Мошак_Птицына_ Учебное пособие. Федеральное государственное бюджетное образовательное учреждение высшего образования санктпетербургский

При этом функции формирования/проверки КОМ, как правило, реализуются в виде соответствующих программ на транспортном или сеансовом уровнях логической структуры сети в оконечных мультимедийных системах
(Maltimedia
End
System,
MES).
Для обеспечения целостности последовательности блоков данных в протоколах с установлением связи одновременно с КОМ отдельных пакетов используются возможности протоколов с установлением связи: нумерацияпакетов, повторная передача, а также дополнительные средства – временные или синхронизирующие метки, обычно используемые для цифровых видео или аудио приложений.
Указанный механизм не задействуется при передаче изохронного трафика класса B , ввиду его значительной информационной избыточности. При передаче данных могут быть использованы отметки времени в целях обеспечения ограниченной формы защиты против воспроизведения отдельных блоков данных. Этот механизм сам по себе не может защитить от воспроизведения отдельного блока данных. На соответствующих уровнях архитектуры обнаружение манипуляции может привести к задействованию процедуры восстановления как отдельного блока данных, так и последовательности потока блоков данных.
Укажем основные таксоны КОМ – 1) Электронная цифровая подпись
(ЭЦП) и ее разновидности (контрольные суммы CRC и коды аутентификации сообщений (message authentication code, MAC), известные также как коды проверки подлинности данных (data authentication code, DAС)); 2) имитозащитные вставки (ИВЗ). Построим модели процессов контроля целостности отдельных блоков данных на примере ИЗВ.
Имитозащитная вставкапредставляет собой
k
-битовый блок, который вырабатывается по определенному правилу из открытых данных с использованием симметричного секретного ключа, который и гарантирует невозможность (трудность) подделки. Для вычисления имитовставки используется алгоритм, задающий зависимость ИЗВ от каждого бита сообщения. В качестве алгоритма для вычисления имитовставки используется хэш-функция – односторонняя функция
 
h M
, преобразующая сообщение M произвольной длины в выходной хэш-код постоянной длины
H с применением или без применения секретных параметров и не позволяющее осуществить обратное преобразование. Могут быть использованы следующие два варианта: 1) вычисление ИЗВ по открытому
тексту M и 2) вычисление ИЗВ по шифротексту
*
M
. В первом случае отправитель формирует
 
ИВЗ1i
h M
H

за время
ИВЗ1
Н
i
t
. На приеме получатель извлекает
M
за время
ИВЗ1
M
j
t
, сам формирует
 
ИВЗ1i
h M
H

за время
ИВЗ1
Н
i
t
и сравнивает их за время сравн ИВЗ2
Н
j
t
. Во втором случае отправитель формирует
 
 


ИВЗ 2
ИВЗ2
*
*
i
K
h M
h E
M
H


, а время его вычисления
ИВЗ1i
t
включает в себя время
*ИВЗ2
M
i
t
, затрачиваемое на шифрование пакета (сообщения)
M
, и время
*ИВЗ2
H
i
t
, затрачиваемое на вычисление собственно ИВЗ. Максимальная длина

ИЗВ определяется схемой или режимом простой замены и составляет
64
k

бит. Значение параметра
k
(число двоичных разрядов в имитовставки) определяется криптографическими требованиями с учетом того, что вероятность навязывания ложных данных
1/ 2
k
p

. На практике, как правило, используют ИЗВ длиной 32 бит (один блок), предоставляющую достаточный (
9 10
p


) уровень защищенности. На приеме получатель извлекает шифрованное
*
M
за время
*ИВЗ2
M
j
t
расшифровывает его на секретном ключе отправителя
ИВЗ2
i
K
за время
*ИВЗ2
M
j
t
Процесс формирования/проверки ИВЗ может быть представлен соответственно двумя аддитивными формами. цел
ИВЗ1
ИВЗ1
ИВЗ1
сравн ИВЗ2
ИВЗ1
H
M
H
H
i
j
j
j
t
t
t
t
t




, (6) цел
* ИВЗ2
* ИВЗ2
* ИВЗ2
ИВЗ2
ИВЗ2
M
H
M
M
i
i
j
j
t
t
t
t
t




. (7)
Операция конкатенации КОМ к пакету данных, вносящая протокольную избыточность, может быть формализована аддитивной формой
*C
C
i
L
S
L


. (8)
Операция конкатенации КОМ к пакету данных, вносящая протокольную избыточность, может быть формализована аддитивной формой
*C
C
i
L
S
L


. (8)
Процессы создания/проверки КОМ моделируются СМОПб и должны быть учтены во второй задаче анализа по аналогии с применением процессов симметричного шифрования.
Моделирование процессов предоставления потоковых механизмов
защиты. Построим типовые модели процессов предоставления потоковых механизмов защиты, вносящих потоковую избыточность в информационное окружение сети на примере процесса предоставления механизмов простой
аутентификации без защиты и процессов восстановления целостности.
Различают услугу аутентификации или подтверждение подлинности равноправных логических объектов (пользователей, приложений), которая реализуется на фазе установления мультимедийного соединения потоковыми механизмами простой и/или строгой аутентификации, и услугу аутентификации отправителя данных в сессии, которая реализуется протокольными механизмами защиты
[6,16,27-29].
Протоколы аутентификации можно классифицировать в соответствии со следующими параметрами [6,16,33,70]: тип аутентификации, тип используемой криптосистемы, вид реализации криптосистемы, количеству обменов служебными сообщениями между субъектами. Дополнительно они могут

различаться наличием диалога и доверия между субъектами, а также использованием в протоколах отметок времени. При использовании криптографических процедур они должны сочетаться с протоколами квитирования установления связи, что обеспечивает защиту от воспроизведения. Различают простую и строгую аутентификацию. Простая аутентификация может быть осуществлена без защиты и с защитой.
Простая аутентификация без защиты с центром
CA
. В случае применения простой аутентификации без защиты с центром
CA
транзакция аутентификации равноправных логических объектов включает в себя следующие фазы: 1) отправитель
i
передает получателю в открытом
(незащищенном) виде свой идентификатор (имя)
i
ID и (необязательно)
пароль
Pi
за время прд IDi,Pi
i, j
t
; 2) получатель j передает
i
ID и
Pi
за время прд
,
IDi,Pi
j CA
t
центру
CA
для сопоставления за время обр Pi
CA
t
с
Pi
, который хранится у него в качестве атрибута; 3) центр CA подтверждает или отрицает получателю j действительность удостоверений за время прд
,
Pi
CA j
t
; 4) успешность или не успешность аутентификации может быть сообщена отправителю
i
за время прд
,
Pi
j i
t
Процесс простой аутентификации с центром CA можно формализовать аддитивной формой вида аут прд прд обр прд прд б/з
,
,
,
IDi,Pi
IDi,Pi
Pi
Pi
Pi
i, j
j CA
CA
CA j
j i
t
t
t
t
t
t





. (9)
Процессы применения механизмов простой аутентификации без защиты с центром
CA
, порождающие дополнительный трафик безопасности, формализуются в соответствии с их вербальным описанием следующей аддитивной формой аут прд прд прд прд б/з
,
,
,
ρ
ρ
ρ
ρ
ρ
IDi,Pi
IDi,Pi
Pi
Pi
i, j
j CA
CA j
j i




. (10)
Здесь прд
ρ
IDi,Pi
i, j
; прд
,
ρ
IDi,Pi
j CA
; прд
,
ρ
Pi
CA j
; прд
,
ρ
Pi
j i
– соответственно коэффициенты загрузки линейно-цифрового тракта (ЛЦТ) при передаче пароля
i
P
отправителя
i
к получателю j ; от получателя j к центру СА; от центра СА к получателю j ; от получателя j к отправителю
i
. Каждая фаза передачи трафика безопасности в (9) моделируется СМОУб. Потоковые модели типа
(10) должны быть учтены во второй задаче анализа при расчете коэффициента загрузки сети трафиком класса C при условии, что приоритеты обслуживания служебных сообщений безопасности и трафика данных совпадают.
Потоковые модели процессов восстановления целостности передаваемых данных могут быть построены, например, на базе моделей механизмов обратной связи в виде функциональной зависимости



цел
*
КОМ
,
k
k
ij
S
f L
p

[16,69], где
*C
L – длина защищенного пакета (бит), а
КОМ
ij
p
– вероятность нарушения его целостности, которая в свою очередь зависит от модели нарушителя в сети. Для речевых пакетов будем считать цел
1
k
S

, так как для них переспросы не организуются и могут допускаться определенные их потери. Величина цел k
S
зависит от модели нарушителя и является отдельной научной проблемой, исследование которой выходит за рамки данной работы. Предположим, что вероятность
КОМ
КОМ
ij
p
p

для всей МСС одинакова. Если обозначить
КОМ
0
p
вероятность отсутствия нарушения целостности в кадре длины
*C
L и предположить, что число переспрашиваемых кадров подчинено геометрическому распределению, то можно показать (для модели тракта передачи с решающей обратной связью)
КОМ
цел
КОМ
0 0
КОМ
0
ln
1
C
p
S
p
p
 

. (11)
Эта потоковая модель процесса восстановления целостности данных должна быть учтена в защищенных моделях логических соединений транспортного уровня МСС при введении механизмов восстановления целостности передаваемых блоков данных класса
C
в соединении [16,69].
Формализовать процесс восстановления целостности блоков данных класса С можно следующим способом. Пусть пользователь производит повторную попытку передачи пакета приобнаружении нарушения целостности на
i
-ом транзитном маршрутизаторе с вероятностью
КОМ
p
Вероятность успешной передачи пакета с
n
-й попытки равна

 

1
КОМ
КОМ
1
n
p
p


, а среднее число повторных попыток на одно соединение для абсолютно настойчивого пользователя

 

1
КОМ
КОМ
КОМ
1 1
n
n
M
n p
p






. (12)
В этом случае интенсивность
* ,КОМ
C
st
λ
поступления пакетов данных класса
С в трактпередачи дается выражением:

 

1
* ,КОМ
КОМ
КОМ
КОМ
1 1
1
C
n
C
C
st
st
st
n
λ
λ
λ
n p
p
p








, (13) где
C
st
λ – интенсивность поступления пакетов данных класса С в тракт передачи в сессии от отправителя
s
к получателю t без учета нарушения их целостности.
Таким образом, при необходимости учета процессов восстановления целостности передаваемых сообщений необходимо в моделях логических соединений уровня межсетевого доступа параметр
C
st
λ в выражении для коэффициентов загрузки тракта передачи
ρ
C
st
[16,69] заменить на
* ,КОМ
C
st
λ
Моделирование процессов предоставления гибридных механизмов
защиты. Применение гибридных механизмов защиты вносит как временную и протокольную, так и потоковую избыточность в информационное

окружение сети. Построим типовую модель предоставления гибридных механизмов защиты на примере механизма строгой аутентификации на
основе асимметричных ЭЦП с центром CA.
Строгая аутентификация
— опирается на использование криптографической техники для защиты обмена удостоверяющей информации и заключается в том, что каждый пользователь аутентифицируется по признаку владения своим секретным ключом. В соответствии с рекомендациями стандарта Х.509 различают процедуры одно-
, двух- и трехсторонней строгой аутентификации.
Односторонняя аутентификация предусматривает передачу мандата только в одном направлении. Данный тип аутентификации позволяет подтвердить подлинность отправителя и гарантировать, что мандат
(информация, формируемая и передаваемая пользователем в процессе обмена строгой аутентификацией) был фактически сгенерирован отправителем, а также подтвердить подлинность получателя, которому был предназначен мандат отправителя. Дополнительно односторонняя аутентификация позволяет обнаружить нарушение целостности, передаваемой информации и проведение атаки типа «повтор передачи».
Двусторонняя аутентификация устанавливает дополнительно тот факт, что ответный мандат был фактически выработан получателем и предназначен отправителю, а также, что метка времени является «текущей».
Трехсторонняя аутентификация содержит дополнительную передачу дополнительного мандата отправителя и, в отличие от двухсторонней аутентификации, не требует проверки метки времени.
Проведение строгой аутентификации требует обязательного согласования сторонами используемых криптографических алгоритмов и ряда дополнительных параметров. В зависимости от используемых криптографических алгоритмов протоколы строгой аутентификации можно разделить на следующие группы:
– протоколы на основе симметричных алгоритмов шифрования,
– протоколы на основе однонаправленных ключевых хеш-функций,
– протоколы на основе асимметричных алгоритмов шифрования,
– протоколы на основе алгоритмов электронной цифровой подписи.
Строгая аутентификация на основе асимметричных ЭЦП. ЭЦП
i
S
– это зашифрованное каким-либо личным (секретным) ключом отправителя
Si
(не обязательно совпадающего с ключом, использованным для шифрования сообщения) значение хэш-функции
 
H
h M

. Процесс шифрования хэш- кода сообщения и называется подписью
i
S
. Электронная цифровая подпись
i
S
добавляется к мандату
M
при аутентификации равноправных логических объектов или к пакету
C
L при аутентификации отправителя данных и может шифроваться вместе с ним при необходимости сохранения данных в тайне.
При этом формируется новое значение мандата
*
i
M
M
S


и пакета
*
C
C
i
L
S
L


Для проверки ЭЦП
i
S
используется открытый ключ отправителя
Pi
. Двухключевые криптоалгоритмы позволяют обеспечить строгую

доказательность факта составления того или иного сообщения конкретными пользователями криптосистемы. Использование однонаправленных функций в асимметричных системах ЭЦП не позволяет злоумышленнику вычислить личный ключ отправителя
Si
, применяемый к хэш-коду. Например, в ЭЦП
RSA
S
. RSA – это задача факторизации, а в ЭЦП
EGSA
S
Эль Гамаля – это задача дискретного логарифмирования. Таким образом, строгая аутентификация здесь основывается на наличии у пользователей аутентифицирующих их личных ключей. Открытые ключи могут быть получены а) по запросу из центра CA или б) переданы непосредственно отправителями в процессе аутентификации Процедура аутентификации в этом случае выглядит следующим образом (временем, затраченным на формированием открытого и секретного ключей пользователем будем пренебрегать).
Рассмотрим обобщенную схему формирования и проверки ассиметричной ЭЦП на примере ЭЦП RSA. Перед отправкой сообщения
M
вычисляется его хэш-функция
 
i
H
h M

за время
Hi
i
t . Затем вычисляется
ЭЦП RSA
 
Si
E
iRSA
i
S
H

с применением личного ключа отправителя
Si
за время
SiRSA
i
t
и мандат (
*
iRSA
iRSA
M
M S

) отправляется получателю за время прд
,
MiRSA
i j
t
. При получении пары (
iRSA
M S
) получатель j вычисляет хэш- значение
M
двумя разными способами. Во-первых, он восстанавливает хэш- код
 


D
i
i
i
P
S
i
H
E
H

, применяя криптографическое преобразование ЭЦП с использованием открытого ключа отравителя
i
P за время
Hi
j
t
. Во-вторых, получатель рассчитывает хэш-значение сообщения
 
j
H
h M

с помощью аналогичной хэш-функции
 
*
h
за время
Hj
j
t
и сравнивает эти значения за время срвавнH
j
t
. Если эти два значения совпали, получатель считает, что мандат подлинный. Невозможность подделки ЭЦП гарантируется сохранением в тайне личного ключа отправителя
i
S
, т. е. ответственность возлагается на пользователя.
Любая транзакция аутентификации открытых ключей пользователей в двухключевой криптосистеме, получаемых по запросу из центра сертификации CA включает в себя следующие фазы.
1) Получатель j при получении мандата
*
iRSA
M
запрашивает в CA
цифровой сертификат отправителя (содержит открытый ключ
i
P и время действия сертификата) за время запр
,
Pi
j CA
t
2) Ответ CA шифруется на личном ключе центра за время обрPi
CA
t
3) Зашифрованное сообщение направляется отправителю за время отв
,
Pi
CA j
t
4) Получатель j , используя открытый ключ центра, который известен каждому, расшифровывает шифрограмму за время аутCA
j
t
и получает заверенную версию открытого ключа получателя
j
P .

Если центр сертификации CA не участвует, то в этом случае отправитель пересылает свой открытый ключ самостоятельно при передаче мандата
*
iRSA
M
Процесс строгой аутентификации с центром CA в этом случае можно формализовать следующей аддитивной формой аут прд *
запр обр отв аут срвавн строг,aсимm ЭЦП
,
,
,
CA
Hi
SiRSA
M iRSA
Pi
Pi
Pi
CA
H i
H j
H
i
i
i j
j CA
CA
CA j
j
j
j
j
t
t
t
t
t
t
t
t
t
t
t










(14)
Трафик безопасности аут строг,асимЭЦП
ρ
CA
здесь порождается при передаче мандатов и в процессе аутентификации открытых ключей пользователей при обмене с центром CA, а процесс его передачи моделируется трехфазной
СМОУб и может быть формализован аддитивной формой вида аут прд запр отв строг,асимЭЦП
,
,
,
ρ
ρ
ρ
ρ
CA
M i* RSA
Pi
Pi
i j
j CA
CA j



. (15)
В этой транзакции процессы вычисления хэш-кода, ЭЦП, их проверки и сравнения моделируются соответствующими СМОПб. Подходы к реализации указанных моделей приведены в [30]. Необходимо отметить, что 1) в зависимости от применяемых процедур одно-, двух- и трехсторонней строгой аутентификации транзакция аутентификации требует обмена от двух до семи служебных сообщений [6]; 2) объем трафика аутентификации, порождаемого при аутентификации равноправных логических объектов, напрямую зависит от величины интенсивности
λ
malty
ij
(
min min
Θ
k
ij
k
ij
BBU
V
Mark


 





/час) мультимедийных вызовов, которые с учетом потерь создают пропущенную нагрузку (среднее число занятых min
Θ
BBU
(бит/с) – базовых минимальных полос пропускания
(Basic Bandwisdth Unit, BBU [71,72]) в момент t ). Таким образом, каждый мультимедийный вызов резервирует у сети определенную полосу пропускания ЛЦТ для k -ой потоковой компоненты min min
Θ
k
ij
k
ij
BBU
V
Mark


 





на время средней длительности сеанса
ses
t
(час), т. е. величина полосы пропускания для k -ой потоковой компоненты выражается определенным числом базовых передаточных единиц min
Θ
BBU
(бит/с), число которых определяет марка трафика min min min min min min
BBU
C
ij
BBU
B
ij
k
BBU
k
ij
malty
ij
Θ
V
Θ
V
Θ
V
Mark




. Базовая передаточная единица BBU min
Θ
BBU
– это базовая минимальная ширина полосы пропускания, необходимая для переноса в сети самой «медленной» потоковой компоненты с заданным качеством QoS [73], например, min
Θ
64000
BBU

бит/с.
Поток мультимедийных вызовов λ
malty
ij
порождает в сети пропущенную нагрузку величины
malty
ij
a
(Эрл) от маршрутизатора i к маршрутизатору j


 


1 1
3600
malty
ij
malty
ses
malty
B
C
multy
ij
i
b
Mark
a
N
t
b
a
a





, Эрл, (16) где
3600
B
ij
B
ses
i
Mark
a
N
t

(Эрл),
3600
C
ij
C
ses
i
Mark
a
N
t

(Эрл), min
k
ij
V
, бит/с – номинальная пропускная способность ЛЦТ, необходимая для обслуживания изохронного трафика класса
B
(
min
B
ij
V
, бит/с) и трафика данных класса C (
min
C
ij
V
,бит/с) (в терминах ATM Forum);
malty
b
– величина допустимых потерь мультимедийного вызова в сети;
i
N – количество мультимедийных оконечных устройств (End Maltimedia System, ЕMS), включенных в машрутизатор i, создающих суммарную нагрузку в направлении маршрутизатора j.
Суммарная величина входящего в сеть потока мультимедийных вызовов задается соответствующей матрицей
malty
malty
ij
Y
a

. Предполагается, что в сети применяются методы резервирования канала (Trunk Reservation) с целью введения порогового ограничения доступа max
k
ij
V
к сетевым ресурсам для каждой
k
-ой потоковой компоненты мультимедийного соединения по критерию суммарного числа базовых передаточных единиц BBU min
Θ
BBU
(Sum
Limitation Method, SLM) [73-75] с суммарной маркой max
k
ij
Mark
Каждый мультимедийный вызов порождает поток сообщений аутентификации, создающий соответствующую дополнительную нагрузку в сети аут
ij
a
. Служебные пакеты трафика аутентификации, могут обрабатываться на маршрутизаторах с более низким или равным приоритетом по отношению к пакетам основных потоковых компонент. В предположении, что они обслуживаются в сети с одинаковым приоритетом для пакетов данных класса
С, то выражение для нагрузки аут
ij
a
в общем виде можно представить, как аут аут аут
3600
malty
ij
ij
i
ij
Mark
a
N
T M

, Эрл. (17)
Здесь аут
ij
T
– непроизводительное время занятия ЛЦТ трафиком безопасности на фазе установления мультимедийного соединения, с (для нашего случая аут
C
ij
ij
T
T

); аут
M
– математическое ожидание числа служебных сообщений трафика безопасности, приходящихся на один мультимедийный вызов, при формализации процессов аутентификации равноправных логических объектов.
Выражение удельной загрузки для трафика аутентификации в этом случае аут аут
ρ
ρ
1 ρ
1 ρ
B
B
ij
B
NA
NA
ij
C
B
C
ij
ij
ij
ij
ij
L
H
L
H
T V
T V


  


Общая удельная загрузка трафиком данных с учетом трафика аутентификации равна

*
аут
ρ
ρ
ρ
C
C
ij


. (18)
Здесь
ρ
B
ij
– удельная загрузка ЛЦТ речевыми пакетами;
NA
H – заголовок уровневого примитива уровня сетевого доступа, бит;
C
ij
T
– заданное среднее время пребывания пакета данных в ЛЦТ, с;
ij
V – скорость передачи в ЛЦТ, с.