CC BY
8
4.
развития партнёрства в сфере высшей школы. Материалы 13-го междунар. научно-практич. семинара. Кн. 3. - Таганрог-Донецк: Изд-во ТТИ ЮФУ, 2012. - С. 278 - 286.
Способ обработки цилиндрических деталей. Патент РФ .№2412042, МПК В24В 39/04, С10М 141/00.
/ Бутенко В.И. Заявл. 11.08. 2009. Опубл. 20.02.2011. Бюл. №5. 5. Бутенко В.И., Дуров Д.С., Шаповалов Р.Г. Наукоёмкие технологии создания высокоресурсных деталей машин. - Таганрог: Изд-во ЮФУ, 2014.- 404 с.
СРАВНИТЕЛЬНЫМ АНАЛИЗ АЛГОРИТМОВ ПРОВЕРКИ ПОДЛИННОСТИ
Васенёва Валерия Андреевна, Николаенко Виктория Григорьевна, Зубарева Елена Валерьевна
Студенты Волгоградского государственного университета, г.Волгоград
В данной статье рассмотрен один из наиболее распространенных алгоритмов проверки подлинности субъектов информационного взаимодействия - Kerberos. Произведена сравнительная оценка данного алгоритма с другими алгоритмами, проанализированы значения, которые могут принимать критерии, а так же сформирован вектор критериев, на основании которого оценивается качество алгоритма Kerberos.
В настоящее время деловая переписка, финансовые транзакции и обмен правительственными документами все чаще осуществляется с помощью открытых компьютерных систем связи, таких как Internet. Оперативный обмен данными используется при оплате счетов и налогов, в корпоративных сетях, при хранении и обработки секретных данных, безопасном обмене конфиденциальными документами и др.
Все это возможно, если обеспечена безопасность обмена данными через открытые сети. Для эффективного решения этой проблемы используются криптографические средства, обеспечивающие безопасность связи. Одним из таких средств является проверка подлинности субъектов информационного взаимодействия (аутентификация), который и был выбран для дальнейшего исследования.
Существует множество алгоритмов проверки подлинности субъектов, однако даже самые надежные криптографические средства имеют недостатки, которые могут привести к серьезным последствиям для безопасности данных, а также их безвозвратной утрате или нежелательной модификации. Поэтому актуальной является задача выбора наиболее рационального алгоритма аутентификации.
Таким образом, целью данной работы является выбор наиболее рационального алгоритма проверки подлинности субъектов информационного взаимодействия.
Для достижения поставленной цели решаются следующие задачи:
• Анализ информационного взаимодействия для выявления особенностей, влияющих на защищенность информации;
• Анализ злоумышленных воздействий на информационное взаимодействие.
По результатам анализа информационного взаимодействия, а также злоумышленных воздействий на информационное взаимодействия введены критерии, использующиеся для выбора наилучшего метода проверки подлинности субъектов информационного взаимодействия, которые представлены в таблице 1.
Критерии выбора наилучшего метода аутентификации.
Таблица 1
Название протокола Нидхема ОТЬМ КегЬегоБ
Уровень, на котором осуществляется аутентификация Прикладной Сетевой Прикладной
Сценарий аутентификации Обмен сообщениями между процессом и главным компьютером Обмен сообщениями между двумя главными компьютерами Обмен сообщениями между процессом и главным компьютером
Уязвимость алгоритма аутентификации к атаке Винера Не уязвим Уязвим Не уязвим
С повторной передачей сообщений Не уязвим Не уязвим Не уязвим
«Человек посередине» Не уязвим Не уязвим Не уязвим
С помощью параллельного сеанса Уязвим Не уязвим Уязвим
С помощью отражения сообщений Уязвим Уязвим Не уязвим
С помощью чередования сообщений Не уязвим Не уязвим Не уязвим
На основе неправильной интерпретации Не уязвим Не уязвим Не уязвим
На основе безымянных сообщений Не уязвим Не уязвим Не уязвим
На основе неправильного выполнения криптографических операций Не уязвим Уязвим Уязвим
Качественным значениям выделенных критериев были поставлены в соответствие числовые значения:
К1 - уровень, на котором осуществляется проверка подлинности взаимодействующих пользователей. Может принимать значения:
K =
0, физический 0,16, канальный 0,32, сетевой 0,48, транспортный
0.64, сеансовый 0,8, представительский
1, прикладной
К2 - сценарий аутентификации сущности. Может принимать значения:
^0, обмен сообщениями между двумя главными компьютерами 0,33, члены клуба К = ^ 0,66, обмен сообщениями между субъектом и главным компьютером 1, обмен сообщениями между процессом и главным компьютером КЗ - уязвимость алгоритма аутентификации к атаке Винера. Может принимать значения:
[ 0, уязвим [1,не уязвим К4 - уязвимость алгоритма аутентификации к атаке с повторной передачей сообщений. Может принимать значения:
[ 0, уязвим [1,не уязвим К5 - уязвимость алгоритма аутентификации к атаке «человек посередине». Может принимать значения: _( 0, уязвим 5 = (1,не уязвим К6 - уязвимость алгоритма аутентификации к атаке с помощью параллельного сеанса. Может принимать значения:
[ 0, уязвим [1,не уязвим К7 - уязвимость алгоритма аутентификации к атаке с помощью отражения сообщений. Может принимать значения:
[ 0, уязвим [1,не уязвим К8 - уязвимость алгоритма аутентификации к атаке с помощью чередования сообщений. Может принимать значения:
[ 0, уязвим [1,не уязвим К9 - уязвимость алгоритма аутентификации к атаке на основе неправильной интерпретации. Может принимать значения:
0, уязвим [1, не уязвим К10 - уязвимость алгоритма аутентификации к атаке на основе безымянных сообщений. Может принимать значения:
( 0, уязвим {1,не уязвим
Таблица 2
Обобщенная оценка эффективности работы основных протоколов проверки подлинности субъектов информационного
взаимодействия.
K
K
K
K
K
K
К11 - уязвимость алгоритма аутентификации к атаке на основе неправильного выполнения криптографических операций. Может принимать значения: _( 0, уязвим 11 = (1, не уязвим
На основании представленных значений критериев эффективности таких методов проверки подлинности субъектов информационного взаимодействия, как протоколы Нидхема, NTLM и Kerberos, обобщенная оценка была рассчитана следующим образом:
Был сформирован вектор критериев:
K = (K1, K2, K3, K4, K5, K6, K7, K8, K9, K10, K1lX
где K1, K2, K3, K4, K5, K6, K7, K8, K9, K10, K11 соответствуют качественным критериям, описанным в таблице выше. Затем было предположено, что существует наилучший вектор K*, в котором все значения критериев соответствуют максимальным значениям. Для всех критериев это значение 1.
K* = (1,1,1,1,1,1,1,1,1,1,1)
Для оценки качества алгоритмов проверки подлинности субъектов информационного взаимодействия была введена скалярная величина, равная Хеммингову расстоянию между наилучшим вектором и вектором критериев, полученным, для i-го оцениваемого алгоритма:
Ki _ /izi izi izi izi izi izi izi izi izi I/i I/i Л
= (K1, K2, K3, K4, K5, K6, K7, K8, K9, K10, K11)
Хеммингово расстояние вычисляется по формуле:
R = Zi=1(|Ai|-|Ki|),
где Ai - максимальное значение, принимаемое i-ым критерием. Для всех критериев Ai=1.
Ki - значение i-го критерия для анализируемого алгоритма.
Чем меньше значение R, тем лучше анализируемый алгоритм. Наилучшим алгоритмом может быть признан i-ый алгоритм, для которого выполняется:
^лучшее: Ri = Щ1п Rb
т.е. значение Ri которого наименьшее.
Результаты расчета оценки эффективности методов проверки подлинности субъектов информационного взаимодействия представлены в таблице 2.
Название протокола Нидхема NTLM Kerberos
Уровень, на котором осуществляется проверка подлинности взаимодействующих пользователей 1 0,32 1
Сценарий аутентификации сущности 1 0 1
Уязвимость алгоритма аутентификации к атаке Винера 1 1
С повторной передачей сообщений 1 1 1
«Человек посередине» 1 1 1
С помощью параллельного сеанса 1 0
С помощью отражения сообщений 0 1
С помощью чередования сообщений 1 1 1
На основе неправильной интерпретации 1 1 1
На основе безымянных сообщений 1 1 1
На основе неправильного выполнения криптографических операций 0 1 0
Обобщенная оценка 2 4,68 2
На основании рассчитанных оценок эффективности можно сделать вывод о том, что наиболее устойчивыми к общеизвестным уязвимостям являются протоколы Нид-хема и Kerberos (чем меньше значение обобщенной оценки, рассчитанной с помощью Хеммингова расстояния, тем выше эффективность рассматриваемого алгоритма). Но в связи с тем, что протокол Нидхема с течением времени утрачивает свою актуальность, протокол Kerberos является наиболее эффективным, а поэтому и широкоиспользуемым, протоколом проверки подлинности субъектов информационного взаимодействия.
Список литературы
1. Венбо М. Современная криптография: теория и практика. М.: Вильямс, 2005. - 768 с.
2. Гладких А. А., Дементьев А. Е. Базовые принципы информационной безопасности вычислительных сетей. — Ульяновск: УлГТУ, 2009. — 156 с.
3. Ричард Э. Смит Аутентификация: от паролей до открытых ключей. М.: Вильямс, 2002. — 432 с.
4. Никишова А. В., Васенёва В. А., Кожевникова И. С., Николаенко В. Г. Анализ алгоритмов проверки подлинности. // В кн.: Отечественная наука в эпоху изменений: постулаты прошлого и теории нового времени, г.Екатеринбург.
ПРОБЛЕМА БЕЗОПАСНОГО УДАЛЕННОГО УПРАВЛЕНИЯ ПЕРСОНАЛЬНЫМИ
КОМПЬЮТЕРАМИ
Жувагин Н. И,
студент 4 курса, Волгоградский государственный университет, г. Волгоград, Россия
Бабенко А.А.,
кандидат педагогических наук, доцент, Волгоградский государственный университет, г. Волгоград, Россия
Витенбург Е. А.,
студент 4 курса, Волгоградский государственный университет, г. Волгоград, Россия
Никишова А.В.,
кандидат технических наук, доцент, Волгоградский государственный университет
АННОТАЦИЯ
Рассмотрена задача организации безопасного удаленного управления персональными компьютерами. Описаны преимущества и недостатки существующих подходов к ее решению.
ABSTRACT
The problem of ensuring secure remote management of PCs. The advantages and disadvantages of existing approaches to its solution.
Ключевые слова: удаленное управление, управление доступом.
Keywords: remote management, access control
Развитие беспроводной сети позволяет предприятиям экономить время с помощью использования систем удаленного управления. Системы удаленного у могут существенно отличаться друг от друга, как интерфейсом, так и безопасностью соединения.
Более 2/3 совершаемых киберпреступниками атак совершены с использованием небезопасного удаленного управления. Удаленное управление и программы, работающие на десктопах, являются основными лазейками для совершения атак, согласно отчету Verizon 2013 Data Breach Investigations, выполненный совместно с секретной службой США и Dutch National High Tech Crime Unit (голландским национальным органом по расследованию преступлений в области высоких технологий) [1].
Удаленное управление (remote control) - это способ, при котором удаленный компьютер становится, в сущности, виртуальным терминалом компьютера-хоста, который может быть, а может и не быть, подключен к сети. Этот вариант позволяет запустить любое приложение на компьютере-хосте, а также получить доступ к любым данным этого хоста [2].
В частности, основными проблемами при управлении удаленным сервером являются: контроль доступа, целостность, конфиденциальность, аудит.
Управление доступом гарантирует, что только вы можете удаленно управлять сервером. Это означает, что удаленное программное обеспечение должно восприни-
мать подключения только из небольшого диапазона IP адресов и должно требовать имя пользователя и пароль. Целостность гарантирует, что данные, полученные сервером - это те же самые данные, которые вы послали. Конфиденциальные и даже секретные данные вынуждены пересылаться по общей сети. Конфиденциальность должна гарантировать, что этот трафик не может быть перехвачен и просмотрен другими. Конфиденциальность означает использование сильных, зарекомендовавших себя алгоритмов шифрования с достаточно длинным используемым ключом. Аудит - способность регистрировать все контакты (и попытки контактов) с сервером для более позднего анализа. Важно, чтобы у вас имелись достаточные данные о каждом подключении к серверу.
Существует несколько способов организации безопасного удаленного управления [3]:
1. Виртуальная частная сеть (VPN, Virtual Private Network) [4]. При такой организации сети соединение происходит по одному из следующих протоколов:
PPTP (Point-to-PointTunnelingProtocol) - туннельный протокол типа точка- точка, который позволяет устанавливать защищенное соединение с сервером при помощи создания специального туннеля в стандартной незащищенной сети. [5 ];
L2TP (Layer 2 Tunneling Protocol) - протокол тунне-лирования второго уровня, которые подключаются к сети через Интернет или другую сеть общего пользования. [6].
