 и(2з)У Ч21Ч\з I к уровнях защиты будет иметь следующий вид:
= />а(12)(1-<?12913+1-?23^1з)=0'5(2-2<7?)= ( к -2 \
,, х Рпо, = X рф;>\) 1 -Яи+\Ч\у I I Ча.ь . П
= \~ЯЯ = Р + Я~Я{\-Р) = Р + Я-Я + = Р + РЯ- ,=1 Ч у=1 ^
Соответственно для графа с уровнем защи- „ , .„^ _ с
, , ~ ч где — вероятность НСД к ребру Л/| +,
ты 3 (рис. 2, г) получим: " в(«+1) 1 г г
Р3 -Р 1\ П П П и Р (\-а а а между/-Й и (/+1 )-й вершинами графа; <7,,+1 -
5) вероятность необеспечения безопасности инфор-
+/50(34)(1 -934^35?15)+ ^(45) С ~ ?45?35015). мании ребра . ,•+,, равная =1-ри+\\ Я\у —
(7)
вероятность необеспечения безопасности информации ребра у, равная qi v = 1 - />, „; Яа<ь — вероятность необеспечения безопасности ребра
+ \ + 2j при
У -и + 1 И Ь = 2' -и"
V V
За,ь(а = 2У
отрицательности суммы вскобках
—+ 1 2'
.при-
равниваем ее к нулю).
Преобразуем формулу (7) в вид, учитывающий количество СЗ на разных участках ССЗ:
V I
'пол ¿-,а(п) я=I ч
= ИРа(п) ^-ЦЧпп, т=1 У
(8)
где Р,^ — вероятность НСД на п-м участке; п — порядковый номер участка (рис. 2, <?); япт — вероятности необеспечения защиты информации т-м ребром на п-м участке соединения обмена информацией (?ят = 1 - рпт).
Таким образом, вероятность обеспечения конфиденциальности передаваемой информации с использованием ССЗ:
1,-1 1 | * Сл Г 1 П я«т
л=| у 1V Я1=1
(9)
К примеру, если рассмотреть рис. 2, г, то получим:
у-1 , ( к ^
1-ГК
р = у
' пол
п=|
1пт
т=1 у
4 1 Г 3 1
л=1 \ т-] У 4
+1 - <?21<?22?23 + 1 - 431?32?33 +1 ~ <741?42?43 ) =
= |«12<Г|Э-ЯпЯ-пЯ-я-ЯмЯпЯъ ~ЯЛ\ЯА2Яаъ) =
На рис. 4 представлен график, показывающий зависимость вероятности обеспечения зашиты от количества уровней защиты с учетом возможных НСД. В сущности, он основан на формуле (9).
Из рис. 4 видно, что графики вероятностей с увеличением количества уровней стремятся к 100 %-ной защите информации даже при сравнительно малом количестве уровней защиты в отличие от рис. 3, а (без учета вероятности НСД), где значения вероятностей приходят в насыщение, не достигнув максимума.
0.90 0.80 0.70 0,60 0.50 0.40 0.30 0.20 0.10 0.00
-■л — =4
/ / —
: / , ' / . ^ С
>
у -
/ У \
/ Г
1 _1_ ■
1
3 4 5 6
8 9 10 11 12 13 14 15 к
Рис. 4.Зависимость Рк(к) с учетом НСД Исхолная вероятность р: Ь—) -0,1; (-©- ) - 0.3; {-ш-) - 0,5; (- -) -0,7; (-•) - 0,9
Итак, требуемый уровень защищенности пользовательской информации можно обеспечить, применяя соответствующую ССЗ на сетевом уровне модели ВОС. Выдвинув ПЗ, пользователь за-являетсвои требования по информационной безопасности, а система управления сетью связи в зависимости от топологии сети с помощью протоколов маршрутизации и сигнализации организовывает ССЗ посредством СЗ и АЗ.
Из формулы (1) следует, что максимальное приращение значения вероятности обеспечения
конфиденциальности информации происходит при исходной вероятностир = 0,6 и с увеличением количества уровней стремится к единице. С введением врассмотрение вероятностей НСД исходная вероятность снижается до 0,2.
Имея в своем распоряжении даже скромные криптофафические ресурсы, можно реализовать при помощи организации ССЗ необходимую степень защищенности информации, передаваемой по телекоммуникационной сети, даже критичной к задержкам.
СПИСОК ЛИТЕРАТУРЫ
1. ATM Security Specification. Version 1.1. af-sre-0100.002. The ATM Forum. Technical Committee, March 2001.
2. ГОСТ P ИСО/МЭК 15408. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.
3. Новиков С.Н., Солонская О.И. Обеспечение целостности в мультисервисных сетях // Доклады ТУСУР. 2009. № 1 (19). Ч. 2. С. 83-85.
4. Рекомендация МСЭ-Т Х.805. Архитектура безопасности для систем, обеспечивающих связь между оконечными устройствами. 2003.
УДК 519.254
Е.Ю. Афонин, Ю.В. Малышенко
ОЦЕНКА ПОГРЕШНОСТИ ЗНАЧИМОСТИ КАЧЕСТВЕННОГО ПРИЗНАКА ПРИ ЧАСТИЧНОЙ НЕОПРЕДЕЛЕННОСТИ
При решении многих задач (распознавание, диагностика, прогнозирование, оценка рисков и др.) входные данные представляют описания объектов в некоторой системе признаков, при этом разные признаки часто имеют разную значимость (вес) с точки зрения принятия решения [ 1 —4]. В таких случаях правила определения весов признаков могут существенно влиять на результат получаемых решений.
Особенно сложна задача оценки значимости для качественных признаков, которые отражают понятия, не имеющие цифровых значений. Например, известно, что вдорожно-транспорт-ные происшествия (ДТП) наиболее часто попадают автомобили определенных цветов. Как оценить "вес" того или иного цвета в ДТП? А если для некоторых ДТП цвета отдельных участников аварии неизвестны?
По разным причинам вобрабатываемыхдан-ных могут быть пропуски, что создает неопре-
деленность в последующей оценке значимости признаков. Существуют разные способы учета возникающей неопределенности, самый простой — игнорировать пропуски. Иногда группируют признаки так, чтобы минимизировать влияние пропусков на вес группы [4]. Часто пытаются восстановить пропуски. В последнем случае могут присваивать отсутствующему значению некоторое среднее значение, устанашж-вать пропущенное значение с помощью регрессии по имеющимся данным 131 и т. д. Однако всегда возникает вопрос: насколько близки восстановлен н ы е дан н ые к де йствител ьн ы м ?
Один из простых, но зачастую обоснованных подходов к определению веса значения признака — определять вес как частоту, с которой данный признак встречается в описаниях объектов. В данной статье исследуются возможные границы погрешностей восстановления значений признаков при этом подходе. Особенность