Russian Federation
In operation the algorithm of adaptive control by remote authentification in corporate communication networks in various conditions of network condition is offered. Considered algorithm allow to solve the task of control of procedures of authentification and support that interacting subjects and objects remain the same, as in an initial phase of connection. Thus authentification is carried out with optimal periodicity, the given probability the correct authentification and timeliness and taking into account restriction on transmission capacity and performance of an ultimate goal of support of an operative data interchange in corporate communication networks.
algorithm of adaptive control, remote authentification, reliability, an operative data interchange, optimal periodicity
Перевод в 2020 г. во время карантинных мероприятий основных финансовых потоков в цифровое пространство способствовал значительному росту финансового ущерба [1−6]. Одним из действенных методов хищения личных данных или денежных средств является компьютерная атака типа «человек посередине», направленная на подмену доверенного пользователя. Успех данной атаки обусловлен тем, что злоумышленники способны определить и воспользоваться уязвимостями алгоритмами аутентификации [7−13]. Для устранения указанной угрозы и повышении защищенности корпоративной сети связи (КСС) разработан алгоритм, предназначенный для адаптивного управления удаленной аутентификацией субъектов и объектов при удаленном доступе пользователей к информационным ресурсам ограниченного доступа, а также установления оперативного и служебного обмена данными и позволяет обеспечить выполнение требований к процедурам аутентификации в различных условиях функционирования КСС [14−20].
Целью алгоритма является:
1. Выбор метода аутентификации – 
под различные ситуации 
,
.
2. Выбор периодичности проведения аутентификации от 0…k для сложившейся ситуации ,.
3. Обоснование выбора параметров аутентификации (V – объем аутентифицирующей информации, 
– вероятность правильной аутентификации, 
ошибки 1 и 2 рода) под различные ситуации 
.
4. Управление порядком взаимодействия с осуществлением третьей доверенной стороны (ТДС) и без нее под ситуации .
В настоящее время для КСС используются протоколы NTLM, RADIUS, IPSec и др., которые реализуют процедуры аутентификации, но при этом не позволяют реализовать адаптацию с учетом различных ситуаций и условий функционирования сети. На рис. 1 представлена удаленная аутентификация с использованием каналов ЕСЭ РФ и хранением аутентификационной информации (эталонов) непосредственно на сервере с информационным ресурсом. В данной ситуации воздействовать на процедуры аутентификации за пределами контролируемой зоны может внешний нарушитель типа Н1, Н5.
На рис. 2 представлена удаленная аутентификация с использованием каналов ЕСЭ РФ с привлечением ТДС. Особенностью использования ТДС наряду с тем, что аутентификация субъектов и объектов осуществляется на ней, также имеет место при проведении подлинности самой третьей доверенной стороны.
Таким образом, учитывая ситуации , возникает задача по выбору применения методов (способов) аутентификации (табл. 1) [21].
Таблица 1
Существующие методы и процедуры аутентификации и их характеристики
|
Название метода |
Вид процедуры |
Значение |
Вероятность правильной аутентификации |
Ошибка 1 рода |
Ошибка 2 рода |
|
Биомет-рические методы |
Отпечаток пальца |
234 421 байт (228 бит (нейросеть)) |
0,998 |
0,01 |
0,3 |
|
Голос |
от 2 до 20 Кбайт |
0,982 |
0,35 |
0,1 |
|
|
Радужная оболочка |
11 921 байт |
0,99925 |
0,1 |
0,05 |
|
|
Сетчатка глаза |
от 40 до 160 байт |
0,997995 |
0,001 |
0,4 |
|
|
Геометрия лица 2D |
419 430 байт |
0,987 |
0,1 |
0,25 |
|
|
Геометрия лица 3D |
838 860 байт |
0,9994615 |
0,0047 |
0,103 |
|
|
Геометрия руки |
от 9 до 1000 байт |
0,999 |
0,1 |
0,1 |
|
|
Ручная подпись |
40 бит (5 букв) |
0,999865 |
0,015 |
0,012 |
|
|
Пароль |
Символы |
от 4 байт |
|
н/о |
|
|
Цифры |
от 4 байт |
|
н/о |
|
|
|
Символы + Цифры |
от 4 байт |
|
н/о |
|
|
|
С+Ц+Спец знаки |
от 4 байт |
|
н/о |
|
|
|
Хэш |
Цифровой код |
128 - 2048 бит |
|
н/о |
н/о |
|
Токен |
Цифровой код |
32 бит + 256 бит |
Зависит от реализации устройства |
н/о |
н/о |
|
Смарт карта |
Цифровой код |
4 байта + 256 бит |
Зависит от реализации устройства |
н/о |
н/о |
|
Электрон-ная подпись |
Цифровой код |
512 - 1024 бит |
|
н/о |
н/о |
|
Сертифи-кат |
Сертификат X.509 |
920 байт – 1,5 Кбайт (ЭП 512 - 1024 бит) |
Зависит от вероятности ошибки в канале связи |
н/о |
н/о |
Рассматривая удаленную аутентификацию и процедуры, которые могут использоваться в зависимости от условий, необходимо учесть не только выполнение требований по правильной аутентификации 
, но и своевременность выполнения сеанса связи 
, а также учесть возможности сети по пропускной способности информационного направления и реализовать оптимальную периодичность проведения аутентификации. При допущении на выполнение процедур аутентификации может быть выделено не более 3−5% от информационного обмена 
[22−26]. Данное допущение обусловлено периодической аутентификацией на уровне объект – объект, которым является протокол IPSec, где на аутентификацию от общего размера IP-пакета выделяется от 3–5% 
от общего объема оперативных и служебных данных в зависимости от режима работы протокола (транспортный или туннельный). На рис. 3 представлен обобщенный алгоритм адаптивного управления удаленной аутентификацией.
В блоке 1 вводятся исходные данные по существующей ситуации, условиям и характеристикам сети.
В блоке 2 производится формирование требований к процедурам удаленной аутентификации по своевременности и вероятности правильной аутентификации 
, 
.
В блоке 3 производится комплексирование процедур аутентификации (табл. 1) для протоколов удаленной аутентификации.
В блоке 4 производится сравнение конечного количества возможных вариантов. В случае, если перебор всех вариантов не окончен, то происходит дальнейшее комплексирование и переход к блоку 3. Если перебор всех вариантов окончен, то осуществляется их оценка по своевременности выполнения в протоколах удаленного взаимодействия.
В блоке 5 производится расчет времени выполнения процедур аутентификации и оптимальной периодичности.
В блоке 6 производится сравнение выполненного протокола со всеми процедурами аутентификации по критерию своевременности 
. Если выполненный протокол удовлетворяет критерию, то осуществляется переход к блоку 8. Если нет, то осуществляется переход к блоку 7. Кроме того, необходимо увеличить пропускную способность и перейти к блоку 1.
Зная объем аутентификационной информации, которую можно вводить в трафик, можно определить оптимальный период выполнения аутентификации. Исходя из заданного объема аутентификационной информации, можно определить количество процедур, что позволяет повысить вероятность правильной аутентификации. Зная характеристики оперативного трафика с заданной вероятностью правильной аутентификации, возможно определить пропускную способность канала.
В блоке 9 производится расчет вероятности правильности аутентификации процедур для различных ситуаций .
В блоке 10 производится сравнение полученных данных по вероятности правильной аутентификации с требуемой .
На рис. 4 представлен возможный максимальный порог для различных условий. Если требование не выполняется, происходит переход к блоку 11 (уточнение требований к аутентификации), в случае выполнения требования –переход к блоку 12.
В блоке 12 происходит использование процедур аутентификации на заданном информационном направлении с оптимальной периодичностью. На рис. 4 представлен условный порог по вероятности правильной аутентификации для различных условий и фиксированных параметров трафика.
Представленный алгоритм управления аутентификацией в корпоративных сетях связи позволит оптимально выбрать необходимые процедуры аутентификации для различных ситуаций и условий с требуемой вероятностью правильной аутентификации, своевременностью и возможностью оптимальной периодичности, что снижает угрозу подмены субъектов и объектов аутентификации при их взаимодействии [27−29].
1. Saurenko T.N. Prognozirovanie incidentov informacionnoy bezopasnosti // Problemy informacionnoy bezopasnosti. Komp'yuternye sistemy. − 2019. − № 3. − S. 24-28.
2. Anisimov V.G. Modelirovanie vozmozhnyh posledstviy vneshnih informacionnyh vozdeystviy na raspredelennuyu set' svyazi / V.G. Anisimov [i dr.] // Telekommunikacii. - 2020. - № 12. - S. 32-38.
3. Anisimov V.G. Problema innovacionnogo razvitiya sistem obespecheniya informacionnoy bezopasnosti v sfere transporta // Problemy informacionnoy bezopasnosti. Komp'yuternye sistemy. − 2017. − № 4. − S. 27-32.
4. Anisimov E.G., Anisimov V.G., Solohov I.V. Problemy nauchno-metodicheskogo obespecheniya mezhvedomstvennogo informacionnogo vzaimodeystviya // Voennaya mysl'. − 2017. − № 12. − S. 45-51.
5. Anisimov V.G., Anisimov E.G., Belov A.S., Skub'ev A.V. Effektivnost' obespecheniya zhivuchesti podsistemy upravleniya slozhnoy organizacionno-tehnicheskoy sistemy // Telekommunikacii. − 2020. − № 11. − S. 41-47.
6. Anisimov V.G., Anisimov E.G., Saurenko T.N., Zotova E.A. Models of forecasting destructive influence risks for information processes in management systems // Informacionno-upravlyayuschie sistemy. − 2019. − № 5 (102). − S. 18-23.
7. Dobryshin M.M. Modelirovanie processov destruktivnyh vozdeystviy na komp'yuternuyu set' svyazi s primeneniem komp'yuternoy ataki tipa «chelovek poseredine» // Telekommunikacii. − 2019. − № 11. − S. 32-36.
8. Anisimov V.G., Zegzhda P.D., Anisimov E.G., Bazhin D.A. A risk-oriented approach to the control arrangement of security protection subsystems of information systems // Automatic Control and Computer Sciences. 2016. T. 50. № 8. S. 717-721.
9. Anisimov V.G., Anisimov E.G., Saurenko T.N. Efficiency of ensuring the survivability of logistics information and control systems // E3S Web of Conferences: Ser. "International Scientific and Practical Conference "Environmental Risks and Safety in Mechanical Engineering", ERSME 2020" 2020. S. 07025. https://doi.org/10.1051/e3sconf/202021707025.
10. Zegzhda P.D. Metodicheskiy podhod k postroeniyu modeley prognozirovaniya pokazateley svoystv sistem informacionnoy bezopasnosti // Problemy informacionnoy bezopasnosti. Komp'yuternye sistemy. − 2019. − № 4. − S. 45-49.
11. Anisimov A.V., Anisimov A.E., Anisimov V.G., Anisimov E.G., Barabanov V.V. Problema sravneniya i vybora varianta postroeniya sistemy bezopasnosti // Aktual'nye problemy zaschity i bezopasnosti: Trudy Chetvertoy Vserossiyskoy nauchno-prakticheskoy konferencii. − 2001. − S. 348-351.
12. Anisimov E.G. Mezhvedomstvennoe informacionnoe vzaimodeystvie v sfere oborony rossiyskoy federacii. − Moskva: Voennaya akademiya General'nogo shtaba Vooruzhennyh Sil Rossiyskoy Federacii, Voennyy institut (upravleniya nacional'noy oboronoy), 2017. − 198 s.
13. Dobryshin M.M., Shugurov D.E. Sposob modelirovaniya setevoy ataki tipa "chelovek poseredine" / Patent RF na izobretenie № 2645294 ot 14.11.2016 bil. № 5. Zayavka № 2016144639 ot 14.11.2016. Patentoobladatel': Akademiya FSO Rossii. H04W 16/22 (2009.01), G06N 7/06 (2006.01), G06N 7/04 (2006.01), H04L 12/00 (2006.01).
14. RFC 4301. Security Architecture for the Internet Protocol. S. Kent, K. Seo. December 2005.
15. Zegzhda P.D. Modeli i metod podderzhki prinyatiya resheniy po obespecheniyu informacionnoy bezopasnosti informacionno-upravlyayuschih sistem// Problemy informacionnoy bezopasnosti. Komp'yuternye sistemy. − 2018. − № 1. − S. 43-47.
16. Anisimov V.G. Pokazateli effektivnosti zaschity informacii v sisteme informacionnogo vzaimodeystviya pri upravlenii slozhnymi raspredelennymi organizacionnymi ob'ektami // Problemy informacionnoy bezopasnosti. Komp'yuternye sistemy. − 2016. − № 4. − S. 140-145.
17. RFC 4302. IP Authentication Header. S. Kent. December 2005.
18. Zegzhda P.D. Effektivnost' funkcionirovaniya komp'yuternoy seti v usloviyah vredonosnyh informacionnyh vozdeystviy // Problemy informacionnoy bezopasnosti. Komp'yuternye sistemy. − 2021. − № 1 (45). − S. 96-101.
19. Zegzhda P.D. Podhod k ocenivaniyu effektivnosti zaschity informacii v upravlyayuschih sistemah // Problemy informacionnoy bezopasnosti. Komp'yuternye sistemy. − 2020. − № 1 (41). − S. 9-16.
20. Zegzhda P.D., Zegzhda D.P., Anisimov V.G., Anisimov E.G., Saurenko T.N. Model' formirovaniya programmy razvitiya sistemy obespecheniya informacionnoy bezopasnosti organizacii // Problemy informacionnoy bezopasnosti. Komp'yuternye sistemy. − 2021. − № 2 (46). − S. 109-117.
21. Shugurov D.E. Metody i protokoly autentifikacii. - Orel: Akademiya FSO Rossii, 2013. - 219 s.
22. Yampol'skiy S.M. Nauchno-metodicheskie osnovy informacionno-analiticheskogo obespecheniya deyatel'nosti organov gosudarstvennogo i voennogo upravleniya v hode mezhvedomstvennogo informacionnogo vzaimodeystviya / Moskva: Voennaya akademiya General'nogo shtaba Vooruzhennyh Sil Rossiyskoy Federacii, Voennyy institut (upravleniya nacional'noy oboronoy). 2019. − 146 s.
23. Anisimov V.G., Anisimov E.G., Bazhin D.A., Barabanov V.V., Filippov A.A. Modeli organizacii i provedeniya ispytaniy elementov sistemy informacionnogo obespecheniya primeneniya vysokotochnyh sredstv // Trudy Voenno-kosmicheskoy akademii im. A.F. Mozhayskogo. − 2015. − № 648. − S. 6-12.
24. Anisimov E.G. Pokazateli effektivnosti mezhvedomstvennogo informacionnogo vzaimodeystviya pri upravlenii oboronoy gosudarstva // Voprosy oboronnoy tehniki. Seriya 16: Tehnicheskie sredstva protivodeystviya terrorizmu. − 2016. − № 7-8 (97-98). − S. 12-16.
25. Anisimov V.G. Obobschennyy pokazatel' effektivnosti vzaimodeystviya federal'nyh organov ispolnitel'noy vlasti pri reshenii zadach obespecheniya nacional'noy bezopasnosti gosudarstva // Voprosy oboronnoy tehniki. Seriya 16: Tehnicheskie sredstva protivodeystviya terrorizmu. − 2017. − № 5-6 (107-108). − S. 101-106.
26. Zegzhda P.D. Model' optimal'nogo kompleksirovaniya meropriyatiy obespecheniya informacionnoy bezopasnosti // Problemy informacionnoy bezopasnosti. Komp'yuternye sistemy. − 2020. − № 2. − S. 9-15.
27. Anisimov V.G., Selivanov A.A., Anisimov E.G. Metodika ocenki effektivnosti zaschity informacii v sisteme mezhvedomstvennogo informacionnogo vzaimodeystviya pri upravlenii oboronoy gosudarstva // Informaciya i kosmos. − 2016. − № 4. − S. 76-80.
28. Anisimov E.G., Selivanov A.A., Anisimov V.G. Raschet effektivnosti mezhvedomstvennogo informacionnogo vzaimodeystviya v oblasti oborony gosudarstva // Sistema mezhvedomstvennogo informacionnogo vzaimodeystviya pri reshenii zadach v oblasti oborony Rossiyskoy Federacii: Sbornik materialov II Mezhvedomstvennoy nauchno-prakticheskoy konferencii.- Nacional'nyy centr upravleniya oboronoy Rossiyskoy Federacii. − 2016. − S. 21-26.
29. Starodubcev Yu.I. Metodika udalennoy autentifikacii lichnosti // Internet-zhurnal "Tehnologii tehnosfernoy bezopasnosti" (http://ipb.mos.ru/ttb). - 2015. − № 5 (63). - S. 265-273.
