CC BY
1
УДК 004.056.52
СПОСОБ РЕАЛИЗАЦИИ СОКРЫТИЯ АРХИТЕКТУРЫ И КОНФИГУРАЦИИ СЕНСОРНОЙ СЕТИ
Е. А. Кушко
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газеты «Красноярский рабочий», 31
E-mail: evgeny.kushko@gmail.com
Предлагается техническое решение по обеспечению сокрытия архитектуры и конфигурации сенсорной сети. Сенсорная сеть - это распределенная, автономная и, как правило, беспроводная сеть, в состав которой входят исполнительные и сенсорные устройства, и которая применяется для решения задач автоматизации, телеметрии, диагностики и т.д. В основе предлагаемого автором решения лежат принципы технологии движущейся цели: система имеет динамическую логическую структуру, в результате применения которой, злоумышленник не может обладать долгосрочной информацией о ней. Кроме того, разрабатываемое решение предполагает передачу данных таким образом, при котором скрыты не только сами данные, а также их источник и получатель.
Ключевые слова: сенсорная сеть, технология движущейся цели, защищенный обмен данными, протокол передачи данных.
IMPLEMENTATION METHOD FOR HIDING THE ARCHITECTURE AND CONFIGURATION OF THE SENSOR NETWORK
E. A. Kushko
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation E-mail: evgeny.kushko@gmail.com
In this paper the author presents a technical solution for hiding the architecture and configuration of the sensor network. Sensor network is a wireless distributed self-configuring network that consists of sensors and execution units and is designed for automation, telemetry, machine diagnostics, etc. The solution proposed is based on moving target technology - the system has a dynamic logical structure, as a result an attacker cannot obtain long-term information on it. Furthermore, the solution transfers data in a way that hides not only the data itself, but also the source and the recipient.
Keywords: sensor network, moving target technology, secure data communication, data transfer protocol.
Статистика инцидентов информационной безопасности говорит о том, что каждый год растет число атак на информационные системы организаций из сферы промышленности и при этом число предприятий, которые могут противодействовать злоумышленнику, невысоко [1]. На первом шаге, после проникновения внутрь сетевой инфраструктуры информационной системы предприятия, злоумышленник осуществляет сетевую разведку: устанавливает ключевые узлы сети и идентифицирует потоки. Данные, передаваемые по сети, могут быть зашифрованы, однако шифрование само по себе не скрывает факт передачи
Актуальные проблемы авиации и космонавтики - 2020. Том 2
данных между узлами, и существует возможность идентифицировать тип зашифрованных данных.
В состав мер защиты информации для автоматизированных систем управления регуляторами в области информации включена мера по сокрытию архитектуры и конфигурации информационной (автоматизированной) системы [2]. На практике, данная мера реализуется организационными средствами и техническими средствами по предотвращению и противодействию несанкционированному доступу к информационной системе. Это связано с тем, что не существует, на момент написания работы, сертифицированных технических средств по реализации данной меры, поэтому автором предлагается новое техническое решение для систем, построенных на базе сенсорной сети.
Решение построено на базе стека протоколов защищенного обмена данными на основе плавающей топологии и протокола М^ТТ (в качестве прикладного). Алгоритмы, лежащие в основе стека протоколов защищенного обмена данными и сравнение стека протоколов защищенного обмена данными с другими подобными решениями приведено в работе [3], а в работе [4] показаны характеристики производительности передачи данных.
Данный стек протоколов предусматривает передачу данных таким образом, при котором сетевые пакеты не содержат в явном виде данные об их источнике и получателе, непосредственно сами данные защищены шифрованием, пакеты данных имеют одинаковый размер вне зависимости от типа данных. Это необходимо для затруднения сетевой разведки злоумышленника. Кроме того, логическая структура системы, построенной на базе стека, изменяется через интервалы времени, поэтому злоумышленник не может обладать долгосрочной информацией о ней. Данные передаются через мультикаст-группы, где каждый узел выступает ретранслятором и подключен сразу минимум к двум мультикаст-группам. Все пакеты данных, полученные из одной мультикаст-группы, передаются в другую за исключением ранее обработанных пакетов.
Рис. 1. Количество пакетов, отправленных узлами
Протокол MQTT предназначен для обмена данными между устройствами и построен по принципу издатель-подписчик и содержит в себе три типа узлов: сервер-издатель, сервер-брокер и клиент-подписчик [5]. MQTT отличается от других простотой применения и внедрения, низкой требовательностью к пропускной способности сети и вычислительный ресурсам, а также высокой автономностью. Данные MQTT инкапсулируются в пакет данных стека протоколов защищенного обмена и передается по сети.
Рис. 2. Количество пакетов, полученных узлами
Чтобы оценить эффективность разработанного решения, проведен эксперимент. Тестовый стенд состоял из шести устройств: двух серверов-брокеров, двух серверов-издателей и двух серверов-подписчиков. Каждые три секунды сервер-издатель генерировал данные и передавал на связанный с ним сервер-брокер, а каждый сервер-брокер оповещал подписанных на соответствующие топики клиентов-подписчиков о новых данных. Реконфигурация системы осуществлялась раз в минуту. Эксперимент длился две минуты и был повторен двадцать раз. На трех устройствах из шести собирались данные о переданных и полученных пакетах (рисунок 1, 2). Распределение пакетов данных говорит о сложности анализа сетевого трафика: пакеты распределены равномерно между всеми узлами.
В результате применения стека протоколов скрыты передаваемые данные, а также их источник и получатель. Сетевые пакеты распределены равномерно между узлами, связи между узлами сокрыты, по характеру передачи данных сложно выявить типы узлов и тип данных, передаваемых ими.
Библиографические ссылки
1. Positive Research 2019. [Электронный ресурс]. -URL: https://www.ptsecurity.com/upload/ corporate/ru-ru/analytics/Positive-Research-2019-rus.pdf (Дата обращения: 25.03.2020);
2. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 14 марта 2014 г. N 31 "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды" // Российская газета. - 2014. - №175(6447);
3. Kushko E.A., Parotkin N.Y. Efficiency evaluation of secure data communication protocols stack based on dynamic network topology // Proceedings of the International Russian Automation Conference. 2019;
4. Kushko E.A., Parotkin N.Y. Software implementation details of the secure data communication protocols stack based on the dynamic network topology // Journal of Physics: Conference Series No.1399. 2019;
5. Hunkeler U., Truong H.L. and Stanford-Clark A. MQTT-S - a publish/subscribe protocol for wireless sensor networks // Proceedings of the International Conference Communication Systems Software and Middleware and Workshops. 2008.
© Кушко E. A., 2020
