НАЦІОНАЛЬНИЙ ТЕХНІЧНИЙ УНІВЕРСИТЕТ УКРАЇНИ

“КИЇВСЬКИЙ ПОЛІТЕХНІЧНИЙ ІНСТИТУТ”

ЛУАЙ ДАРВІШ

(Сирія)

УДК 681.14

МЕТОДИ ТА ЗАСОБИ ПІДВИЩЕННЯ ЕФЕКТИВНОСТІ ПЕРЕДАЧІ ДАНИХ

В ЗАХИЩЕНИХ КОМУНІКАЦІЙНИХ СЕРЕДОВИЩАХ

01.05.03 – “Математичне та програмне забезпечення обчислювальних машин і систем”

А В Т О Р Е Ф Е Р А Т

дисертації на здобуття наукового ступеня

кандидата технічних наук

Київ – 2006

Дисертацією є рукопис

Робота виконана в Національному технічному університеті України

Київський політехнічний інститут, на кафедрі обчислювальної техніки

Науковий керівник: кандидат технічних наук, доцент

Мухін Вадим Євгенійович

Національний технічний університет України

“Київський політехнічний інститут”,

доцент кафедри обчислювальної техніки

Офіційні опоненти: доктор технічних наук, професор

Додонов Олександр Георгійович

Інститут проблем реєстрації інформаціі

НАН України, м. Київ,

заступник директора

кандидат фізико-математичних наук

Антонюк Анатолій Олександрович

Національна Академія Державної податкової

служби України,

доцент кафедри адміністрування інформаційних

ресурсів

Провідна установа: Інститут проблем математичних машин і систем

НАН України, м. Київ, відділ інтегрованих

автоматизованих систем спеціального призначення

Захист відбудеться “_27_”__березня_ 2006 р. о 14-30 на засіданні спеціалізованої вченої ради Д 26.002.02 в Національному технічному університеті України “Київський політехнічний інститут” (м. Київ, пр. Перемоги, 37, корп. 18, ауд. 306).

Відзиви на автореферат у двох екземплярах, завірені печаткою установи, просимо надсилати на адресу: 03056, м. Київ, пр. Перемоги, 37, вченому секретарю НТУУ КПІ

З дисертацією можна ознайомитись в бібліотеці Національного технічного університету України “Київський політехнічний інститут”

Автореферат розіслано “_16_”_лютого_ 2006 р.

Вчений секретар

спеціалізованої вченої ради,

кандидат технічних наук, доцент

М.М. Орлова

ЗАГАЛЬНА ХАРАКТЕРИСТИКА РОБОТИ

Актуальність теми. Широке використання інформаційних ресурсів і повсюдне об'єднання персональних комп'ютерів й автоматизованих систем у локальні, корпоративні й глобальні комп'ютерні мережі різко загострили проблему інформаційної безпеки, що обумовлює актуальність досліджень в галузі спеціаль-них засобів захисту інформації в комп'ютерних системах і мережах.

Одним із ключових механізмів захисту інформації в комп'ютерних мережах є засоби аутентифікації суб'єктів і повідомлень, які дозволяють гарантувати справжність користувачів комп'ютерних мереж, що обмінюються інформацією, а також цілісність самої інформації. У цей час розроблено ряд різних протоколів аутентифікації, що відрізняються кількістю пересилань даних, участю сервера безпеки, застосуванням симетричного або асиметричного шифрування й іншими параметрами.

Реалізація засобів захисту інформації вимагає додаткових апаратних, програмних і часових витрат на обробку інформації. Виконання шифрування/ розшифрування, реалізація механізмів аутентифікації суб'єктів і повідомлень вносять додаткові затримки в процес обробки й передачі інформації в мережах. Таким чином, досить актуальними є застосування засобів підвищення пропускної здатності комп'ютерних мереж щодо передачі користувальницької інформації, що дозволить забезпечити пересилання захищеної інформації з досить високою швидкістю.

Засоби захисту інформації повинні бути адаптованими до вимог конкретних установ, корпорацій і можливих спеціальних умов їх застосування. Ця задача вимагає створення моделей і спеціальних засобів і середовищ моделювання, аналізу й верифікації розроблюємих і застосовуємих засобів захисту.

На основі аналізу проблем, що виникають при розробці механізмів захисту інформації в сучасних комп'ютерних системах і мережах виділено основний напрямок досліджень - розробка методів і засобів захисту інформації, що забезпечують підвищений рівень швидкості передачі користувальницької інформації в комп'ютерних мережах.

Зв'язок роботи з науковими програмами, планами, темами. Робота виконувалася в 2002 - 2005 р.р. відповідно до наукового напрямку кафедри обчислювальної техніки Національного технічного університету України "Київський політехнічний інститут" у рамках проекту Державної Програми "Розвиток системи технічного захисту інформації України".

Мета й завдання досліджень. Метою дисертаційної роботи є підвищення ефективності передачі даних у захищених комп'ютерних мережах на основі модифікованих методів і засобів захисту інформації, а також методів управління передачею даних у мережах, що забезпечують підвищений рівень швидкості передачі користувальницької інформації при заданому рівні захищеності мереж.

Об'єктом досліджень є комп'ютерні мережі, в яких реалізуються протоколи аутентифікації суб'єктів мережі.

Предметом досліджень є методи й засоби, що забезпечують підвищення ефективності реалізації протоколів аутентифікації в комп'ютерних мережах.

Основні задачі досліджень, відповідно до поставленої мети, полягають в наступному:

1. Порівняльний аналіз механізмів управління передачею даних в сучасних захищених комп'ютерних мережах для вибору найбільш ефективних підходів до підвищення пропускної здатності комп'ютерних мереж.

2. Розробка методу управління перевантаженням серверів безпеки в захищених комп'ютерних мережах для ефективного управління мережевим трафиком.

3. Розробка модифікованого протоколу аутентифікації суб'єктів в комп'ю-терних мережах на основі механізму формування повідомлень протоколу, що забезпечує підвищений рівень швидкості передачі користувальницької інформації в комп'ютерній мережі.

4. Розробка спеціалізованого середовища для моделювання, оцінки параметрів і верифікації розроблюємих і існуючих протоколів аутентифікації в комп'ютерних мережах.

На захист виносяться наступні положення й результати:

1. модифікований протокол аутентифікації суб'єктів у комп'ютерних мережах;

2. метод і засоби запобігання перевантаженням у мережах на основі активного управління чергами пакетів, що забезпечують гнучке управління передачею даних у захищених комп'ютерних мережах;

3. спеціалізоване середовище для моделювання, оцінки параметрів і верифікації протоколів аутентифікації в комп'ютерних мережах.

Методи досліджень. У дисертаційній роботі використовується математичний апарат теорії черг, теорії алгоритмів, теорії імовірності й математичної статистики, методи теорії обробки спостережень. Основні положення й теоретичні оцінки підтверджені результатами теоретичного аналізу й моделювання протоколів аутентифікації суб'єктів у комп'ютерних мережах.

Наукова новизна роботи полягає в розробці:

1. модифікованого протоколу аутентифікації суб'єктів комп'ютерних мереж, що дозволяє скоротити кількість пересилань службових даних й забезпечує підвищену швидкість передачі користувальницької інформації в комп'ютерній мережі;

2. методу формування повідомлень протоколу аутентифікації в корпоративних комп'ютерних мережах із частковим делегуванням повноважень між суб'єктами;

3. методу раннього призупинення передачі пакетів, що дозволяє підвищити пропускну здатність комп'ютерних мереж, у яких реалізуються протоколи аутентифікації;

4. механізму управління передачею даних сервером безпеки на основі ранжування таємності переданої інформації.

Практична цінність роботи полягає в розробці методів і засобів реалізації протоколів аутентифікації підвищеної ефективності й спеціалізованого середовища для аналіза й верифікації, а також сертифікації протоколів аутентифікації в комп'ютерних мережах.

Вірогідність наукових результатів і практичних рекомендацій дисертації підтверджується коректним використанням математичного аппарату, доведеними теоретичними твердженнями, а також результатами проведених експериментів з використанням розробленого спеціалізованого середовища.

Реалізація результатів роботи. Результати роботи використовуються в навчальному процесі кафедри обчислювальної техніки НТУУ “КПІ” під час вивчення курсу “Захист інформації в комп'ютерних системах”.

Особистий внесок здобувача. Основні результати отримані автором самостійно. У роботі [1] автором запропонована модель для дослідження параметрів протоколу TCP/IP, у роботі [2] автором запропоновано модифікований протокол аутентифікації в комп'ютерних мережах та спеціалізоване середовище для аналізу протоколів аутентифікації, у роботі [3] автором запропоновано метод раннього призупинення передачі пакетів, що базується на принципі активного управління чергами пакетів у серверах, у роботі [4] автором запропоновано алгоритм аналізу ризиків безпеки в комп' ютерних мережах, у роботі [5] автором запропоновано підхід до аналізу пропускної спроможності каналів зв'язку серверів безпеки в комп'- ютерних мережах, у роботі [6] автором запропоновано підхід до запобігання перевантажень трафіка в захищених комп' ютерних мережах, у роботі [7] автором запропоновані засоби для аналізу й сертифікації механізмів захисту інформації в комп'ютерних мережах.

Апробація роботи. Основні результати дисертаційної роботи доповідалися й обговорювалися на:

1. П'ятій міжнародній науково-практичної конференції "Проблеми впровадження інформаційних технологій в економіці" (13 -14 травня 2004 р., м. Ірпінь)

2. П'ятій міжнародній науково-практичної конференції "Сучасні інформаційні й електронні технології" "СІЕТ-2004" (17 -21 травня 2004, м. Одеса)

3. Шостій міжнародній науково-практичної конференції "Сучасні інформаційні й електронні технології" "СІЕТ-2005" (23 -27 травня 2005 р., м. Одеса)

4. Восьмій міжнародній конференції з м'яких обчислень і вимірювань SCM'2005. (25 - 27 червня 2005 р., м. Санкт-Петербург, Росія)

Публікації. Основні результати дисертаційної роботи опубліковані в 7 наукових працях, серед яких 3 наукові статті в журналах, затверджених ВАК і 4 публікації в матеріалах конференцій.

Структура роботи. Дисертаційна робота складається із вступу, чотирьох розділів, висновків, списку літератури з 116 найменувань і додатків. Робота містить 141 сторінку машинописного тексту, 40 рисунків, 8 таблиць.

ОСНОВНИЙ ЗМІСТ РОБОТИ

У вступі обґрунтована актуальність теми роботи, виділено її зв'язок з науковими програмами й темами, сформульовані мета, наукова новизна роботи й основні положення, що виносяться на захист.

У першому розділі визначені проблеми забезпечення необхідного рівня пропускної здатності комунікаційних середовищ, в яких реалізуються механізми захисту інформації. Комунікаційне середовище являє собою комплекс розподіленої обробки даних, що включає в себе апаратні й програмні засоби комп'ютерної мережі, у т.ч. вузли (робочі станції) мережі, сервера, фізичні канали зв'язку, адаптери, мережеве програмне забезпечення. Фактично, основним елементом комунікаційного середовища є комп'ютерна мережа.

Реалізація засобів захисту інформації в комп'ютерних мережах обумовлює збільшення обсягу переданої інформації, що при значній кількості користувачів мережі може приводити до перевантажень, коли мережеві ресурси протягом досить тривалого інтервалу часу не здатні обробляти завдання, що надходять.

Для підвищення ефективності управління передачею даних в комп'ютерних мережах застосовуються засоби управління перевантаженням. Виділяються два основних класи механізмів управління перевантаженням в комп'ютерних мережах (КМ): механізми, які реалізуються на вузлах (робочих станціях) мережі, і механізми, які реалуються на серверах (рис. 1). Механізми першого класу виконують управління вихідним трафіком, а другого класу - вхідним мережевим трафіком.

Найбільш ефективні засоби управління перевантаженням базуються на управлінні буферами/чергами серверів. Для запобігання перевантажень КМ застосовується механізм випадкового видалення пакетів на основі методу раннього випадкового видалення пакетів (ERD - Early Random Drop), що передбачає видалення пакетів ще до заповнення черги у випадку прогнозування можливого перевантаження. Однак, засоби управління чергами на основі методу ERD не дозволяють оптимальним чином розподілити пропускну здатність каналу зв'язку між потоками пакетів і ефективно обслуговувати потоки даних з високою інтенсивністю.

Для усунення цих недоліків було розроблено метод управління чергами пакетів в серверах на основі випадкового раннього виявлення (RED - Random Early Detection), який адаптується для управління мережевим трафіком в різних умовах. Однак при певних параметрах комп'ютерної мережі й мережевого трафіка ефективність засобів управління чергами серверів на основі методу RED для боротьби з перевантаженнями також може виявитися низькою.

В комп'ютерних мережах захист інформації може одночасно виконуватися на декількох рівнях еталонної моделі OSI/ISO. При цьому збільшується захищеність мережі, але через виконання криптографічних перетворень і пересилань службової інформації, знижується швидкість передачі користувальницьких даних у мережі. Тому на практиці засоби захисту в комп'ютерних мережах реалізуються на одному рівні моделі OSI/ISO (канальному, мережевому, транспортному, сеансовому або прикладному). В теперішній час розроблено й застосовуються цілий ряд захищених мережевих протоколів: на прикладному рівні SHTTP, S/MIME, PGP, SSH; на сеансовому рівні SOCKS, SSL, TLS; на мережевому рівні IPSec, SKIP; на канальному рівні PPTP, L2TP.

Рис. 1. Класифікація механізмів керування перевантаженнями в КМ

Пропускна здатність КМ пов'язана з рівнем безпеки, що надається засобами захисту інформації в КМ. При збільшенні рівня безпеки зростає гарантія безпечної передачі й обробки даних, але при цьому знижується набір доступних функцій прикладних засобів й пропускна здатність КМ. В свою чергу, при встановленні низького рівня безпеки швидкість передачі інформації зростає, однак в цьому випадку передані по мережі дані виявляються практично незахищеними.

В результаті, однією з цілей розробки нових засобів захисту передачі даних є зменшення питомого обсягу службової інформації, що передється каналами комп'ютерних мереж при використанні засобів захисту даних. Таким чином, досить актуальної є розробка й застосування засобів захисту інформації, що забезпечують одночасно високий рівень безпеки даних, що передаються, і достатню пропускну здатність КМ, в яких вони реалізуються.

У другому розділі розглянуті особливості реалізації протоколів аутентифікації в сучасних комп'ютерних мережах і виконана загальна оцінка пропускної здатності комп'ютерних мереж, в яких реалізуються протоколи аутентифікації.

Протоколи аутентифікації суб'єктів і повідомлень є одним з основних механізмів захисту інформації переданої в КМ, що забезпечує гарантію справжності користувачів, що обмінюються інформацією й цілісність самої інформації. В протоколах аутентифікації використовується симетричне й асиметричне шифрування, розрізняють протоколи за участю посередника (один або більше серверів аутентифікації) і протоколи, що реалізуються тільки між двома суб'єктами мережі. Крім того, протоколи аутентифікаціх відрізняються кількістю переданих повідомлень, використанням одностроннього або двостороннього рукостискання. Ця специфіка описується стандартами ISO з аутентифікації суб'єктів і повідомлень.

Протоколи аутентифікації за участю посередника – сервера безпеки – більш ефективні, ніж протоколи без посередника. У роботі досліджені протоколи аутенти-фікації за участю посередника на основі симетричних криптосистем. Серед найбільш відомих таких протоколів є протоколи: Нідхама-Шредера, Wide Mouthed Frog, Отвея-Рііса, Яхалома, Деннінга-Сакко.

У процесі реалізації протоколів аутентифікації за участю сервера безпеки користувачі КМ обмінюються між собою рядом повідомлень і відправляють запити до сервера безпеки. З збільшенням числа користувачів КМ канал сервера безпеки може бути перевантаженим, що призведе до затримок у проведенні процедури аутентифікації, а в окремих випадках навіть до відмов в аутентифікації легальним користувачам, що викликає необхідність підвищення ефективності механізмів управління передачею даних в комп'ютерних мережах, в яких реалізуються процедури аутентифікації.

Найбільш важливими параметрами протоколів аутентифікації є:

§ витрати часу – Tз на виконання процедури аутентифікації, які пов'язані з часом шифрування/розшифрування службової інформації, що передається сервером безпеки й суб'єктами мережі;

§ час криптостійкості – Tкр криптосистеми й ключів шифрування, що використовуються в протоколі аутентифікації, цей час потрібен зловмисникам для дешифрування зашифрованої інформації.

Для незахищеної комп'ютерної мережі, в якій не застосовуються механізми і засоби захисту інформації, пропускна здатність нз визначається як:

. (1)

де Q – обсяг переданої інформації (Kb), Tп — час її передачі (c), r — імовірність простою i-того абонента мережі.

Для захищеної комп'ютерної мережі, в якій застосовуються засоби захисту оброблюємих даних, пропускна здатність з визначається як:

(2)

де Tз – витрати часу на виконання процедури аутентифікації.

Для оптимізації співвідношення між рівнем безпеки, що забезпечує протокол аутентифікації й витратами часу на виконання процедури аутентифікації пропонуються наступні підходи: варіювання довжиною ключів шифрування протокольних повідомлень, модифікація схеми протоколу аутентифікації, в результаті чого змінюється загальне число протокольних повідомлень, реалізація спеціальних механізмів управління передачею даних у КМ.

У третьому розділі розглянуто механізми управління передачею даних в захищених комп'ютерних мережах.

Для виконання ефективного аналізу процесу передачі даних у захищених комп'ютерних мережах необхідно коректно оцінити пропускну здатність ціх мереж. По статистиці, більшість (90-95%) пакетів мережевого трафіка в корпоративних мережах і мережі Internet являють собою пакети TCP/IP-протоколу.

В загальному випадку, для комп'ютерних мереж на основі TCP/IP-протоколу пропускна здатність мережі TCP-IP обчислюється як (3):

(3)

де V – дисперсія довжин w вікон, C(wi,wi-1) – коваріаційний коефіцієнт довжин wi й wi-1 вікон i й i-1, N – загальне число переданих пакетів TCP/IP-протоколу, RTT – час передачі даних від відправника до одержувача й назад, a – усереднена ймовірність втрати пакета, b – число успішно переданих пакетів.

Для оцінки пропускної здатності мережі було проведене моделювання мережевого трафіка в корпоративній комп'ютерній мережі, що нараховує приблизно 200 комп'ютерів, які розбиті на 10 локальних підмереж. На рис. 2 представлені результати моделювання пропускної здатності корпоративної комп'ютерної мережі, обчислені відповідно до (3) для різних моделей зміни ТСР-вікна (моделі на основі стаціонарного (модель 1), експоненційного (модель 2), ерлангівського (модель 3) та кусково-експоненційного (модель 4) законів зміни вікна), у порівнянні з реальною пропускною здатністю мережі.

Рис. 2. Результати моделювання пропускної здатності мережі

Як показує рис.2 для всіх досліджуваних моделей ТСР-вікна оцінки пропускної здатності мережі відрізняються від реальних її значень. Таким чином, актуальним є використання таких моделей зміни TCP-вікна, які дозволять із максимально корректно оцінити пропускну здатність мереж і, як наслідок, з високою ймовірністю передбачити можливі перевантаження в мережі.

Для підвищення ефективності реалізації протоколів аутентифікації в комп'ютерних мережах пропонуються засоби управління передачею даних в КМ на основі нового методу раннього призупинення передачі пакетів (РППП), що базується на принципі активного управління чергами, і дозволяє істотно знизити число пакетів, що видаляються.

Розглянемо сутність пропонованого методу. На рис. 3 зображено фрагмент КМ, що складається із сервера, який приймає пакети, що надходять від робочих станцій (вузлів), причому Pii позначає мережеві пакети.

Рис. 3. Передача пакетів у фрагменті КМ із s робочих станцій (РС) і сервера

Особливість запропонованого методу полягає в тому, що він передбачає управління не лише вхідним трафіком в сервер, але також і вихідним трафіком від робочих станцій, що дозволяє гнучко змінювати інтенсивність відправлення пакетів

(і, як результат, швидкість заповнення черги пакетів на сервері) і знизити ймовірність видалення пакетів.

Сутність методу РППП полягає в тому, що після заповнення черги сервера всім робочим станціям надсилається сигнал на заборону передачі пакетів, а генеровані ними пакети припиняються й розміщуються в буферній пам'яті робочих станцій. Після того, як черга сервера звільниться на кількість пакетів, що відповідає числу активних користувачів мережі, від кожної робочої станції на сервер буде передано по одному пакеті. Як тільки потік пакетів хоча б від одного джерела припиниться, в черзі з'явиться вільне місце й пакети від робочих станцій будуть передаватися в звичайному режимі до одержання нового сигналу про заповнення черги.

Розглянемо аналітичні моделі одного циклу роботи методу RED і запропонованого методу РППП. Позначимо:

t1 – середній час передачі пакета від відправників (робочих станцій) до сервера;

t2 – середній час перебування пакета в черзі сервера;

N – загальне число сгенерованих та переданих пакетів;

p – число видалених пакетів (для методу RED);

p – число припинених пакетів (для методу РППП).

Пропускна здатність каналу зв'язку сервера розраховується як (4):

(4)

де Lp = N * l – сумарна довжина всіх отриманих пакетів (l – довжина одного пакета, умовимося, що всі пакети мають однакову довжину); T – сумарний час передачі N пакетів каналом зв'язку й перебування їх у черзі сервера.

Для засобів управління передачею даних на основі методу RED параметр T обчислюється як (5):

TRED = N*t1 + (N-p)*t2 + p*t1 + p*t2 = N * (t1+t2) + p* t1 (5)

Для засобів управління передачею даних на основі запропонованого метода РППП параметр T визначається як (6):

TРППП = (N-p)*t1+ (N- p)*t2 + p*t1+ p*t2 + p*t2 = N*(t1+t2)+ p* t2 (6)

В (6) додаткова складова p* t2 з'являється за рахунок того, що призупинені пакети очікують звільнення черги сервера. Оскільки в запропонованому методі РППП призупинені пакети фактично відповідають видаленим в методі RED, приймаємо: p = p.

Пропускна здатність каналу зв'язку сервера розраховується в такий спосіб:

для засобів на основі метода RED (7):

(7)

для засобів на основі запропонованого метода РППП (8):

(8)

Зі співвідношень (7) і (8) видно, що якщо t1 > t2 , тобто час передачі одного пакета мережевими каналами зв'язку більше, ніж час його перебування в черзі сервера, як часто буває в практичних застосуваннях, то запропонований метод РППП для управління чергами забезпечує більш високу швидкість передачі пакетів мережею.

В захищених КМ часто обробляється інформація різного ступеня таємності (захищеності), при цьому інформація з більш високим ступенем захищеності часто є пріоритетною і її необхідно обробити в першу чергу. Суб'єктам (користувачам) захищених КМ надаються ранги відповідно до рівня таємності інформації, яку вони обробляють і передають. Таким чином, виникає необхідність в гнучкому управлінні швидкістю каналів зв'язку серверів, з наданням пріоритетів (тобто прискореної передачі пакетів) суб'єктам, що обробляють інформацію з високим рангом таємності.

Для вирішення цієї проблеми запропоновано модифікацію метода РППП. Розглянемо випадок, коли виділяються суб'єкти тільки двох рангів (високого й низького). В цьому випадку, після первинного заповнення черги сервера, на другому етапі блокуються всі потоки пакетів, крім того, що генерується суб'єктом з високим рангом. В мережі може бути одночасно кілька суб'єктів з високим рангом, в результаті мережевий канал буде розділений тільки між ними.

Пропускна здатність каналу зв'язку сервера для цих суб'єктів визначається як (9):

(9)

де n – кількість користувачів з високим рангом таємності.

Якщо n < p = p , то пропускна здатність каналу зв'язку сервера для суб'єктів з високим рангом буде підвищена в порівнянні з випадком, коли всі суб'єкти мають однаковий ранг, що дозволяє адаптивно обслужити пріоритетних користувачів.

На рис. 4 показана залежність пропускної здатності каналу зв'язку сервера (Кбайт/c) від коефіцієнта k (k = t1 / t2), що задає співвідношення між середнім часом передачі одного пакета й середнім часом його перебування в черзі для метода RED, запропонованого метода РППП при суб'єктах одного рангу, модифікованого метода РППП при одному (n=1) високоранговому суб'єкті й при п'ятьох (n=5) високорангових суб'єктах. При цьому для розрахунків використано наступні значення параметрів: число переданих пакетів N = 1000, довжина пакета (усереднено) l = 50 байт, середній час перебування пакета в черзі сервера t2 = 1 c, число видалених (припинених) пакетів p = 250.

Рис. 4. Залежність пропускної здатності каналу зв'язку сервера від коефіцієнта k (k = t1 / t2) для різних методів управління передачею даних в КМ

Як видно з рис. 4, при застосуванні запропонованого метода РППП для управління передачею даних у КМ пропускна здатність каналу зв'язку сервера зростає залежно від значення коефіцієнта k на 10-16%. Для модифікованого метода РППП з ранжуванням суб'єктів КМ відповідно до рівня таємності переданих ними даних, ріст пропускної здатності виявляється ще більшим й досягає 15 - 20%.

Проведені дослідження підтверджують підвищену ефективність за- пропонованого методу РППП і засобів на його основі для реалізації управління передачею даних в захищених КМ у порівнянні із засобами на базі розповсюдженого метода RED.

У четвертому розділі на основі аналізу протоколу аутентифікації Нідхама – Шредера і його аналогів запропоновано модифікований протокол аутентифікації, в якому зменшена кількість пересилань повідомлень між суб'єктами. Цей протокол представлено на рис. 5.

Рис. 5. Модифікований протокол аутентифікації

Запропонований протокол аутентифікації реалізується в 4 етапи, тоді як в протоколі Нідхама-Шредера потрібно 5 етапів передач повідомлень. Скорочення одного етапу передач даних можливо за рахунок того, що модифікований протокол аутентифікації реалізується в комунікаційному середовищі з певним рівнем довіри між суб'єктами, що дозволяє їм делегувати один одному частину повноважень підчас проведення процедури аутентифікації.

Сумарний час шифрування інформації в протоколах становить: (I – ім'я суб'єкта, R – випадкове число, K – ключ): в протоколі Нідхама-Шредера: Tшфр = te (4I, 4R, 4K), в модифікованому протоколі: Tшифр = te (3I, 3R, 2K).

Сумарний час передачі інформації в мережі дорівнює: в протоколі Нідхама-

Шредера: Tпер = tп(5I, 6R, 3K), в модифікованому протоколі: Tпер = tп(5I, 6R, 3K).

Таким чином, сумарний час шифрування й передачі повідомлень в модифікованому протоколі менше, ніж в базовому протоколі.

В роботі виконано аналіз коректності запропонованого модифікованого протоколу аутентифікації з використанням BAN-логіки.

Для дослідження ефективності протоколів аутентифікації розроблено спеціалізоване програмне середовище, в якому моделюються протоколи аутенти-фікації суб'єктів КМ. Вихідними даними цього середовища є досліджуваний протокол аутентифікації, кількість і ролі суб'єктів в протоколі, а також параметри протоколу, такі як довжини ключів шифрування, випадкових чисел і т.д. Середовище дозволяє визначити для кожного протоколу аутентифікації час шифрування повідомлень і час їх передач мережею, а також сумарний час реалізації протоколу.

У роботі виконане моделювання протоколів Нідхема-Шрёдера, Отвея-Рііса, Яхалома, Ньюмана-Стабблбайна і запропонованого модифікованого протокола, в яких використовуються сучасні високошвидкісні алгоритми шифрування Rijndael й Anubis за пропускної здатності мережі 10 Мбіт/с.

На рис. 6 і рис. 7 наведено залежності часу, що витрачається на реалізацію різних протоколів аутентифікації від довжини ключа, який використовується для шифрування повідомлень протоколів криптосистемами Rijndael й Anubis. Запропонований модифікований протокол, має найкращі характеристики щодо витрат часу на його реалізацію у порівнянні з іншими відомими протоколами аутентифікації. Зокрема, час, що витрачається на виконання модифікованого протокола з використанням алгоритму шифрування Rijndael, на 9-11% менше часу, що витрачається на виконання базової версії протоколу. (рис. 6).

Рис. 7 показує, що при використанні більш швидкісного алгоритму шифру-вання Anubis, запропонований модифікований протокол виконується на 18-20% швидше базовій версії протокола, що використає той самий алгоритм шифрування повідомлень.

Проведено аналіз впливу типу протоколу аутентифікації й використовуваного алгоритму шифрування на пропускну здатність захищеної мережі щодо передачі користувальницької інформації. Моделювання протоколів аутентифікації проведено для 2-х типів КМ. В КМ першого типу застосовуються звичайні засоби управління передачею даних (на основі методу RED), у КМ другого типу – аналогічні засоби на основі запропонованого методу раннього призупинення передачі даних. Для дослідження пропускної здатності мережі щодо передачі користувальницької інформації використано повідомлення довжиною 1 КБайт.

Рис. 6. Час виконання протоколів аутентифікації залежно від довжини ключа шифрування при використанні алгоритму шифрування Rijndael

Рис. 7. Час виконання протоколів аутентифікації залежно від довжини ключа шифрування при використанні алгоритму шифрування Anubis

Відповідно до формули (2), оцінена пропускна здатність захищених мереж 2-х типів щодо передачі користувальницької інформації. Результати наведені на рис. 8 і рис. 9.

Рис. 8. Пропускна здатність КМ I-го типу щодо передачі користувальницької інформації

Рис. 9. Пропускна здатність КМ II-го типу щодо передачі користувальницької інформації

Дані рис. 8 відповідають протоколам аутентифікації, які реалізуються в КМ першого типу, а дані рис. 9 - протоколам аутентифікації, які реалізуються в КМ другого типу.

Таким чином, комбінація модифікованого протоколу аутентифікації й засобів управління передачею даних в комп'ютерних мережах на основі методу раннього призупинення передачі пакетів дозволяє підвищити ефективність реалізації протоколу аутентифікації на 25-30% у порівнянні з базовим варіантом, що особливо важливо в практичних застосуваннях.

У додатках наведені лістинги модулів програмного комплексу спеціалізо-ваного середовища для моделювання й аналізу протоколів аутентифікації в комп'ютерних мережах.

ОСНОВНІ РЕЗУЛЬТАТИ І ВИСНОВКИ РОБОТИ

1. Проведено аналіз методів управління передачею даних в комп'ютерних мережах для визначення специфіки реалізації засобів управління мережевим трафіком в комп'ютерних мережах. Показано, що для ефективного управління передачею даних потрібна розробка адекватних математичних моделей, які враховують як статичний характер піків в мережевому трафіку, так і динаміку передачі пакетів на різних рівнях протоколів межмережевої взаємодії, включаючи часові й просторові характеристики.

2. Виконано класифікацію й порівняльний аналіз механізмів управління перевантаженням в комп'ютерних мережах, виділені переваги й недоліки їх реалізації. Показано, що сучасні методи управління перевантаженням при певних параметрах комп'ютерної мережі можуть виявитися неефективними.

3. Розроблено оцінки пропускної здатності комп'ютерних мереж, що реалізують протоколи аутентифікації. Показано, що швидкість передачі користувальницької інформації в комп'ютерних мережах, які реалізують протоколи аутентифікації, залежить від сумарного часу передачі всіх повідомлень протоколу аутентифікації і часу, необхідного для проведення шифрування/розшифрування всіх змінних у протоколі аутентифікації.

4. Розроблено метод раннього призупинення передачі пакетів (РППП) для підвищення пропускної здатності каналів зв'язку серверів, що реалізують протоколи аутентифікації в комп'ютерних мережах. Застосування запропонованого методу РППП для запобігання перевантажень мережі дозволяє підвищити пропускну здатність мереж на 10-20%, що особливо важливо для підвищення ефективності реалізації протоколів аутентифікації в комп'ютерних мережах.

5. Запропоновано модифікований протокол аутентифікації в комп'ютерних мережах, що забезпечує підвищення на 15-20% швидкості передачі користува-льницької інформації в мережі. Виконано аналіз коректності запропонованого модифікованого протоколу аутентифікації з використанням BAN-логіки.

6. Розроблено спеціалізоване середовище для моделювання й аналізу протоколів аутентифікації в комп'ютерних мережах, що дозволяє оцінити основні параметри протоколів, зокрема, витрати часу на виконання процедури аутентифікації.

7. На підставі проведених експериментальних досліджень отримані порівняльні оцінки характеристик протоколів аутентифікації в комп'ютерних мережах. Застосування комбінації запропонованого модифікованого протоколу аутентифікації і засобів управління передачею даних в комп'ютерних мережах на основі методу раннього призупинення передачі пакетів дозволяє підвищити ефективність реалізації протоколу аутентифікації на 25-30% у порівнянні з базовим варіантом реалізації.

СПИСОК ОПУБЛІКОВАНИХ РОБІТ ЗА ТЕМОЮ ДИСЕРТАЦІЇ:

1. Широчин В.П., Мухин В.Е., Дарвиш Л. Средства и методы анализа пропускной способности защищенных компьютерных сетей.// Электронное моделирование, N 5, Том 26, 2004. – с. 21 - 32. – автором запропоновано модель для дослідження параметрів протоколу TCP/IP.

2. Мухин В.Е., Дарвиш Л. Средства для анализа и повышения эффективности протоколов аутентификации в компьютерных сетях.// Вісник НТУУ “КПІ”. Серія “Інформатика, управління та обчислювальна техніка”, N 42, 2004. – с. 71 - 83. – автором запропоновано модифікований протокол аутентифікації в комп’ютерних мережах та спеціалізоване середовище для аналізу протоколів аутентифікації.

3. Мухин В.Е., Дарвиш Л. Методы и средства эффективного управления передачей дан-ных в защищенных компьютерных сетях. //Системні дослідження та інформаційні технології, N2, 2005. – c. 61 – 75. – автором запропоновано метод раннього призупинення передачі пакетів, що базується на принципі активного управління чергами пакетів в серверах

4. Широчин В.П., Мухин В.Е., Дарвиш Л. Методика анализа и управления рисками безопасности компьютерных систем.// Сб. тезисов докладов Пятой международной научно-практической конференции "Проблемы внедрения информационных технологий в экономике и бизнесе", Ирпень, 13- 15 мая 2004 г., – с. 552 – 555. – автором запропоновано алгоритм аналізу ризиків безпеки в комп’ ютерних мережах.

5. Широчин В.П., Мухин В.Е., Дарвиш Л. Анализ пропускной способности серверов безопасности защищенных компьютерных сетей. //Сб. трудов Пятой международной научно-практической конференции “Современные информационные и электронные технологии СИЭТ-2004”, Одесса, 17 –21 мая 2004 г., – с. 80. - автором запропоновано підхід до аналізу пропускної спроможності каналів зв’язку серверів безпеки в комп’ ютерних мережах.

6. Мухин В.Е., Дарвиш Л. Метод предотвращения перегрузок трафика в защищенных компьютерных сетях.// Сб. трудов Шестой международной научно-практической конференции “Современные информационные и электронные технологии СИЭТ-2005”, Одесса, 23 –27 мая 2005 г. – с. 127. - автором запропоновано підхід до запобігання перевантажень трафіка в захищених комп’ ютерних мережах.

7. Мухин В.Е., Дарвиш Л. Средства анализа и сертификации механизмов защиты информации в компьютерных системах и сетях.//Сб. докладов Восьмой международной конференции по мягким вычислениям и измерениям SCM'2005. Санкт-Петербург, Россия, 27 - 29 июня 2005 г. - с. 231 –234. - автором запропоновані засоби для аналізу і сертифікації механізмів захисту інформації в комп’ютерних мережах.

АНОТАЦІЇ

Луай Дарвіш. “Методи та засоби підвищення ефективності передачі даних в захищених комунікаційних середовищах”. - Рукопис.

Дисертація на здобуття наукового ступеня кандидата технічних наук за спеціальністю 01.05.03 - “Математичне й програмне забезпечення обчислювальних машин і систем”. Національний технічний університет України “Київський політехнічний інститут”, Київ, 2006.

Дисертація присвячена проблемам підвищення ефективності передачі даних в захищених комунікаційних середовищах на основі реалізації засобів захисту інформації, що забезпечують підвищений рівень швидкості передачі користува-льницької інформації при заданому рівні захищеності мереж.

Проведено аналіз методів управління передачею даних у комп'ютерних мережах для визначення особливостей реалізації засобів керування мережевим трафіком в комп'ютерних мережах. Виконано класифікацію й порівняльний аналіз механізмів управління перевантаженням в комп'ютерних мережах, визначені переваги й недоліки їх реалізації. Розроблено оцінки пропускної здатності комп'ютерних мереж, що реалізують протоколи аутентифікації.

Розроблено метод раннього призупинення передачі пакетів (РППП) для підвищення пропускної здатності каналів зв'язку серверів безпеки, що реалізують протоколи аутентифікації в комп'ютерних мережах. Механізми запобігання перевантажень на основі методу РППП дозволяють підвищити пропускну здатність мереж на 10-20%, що особливо важливо для підвищення ефективності реалізації протоколів аутентифікації в комп'ютерних мережах.

Запропоновано модифікований протокол аутентифікації в комп'ютерних мережах, що реалізується на 18-20% швидше ніж базовий варіант даного протоколу. Комбінація модифікованого протоколу аутентификации й засобів управління передачею даних в комп'ютерних мережах на основі методу раннього призупинення передачі пакетів дозволяє підвищити ефективність реалізації протоколу аутентифікації на 25-30% у порівнянні з базовим варіантом, що особливо важливо в практичних застовуваннях.

Розроблено спеціалізоване середовище для моделювання й аналізу протоколів аутентифікації в комп'ютерних мережах, що дозволяє оцінити основні параметри протоколів, зокрема, витрати часу на виконання процедури аутентифікації. Це середовище дозволяє виконувати також верифікацію й сертифікацію протоколів аутентифікації в комп'ютерних мережах.

Ключові слова: комп'ютерні мережі, протокол аутентифікації, управління передачею даних, перевантаження, пропускна здатність, спеціалізоване середовище

Луай Дарвиш. “Методы и средства повышения эффективности передачи данных в защищенных коммуникационных средах”. – Рукопись.

Диссертация на соискание ученой степени кандидата технических наук по специальности 01.05.03 - “Математическое и программное обеспечение вычислительных машин и систем”. Национальный технический университет Украины “Киевский политехнический институт”, Киев, 2006.

Диссертация посвящена проблемам повышения эффективности передачи данных в защищенных коммуникационных средах на основе реализации средств защиты информации, обеспечивающих повышенный уровень скорости передачи пользовательской информации при заданном уровне защищенности сетей.

Проведен анализ методов управления передачей данных в компьютерных сетях для определения особенностей реализации средств управления сетевым трафиком в компьютерных сетях. Выполнена классификация и сравнительный анализ механизмов управления перегрузкой в компьютерных сетях, определены преиму-щества и недостатки их реализации. Разработаны оценки пропускной способности компьютерных сетей, реализующих протоколы аутентификации.

Разработан метод раннего приостановления передачи пакетов (РППП) для повышения пропускной способности каналов связи серверов, реализующих протоколы аутентификации в компьютерных сетях. Механизмы предотвращения перегрузок на основе метода РППП позволяют повысить пропускную способность сетей на 10-20%, что особенно важно для повышения эффективности реализации протоколов аутентификации в компьютерных сетях.

Предложен модифицированный протокол аутентификации в компьютерных сетях, который реализуется на 18-20% быстрее базового варианта данного протокола. Комбинация модифицированного протокола аутентификации и средств управления передачей данных в компьютерных сетях на основе метода раннего приостановления передачи пакетов позволяет повысить эффективность реализации протокола аутентификации на 25-30% по сравнению с базовым вариантом, что особенно важно в практических приложениях.

Разработана специализированная среда для моделирования и анализа протоколов аутентификации в компьютерных сетях, позволяющая оценить основные параметры протоколов, в частности, затраты времени на выполнение процедуры аутентификации. Данная среда позволяет выполнять также верификацию и сертификацию протоколов аутентификации в компьютерных сетях.

Ключевые слова: компьютерные сети, протокол аутентификации, управление передачей данных, перегрузка, пропускная способность, специализированная среда

Luay Darvish. “Methods and means for efficiency increasing of data transfer in the protected communication environments”. - Manuscript.

Thesis for scientific degree of candidate of technical science on a speciality 01.05.03 - “Mathematical and software aids for computers and systems”. National Technical University of Ukraine “ Kiev Polytechnic Institute ”, Kiev, 2006.

The dissertation is devoted to the problems of data transfers efficiency increasing in the secured communication environments on the basis of secured mechanisms, that ensuring a raised level of users data transfers along with the certain network security level.

There is performed the analysis of methods for data transfer control in the computer networks, that allows to light up the specifics of these methods for the network traffic control. The classification and comparative analysis of mechanisms for congestion prevention in the computer networks are realized, the advantages and shortcomings of these mechanisms realization are determined.

The estimation of the throughput of the computer networks, that realizes the authenticating protocols is suggested. The rate of the users data transfer in the computer networks depends on the time, that is spending the all authenticating messages transfers and the time required for the all parameters enciphering in the authenticating protocol.

The method of early data packets transfer delay (EDPTD) for throughput increasing of links channels of the network servers, which realizing the authenticating protocols, is suggested. The mechanisms for the network congestions prevention, based on EDPTD method allow to increase networks throughput up to 10-20%, that is especially important for the efficiency increasing of the authenticating protocols realization in the computer networks.

The modified authenticating protocol for the computer networks is suggested. This protocol is realized up to 18-20% faster than the base protocol version. The combination from the modified authenticating protocol and the data transfer control mechanisms in the computer networks on the basis of the early data packets transfer delay method allows to increase the efficiency of authenticating protocol realization up to 25-30% in compare to the same parameters of the base protocol version, that is especially important in the practical practices.

The specialized environment for the simulation and analysis of the authenticating protocols in the computer networks, that allows to estimate the main parameters of the protocols, in particular,