Научная статья на тему 'ОБЕСПЕЧЕНИЕ ЦЕЛОСТНОСТИ ДАННЫХ, ПЕРЕДАВАЕМЫХ ПО КАНАЛАМ СВЯЗИ ВИРТУАЛЬНЫХ ЧАСТНЫХ СЕТЕЙ'

ОБЕСПЕЧЕНИЕ ЦЕЛОСТНОСТИ ДАННЫХ, ПЕРЕДАВАЕМЫХ ПО КАНАЛАМ СВЯЗИ ВИРТУАЛЬНЫХ ЧАСТНЫХ СЕТЕЙ Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
530
54
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
БЕЗОПАСНОСТЬ И ЗАЩИТА ИНФОРМАЦИИ / ВИРТУАЛЬНЫЕ ЧАСТНЫЕ СЕТИ / КРИПТОГРАФИЧЕСКАЯ ИМИТОВСТАВКА / СТИРАНИЕ ПАКЕТОВ / ПОМЕХОУСТОЙЧИВОЕ КОДИРОВАНИЕ / ЗАЩИТА VPN ОТ КИБЕРУГРОЗ / МНОГОПУТЕВАЯ МАРШРУТИЗАЦИЯ / МНОГОМЕРНЫЙ МАРШРУТ

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Карпов Сергей Сергеевич, Рябинин Юрий Евгеньевич, Финько Олег Анатольевич

Рассматривается способ обеспечения целостности данных, передаваемых по каналам связи виртуальных частных сетей (virtual private network - VPN) крупномасштабных информационных систем, функционирующих в условиях деструктивного воздействия злоумышленника. Предлагаемый способ позволяет восстанавливать пакеты данных, подвергнутые стираниям и имитации.Целью исследования является повышение устойчивости передачи данных по каналам связи VPN путём реализации процедуры восстановления стёртых пакетов и повышения уровня имитозащищённости передаваемых данных.Методы исследования: агрегирование методов криптографического контроля целостности данных и методов избыточного кодирования данных, применение методов теории марковских случайных процессов для определения вероятности обеспечения удовлетворительной поддержки приложений в условиях деструктивного воздействия злоумышленника с различными параметрами.Результаты исследования: выполнен анализ объекта исследования - VPN крупномасштабных информационных систем, позволивший сделать вывод о необходимости обеспечения защиты данных, передаваемых по каналам связи таких систем, для реализации существующих национальных и региональных стратегий экономического развития. Представлена математическая модель функционирования системы передачи данных по каналам связи VPN в условиях деструктивного воздействия злоумышленника. Предложен способ обеспечения целостности передаваемых данных на основе оригинальной схемы совместного использования известных решений, порождая синергетический эффект. Способ позволяет восстанавливать dмин-1 стертых пакетов данных.Предлагаемое решение позволяет повысить устойчивость и скорость передачи данных по каналам связи сети в условиях деструктивного воздействия злоумышленника и имитации данных.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Карпов Сергей Сергеевич, Рябинин Юрий Евгеньевич, Финько Олег Анатольевич

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

ENSURING THE INTEGRITY OF DATA TRANSMITTED OVER THE COMMUNICATION CHANNELS OF VIRTUAL PRIVATE NETWORKS

A method of ensuring the integrity of data transmitted over communication channels of VPNs of large-scale information systems functioning in the conditions of the destructive influence of the attacker is considered. The proposed method allows to recover data packets subjected to erasure and imitation.The purpose of the research is to increase the stability of data transmission over VPN communication channels by implementing the procedure for recovering erased IP-packets and increasing the level of imitation security of the transmitted data.Research methods: aggregation of methods of cryptographic control of data integrity and methods of redundant coding of data, application of methods of the theory of Markov random processes to determine the probability of providing satisfactory support for applications in conditions of destructive influence of an attacker with various parameters.Research results: analysis of the object of research - VPN of large-scale information systems was carried out. It leads to the conclusion about the need to protect data transmitted through such communication channels for the implementation of national strategies for economic development. A mathematical model of the functioning of a data transmission system over a VPN communication channel under the conditions of a destructive influence of an attacker is presented. A method is proposed to ensure the integrity of transmitted data based on an original scheme for sharing known solutions, generating a synergistic effect. The method allows recovering dmin-1 erased data packets.The proposed solution makes it possible to increase the stability and speed of data transmission over the communication channels of the network in the conditions of the destructive influence of the attacker and the imitation of data by the attacker.

Текст научной работы на тему «ОБЕСПЕЧЕНИЕ ЦЕЛОСТНОСТИ ДАННЫХ, ПЕРЕДАВАЕМЫХ ПО КАНАЛАМ СВЯЗИ ВИРТУАЛЬНЫХ ЧАСТНЫХ СЕТЕЙ»

ОБЕСПЕЧЕНИЕ ЦЕЛОСТНОСТИ ДАННЫХ, ПЕРЕДАВАЕМЫХ ПО КАНАЛАМ СВЯЗИ ВИРТУАЛЬНЫХ ЧАСТНЫХ СЕТЕЙ

Карпов С.С.', Рябинин Ю.Е.2, Финько О.А.3

Аннотация

Рассматривается способ обеспечения целостности данных, передаваемых по каналам связи виртуальных частных сетей (virtual private network - VPN) крупномасштабных информационных систем, функционирующих в условиях деструктивного воздействия злоумышленника. Предлагаемый способ позволяет восстанавливать пакеты данных, подвергнутые стираниям и имитации.

Целью исследования является повышение устойчивости передачи данных по каналам связи VPN путём реализации процедуры восстановления стёртых пакетов и повышения уровня имитозащищённости передаваемых данных.

Методы исследования: агрегирование методов криптографического контроля целостности данных и методов избыточного кодирования данных, применение методов теории марковских случайных процессов для определения вероятности обеспечения удовлетворительной поддержки приложений в условиях деструктивного воздействия злоумышленника с различными параметрами.

Результаты исследования: выполнен анализ объекта исследования - VPN крупномасштабных информационных систем, позволивший сделать вывод о необходимости обеспечения защиты данных, передаваемых по каналам связи таких систем, для реализации существующих национальных и региональных стратегий экономического развития. Представлена математическая модель функционирования системы передачи данных по каналам связи VPN в условиях деструктивного воздействия злоумышленника. Предложен способ обеспечения целостности передаваемых данных на основе оригинальной схемы совместного использования известных решений, порождая синергетический эффект. Способ позволяет восстанавливать dMHH -1 стертых пакетов данных.

Предлагаемое решение позволяет повысить устойчивость и скорость передачи данных по каналам связи сети в условиях деструктивного воздействия злоумышленника и имитации данных.

Ключевые слова: безопасность и защита информации, виртуальные частные сети, криптографическая ими-товставка, стирание пакетов, помехоустойчивое кодирование, защита VPN от киберугроз, многопутевая маршрутизация, многомерный маршрут.

Введение

Системное развитие и внедрение цифровых технологий во все сферы жизнедеятельности человека, поступательное распространение технологий интернета вещей и облачных вычислений, их интеграция в киберфизические системы и объединение таких систем в единую глобальную сеть изменяет сложившиеся экономические парадигмы и выступает одним из основных факторов конкурентноспособности

D0I:10.21681/2311-3456-2021-4-81-97

как отдельных предприятий, так и целых конгломератов [1-3].

За последние несколько лет запущен ряд национальных и региональных инициатив по формированию распределённых интеллектуальных систем: «Стратегия развития информационного общества в Российской Федерации на 2017 - 2030 годы»4, «Новая промышленная стратегия для Европы до 2030 г.»5, «Стратегия высоких

1 Карпов Сергей Сергеевич, адъюнкт 22 кафедры (техники специальной связи) Краснодарского высшего военного орденов Жукова и Октябрьской Революции Краснознаменного училища имени генерала армии С.М. Штеменко, г Краснодар, Россия. E-mail: [email protected]

2 Рябинин Юрий Евгеньевич, кандидат технических наук, докторант 22 кафедры (техники специальной связи) Краснодарского высшего военного орденов Жукова и Октябрьской Революции Краснознаменного училища имени генерала армии С.М. Штеменко, г Краснодар, Россия. E-mail: [email protected].

3 Финько Олег Анатольевич, доктор технических наук, профессор, профессор 22 кафедры (техники специальной связи) Краснодарского высшего военного орденов Жукова и Октябрьской Революции Краснознаменного училища имени генерала армии С.М. Штеменко, г. Краснодар; профессор кафедры информационной безопасности автоматизированных систем Северо-Кавказского федерального университета, г. Ставрополь; академический советник Российской академии ракетных и артиллерийских наук (РАРАН) г. Москва, Россия.

E-mail: [email protected].

4 О Стратегии развития информационного общества в Российской Федерации на 2017 - 2030 годы: Указ Президента Российской Федерации от 09.05.2017 № 203. URL: http://publication.pravo.gov.ru/Document/View/0001201705100002 (дата обращения: 20.02.2021).

5 A New Industrial Strategy for Europe / Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions / European Commission - Brussels, 10.3.2020 C0M(2020) 102 final. - URL: https://ec.europa.eu/info/ sites/default/files/communication-eu-industrial-strategy-march-2020_en.pdf (дата обращения: 20.02.2021)

Радиоканал

Рис. 1. Пояснение процесса передачи данных с использованием инфраструктуры ИТКС ОП

технологий 2025»6 в Германии, «Industrie du Futer»7 во Франции. Реализация подобных инициатив предусматривает формирование и внедрение крупномасштабных систем (в том числе и ведомственных), объединенных единой сетью связи. При этом одним из основных факторов успешной реализации существующих стратегий развития является обеспечение защиты данных, обрабатываемых интеллектуальными системами, от киберугроз.

Децентрализация систем аналитики и управленческих решений, распределенная обработка данных средствами облачных сервисов предполагает использование информационно-телекоммуникационной сети общего пользования (далее - ИТКС ОП). При этом наличие злонамеренного нарушителя предполагает организацию защищенных каналов связи в ИТКС ОП, что в настоящее время осуществляется главным образом с помощью технологий виртуальных частных сетей (virtual private network - VPN) [4, 5].

Модель злоумышленника для VPN предусматривает ряд угроз безопасности информации8, реализуемых, в том числе, в результате воздействий на используемую для организации виртуальных каналов инфраструктуру ИТКС ОП, в частности - уязвимостей протоколов сетевого взаимодействия [6, 7]. Потери, превышение времени доставки пакетов данных сетевого уровня модели OSI (далее - пакеты), а также блокирование элементов инфраструктуры ИТКС ОП приводят к стиранию пакетов

6 Die Bundesregierung / Forschung und Innovation f r die Menschen. URL: https://www.bmbf.de/upload_filestore/pub/Forschung_und_ Innovation_fuer_die_Menschen.pdf (дата обращения: 20.02.2021)

7 Le Guide des technologies de l'Industrie du Futur / Enjeux et panorama des solutions. URL: http://www.industrie-dufutur.org/content/ uploads/2018/03/Guide-des-Technologies_2018_V3.pdf (дата обращения: 20.02.2021)

8 Банк данных угроз безопасности информации ФСТЭК России. (дата

обращения 27.11.2018) URL: https://bdu.fstec.ru/threat (дата обра-

щения: 01.02.2021)

на стороне получателя. Существующий механизм обратной связи даёт положительный результат, если стирания пакетов носят случайный характер [8]. Однако, при превышении допустимого уровня количества стёртых пакетов в VPN, удовлетворительная поддержка различных приложений становится невозможной9.

Таким образом, повышение уровня защищённости данных, передаваемых в VPN, является актуальной задачей в рамках реализации стратегий развития информационного общества.

Анализ объекта исследования

Каналы связи VPN прокладываются в сети заблаговременно и независимо от того, существует ли поток пакетов в сети в данное время или только является топологически возможным. Для каждой конкретной VPN создается отдельный класс эквивалентности продвижения (forwarding equivalence class - FEC). Все пакеты, принадлежащие к данному классу, продвигаются через MPLS-сеть (multiprotocol label switching - многопротокольная коммутация по меткам) по одному виртуальному пути. Таким образом, передача данных в VPN преимущественно реализуется средствами технологий многопутевой маршрутизации [8].

Формирование таблиц продвижения выполняется заранее (до появления потока данных), как правило, автоматически в соответствии с топологией сети. У администратора сети (провайдера) имеется возможность корректировать таблицы FEC [8]. Согласно аналитическим исследованиям международной исследовательской и консалтинговой компании International Data Corporation

9 Рекомендация МСЭ-Т У1541. Требования к сетевым показателям качества для служб, основанных на протоколе 1Р: утверждена 12-й Исследовательской комиссией в соответствии с процедурой, изложенной в Рекомендации МСЭ-Т А.8 22 февраля 2006 г Швейцария Женева, 2007.

Рис. 2. Принцип использования протоколов DPI

(IDC) на протяжении последних лет абсолютными лидерами по производству сетевого оборудования и программного обеспечения для систем связи остаются компании: Cisco, Huawei, Hewlett Packard Enterprise, Arista Networks, Juniper Networks и другие10. Следовательно, построение таблицы коммутации каналов VPN и передача пакетов данных в канале осуществляются программными и аппаратными средствами иностранных компаний, расположенными в ИТКС ОП. Это обуславливает наличие дополнительных уязвимостей ввиду вероятного присутствия не декларируемых возможностей данного оборудования и программного обеспечения [9]. Процесс обмена данными по многомерному маршруту между объектами крупномасштабной информационной системы поясняется на рисунке 1.

Согласно результатам анализа, проведенного в работе [10] большинство узлов связи и объектов критической информационной инфраструктуры вскрываются специальными службами иностранных государств и организованными группами киберпреступников. Трафик VPN может быть идентифицирован среди множества передаваемых пакетов в сети провайдера (поставщика услуги интернет). Помимо полей адресации в заголовке IP пакета, содержащих внешние адреса объектов информационных систем, такой трафик имеет ряд отличительных признаков, благодаря которым может быть выделен методом статистического анализа. На сетевом оборудо-

10 IDC's Worldwide Quarterly Ethernet Switch and Router Trackers Show Mixed Results in Fourth Quarter of 2020. - URL: https://www. idc.com/getdoc.jsp?containerId=prUS47525621 (дата обращения: 20.02.2021)

вании ИТКС ОП реализованы протоколы учёта сведений о потоках IP пакетов, обработанных на этом оборудовании. Поток определяется как однонаправленная последовательность пакетов, у которых совпадают IP адреса и номера портов источника и получателя и тип протокола. Записи протоколов учёта NetFlow (Cisco), NetStream (Huawei Technologies), JFlow (Juniper Networks) сохраняют большое количество информации о пакетах, в том числе значение поля ToS (Type of Service - тип обслуживания), информацию специфичную для транспортных протоколов, номер автономной системы и многое другое11. Последние версии протоколов учёта сведений о потоках IP пакетов определяют также потоки по MPLS меткам и таблицам FEC (MPLS-aware netflow). Конвенция Совета Европы12 декларирует принцип трансграничного доступа к хранящимся компьютерным данным, а именно, право без согласия другой стороны получать доступ к общедоступным компьютерным данным независимо от их географического местоположения; получать через компьютерную систему на своей территории доступ к хранящимся на территории другой стороны компьютерным данным или получать их, если имеется законное и

11 Рекомендация МСЭ-Т Y.2770. Требования к углубленной проверке пакетов в сетях последующих поколений: утверждена 13-й Исследовательской комиссией в соответствии с процедурой, изложенной в Рекомендации МСЭ-T А.8 20 ноября 2012 г Швейцария Женева, 2014. - Текст: непосредственный.

12 Конвенция Совета Европы о преступности в сфере компьютерной информации (ETS N 185): 23 ноября 2001 г Венгрия Будапешт, 2001. - Текст: электронный. // Гарант: справочно-правовая

система. - URL: http://base.garant.ru/4089723 (дата обращения: 01.03.2021).

Рис. 3. Основные элементы каналов реализации угроз безопасности информации VPN

добровольное согласие лица, которое имеет законные полномочия раскрывать эти данные через такую компьютерную систему. Следовательно, данные об информационном обмене VPN, собираемые в узлах ИТКС ОП, могут передаваться для дальнейшего статистического и интеллектуального анализа третьей стороне (рис. 2). Полученные в ходе анализа временные интервалы и интенсивность использования интернет сервисов VPN, типы используемых протоколов и другие характеристики трафика могут быть использованы для реализации угроз безопасности информации.

Согласно данным, аккумулируемым и публикуемым ФСТЭК13, злоумышленником могут быть реализованы угрозы безопасности информации в отношении элементов ИТКС ОП, являющейся базовой сетью для VPN:

— угроза физического выведения из строя средств хранения, обработки и (или) передачи информации;

— угроза вскрытия топологии вычислительной сети;

— угроза несанкционированного доступа к виртуальным каналам передачи;

— угроза использования слабостей протоколов сетевого и локального обмена данными;

— угроза несанкционированного доступа к виртуальному и физическому сетевому оборудованию из физической и виртуальной сети;

— угроза приведения системы в состояние «отказ в обслуживании» и другие.

13 Банк данных угроз безопасности информации ФСТЭК России. 27.11.2018. - URL: https://bdu.fstec.ru/threat (дата обращения: 01.02.2021).

Основные элементы каналов реализации угроз безопасности информации VPN поясняются на рисунке 3.

Деструктивное воздействие на элементы ИТКС ОП может быть эффективным для информационного обмена абонентов VPN и практически незаметным для остальных пользователей ИТКС ОП. Например, согласно данным, опубликованным на официальном сайте технической поддержки CISCO, изменение параметра MTU (maximum transmission unit - максимальная единица передачи) в одном и более элементов базовой сети VPN хотя бы на один пункт менее MTU, установленного в маршрутизаторе, использующем стек протоколов IPSec совместно с блоком аппаратного шифрования, приводит к уменьшению скорости шифрованного соединения на 50-90%. В данном случае потеря скорости такого соединения связана с процессорной коммутацией фрагментированных пакетов IPSec и их деф-рагментацией перед передачей криптографическим аппаратным средствам. Таким образом, пропускная способность VPN канала уменьшается до уровня производительности, который обеспечивается шифрованием с помощью программных средств. При этом такое уменьшение MTU и последующая фрагментация пакетов не оказывает существенного влияния на скорость передачи данных абонентов сети ИТКС ОП, чей трафик не защищен криптографическим шифрованием14. Сце-

14 Устранение фрагментации IPv4, проблем с MTU, MSS и PMTUD в работе GRE и IPsec. - Текст: электронный // Официальный сайт

телекоммуникационной компании CISCO. - URL: https://www. cisco.com/c/ru_ru/support/docs/ip/generic-routing-encapsulation-gre/25885-pmtud-ipfrag.html (дата обращения: 01.03.2021)

Рис. 4. Сценарий фрагментации пакетов IPSec и IP

нарий фрагментации пакетов IPSec и IP поясняется на рисунке 4.

Также снижение скорости передачи данных по каналам VPN может быть вызвано потерями или задержкой части пакетов, если число таких пакетов или величина задержки выше допустимого уровня, определённого для класса обслуживания данной сети15. Проблема потерь и задержек пакетов VPN может быть вызвана перегрузками в узлах (коммутаторов, маршрутизаторов и т.п.), коллизиями (наложением пакетов от разных абонентов), уменьшением пропускной способности каналов передачи данных вследствие слишком большого количества одновременно подключённых пользователей, искажений в пакете, переполнения входных буферов сетевых устройств и другими сбоями в ИТКС ОП. В системах передачи данных и сетевых приложениях, работающих в режиме реального времени, задержки пакетов равнозначны потерям, поскольку нет возможности приостанавливать процесс обработки, передачи и отображения данных в ожидании пакета или его повторной передачи. Потерянные пакеты и пакеты с ошибками в теории помехоустойчивого кодирования считаются стёртыми. При систематических ошибках и потерях пакетов их восстановление в отведённое время с использованием обратной связи затруднительно [8]. Стирание пакетов приводит к перезапуску серии IP пакетов от источника к получателю, а в случае успешной имитации пакетов VPN возможна ситуация отправки квитанции об успешном получении серии пакетов и последующей ошибки при обработке полученных данных.

Таким образом, при применении технологии VPN в интересах функционирования крупномасштабных си-

15 Рекомендация МСЭ-Т У1541. Требования к сетевым показателям качества для служб, основанных на протоколе 1Р: утверждена 12-й Исследовательской комиссией в соответствии с процедурой, изложенной в Рекомендации МСЭ-Т А.8 22 февраля 2006 г Швейцария Женева, 2007.

стем и принятия управленческих решений в условиях деструктивного воздействия злоумышленника становится критически важно обеспечить устойчивость передачи данных.

Описание математической модели

Рассмотрим систему передачи данных по каналам связи VPN, которая с течением времени изменяет своё состояние с некоторой вероятностью под воздействием деструктивных инициирующих событий. Формализуем рассматриваемый процесс в виде марковского процесса смены состояний и примем следующие необходимые для исследования дискретные состояния моделируемой системы:

51 - «работоспособное состояние» - система функционирует в нормальном режиме;

52 - «состояние ожидания повторно отправленных пакетов» - осуществляется деструктивное воздействие злоумышленником на базовую сеть VPN, которой является ИТКС ОП; часть пакетов стирается, получатель ожидает повторной отправки серии пакетов от источника; число стёртых пакетов не превышает допустимый коэффициент потери пакетов16 (вероятность потери пакета17);

53 - «состояние ошибки» - в случае успешной имитации пакеты считаются принятыми, при дальнейшей обработке сообщения возникает ошибка, происходит перезапуск процесса передачи данных;

16 Об утверждении Требований к организационно-техническому обеспечению устойчивого функционирования сети связи общего пользования: Приказ Министерства информационных технологий и связи Российской Федерации от 27.09.2007 №113. -URL: https://digital.gov.ru/ru/documents/3921 (дата обращения: 20.02.2021).

17 Рекомендация МСЭ-Т Y.1541. Требования к сетевым показателям качества для служб, основанных на протоколе IP: утверждена 12-й Исследовательской комиссией в соответствии с процедурой, изложенной в Рекомендации МСЭ-T А.8 22 февраля 2006 г. Швейцария, Женева, 2007.

Рис. 5. Граф состояний процесса функционирования системы передачи данных

по каналам связи VPN

S4 - «состояние неудовлетворительной поддержки приложений» - в результате деструктивного воздействия злоумышленника количество потерянных пакетов превышает допустимый коэффициент потери пакетов, запускается процесс изменения параметров передачи данных по каналам связи VPN или повторный запуск процесса передачи данных.

Граф состояний процесса функционирования системы представлен на рисунке 5.

В начальный момент времени система находится в «работоспособном состоянии». При отсутствии деструктивного воздействия злоумышленника на элементы базовой сети VPN и отсутствии имитирующих воздействий злоумышленника, система возвращается в «работоспособное состояние»: Sj ^Sj, S2 ^ Sj, S3 ^Sj, S4 ^Sj.

В случае деструктивного воздействия злоумышленника на базовую сеть VPN происходят потери пакетов. Если их количество не превышает допустимый коэффициент потери пакетов, система переходит в «состояние ожидания повторно отправленных пакетов»: Sj ^S2,

S2 ^ S2 , S3 ^ S2, S4 ^ S2 .

Если злоумышленнику удалось осуществить успешную имитацию пакетов передаваемого информационного сообщения, система переходит в «состояние ошибки»: Sj ^ S3, S2 ^ S3, S3 ^ S3, S4 ^ S3.

Если злоумышленнику не удалось осуществить успешную имитацию пакетов, однако, при этом, в результате деструктивного воздействия злоумышленника происходят потери пакетов, превышающие допустимый коэффициент потери пакетов, система переходит в «состояние неудовлетворительной поддержки пакетов»: Sj ^ S4, S2 ^ S4, S3 ^ S4, S4 ^ S4.

Параметры переходов St ^Sj характеризуются вероятностями Pij , зависящими от вероятности успеш-

ной доставки пакетов в условиях деструктивного воздействия злоумышленника, интенсивности имитации пакетов данных, вероятности успешной имитации данных злоумышленником, допустимого коэффициента потери пакетов для обеспечения удовлетворительной поддержки различных приложений, параметров системы передачи данных по каналам связи VPN.

При допущениях: о многопутевой независимой передаче пакетов в сети ИТКС ОП [11, 12] и, следовательно, пуассоновском характере процесса стираний пакетов в сети в результате деструктивного воздействия злоумышленника вероятность p „ - того, что в

J ^ отс. стирании

системе при передаче последовательности пакетов отсутствуют стёртые пакеты можно определить как:

p „ = е

' отс. стирании

-цМ

где - вероятность стирания пакета, N - количество пакетов в последовательности (размер скользящего окна).

Вероятность р того, что в системе количе-

г доп. ур. пот.

ство потерянных пакетов не превышает допустимого значения, т.е. количество пакетов принятых без стираний обратно пропорционально допустимому коэффициенту потери пакетов: —ии1

р = е допустимое

доп. ур. пот. ,

где ,идо^стимое - допустимый коэффициент потери пакетов, при котором обеспечивается удовлетворительная поддержка различных приложений.

Вероятность ротс. усп_ имит, того, что в системе не произошло ни одной успешной имитации пакета при передаче информационного сообщения равна: -ХуЫ

Роге. усп. ИМИТ. ■

где Я - вероятность успешной имитации пакета данных злоумышленником, у - интенсивность имитационного воздействия злоумышленника (отношение числа полученных сымитированных злоумышленником пакетов к числу пакетов информационного сообщения), M - длина информационного сообщения (количество сетевых пакетов).

Вероятности Pii, Р21, Р31 и Р41 того, что в системе в процессе передачи данных по каналам связи VPN осуществляется удовлетворительная поддержка различных приложений, отсутствуют стёртые и успешно сымитированные пакеты:

Р11= Р21= Р31= Р41 =

= /'доп. ур. пот.' Р отс. стираний" Ротс. усп. имит.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Вероятности Р12, Р22, Р32 и Р42 того, что в процессе передачи данных по каналам связи VPN число потерянных пакетов не превышает порог, соответствующий уровню удовлетворительной поддержки различных приложений, и, при этом, успешная имитация пакетов отсутствует:

Р12 = Р22 = Р32 = Р42 =

_ Рдоп. ур. пот.' ^ Ротс. стираний )' Ротс. усп. имит.

Вероятности Р13, Р23, Р33 и Р43 успешной имитации пакетов в каналах связи VPN:

Р13 = Р23 = Р33= Р43=1~ Ротс. усп. имит.

Вероятности Р14, Р24, Р34 и Р44 того, что в каналах связи VPN успешная имитация пакетов отсутствует и, при этом, поддержка различных приложений не осуществляется на удовлетворительном уровне:

Р14 = Р24 = Р34 = Р44 = (! - Рдоп. пот.)'усп. имит.

В целях исследования системы передачи данных по каналам связи VPN по построенному графу состояний (рис. 5) составим систему уравнений:

Изменяя параметры системы в пределах устойчивости уравнений в соответствии с условиями функционирования, получим динамику значений вероятности нахождения системы в различных состояниях. Результаты исследования системы в условиях

деструктивного воздействия злоумышленника, при которых коэффициент потери пакетов значительно ниже допустимого, представлен на рисунке 6а. При этом вероятность нахождения системы в состоянии неудовлетворительной поддержки различных приложений не превышает 10%.

Результаты исследования системы в условиях имитационного воздействия злоумышленника с интенсивностью y равной информационному обмену (при допущении вероятности успешной имитации, определяемой методом полного перебора значения поля аутентификации заголовка пакета IPSec) представлены на рисунке 6б. Злоумышленником могут быть использованы более совершенные алгоритмы, отличные от метода полного перебора, а также уязвимости протокола IPSec для успешной имитации пакетов. Таким образом, в результате имитации данных злоумышленником вероятность нахождения системы в работоспособном состоянии может быть значительно снижена.

Результаты исследования системы в условиях деструктивного воздействия злоумышленника при приближении значения коэффициента потери пакетов ц к допустимому значению (на интервале времени от 0 до t ) представлены на рисунке 6в. Для решения системы уравнений (1) численным методом использовался метод Рунге-Куты с фиксированным шагом интегрирования. Одними из действенных методов обеспечения целостности передаваемых данных являются методы помехоустойчивого кодирования18 и криптографические методы, реализующие вычисление имитовставки. Предлагаемое далее решение является развитием более ранних решений авторов [13-15].

Передающая сторона выполняет мониторинг канала связи виртуальной частной сети на предмет деструктивного воздействия злоумышленника посредством обратной связи или с помощью развёрнутых сенсоров в сети. В случае обнаружения таких воздействий на передающей стороне оценивают коэффициент потери

(1)

пакетов и принимают решение о целесообразности применения предлагаемого способа.

18 Кубицкий В.И. Восстановление стертых пакетов в компьютерных сетях // Научный вестник МГТУ ГА. - 2011. - №169. - С. 65-72.

^ = -P12Pi (t) - P13Pi (t) - P14Pi (t) + P21P2 (t) + P31P3 (t) + P41P4 (t); dt dP2 (t)

= -P21P2 (t) - p23P2 (t) - p24P2 (t) + P12P (t) + P32P3 (t) + p42P4 (t);

dt 1 dP3(t )

= -P31P3 (t) - P32P3 (t) - P34P3 (t) + P13P (t) + P23P2 (t) + P43P4 (t);

dt dP4 (t)

- = -P41P4 (t) - P42P4 (t) - P43P4 (t) + P14P1 (t) + P24P2 (t) + P34P3 (t);

dt

P(t) + P2 (t) + P3(t ) + P4 (t ) = 1 .

1

0,9 0,8 0,7 0,6 0,5 0,4 0,3 0,2 0,1 0

Раб отоспосс збное сос лояние

Состояние ожид< отправленных пэ

кетов

\ С Состояние неудов оддержки „ петвопитеяыти

\ л

-V - - = - - -

Л

ш

£ 3

У5

§8

< я зр

II

X О.

е а

а) м= 0,0001, допустимое = 0,001, N = 100

V ■

Работоспособное соетояние-

Рлгтпвиып ни/ лпвлртяитгг р пьитй

поддержки приложений

Состоя ние ожи пенных дання повторно

\

N Состояние ошибки

1- -- -^ - - - - -

л

ш 0,9

2 п: 0,8 ^ =

5 й 0.7

К0-6

- * 0.5

± §> 0,4

о | о.з

2 <

р - 0,2

'=7 ^

£ о,1

ш

а 0

б) И= 0,0001, ц

•допустимое

= 0,001, N = 100, Я = 0,000016, У = 1, М = 10000

3 1

у 0,9 о X = 2 0,8 ° х 5 5 0.7

= 2 ^00,6

О ^ 0,5 х а < -с х =0.4

о 5 Е 2:0,2

2 0.1

ш

в о

V

\

\ с 'остоянме неуловлетвопнтельнон

\ I оддержки приложений

Работоспособное состояние-

Состояние ожидания повторно

- отправленных пакетов 1

2 3 4 5

в) 0,0009, ^допустимое"

6

: 0,001

7

N = 100

Рис. 6. Динамика изменения вероятности нахождения системы в различных состояниях: а) в нормальных условиях, б) при имитирующем воздействии злоумышленника, в) при деструктивном воздействии злоумышленника

В случае принятия положительного решения определяют параметры помехоустойчивого кодирования: количество информационных пакетов D, количество избыточных пакетов R , линейно зависимых от информационных, и размер скользящего окна N. Параметры определяются согласно методике, разрабатываемой с учётом требований нормативно-правовых актов по защите информации, соответствующей VPN, или на основании результатов моделирования деструктивного воздействия злоумышленника на конкретный объект информатизации.

Оценка коэффициента потери пакетов в канале связи VPN может осуществляться передающей стороной с использованием моделей рабочих характеристик протокола TCP и данных, полученных от сенсоров19. При отсутствии таких данных оценка качества канала может осуществляться передающей стороной путём расчёта коэффициента потери пакетов по имеющейся статистике повторно передаваемых последовательностей пакетов: 1

потери пакетов"

б

G+Q.

Для каждой последовательности из В информационных пакетов формируют Я избыточных пакетов линейно зависимых от В информационных пакетов. Проверочная матрица для формирования Я избыточных пакетов из В информационных Аотображает зависимость Я избыточных пакетов от В информационных пакетов. Проверочная матрица должна соответствовать требованиям:

— количество единиц в строке матрицы А должно быть не менее ^мин -1, где ^мин - минимальное кодовое расстояние;

— сумма над GF (2) двух любых строк не должна иметь менее -2 единиц [16].

Формирование избыточных пакетов = 1, 2, ..., R) осуществляется произведением над GF(2) проверочной матрицы АВхя на вектор-строку из В информационных пакетов У^в :

wix r = y

1х D

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

DxR

где О - количество доставленных последовательностей пакетов, Q - количество повторно отправленных последовательностей пакетов, N - размер скользящего окна в пакетах.

Описание этапа котирования. При поступлении на вход криптомаршрутизатора последовательности из М сетевых пакетов С1;...,См внутренней сети информационной системы тело каждого информационного пакета и его заголовок с адресами внутренней сети зашифровываются. Далее полученные зашифрованные инп формационные пакеты Н1, ..., Нм делят на группы из В информационных пакетов. Для каждого информационного пакета Иг- вырабатывают имитовставку лП^ по

ключу ^ (i = 1, 2, ..., D), например, по ГОСТ Р 34.12201520. Имитовставка добавляется к информационным пакетам Иг-:

Yi = Н^Ц/! / ••• Ьп ]][ ... /и],

= [[ У2 ••• Уп Уп+1 ••• Уп+т ]

где «||» - символ операции конкатенации; п и т - длины (в битах) пакета и имитовставки соответственно; к , I и у - двоичные символы информационного пакета И, имитовставки Ц и сформированного пакета у соответственно.

= W y2

*DJ

«1, 1Y1 «1, 2Y1

«2, 1Y 2*

2*2«

«1, 1 «1, 2 «2, 1 «2,2

aD, 1 '''

1Yd Y

3 «D, 2YD

«1, R

«D, R

(2)

^«1, rY1R«2, rY-2r•••© «d, RYD = [W1 W2 • Wr ] или решением системы из уравнений:

D

Wj =0 atYi i=1

(3)

19 Рекомендация МСЭ-Т У1541. Требования к сетевым показателям качества для служб, основанных на протоколе 1Р: утверждена 12-й Исследовательской комиссией в соответствии с процедурой, изложенной в Рекомендации МСЭ-Т А.8 22 февраля 2006 г. Швейцария, Женева, 2007.

20 ГОСТ Р 34.12-2015. Информационная технология. Криптографическая защита информации. Блочные шифры: национальный стандарт Российской Федерации: издание официальное: утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 19 июня 2015 г. № 749-ст: введен впервые: дата введения 2016-01-01. - Москва: Стандартинформ, 2017.

где «®» - произведение матриц над GF(2), «©» - сумма над GF(2), у} - элементы проверочной матрицы А , «Т» - символ операции транспонированная.

Для каждого из Я избыточных пакетов вырабатыва-

(к-)

ют по ключу kj имитовставку , которая добавляется к пакету: 3 Ъ- = ■

Процесс кодирования поясняется с помощью рисунка 7. Далее информационные и избыточные пакеты передают по многомерному маршруту в ИТКС ОП. Каждый информационный и избыточный пакет передают по максимально независимым друг от друга маршрутам ИТКС ОП.

На приёмной стороне выполняется проверка целостности пакетов, по результатам которой принимается решение о необходимости стирания пакета. Неприбыв-шие пакеты (превысившие лимит ожидания ^еб) при-

Данные внутренней сети VPN

Вход

IP пакет ( Cj ) И IP пакет ( C2 ) 1 | IP пакет ( CM )

Данные Заголовок II II Данные Заголовок I...I 1 I Данные Заголовок

Процедура зашифрования пакетов данных

Криптомаршрутизатор

Зашифрованные передаваемые данные

№ пакет"(Н^) | Г 7р"ПаКет7н"2 Г ^ Г ТРгагат" Н Г '

Данные

Заголовок

I I |. . .1

Данные

Заголовок

Данные

Заголовок

О

Фрагментация зашифрованных пакетов на группы по В пакетов

Р

Ь

О

С!

^ группа

-N I

—i/i H H

i i m-d' m i I__D-___d

Фрагментированные данные ( M ■

I 2-я группа

■I

D гРУпп)

1-я группа

| | HD+1, H2D ¡| H1, H2,

, H

d |

Вариант реализации способа для 1-й группы j

Процедура формирования имитовставки

1-я группа

3

Yd Y2 Yj

H D L(^d ) h d m • m H 2 L(*2 ) H 2 Hj

»

W = © a\ Y

Избыточные пакеты для 1-ой группы

i=1

J i

z j = wJIIlW]

Zr

Wr L(kR ) LWr

Z2 Zj

W2 T(k2 ) LW2 W1 T(kj )

p>

Процедура инкапсуляции IPSec

Последовательность пакетов, сформированная для 1-ой группы

Z R Заголо- Zj Заголо- Yd Заголо- Заголо-

вок • • • вок вок • • • Yj вок

IPSec IPSec IPSec IPSec

I I

' Выход

Г

Рис. 7. Пояснение процесса кодирования данных в VPN

нимаются стёртыми. Таким образом, на принимающей стороне выполняется локализация стертых пакетов в общей последовательности из Ц> +Я пакетов и определяется «обобщенный синдром стираний» (рис. 8). Из пакетов, прошедших проверку, формируют линейный разделимый избыточный код, кото|тый затем декодируют с испратлением стираний (восстановлением паветов).

Описание этапа декодирования. Восстановление стёртых пакетов сводится к решению уравнения (2)

или системы уравнений (3) над GF(2). В случае, если количество стёртых пакетов гфевышаер ^ -1, но не превышает значериеЛ , предватительн о выполня ется броверка сотместности системы уравнентр над ОР(2). Для этого система уравнений представляется в виде матрицы коэффициентов при паременных, далее находится её детерминант:

Д =

Ф

a,a2,...,an

1 'ba2. 2 '

a„. n

Пакет IPSec

H, L'H1,1 Заголовок IPSec

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Пакет IPSec Пакет IPSec

H d ) H D Заголовок IPSec I1 M M W, T(ki ) Заголовок IPSec

il

At > ^Треб Проверка целостности

«ИЛИ»

4Z

£Е

At > tTpe6 Проверка целостности At > tTpe6 Проверка целостности

«ИЛИ» «ИЛИ»

Пакет IPSec

1 T(kR ) LWr Заголо-

... 1 1 W* вок IPSec

"О'

At > tTpe6 Проверка целостности

«ИЛИ»

----

si ,

sD, sD+1, ..., sD+R

I

Обобщённый синдром стираний |

Рис. 8. Пояснение процедуры нахождения «обобщенного синдрома стираний»

кодер

КАНАЛ С СО СТИРАНИЕМ ПАКЕТОВ

Out!

Inl

Ou! 2

In 2 0ut3

ДЕКОДЕР

ПРИНЯТО ПОСЛЕДОВАТЕЛЬНОСТЕЙ ИЗ N ПАКЕТОВ

КОГИЧЕСТВО ПЕРЕЗАПР0С06 УСЛОВИЕ ОСТАНОВКИ

СИМУЛЯЦИИ 2

ВС 0-0 ПЕРЕДАНО ПОСЛЕДОВАГЕГЬНОСТЕИ ИЗ N ПАКЕТОВ

Рис. 9. Обобщённая структурная схема модели способа обеспечения целостности данных, передаваемых по каналам связи VPN, выполненная в срехд Simulink

где Ь ] - элементы матрицы коэффициентов при переменных системы уравнений над GF (2), а а2, ап - все возможные перестановки первых индексов соответственно [18].

Если в системе отсутствуют линейно зависимые уравнения, то детерминант метрицы коэффициентов при переменные системы уравнений равен единвте. Далее криптографическим методом проверяют целостность пакетов, восстаноиленных посредством детодирокания тз-бымочного тода. При положительном результате провер-

ки получателц отправляет передающей стороне сообщение об успешной доставке последовательности пакетов.

Примем допущение о том, что алгоритмы контроля целостности пакетов идеальны и имитовставка с теро-ятностью равоой единице обнаруживает павет с при -знаками нарушения целостности. Тогда использовани е дополнительного квиптографического средства контроля позволяет локализовать позиции стираний. Это наде-ляек предлагаемый способ возможноктью восснановле-н ия всехдо Твь -1 идо 80% йЦен стёртых пакетов.

Моделирование системы передачи данных по каналам связи VPN

Обратной стороной применения помехоустойчивого кодирования является введение избыточности и, как следствие, уменьшение скорости передачи полезной информации в условиях отсутствия деструктивного воздействия злоумышленника. Следовательно, целесообразно использовать адаптивные методы помехоустойчивого кодирования, соответствующие уровню деструктивного воздействия злоумышленника. Имитационное моделирование предлагаемого способа в среде динамического модельно-ориентированного проектирования Simulink позволяет точнее опреде-

лить его границы применения с конкретными параметрами (рис. 9).

Полученные в результате имитационного моделирования зависимости нормированной скорости передачи информации от значений вероятности стирания пакета при различных параметрах В, Я и N представлены на рисунке 10.

Для оценки эффективности применения предлагаемого способа с конкретными параметрами исследуем ранее построенную математическую модель, представив ее в виде марковского процесса смены состояний (рис. 5) с учётом корректирующей способности применяемого кодирования и использования имитовставки.

3" <

ш

О.

ш

0,9

Б 5 0.8

2

с ^

о

Я" <

Е 0,7

о

е

X = 0,6

,001

/'допустимое—'U и— П ПП0*7

1

. .. D=26, R=5

~——- D=11, R=4

\ ДО [ \cilOi : in мен спи я оба

■ D=120, R=7 \

с. О X

х 0.5

0,4

0,01

0,02 0.03 0,04

ВЕРОЯТНОСТЬ СТИРАНИЯ ПАКЕТА

0,05

а) N = 100

3" <

ш й, OJ

1

0,9

= 0.8 х

Я"

<

Е 0,7

О

е

X = 0,6

„•=0,001

/•допусти мс и -0 0(147

1 " - «Ь« =0,0217

^_

\ -V- D=11, R=4

\ до приме \способа Ее пня D= 20, R=7 R=5

\ L.. \

ft. о

X

= 0,5

0,4

0,01

0,02 0.03 0,04

ВЕРОЯТНОСТЬ СТИРАНИЯ ПАКЕТА

0,05

б) N = 200

Рис. 10. Зависимости нормированной скорости передачи информации от вероятности стирания пакета при ^допустимое = 0,001 в условиях применения предлагаемого способа с различными параметрами В и Я: а) при N = 100, б) при N = 200

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Вероятность ротс. стираний безошибочного приёма последовательности из N пакетов с учётом корректирующей способности кода:

Р _

отс. стирании

Т1 ri id \D+R-i , i=0

N

\

-0,8- cDtR-^- (i-m)

D+R-dm

D+R

fd- -1

wmin 1

доп. yp. пот.

1 Cb+R^ (i-n )D+R-' + =0

-1

+ 0,8■cDmiR-Hdmin -(1-Цf

D+R

Результаты исследования системы в условиях применения предлагаемого способа при деструктивном воздействии злоумышленника и приближении значения коэффициента потери пакетов к допустимому значению представлено на рисунке 11б.

Результаты применения предлагаемого способа с параметрами О = 200, О = 120, К = 7 и О = 26, К = 5

при ц = 0,0097 и ц

допустимое

где «\а]» - округление а к большему целому.

Вероятность р0оп. ^ пот. того, что в системе количество потерянных пакетов не превышает допустимого уровня с учётом корректирующей способности кода:

Вероятность РдОП пот отсутствия успешной имитации пакетов данных при применении имитовставки:

Р =е-МуМ

М)ТС. усп. имит. ,

где X - вероятность успешного подбора коллизии злоумышленником имитовставки.

Результаты исследования системы в условиях применения предлагаемого способа при наличии имитационного воздействия с интенсивностью у, равной информационному обмену в системе, представлены на рисунке 11а. Использование имитовставки позволяет значительно снизить вероятность нахождения системы в «состоянии ошибки» (рис. 5).

= 0,001 представлены на рисунке 12. Из рисунков 10б и 12 следует, что для достижения максимально положительного результата требуется применение многомерного подхода к выбору параметров предлагаемого способа.

На рисунке 13 представлены зависимости вероятности обеспечения удовлетворительной поддержки приложений от вероятности стирания пакета в условиях применения предлагаемого способа с различными параметрами.

Заключение

Совместное использование методов криптографического контроля целостности данных и методов восстановления данных на основе избыточного линейного кодирования позволило получить синергетический эффект, выражающийся в возможности восстановления до dMHH -1 пакетов, подвергшихся стираниям (при допущении об идеальных свойствах используемой имитовставки). Таким образом предложенный способ позволяет повысить устойчивость и скорость передачи данных по каналам VPN в условиях деструктивных воздействий на них злоумышленника.

Векторный характер вычислений над GF(2) обуславливает высокую скорость реализации операций кодирования и декодирования стандартными вычислительными средствами, в том числе, при их программной реализации. Полученные данные подтверждаются результатами имитационного моделирования.

а) ц= 0,0001, ^допустимое =0,001, Л = 0,000016, у = 1, M = 10000, N = 100, D = 120, R = 7

_ 1

л

ш 0,9 £х

2 £ 0.8 ^ =

5 5 0.7

с: С

0.6 о § 0,5

— П А

2 £ Р ^

3 0.3 -

а

С а. ш и

г- \ \ Работоспособное состояние

\ \после применения спосооа

\ V \ состояние пеудовлстворитель но и ПЛП1И1П-1Г1Г11 11ПМ1|1ГА'1ЧШи

до применения способа

V. иыихпл!' УЛЧНДОПНЛ 111. . отноавленныхлийстов

после пр^нс(спс] [и я-способа га о ото сп ос оо нос состоянис ло шшменения способа

г

ичиннне неудонле!ворнтсльтгои оллепжки ппштожешш после Состояние ожидания повторно

\ Е рименения способа отправленных шкетов

■ХА— до применения способа

б) ц= 0,0009, ^д0пусТимое =°,°01, N = 100, Б = 120, К = 7 Рис. И. Динамика изменения вероятности нахождения системы в различных состояниях:

а) до и после применения предлагаемого способа в условиях имитации пакетов данных злоумышленником

б) до и после применения предлагаемого способа в условиях деструктивного воздействия злоумышленника

1

0,9

X

ав °'8 х

§ 0,7

С 0,6

^0,5

Э 2 0,4 -о £

5 0.3

со <

П. 0,2 XI

-

О

2 -

Ц о

Вц

ш

И

0,1 О

- - - Работоспособноесостоянис

\ при 0=26, И =5

Работоспособное состояние

——_ __ пр! 0=120, 11=7

----Состояние ожидания повторно отправленных пакетов Состояние неудовлетворительной

при 0=26, 5 поддержки приложении .,,,... (л— пп Р-Т

\ '

^остоян^е ожидания повторно Состояни^неудовлетворительной^ ГУГППЯВШ?[| NI.IV ПЯДОТЛП ППЛ ПЛПММГП 1 тп ппжшии

при 0=120. К=7 при 0=26, К=5

N —1—^-

Рис. 12. Динамика изменения вероятности нахождения системы в различных состояниях в условиях деструктивного воздействия злоумышленника и применения предлагаемого способа с различными параметрами при р = 0,0097, МД0Щ,СТим0е = °'°°1, N = 200

Рис. 13. Зависимость вероятности удовлетворительной поддержки различных приложений от вероятности стирания пакета в условиях применения предлагаемого способа

с различными параметрами

Литература

1. Шваб К. Четвертая промышленная революция. - М: Эксмо, 2021. - 208 с.

2. Гулин К.А. Тренды четвертой промышленной революции (рецензируется: Шваб К. Четвертая промышленная революция: монография: пер. с англ. - М.: Изд-во «Э», 2017) / К.А. Гулин, В.С. Усков // Экономические и социальные перемены: факты, тенденции, прогноз. - 2017. - Т. 10. - № 5. - С. 216-221.

3. Маслов В.И., Четвертая промышленная революция: истоки и последствия / В.И. Маслов, И.В. Лукьянов // Вестн. моск. ун-та., сер. 27. Глобалистика и геополитика, 2017. № 2. - С. 38-48.

4. Иванов В.Г. Модель технической основы системы управления специального назначения в едином информационном пространстве на основе конвергентной инфраструктуры системы связи: монография. - СПб.: Политех-пресс, 2018. - 214 с.

5. Воробьев С.П., Давыдов А.Е., Ефимов В.В., Курносов В.И. Инфокоммуникационные сети. Том 1: Инфокоммуникационные сети: классификация, структура, архитектура, жизненный цикл, технологии: энциклопедия. - СПб.: Наукоемкие технологии, 2019. - 739 с.

6. Макаренко С.И. Экспериментальное исследование реакции сети связи и эффектов перемаршрутизации информационных потоков в условиях динамического изменения сигнально-помеховой обстановки // Журнал радиоэлектроники. - 2016. - № 4. - URL: http://jre.cplire.ru/jre/apr16/4/text.html (дата обращения: 01.03.2021).

7. Макаренко С.И. Время сходимости протоколов маршрутизации при отказах в сети // Системы управления, связи и безопасности.

- 2015. - № 2. - С. 45-98.

8. Олифер В., Олифер Н. Компьютерные сети. Принципы, технологии, протоколы: Юбилейное издание. - СПб.: Питер, 2020. - 1008 с.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

9. Стародубцев Ю.И. Техносферная война как основной способ разрешения конфликтов в условиях глобализации / Ю.И. Стародубцев, П.В. Закалкин, С.А. Иванов // Военная мысль. - 2020. - № 10. - С. 16-21.

10. Макаренко С.И. Сетецентрическая война - принципы, технологии, примеры и перспективы: монография / С.И. Макаренко, М.С. Иванов. - СПб: Наукоёмкие технологии, 2018. - 898 с.

11. Kawano R., Yasudo R., Matsutani H., Amano H. K-optimized path routing for high-throughput data center networks. // In Proceedings

- 2018 6th International Symposium on Computing and Networking, CANDAR 2018 (Takayama, Japan, November 27-30, 2018). IEEE, 2018, pp. 99-105. DOI: 10.1109/CANDAR.2018.00020.

12. Lu Y., Chen G., Li B., Tan K., Xiong Y., Cheng P., Zhang J., Chen E., Moscibroda T. Multi-path transport for RDMA in datacenters. In Proceedings 15th USENIX Symposium on Networked Systems Design and Implementation (NSDI 18) (Renton, WA, USA, April 9-11, 2018). pages 357-371, 2018.

13. Samoylenko D.V., Eremeev M.A., Finko O.A. A method of providing the integrity of information in the group of robotic engineering complexes based on crypt-code constructions // Automatic control and computer sciences. 2017. vol. 51. № 8. pp. 965-971. doi: 10.3103/S0146411617080181.

14. Самойленко Д.В., Финько О.А., Еремеев М.А. Распределённая обработка и защита информации в группировке комплексов с беспилотными летательными аппаратами // Теория и техника радиосвязи. - 2017. - № 4. - С. 93-100.

15. Самойленко Д.В., Финько О.А. Помехоустойчивая передача данных в радиоканалах робототехнических комплексов на основе полиномиальных классов вычетов // Наукоемкие технологии в космических исследованиях Земли. - 2016. - Т.8. - № 3. - С. 49-55.

16. Moon T. Error Correction Coding: Mathematical Methods and Algorithms: Second Edition. - Hoboken, New Jersey, USA: Wiley, 2020.

- 992 p.

Обеспечение целостности данных, передаваемых по каналам связи...

ENSURING THE INTEGRITY OF DATA TRANSMITTED OVER THE COMMUNICATION CHANNELS OF VIRTUAL PRIVATE

NETWORKS

Karpov S.S.21, Ryabinin Ju.E.22, Finko O.A.23

Annotation

A method of ensuring the integrity of data transmitted over communication channels of VPNs of large-scale information systems functioning in the conditions of the destructive influence of the attacker is considered. The proposed method allows to recover data packets subjected to erasure and imitation.

The purpose of the research is to increase the stability of data transmission over VPN communication channels by implementing the procedure for recovering erased IP-packets and increasing the level of imitation security of the transmitted data.

Research methods: aggregation of methods of cryptographic control of data integrity and methods of redundant coding of data, application of methods of the theory of Markov random processes to determine the probability of providing satisfactory support for applications in conditions of destructive influence of an attacker with various parameters.

Research results: analysis of the object of research - VPN of large-scale information systems was carried out. It leads to the conclusion about the need to protect data transmitted through such communication channels for the implementation of national strategies for economic development. A mathematical model of the functioning of a data transmission system over a VPN communication channel under the conditions of a destructive influence of an attacker is presented. A method is proposed to ensure the integrity of transmitted data based on an original scheme for sharing known solutions, generating a synergistic effect. The method allows recovering dmin -1 erased data packets.

The proposed solution makes it possible to increase the stability and speed of data transmission over the communication channels of the network in the conditions of the destructive influence of the attacker and the imitation of data by the attacker.

Keywords: information security and protection, VPN, cryptographic insertion, packet erasure, error-correcting coding, VPN protection against cyber threats, multipath routing, multidimensional route.

References

1. Shvab K. Chetvertaya promyshlennaya revolyuciya. - M: Eksmo, 2021. - 208 s.

2. Gulin K.A. Trendy chetvertoj promyshlennoj revolyucii (recenziruetsya: Shvab K. Chetvertaya promyshlennaya revolyuciya: monografiya: per. s angl. - M.: Izd-vo «E», 2017) / K.A. Gulin, V.S. Uskov // Ekonomicheskie i social'nye peremeny: fakty, tendencii, prognoz. - 2017. - T. 10. - № 5. - S. 216-221.

3. Maslov V.I., Chetvertaya promyshlennaya revolyuciya: istoki i posledstviya / V.I. Maslov, I.V. Lukyanov // Vestn. mosk. un-ta., ser. 27. Globalistika i geopolitika, 2017. № 2. - S. 38-48.

4. Ivanov V.G. Model' tekhnicheskoj osnovy sistemy upravleniya special'nogo naznacheniya v edinom informacionnom prostranstve na osnove konvergentnoj infrastruktury sistemy svyazi: monografiya. - SPb.: Politekh-press, 2018. - 214 s.

5. Vorobyov S.P., Davydov A.E., Efimov V.V., Kurnosov V.I. Infokommunikacionnye seti. Tom 1: Infokommunikacionnye seti: klassifikaciya, struktura, arhitektura, zhiznennyj cikl, tekhnologii: enciklopediya. - SPb.: Naukoemkie tekhnologii, 2019. - 739 s.

6. Makarenko S.I. Eksperimental'noe issledovanie reakcii seti svyazi i effektov peremarshrutizacii informacionnyh potokov v usloviyah dinamicheskogo izmeneniya signal'no-pomekhovoj obstanovki // Zhurnal radioelektroniki. - 2016. - № 4. - URL: http://jre.cplire.ru/ jre/apr16/4/text.html (data obrashcheniya: 01.03.2021).

7. Makarenko S.I. Vremya skhodimosti protokolov marshrutizacii pri otkazah v seti // Sistemy upravleniya, svyazi i bezopasnosti. -2015. - № 2. - S. 45-98.

21 Sergey Karpov, postgraduate student at the Department 22 (special communication technology), Krasnodar Higher Military Orders of Zhukov and the October Revolution Red Banner School named after General of the Army S.M. Shtemenko. Krasnodar, Russia.

E-mail: [email protected].

22 Jurii Ryabinin, Ph.D. of Engineering Sciences, doctoral candidate of holder of an Advanced Doctorate in Engineering Sciences at the Department 22 (special communication technology), Krasnodar Higher Military Orders of Zhukov and the October Revolution Red Banner School named after General of the Army S.M. Shtemenko. Krasnodar, Russia. E-mail: [email protected].

23 Oleg Finko, Dr.Sc., Professor, Professor at the Department 22 (special communication technology), Krasnodar Higher Military Orders of Zhukov and the October Revolution Red Banner School named after General of the Army S.M. Shtemenko, Krasnodar, Russia, Professor at the Department of information security of automated systems, North Caucasus Federal University, Stavropol, Russia, Academic Advisor of the Russian Academy of Rocket and Artillery Sciences (RARAN), Krasnodar, Russia. E-mail: [email protected].

8. Olifer V., Olifer N. Komp'yuternye seti. Principy, tekhnologii, protokoly: Yubilejnoe izdanie. - SPb.: Piter, 2020. - 1008 s.

9. Starodubczev U.I. Tekhnosfernaya vojna kak osnovnoj sposob razresheniya konfliktov v usloviyakh globalizaczii / U.I. Starodubczev, P.V. Zakalkin, S.A. Ivanov // Voennaya mysl\ - 2020. - № 10. - S. 16-21.

10. Makarenko S.I. Setecentricheskaya vojna - principy, tekhnologii, primery i perspektivy: monografiya / S.I. Makarenko, M.S. Ivanov. -SPb: Naukoyomkie tekhnologii, 2018. - 898 s.

11. Kawano R., Yasudo R., Matsutani H., Amano H. K-optimized path routing for high-throughput data center networks. // In Proceedings — 2018 6th International Symposium on Computing and Networking, CANDAR 2018 (Takayama, Japan, November 27-30, 2018). IEEE, 2018, pp. 99-105. DOI: 10.1109/CANDAR.2018.00020.

12. Lu Y., Chen G., Li B., Tan K., Xiong Y., Cheng P., Zhang J., Chen E., Moscibroda T. Multi-path transport for RDMA in datacenters. In Proceedings 15th USENIX Symposium on Networked Systems Design and Implementation (NSDI 18) (Renton, WA, USA, April 9-11, 2018). pages 357-371, 2018.

13. Samoylenko D.V., Eremeev M.A., Finko O.A. A method of providing the integrity of information in the group of robotic engineering complexes based on crypt-code constructions // Automatic control and computer sciences. 2017. vol. 51. № 8. pp. 965-971. doi: 10.3103/S0146411617080181.

14. Samoylenko D.V., Finko O.A., Eremeev M.A. Raspredelyonnaya obrabotka i zashchita informacii v gruppirovke kompleksov s bespilotnymi letatel'nymi apparatami // Teoriya i tekhnika radiosvyazi. - 2017. - № 4. - S. 93-100.

15. Samoylenko D.V., Finko O.A. Pomekhoustojchivaya peredacha dannyh v radiokanalah robototekhnicheskih kompleksov na osnove polinomial'nyh klassov vychetov // Naukoemkie tekhnologii v kosmicheskih issledovaniyah Zemli. - 2016. - T.8. - № 3. - S. 49-55.

16. Moon T. Error Correction Coding: Mathematical Methods and Algorithms: Second Edition. - Hoboken, New Jersey, USA: Wiley, 2020. — 992 p.

i Надоели баннеры? Вы всегда можете отключить рекламу.