Академический Документы
Профессиональный Документы
Культура Документы
О.Г. Король
Харьковский национальный экономический университет, Харьков
Качество обслуживания
(Quality of Service)
114
Телекомунікаційні системи
Таблица 2
Допустимые значения требований к основным показателям качества передачи различных видов данных
Видеоконференцсвязь,
500 10 10-6 lкц
2lа Тбд 2lш 2lкш
видеонаблюдение 2
Дистанционное управление
1000 20 10-5 lкц
2lа Тбд 2lш 2lкш
обработкой 2
Проведенный анализ [6, 8] показал, что быст- схема главного (регионального) процессингового
рый рост числа пользователей и потребителей ин- центра, на рис. 3, в – в упрощенном виде структур-
формации, расширение спектра предоставляемых ная схема телекоммуникационной системы банка.
телекоммуникационных услуг, прежде всего, обес- Таким образом, современные автоматизиро-
печение доступа к различным мультимедийным ванные банковские системы (рис. 3, в) представляют
сервисам и технологиям, резко возросшие в послед- собой большие территориально распределенные
нее десятилетие объемы обрабатываемых и переда- мультисервисные телекоммуникационные сети спе-
ваемых данных, приводит к ужесточению вероят- циального назначения, использующие высокопроиз-
ностно-временных требований, предъявляемых к водительные вычислительные комплексы и сложные
основным компонентам телекоммуникационных механизмы комплексной защиты информационных
систем и сетей на всех этапах информационного технологий.
обмена данными. Это относится, в первую очередь,
Расчетный банк
к показателям безопасности передачи данных. (ГУ НБУ)
Таким образом, актуальность создания теле-
коммуникационных систем и сетей с защищенными
каналами передачи данных в последние годы резко Центр управления Главный Центр инициализации
возросла. ключевой системой процессинговый центр и персонализации карт
(НБУ) (ЦРП НБУ) (НБУ)
Возросли и требования к показателям безопас-
ности передачи данных в телекоммуникационных
системах и сетях, особенно в сетях специального
назначения, в которых отказ в обслуживании или РПЦ РПЦ ... РПЦ
115
Системи обробки інформації, 2012, випуск 6 (104) ISSN 1681-7710
К расчетному банку
Подсистема (ГУ НБУ) или к
коммуникаций ГПЦ (ЦРП НБУ)
Выделенные линии к HSM
РПЦ, банкам своего системы
региона, линии к
терминалам
Чип-ридер
Серверы
авторизации и
маршрутизации
АРМ управления
участниками
Серверы БД
Чип-ридер
АРМ отчетов
Чип-ридер
117
Системи обробки інформації, 2012, випуск 6 (104) ISSN 1681-7710
открытых стандартов, имеющий на сегодняшний день пуляций (MDC – Manipulation Detection Code), коды
конкретную спецификацию, который, в то же время, аутентификации сообщений (МАС – Message Authen-
может быть дополнен новыми протоколами, алгорит- tication Code). Их формирование основано на исполь-
мами и функциями сетевой безопасности [1, 12]. зовании хеширующих функций, позволяющих для
Основное назначение протоколов IPSec – обес- данных в общем случае произвольной длины форми-
печение безопасной передачи данных по IP-сетям. ровать хеш-код (хеш-значение) строго заданной дли-
Их применение обеспечивает [1, 12]: ны. Указанные механизмы применяются по умолча-
целостность, т.е. способность телекоммуника- нию в целях обеспечения целостности и аутентично-
ционной сети обеспечивать передачу данных без сти пакетов данных во всех реализаций сетей IPv6.
искажения, потери или дублирования;
аутентичность, т.е. способность телекоммуни-
кационной сети обеспечивать передачу данных с
возможностью доказательства их подлинности (т.е.
того, что данные переданы именно тем отправите-
лем, за кого он себя выдает);
конфиденциальность, т.е. способность теле-
коммуникационной сети обеспечивать передачу
данных в форме, предотвращающей их несанкцио-
нированный просмотр.
Основными компонентами IPsec являются:
RFC2402 «IP Authentication Header» (AH),
предназначенный для контроля целостности и
аутентичности пакетов данных в IP-сетях;
RFC2406 «IP Encapsulation Security Payload»
(ESP), предназначенный для обеспечения конфи-
денциальности, контроля целостности и аутентич-
ности пакетов данных в IP-сетях;
RFC2408 «Internet Security Association and Key
Management Protocol» (ISAKMP), предназначенный
для обеспечения согласования параметров, созда-
ния, изменения, уничтожения контекстов защищен-
ных соединений (Security Association, SA) и управ- Рис. 4. Основные компоненты протокола
ления ключами в IP-сетях; сетевой безопасности IPSec
RFC2409 «The Internet Key Exchange» (IKE),
являющийся дальнейшим развитием и адаптацией При этом для формирования ICV в протоколе
ISAKMP, предназначенный для работы с протоко- АН предусмотрены обязательные алгоритмы (для
лами IPsec. обеспечения совместимости программных продук-
Ядро IPSec составляют три протокола (рис. 4): тов различных производителей), такие, например,
протокол аутентификации (Authentication Header, как HMAC-MD5-96 (описанный в стандарте RFC
AH), протокол шифрования (Encapsulation Security 2403), HMAC-SHA-1-96 (описанный в стандарте
Payload, ESP) и протокол обмена ключами (Internet RFC 2404). Кроме того, предусмотрены некоторые
Key Exchange, IKE). Функции по поддержанию за- другие (дополнительные) алгоритмы для формиро-
щищенного канала распределяются между этими вания ICV, например, DES-MAC, HMAC-ГОСТ Р
протоколами следующим образом: 34.11-94, HMAC-ГОСТ Р 34.11-2001.
протокол AH обеспечивает целостность и Протокол ESP реализует: шифрование данных
аутентичность данных; IP-пакетов для обеспечения конфиденциальности
протокол ESP шифрует передаваемые данные, информации; дополнительно (аналогично протоколу
гарантируя конфиденциальность, но он может также АН) аутентификацию источника каждого пакета,
поддерживать аутентификацию и целостность дан- целостность данных каждого пакета, защиту от по-
ных; вторной передачи пакетов. Для обеспечения конфи-
протокол IKE решает вспомогательную задачу денциальности данных IP-пакетов предусмотрено
автоматического предоставления секретных ключей, использование криптографических алгоритмов
необходимых для работы протоколов аутентифика- шифрования, среди которых предусмотрены обяза-
ции и шифрования данных. тельные алгоритмы (для обеспечения совместимо-
Для формирования кодов контроля целостности сти программных продуктов различных производи-
и аутентичности пакетов данных (integrity check телей), такие, например, как DES-CBC (описанный в
value, ICV) используются специальные механизмы стандарте RFC 2405), NULL (описанный в стандарте
безопасности информации: коды обнаружения мани- RFC 2410). Кроме того, предусмотрены некоторые
118
Телекомунікаційні системи
другие (дополнительные) алгоритмы шифрования, всех этапах информационного обмена данными. Од-
например, CAST-128, IDEA, 3DES (описанные в ним из наиболее эффективных подходов к построе-
стандарте RFC 2451), а также национальный стан- нию механизмов контроля целостности и аутентич-
дарт шифрования США AES-128, 192, 256 (FIPS- ности информации является ключевое и бесключевое
197) и отечественный стандарт ГОСТ-28147-89. хеширование данных. Практическое использование
Протоколы ESP и АН могут использоваться как в соответствующих механизмов безопасности позволя-
туннельном, так и в транспортном режиме, как са- ет без привлечения дополнительных средств обеспе-
мостоятельно, так и в комбинации. чивать требуемые показатели целостности и аутен-
Таким образом, проведенный анализ современ- тичности обрабатываемых и передаваемых данных.
ных протоколов сетевой безопасности, применяе-
мых в IP-сетях для обеспечения целостности, аутен- Список литературы
тичности и конфиденциальности передачи данных, 1. Столлингс В. Криптография и защита сетей:
позволяет сделать следующие выводы: принципы и практика: пер. с англ. / В. Столлингс. – 2-е
применение механизмов защиты информации изд. – М.: Издательский дом «Вильямс», 2001. — 672 с.
на верхних уровнях (уровня прикладного процесса, 2. Романец Ю.В. Защита информации в компьютер-
ных системах и сетях / Ю.В. Романец, П.А. Тимофеев,
уровня представлений или сеансового уровня) мо- В.Ф. Шаньгин; Под ред. В.Ф. Шаньгина. – 2-е изд., пере-
дели OSI позволяет эффективно реализовать функ- раб. и доп. – М.: Радио и связь, 2001. – 376 с.
ции безопасности конкретных сетевых служб. В то 3. Артеменко Д.А. Механизм обеспечения финансовой
же время наблюдается зависимость реализации се- безопасности банковской деятельности: дис. канд. экон.
наук: 08.00.10 / Артеменко Д.А. – Ростов н/Д, 1999. – 190 c.
тевых служб и конкретных приложений от версии
4. Чмора А.Л. Современная прикладная криптогра-
протокола сетевой безопасности. Снижение уровня фия / А. Л. Чмора. – М., 2002. – 508 с.
(по спецификации модели OSI) повышает универ- 5. Критерії оцінки захищеності інформації в
сальность применяемых средств защиты для любых комп’ютерних системах від несанкціонованого доступу.
приложений и протоколов прикладного уровня, од- НД ТЗІ 2.5-004-99.– [Чинний від 1999-28-04]. – К.:
Держспоживстандарт України 1999. – 53 с.
нако возникает зависимость протокола защиты от
6. Евсеев С.П. Защита информации в интернет-
конкретной сетевой технологии; платежных системах / С.П. Евсеев, О.Г. Король,
компромиссным вариантом являются протоко- А.С. Жученко // Восточно-европейский журнал передовых
лы сетевой безопасности IPSec, функционирующие технологий. – 2008. – 5/2(35). – С. 34-38.
на сетевом уровне. С одной стороны, они «прозрач- 7. Евсеев С.П. Исследование методов обеспечения
аутентичности и целостности данных на основе одно-
ны» для приложений, а с другой – могут работать сторонних хеш-функций / С.П. Евсеев, О.Г. Король // Нау-
практически во всех сетях, так как основаны на ши- ково-технічний журнал «Захист інформації». Спецвипуск
роко распространенном протоколе IP. (40). – 2008. – С. 50-55.
Для контроля целостности и аутентичности па- 8. Кузнецов А.А. Исследования криптографических
кетов данных в протоколах IPSec применяются спе- средств защиты информации в платежных системах
банков Украины // А.А. Кузнецов, С.П. Евсеев, О.Г. Король //
циальные механизмы защиты. Их применение поз- Науково-технічний журнал «Захист інформації». – 2009. –
воляет, за счет внесения в передаваемые данные №1 (42). – С. 31-39.
специально сформированной избыточности (MDC, 9. Евсеев С.П. Анализ эффективности передачи
МАС) эффективно решать задачи защиты пакетов данных в компьютерных системах с с пользованием ин-
данных от случайного и злонамеренного изменения. тегрированных механизмов обеспечения надежности и
безопасности / С.П. Евсеев, Д.В. Сумцов, Б.П. Томашев-
Формирование кодов контроля целостности и аутен- ский, О.Г. Король // Восточно-европейский журнал пере-
тичности пакетов данных основано на использова- довых технологий. – 2010. – 2/2(44). – С. 45-50.
нии ключевых (МАС) и бесключевых (MDC) хеши- 10. Король О.Г. Оцінка ризику реалізації загроз без-
рующих функций. Указанные механизмы применя- пеки у внутрішньоплатіжних банківських системах /
ются по умолчанию в протоколах IPSec в целях О.Г. Король // Системи управління навігації та зв’язку. –
К.: ДП «ЦНДІ НІУ», 2010. – Вип. 3(15). – С. 154-159.
обеспечения целостности и аутентичности пакетов 11. Евсеев С.П. Механизмы и протоколы защиты
данных во всех реализаций сетей IPv6. информации в компьютерных сетях и системах /
С.П. Евсеев, А.В. Дорохов, О.Г. Король // Научный журнал
Выводы Министерства обороны республики Сербия. Военно-
технический весник, Белград, 2011. – Вып.4. – С. 15-39.
Проведенный анализ показал, что современные
12. Смірнов О.А. Технології і стандарти комп’ю-
телекоммуникационные системы и сети постоянно терних мереж: Навчальний посібник / О.А. Смірнов, С.П.
расширяют спектр предоставляемых услуг доступа к Євсеєв, В.Ю. Жукарев, В.Є. Сорокін, О.Г. Король, Є.В.
различным мультимедийным сервисам и технологи- Мелешко. – Кіровоград: Вид. КНТУ, 2011. – 456 с.
ям, поддержке удаленных пользователей и т.д. В то
же время быстрый рост объемов обрабатываемых Поступила в редколлегию 1.07.2012
данных приводит к ужесточению вероятностно-вре- Рецензент: д-р техн. наук, проф. А.А. Кузнецов, Харьков-
менных требований, предъявляемых к основным ком- ский университет Воздушных Сил им. И. Кожедуба,
понентам телекоммуникационных систем и сетей на Харьков.
119
Системи обробки інформації, 2012, випуск 6 (104) ISSN 1681-7710
120