İnternet kanalları üzerinden korumalı dosya paylaşımı. Sanal Korumalı Ağlar VPN
Protokol Kerberos
Kimlik doğrulama protokolleri:
3. Açık tuşla kimlik doğrulaması
DSA Açıklama
p \u003d 512 ila 1024 aralığında, değeri, birden fazla 64, birden fazla 64 alır.
q \u003d 160-bit basit sayı - P-1 çarpanı
g \u003d. 
H, burada P-1'den daha küçük bir sayıdır. 1'den fazla.
x \u003d q'tan küçük sayı
Tek yönlü bir karma fonksiyonu kullanılır: H (m).
İlk üç parametre, p, q, g, açık ve ağ kullanıcıları için ortak olabilir. Kapalı anahtar x ve açık - y. Mesaj imzalamak için, m:
1. ve q'tan az bir rasgele sayı k oluşturur.
2. Bir Üretim
İmzası, r ve s parametrelerine hizmet ediyor, onları gönderir.
3. İmzayı kontrol eder, hesaplama
Eğer v \u003d r ise, imza doğrudur.
Özet
IPSec Standartları Sistemi, bölgedeki ilerici teknikleri ve başarıları emdi. ağ güvenliği. IPSec sistemi, bir VPN oluşturmak için belirlenen standartlarda önde gelen bir pozisyonda bulunur. Bu, şifreleme alanındaki tüm yeni başarıları da dahil olmak üzere açık yapısı tarafından desteklenir. IPSec, ağın çoğu ağ saldırısından, "atma" diğer paketleri, alıcı bilgisayardaki IP seviyesine ulaşmadan önce korumanızı sağlar. Sadece etkileşimdeki kayıtlı ortaklardan gelen paketler korumalı bilgisayara veya ağa girebilir.
IPSec sağlar:
- kimlik Doğrulama - Eşinizin etkileşiminde, yani paylaşılan sırrın sahibi tarafından paket gönderiminin kanıtı;
- bütünlük - paketteki verileri değiştirememe;
- gizlilik, iletilen verileri ifşa etmemesidir;
- güvenilir Anahtar Yönetimi - IKE protokolü, yalnızca alıcıya ve paketin göndereni için bilinen paylaşılan bir sırrı hesaplar;
- tünelleme - Tam Topoloji Maskeleme yerel ağ İşletmeler
IPSec standartları içindeki çalışmalar, gönderenden gelen bilgi akışının alıcıya tam korumasını sağlar, ağın ara düğümlerinde gözlemciler için trafiği kapatır. IPSEC protokol yığına dayanan VPN çözümleri, sanal korumalı ağların yapımını sağlar, güvenli operasyon ve açık iletişim sistemleriyle entegrasyon.
Uygulamalı seviyede koruma
SSL protokolü
SSL Protokolü (Güvenli Soket Katmanı), NetScape Communications tarafından RSA veri güvenliğinin katılımıyla geliştirilen korunan soketlerin seviyesidir), istemci / sunucu uygulamalarındaki güvenli bilgi alışverişini uygulamak için tasarlanmıştır. Uygulamada, SSL yalnızca HHTP uygulama seviyesi protokolü ile yaygın olarak uygulanır.
SSL protokolü tarafından sağlanan güvenlik özellikleri:
- İletim sırasında gizli verilerin açıklanmasını önlemek için veri şifreleme;
- İletim sırasında gizli verilerin açıklanmasını önlemek için verilerin imzalanması;
- müşteri ve Sunucu Kimlik Doğrulama.
SSL protokolü, bilgi alışverişinin güvenliğini sağlamak için şifreleme bilgi koruma yöntemlerini kullanır. Bu protokol Makineler karşılıklı kimlik doğrulaması, iletilen verilerin gizliliği ve orijinalliğini sağlar. SSL protokolünün çekirdeği, simetrik ve asimetrik kriptosistemlerin entegre kullanımının teknolojisidir. Tarafların karşılıklı kimlik doğrulaması, özel sertifikasyon merkezlerinin istemci ve sunucu ve sunucu sertifikalı dijital imzasının dijital sertifikaları değişimi kullanılarak gerçekleştirilir. Gizlilik, bağlantı kurarken simetrik oturum tuşlarını kullanarak iletilen verilerin şifrelenmesi sağlanır. Bilginin özgünlüğü ve bütünlüğü, dijital imzanın oluşturulması ve doğrulanmasıyla sağlanır. Asimetrik şifreleme için algoritmalar olarak, RSA algoritması ve Diffa Hellman algoritması kullanılır.
Şekil 9 SSL protokolü temelinde oluşan şifreli tüneller
SSL protokolüne göre, uç noktalar arasında şifreleme tünelleri oluşturulur sanal ağ. Tünelin bitiş noktalarındaki bilgisayarlarda istemci ve sunucu işlevi (Şek. 9)
SSL diyalog protokolü, korumalı bileşiğin oluşumu ve desteği için iki ana faza sahiptir:
- sSL oturumu oluşturmak;
- korumalı etkileşim.
İlk aşama, bilgi alışverişinin doğrudan korunmasından önce uygulanmakta ve SSL protokolünde bulunan ilk tebrik protokolü (el sıkışma protokolü) kullanılarak gerçekleştirilir. Yeniden bağlantı kurarken, eski genel sırrına dayanarak yeni oturum anahtarları oluşturmak mümkündür.
SSL oturumunu oluşturma sürecinde, aşağıdaki görevler çözülür:
- tarafların kimlik doğrulaması;
- korunan bir bilgi değişimi ile kullanılacak şifreleme algoritmalarının ve sıkıştırma algoritmalarının koordinasyonu;
- ortak bir gizli ana anahtarın oluşumu;
- bilgi değişiminin kripto korunması için ortak gizli oturumların üretilen bir ana anahtarına dayanan nesil.
Şekil 10 Sunucu tarafından istemci kimlik doğrulama işlemi
SSL protokolü iki tür kimlik doğrulama sağlar:
- bir müşteri tarafından sunucu kimlik doğrulaması;
- sunucu tarafından istemci kimlik doğrulaması.
SSL'yi destekleyen Müşteri / Sunucu Yazılımı, Sunucu / Müşteri Sertifikasının ve genel anahtarın geçerli olduğunu doğrulamak için standart açık anahtar şifreleme teknikleriyle değişebilir ve güvenilir kaynaklar listesinden sertifika kaynağı tarafından verilmiştir. Sunucu tarafından istemci kimlik doğrulama işleminin bir örneği Şekil 10'da gösterilmiştir.
Uygulama şeması protokolü
Bir veri aktarımı mesajı göndermeden önce, mesaj aşağıdaki adımları izler:
1. Mesaj, işleme için uygun bloklara parçalanır;
2. Görev Shrink (isteğe bağlı);
3. oluşturulan MAC tuşu;
4. Veriler anahtarla şifrelenir;
1. Anahtarı kullandı, veriler şifresi çözüldü;
2. MAC anahtarı kredilendirilir;
3. Verilerin dekompresyonunu gösterir (eğer sıkıştırma kullanılmışsa);
4. Mesaj bloklardan toplanır ve alıcı bir mesaj okur.
Anahtarların otantik dağılımı
| A., Müşteri | CA. Doğrulama merkezi | B., Sunucu |
|---|---|---|
Dijital İmza Anahtar Çifti Oluşturma:  . Uts'a transfer |
- Simetrik şifreleme şeması; - Açık Şifreleme Şeması;  - CPU şeması; - Herhangi bir işlev (ONF'den daha iyi) |
Anahtar şifreleme nesil anahtar tuşları:  . Uts'a transfer |
K. - Rastgele oturum anahtarı.  |
 |
|
 |
|
|
 |
 |
 Eğer bir |
 |
 |
T. K. Otantik ortak bir gizli anahtar olarak kabul edilirİş aşaması
| A. | B. | |
|---|---|---|
 Simetrik Şifreleme Şeması |
||
 |
 |
 |
 |
 |
 |
| . . . | vb. | . . . |
SSL protokolüne saldırılar
Diğer protokoller gibi, SSL, güvenilir olmayan bir yazılım ortamı, yer imleri programlarının tanıtımı, vb. İle ilişkili saldırılara tabidir.
- Bir cevap saldırısı. Müşteri ile sunucu arasında başarılı bir iletişim oturumunun saldırgasını kaydetmektir. Daha sonra, kaydedilen istemci mesajlarını kullanarak sunucuya bir bağlantı kurar. Ancak, olmayan bağlantının benzersiz bir tanımlayıcısının yardımı ile SSL bu saldırıyı yendi. Bu tanımlayıcıların kodları, 128 bit uzunluğuna sahiptir ve bu nedenle saldırganın 2 ^ 64 tanımlayıcıyı yazması gerekir, böylece tahmin olasılığı% 50 idi. numara gerekli Kayıtlar Ve düşük tahmin olasılığı bu saldırıyı anlamsız hale getirir.
- El sıkışma protokolünün saldırısı.Bir saldırgan, partilerin farklı şifreleme algoritmaları seçmesi için el sıkışma işlemini paylaşma sürecini etkilemeye çalışabilir. Birçok uygulamanın ihraç edilen şifrelemeyi ve hatta 0 şifreleme veya Mac algoritmasını desteklemesi nedeniyle, bu saldırılar büyük ilgi çekicidir. Böyle bir saldırıyı uygulamak için, bir saldırganın el sıkışma mesajının bir veya daha fazla mesajının yerini alması gerekir. Bu olursa, müşteri ve sunucu, el sıkılığının HASTIE mesajının çeşitli değerlerini hesaplar. Sonuç olarak, taraflar birbirlerini "bitmiş" mesajı ile alamazlar. Sırla bilgisi olmadan, saldırgan "bitmiş" mesajını düzeltemeyecek, böylece saldırı tespit edilebilir.
- Şifreleri açıklanması.SSL, birkaç kriptografik teknolojiye bağlıdır. Genel Anahtarla Şifreleme RSA, oturum anahtarlarını ve müşteri / sunucu kimlik doğrulamasını göndermek için kullanılır. Çeşitli kriptografik algoritmalar oturum şifresi olarak uygulanır. Bu algoritmalarda başarılı bir saldırı ise, SSL zaten güvenli olarak kabul edilemez. Belirli iletişim oturumlarına karşı saldırılar, oturumu kaydederek yapılabilir ve ardından oturumu veya RSA anahtarını almak için bir girişimde bulunulur. Başarı varsa, iletilen bilgileri okuyabilirsiniz.
- Ortada bir saldırgan. Orta saldırı, üç tarafın varlığını içerir: müşteri, sunucu ve saldırgan. Bir saldırgan, aralarında olmak, müşteri ile sunucu arasındaki mesajlaşmayı engelleyebilir. Saldırı, yalnızca Diffi Halman algoritması, alınan bilgilerin bütünlüğü ve kaynağı mümkün olmadığından, anahtarları değiştirmek için kullanılırsa etkilidir. SSL durumunda, sertifika yetkilisi tarafından sertifikalandırılmış sertifika sunucusunun kullanımı nedeniyle böyle bir saldırı mümkün değildir.
TLS protokolü
Yaratılış ve avantajların amacı
TLS oluşturmanın amacı, SSL korumasında bir artış ve protokolün daha doğru ve eksiksiz bir tanımdır:
- Daha Güvenilir Mac Algoritması
- Daha Detaylı Uyarılar
- "Gri Alan" özelliklerinin daha net tanımları
TLS aşağıdaki geliştirilmiş koruma yöntemlerini sağlar:
- Mesajları kullanarak tanımlamak için kuluçka tuşları - TLS, örneğin internette korunmasız bir ağ üzerinden iletildiğinde kaydın değiştirilmesini önleyen mesaj tanımlama kodunda (HMAC) karma. SSL sürüm 3.0 ayrıca, tuşları kullanarak mesajları tanımlamayı destekler, ancak HMAC, SSL sürüm 3.0'da kullanılan MAC işlevinden daha güvenilir olarak kabul edilir.
- Önceden PSEUDO-rastgele fonksiyon (PRF) PRF kullanarak anahtar veri oluşturun. TLS'de, PRF işlevi HMAC kullanılarak tanımlanır. Prf, korumasını sağlayan iki karma algoritmasını uygular. Algoritmalardan biri saldırıya uğrarsa, veriler ikinci algoritma tarafından korunacaktır.
- Geliştirilmiş Kontrol Mesajı "Bitiş" - TLS Protokolleri Sürüm 1.0 ve SSL sürüm 3.0 Her iki uç sistemine "bitirmek" mesajını gönder, yani teslim edilen mesajın değiştirilmediği anlamına gelir. Bununla birlikte, TL'lerde, bu kontrol, SSL sürüm 3.0'a kıyasla daha yüksek bir koruma seviyesi sağlayan PRF ve HMAC'nin değerlerine dayanır.
- Tutarlı Sertifika İşlemi - SSL sürüm 3.0'ın aksine, TLS, çeşitli TLS uygulamaları tarafından kullanılabilecek sertifika türünü belirlemeye çalışır.
- Özel uyarı mesajları - TLS, final sistemlerinden biri tarafından tespit edilen daha doğru ve eksiksiz sorun giderme uyarıları sağlar. TLS ayrıca, hangi uyarı mesajlarının gönderilmesi gerektiği hakkında bilgi içerir.
SSH protokolü
SSH (Güvenli Kabuk Kabuğu Kabuğu), kullanıcının istemci tarafındaki, uzak sunucuya güvenle kaydolmasını sağlayan bir açık anahtar kimlik doğrulama protokolüdür.
Protokolün ana fikri, müşteri tarafındaki kullanıcının indirilmesi gerektiğidir. uzak sunucu Genel anahtarı ve bir şifreleme yetkisi kullanarak yardım korumalı kanalı ile kurulum. Kullanıcının şifreleme yetkisi, şifresidir: Alınan açık anahtar kullanılarak şifrelenebilir ve sunucuya aktarılabilir.
Tüm mesajlar fikir kullanarak şifrelenmiştir.
SSH protokol mimarisi
SSH, korunmasız bir ağda (istemci-sunucu) çalıştıran iki güvenilmez bilgisayar arasında gerçekleştirilir.
SSH protokolü seti üç bileşenden oluşur:
- SSH Taşıma Katmanı Protokolü (SSH Transport Katmanı Protokolü) Protokolü, sunucu kimlik doğrulamasını sağlar. Bu açık bir anahtar kullanır. Hem sunucudan hem de istemci tarafındaki bu protokolün kaynak bilgisi bir çift açık tuşa - "anahtar tuşları" dir. Sonuç protokolü, verilerin gizliliğini ve bütünlüğünü garanti eden karşılıklı kimliği doğrulanmış bir korunaklı kanaldır.
- SSH Kullanıcı Kimlik Doğrulama Protokolü (SSH Kullanıcı Kimlik Doğrulama Protokolü). SSH Nakliye Seviyesi Protokolü tarafından belirlenen tek taraflı kimlik doğrulama kanalı ile yapılır. Sunucuya müşteri kimlik doğrulamasını gerçekleştirmek için, çeşitli tek taraflı kimlik doğrulama protokolleri desteklenir. Bu protokoller, açık bir anahtar veya şifre uygulayabilir. Örneğin, kullanan kimlik doğrulama protokolüne dayanarak oluşturulabilirler. basit şifre. Protokolün sonucu, sunucu ile kullanıcı arasında karşılıklı olarak doğrulanmış bir korumalı kanaldır. Aşağıdaki yöntemler uygulanır:
genel anahtar. - İstemci EDS'ye gönderilir, sunucu, Sunucu sunucusunda mevcut olan tuşa göre açık anahtar istemcisinin güvenini kontrol eder, ardından müşterinin kimlik doğrulamasını SC ile kontrol eder.
parola. - Müşteri şifresini doğrulamasını onaylar.
hostbased - Publickey'e benzer şekilde, yalnızca bir müşteri ana bilgisayarı için bir çift tuş kullanılır; Ana bilgisayarın özgünlüğünü onaylayarak, sunucu kullanıcı adına güveniyor.
- SSH İletişim Protokolü (SSH Bağlantı Protokolü), önceki protokoller tarafından belirlenen karşılıklı kimliği doğrulanmış korumalı bir kanal ile gerçekleştirilir. Protokol, korunan kanalın aynı anda çalışmasını, birkaç korumalı mantıksal kanala ayırmasını sağlar.
Anahtar Dağıtım Protokolü
Protokol 3 aşamada bulunur. İlk aşama, ilk tanımlayıcının bir dize olduğu "Merhaba" fazıdır, ben, ardından bir protokolü başlatmaya gönderilen bir protokolü başlatmaya gönderildi, ardından desteklenen algoritmaların bir listesi - X.
2. aşamada, taraflar gizli anahtar üzerinde anlaşacaklar. Bu, Diffi Helmana algoritmasını kullanır. Sunucu, bir dijital imza tarafından doğrulanan bir ortak anahtar göndererek kimliğini onaylar, 
ve imza sindirimi, h. Bir SID tanımlayıcısı olarak, H değeri ayarlanır.
Aşama 3 Gizli Anahtarında, oturum tanımlayıcısı ve sindirimi, hesaplanan 6 "uygulama tuşları" oluşturmak için kullanılır. 
.
Özet
Protokolün avantajları:
- tCP / IP yığınları, mevcut uygulama programlama arayüzleri ile uçtan uca bir eylem (sondan uç) olasılığı;
- yavaş kanallara kıyasla artmış verimlilik;
- parçalanma ile ilgili herhangi bir problemin yokluğu, bu rotada iletilen maksimum blok hacmini belirleyen;
- Şifreleme ile sıkıştırma kombinasyonu.
Entegrasyon süreçlerinin arttırılması ve birçok kuruluşta tek bir bilgi alanının oluşturulması koşullarında, Lanit, firmaların uzak ofislerini tek bir bütün halinde birbirine bağlayan güvenli bir telekomünikasyon altyapısının oluşturulması konusunda çalışmalar sunar. yüksek seviye Bilgi güvenliği aralarında akar.
Sanal özel ağların kullanılmış teknolojisi, coğrafi olarak dağıtılmış ağları hem korunan seçili kanalları hem de küresel ortak ağlardan geçen sanal kanalları kullanarak birleştirmenizi sağlar. Güvenli ağlar oluşturmaya yönelik seri ve sistematik yaklaşım, yalnızca dış iletişim kanallarının korunmasını değil, aynı zamanda kapalı dahili VPN devrelerini seçerek iç ağları etkili bir şekilde korumak için de geçerlidir. Böylece başvuru vPN teknolojisi Güvenli İnternet erişimi düzenlemenizi, sunucu platformlarını koruymanıza ve ağ segmenti problemini örgütsel yapıya göre çözmenizi sağlar.
Sanal alt ağlar arasındaki iletim sırasında bilginin korunması, algoritmalar asimetrik anahtarlar ve bilgiyi sahte olan elektronik imzalarda uygulanır. Aslında, tanımlanacak veriler, aynı ağdaki çıkışta kodlanmıştır ve başka bir ağın girişinde kod çözülürken, kilit yönetim algoritması terminal cihazları arasında güvenli bir şekilde dağılmasını sağlar. Tüm veri manipülasyonları çalışan uygulamalar için şeffaftır.
Bilgi kaynaklarına uzaktan erişim. İletişim Kanalları ile iletilen bilgilerin korunması
Şirketin coğrafi olarak uzak cisimleri arasındaki güvenlik duvarı etkileşimi ile, çeşitli ağ hizmetlerinin müşterileri ve sunucuları arasındaki bilgi alışverişinin güvenliğini sağlama görevi. Benzer problemler Kablosuz Yerel Ağlarda (Kablosuz Yerel Alan Ağı, WLAN), ayrıca uzak abonelere kurumsal kaynaklara erişirken gerçekleşir. bilgi sistemi. Başlıca bir tehdit olarak, iletişim kanallarına izinsiz bağlantı ve veri kanalları (e-posta mesajları, dosyalar vb.) Veri (e-posta mesajları, dosyalar vb.) Verilen verilerin (ikame) ile ilgili (ikame) göz önünde bulundurulur.
Belirtilen iletişim kanallarına göre iletilen verileri korumak için, uygun şifreleme koruması araçlarını kullanmak gerekir. Kriptopreforming hem uygulama seviyesinde (veya uygulama protokolleri ve TCP / IP protokolü arasındaki seviyelerde) ve ağ (IP paket dönüşümü) gerçekleştirilebilir.
Birinci düzenlemede, iletişim kanalı aracılığıyla ulaştırma amaçlı bilginin şifrelenmesi, gönderen düğüm (iş istasyonu - istemci veya sunucu) ve kod çözme alıcı düğümünde gerçekleştirilmelidir. Bu seçenek, her bir etkileşimli tarafın konfigürasyonunda (uygulama programları için şifreleme koruma araçlarını veya işletim sisteminin iletişim kısmını bağlayan), bir kural olarak, yüksek maliyetler gerektiren ve her yerel ağa uygun koruma araçlarını belirleyen önemli değişiklikleri yapmayı içerir. düğüm. Bu seçeneğin çözümleri arasında SSL, S-HTTP, S / MIME, şifreleme ve dijital posta imzaları ve HTTP protokolü kullanılarak iletilen mesajları sağlayan PGP / MIME protokollerini içerir.
İkinci seçenek, yerel ağların ve uzak abonelerin iletişim kanallarına (genel ağlara) iletişim kanallarına (genel ağlara) iletişim kanallarına (genel ağlar) bağlantı noktalarında özel kriptokreformasyon araçlarının kurulumunu içerir. Bu görevi çözerken, gerekli kriptografik veri koruma seviyesini ve iletildiklerinde mümkün olan minimum olası gecikmeleri sağlamak gerekir, çünkü bunlar iletilen trafiğin tünellenmesi anlamına gelir (tünellenmiş pakete yeni bir IP başlığı ekleyin) ve çeşitli şifreleme kullanırlar. Dayanıklılık için algoritmalar. Ağ düzeyinde kriptokremi sağlayan fonların, Kurumsal Bilgi Sisteminde çalışan herhangi bir uygulama alt sistemiyle tamamen uyumlu olması nedeniyle ("uygulamalar için" şeffaf "vardır), daha sık uygulanırlar. Bu nedenle, iletişim kanalları aracılığıyla iletilen bu veri koruma araçlarına (İnternet gibi ortak erişim ağları dahil) odaklanacağız. Bilginin kriptografik korumasının vasıtasıyla devlet yapılarında uygulanması planlanıyorsa, seçtikleri sorusu, Rusya'da sertifikalandırılmış ürünler lehine çözülmelidir.
Andrei Subbotin Malzeme, editoryal ofisin çözünürlüğü ile verilir.
Halen, iletilen bilgi miktarında (gizli) bilgi miktarında keskin bir artış var. açık kanallar İletişim. Sıradan telefon kanallarında, bankalar, aracılık ofisleri ile borsalar arasındaki etkileşim, organizasyonların uzak dalları, menkul kıymetler ticareti yapılmaktadır. Bu nedenle, bulaşan bilgiyi koruma sorunu giderek daha alakalı hale gelir. Bilgi koruma sistemlerinin spesifik uygulanmasının, süreçlerin ve veri aktarımlı algoritmalardaki farklılıklar nedeniyle birbirlerinden önemli ölçüde farklılık göstermesine rağmen, hepsi denenmiş soruna bir çözüm sağlamalıdır:
bilgilerin gizliliği (sadece amaçlanan kişinin kullanılabilirliği);
bilgi bütünlüğü (doğruluğu ve doğruluğu, kasıtlı ve kasıtsız bozulma güvenliği);
bilginin hazırlığı (ihtiyaca gelince herhangi bir zamanda).
Bu görevleri çözme ana yönleri şifreleme ve şifreleme korumasıdır. Komproptografik koruma, tesisleri korumak, tehlikeli emisyon seviyesini azaltmak ve yapay girişimler oluşturmak için organizasyonel ve teknik önlemleri içerir. Bu konunun karmaşıklığı ve hacmi nedeniyle, bu makalede dondurulmuş koruma dikkate alınmayacaktır.
Çoğu durumda şifreleme koruması daha verimli ve ucuzdur. Bilginin gizliliği, iletilen belgelerin veya tüm trafik trafiğinin şifrelemesi ile birlikte verilmektedir.
İlk seçenek uygulamada daha basittir ve pratikte herhangi bir e-posta iletim sistemiyle çalışmak için kullanılabilir. DES, RSA, GOST 28147-89, "VESTA-2" için en sık uygulanan şifreleme algoritmaları.
İkinci seçenek yalnızca özel olarak geliştirilmiş sistemlerde kullanılabilir ve bu durumda yüksek hızlı algoritma gereklidir, çünkü bilgi akışının gerçek zamanlı olarak işlenmesi gerekir. Bu seçenek İlk olarak, yalnızca iletilen veriler şifrelenmiş değil, aynı zamanda genellikle veri türlerini, göndericinin ve alıcının adresini, geçiş yollarını, geçiş yollarını, geçiş yollarını ve çok daha fazlasını içeren eşlik eden bilgilerin de olduğu gibi Bu yaklaşım, yanlış bilgi sistemini tanıtma görevini ve daha önce ele geçirilen orijinal bilgilerin çoğaltılmasını önemli ölçüde karmaşıklaştırır.
Açık kanallar üzerinden iletilen bilgilerin bütünlüğü, yetki kurmanızı ve bilgilerin doğruluğunu belirlemenizi sağlayan özel bir elektronik imza kullanılarak sağlanır. Elektronik imza şu anda yasal önemi onaylamak için yaygın olarak kullanılır. elektronik belgeler Bu tür bilgi değişim sistemlerinde, bir banka olarak - bir banka, bir banka - bir şube, bir banka - müşteri, değişim - komisyonculuk ofisi vb. Gibi.
Çoğu durumda bilgilerin hazırlığı, organizasyonel ve teknik önlemler ve özel hata toleranslı ekipmanların kurulumu tarafından sağlanmaktadır. Bunun seçimi veya kriptografik dönüşüm algoritması genellikle büyük zorluklarla ilişkilidir. Birkaç karakteristik örneği veriyoruz.
Koruma sisteminin geliştiricisini, GOST 28147-89'un gereksinimlerini tam olarak uyguladıklarını iddia ediyoruz. Bu gost yayınlandı, ama tamamen değil. Bazı özel kriptografik ikameler, kriptoskopunun büyük ölçüde bağlı olduğu şekilde yayınlanmamıştır. Böylece, GOST'ın uygulanmasının doğruluğunda, çoğu geliştiricinin geliştirici olmadığı bir FAPSI sertifikası olduğundan emin olmak mümkündür.
Geliştirici geliştirici bir RSA algoritması uyguladığımı bildirir. Aynı zamanda, uygulamanın RSA Veri Security Inc. tarafından lisanslanması gerektiğini sessizleştirdi. (ABD Patenti # 4 405 829). Dahası, RSA'nın ABD uygulamalarından 40'tan fazla uç uzunluğunda bir anahtar uzunluğu ile çıkarılması yasaktır (böyle bir anahtarın kriptopostikliği, her zamanki bilgisayarın pentium işlemcisi ile yaklaşık birkaç günü uzmanlar tarafından tahmin edilmektedir).
Koruma sisteminin geliştiricisi, Ülkemizde yaygın olarak kullanılan PGP algoritması uygulandığını, 1995'te ABD BBS'si aracılığıyla kaynak metinleri tarafından dağıtılan ücretsiz olarak kullandığını bildirdi. İki sorun var. İlk elektronik imza, RSA algoritması temelinde yapılır ve telif hakkı açısından, RSA Veri Security Inc. tarafından da lisanslanmalıdır. İkinci dağıtılmış programlar, çalışmalarında müdahale için duyarsızdır, bu nedenle özel bir Cryptovirus kullanarak, elektronik bir imza oluşturmak için kolayca bir gizli anahtar elde edebilirsiniz.
Sonuç olarak, ülkemizde pratik olarak düzenleyici ve metodolojik bir baz olmadığı için pişmanlık duyuyorum, ki burada önerilen bilgi koruma sistemlerini karşılaştırmanın makul olacağı ve en iyi çözümleri seçmesinin makul olacağı konusunda pişmanlık duyuyorum.
İşletmenin dağıtılmış bilgi kaynakları arasında güvenli bir veri aktarımı kanalı oluşturma
A. A. TERENIN, C. T.N.,
bT Kalite Güvencesi Uzmanı
"Deutsche Bank Moskova"
Şu anda, bir ülkede veya dünyada bir şube ağı olan büyük bir işletme, başarılı bir iş yönetimi için, tek bir bilgi alanı oluşturmak ve dalları arasında net koordinasyon sağlaması gerekir.
Çeşitli dallarda meydana gelen iş süreçlerini koordine etmek için, aralarında bilgi alışverişinde bulunmanız gerekir. Bazı ofislerden gelen veriler, bazı merkez ofiste daha fazla işleme, analiz ve depolama için biriktirilir. Birikmiş bilgiler daha sonra işletme görevlerini işletmenin tüm dalları ile çözmek için kullanılır.
Şubeler değişiminin, güvenilirlik ve bütünlüğü için sıkı gerekliliklerle yapıldığı veriler. Buna ek olarak, ticari bir sırrı temsil eden veriler gizli olmalıdır. Tüm ofislerin tam paralel bir çalışması için, çevrimiçi modda (gerçek zamanlı) bilgi alışverişi gerçekleşmelidir. Başka bir deyişle, işletmenin dalları ve merkez ofisi arasında kalıcı bir veri iletim kanalı kurulmalıdır. Böyle bir kanalın kesintisiz çalışmasını sağlamak için, her bilgi kaynağına erişilebilirliği korumak için bir gereklilik öne sürülür.
Kalıcı iletişim görevinin yüksek kalitede uygulanması için işletmenin dalları arasındaki veri kanallarına karşılık gelmesi gereken şartları özetliyoruz:
veri Kanalı kalıcı olmalıdır,
böyle bir kanal tarafından iletilen veriler bütünlüğü, doğruluğu ve gizliliği korumalıdır.
Ek olarak, kalıcı iletişim kanalının güvenilir çalışması, sistemin yasal kullanıcılarının herhangi bir zamanda yasal kullanıcılarının bilgi kaynaklarına erişeceği anlamına gelir.
Gerçek zamanlı olarak çalışan dağıtılmış kurumsal sistemlere ek olarak, hatta çalışan sistemler var. Bu tür sistemlerde veri değişimi sürekli değildir, ancak belirli bir süre içerisinde: günde bir kez, saatte bir kez vb. Bu tür sistemlerdeki veriler, ayrı dal veritabanlarında (veritabanı), ayrıca merkezi veritabanlarında ve bunlardan yalnızca verileri biriktirir. Veritabanı güvenilir olarak kabul edilir.
Ancak, bilgi alışverişi sadece günde bir kez gerçekleşse bile, doğruluk, bütünlük ve gizlilik sağlamak için tüm gerekliliklerin yanı sıra kanalın çalışması sırasında erişilebilirliğin yanı sıra güvenli bir veri kanalı oluşturmak gerekir.
Güvenle ilgili olarak, yetkili erişim, tarafların etkileşim için kimlik doğrulamasını ve yazarın terk edilmesinin ve veri aktarımının gerçeğini sağlamak için ima edilir.
Dağıtılmış bir bilgi ortamında bilgi işlem güvenlik sistemlerine daha katı gereksinimler uygulanır, ancak bu ayrı bir makale için bir konudur.
Bu tür koruma kanalı veri iletimi nasıl sağlanır?
Her şube olan fiziksel veri iletim kanalına her şubeye (veya merkezle olan tüm dalları) bağlanabilir ve bilgi sinyallerinin fiziksel iletim ortamına erişmemenin imkansızlığını sağlar. Evet, böyle bir karar, bir korumalı nesnede uygulamak için kabul edilebilir, ancak etkileşim nesneleri arasındaki mesafenin binlerce kilometre ile ölçülebildiği dağıtılmış kurumsal sistemlerden bahsediyoruz. Benzer bir planın uygulanmasının maliyeti bu kadar yüksektir ki bu asla uygun maliyetli olmayacaktır.
Başka bir seçenek: Kira Mevcut, zaten iletişim kanallarını yerleştirdi veya uydu kanalları Telekom operatörlerinde. Benzer bir çözelti ayrıca pahalı, ayrıca, veri koruma kanalları, etkileşimli tarafların her birinde özel yazılımın (yazılımın) uygulanmasını veya kurulmasını gerektirecektir.
Çok yaygın, ucuz ve etkili bir çözüm, dünya çapında internet bilgisayarında korunan iletişim kanallarının organizasyonudur.
İş süreçlerini organize etmek için internete erişimi olmayan ve dünya çapında ağını kullanmayan bir organizasyon hayal etmek artık zor. Ek olarak, bilgi teknolojisi pazarı doyurulur. ağ ekipmanı ve dahili destek desteği olan farklı üreticilerde bilgi Güvenliği. Açık bir bilgi ağında korumalı etkileşimi düzenlemek için kullanılan oluşturulan donanım ve yazılım ürünlerinin temelini oluşturan standartlar, korumalı ağ protokolleri vardır.
İnternet üzerinden korumalı veri kanallarını nasıl oluşturabileceğinizi ayrıntılı olarak düşünün.
Açık ağlarda güvenli veri iletimi sorunları, popüler ve kütle edebiyatında yaygın olarak tartışılmaktadır:
Dünya çapında internet ağı sürekli genişletiyor, veri iletimi ve işleme araçları gelişiyor, ekipman, bulaşan verileri ve gizli bilgilere erişimi engelleyen ekipman olur. Şu anda, bilgilerin yetkisiz kopyalanmasından, imha edilmesinden veya modifikasyonundan korunmasını sağlama sorunu, iletişim kanalları ile depolama, işleme ve iletim sırasında giderek daha alakalı hale geliyor.
Bilginin Korunması Asimetrik şifreleme kullanılarak açık iletişim kanallarıyla iletildiğinde ve elektronik dijital imza kullanırken sorunları ve yollarını çözmenin sorunları ve yolları sayılır.
Bu makalede, açık iletişim kanallarında gizli veri iletirken bilgi güvenliği sağlama yöntemlerini ayrıntılı olarak açıklar.
Kamu iletişim kanalları tarafından iletilen bilgileri korumak için, çeşitli güvenlik araçları kullanılır: Veriler şifrelenmiştir, paketler ek kontrol bilgisi ile birlikte verilir, daha fazla güvenlik derecesine sahip veri değişim protokolü kullanılır.
Bulaşan verilerin nasıl korunacağı konusunda karar vermeden önce, olası güvenlik açıklarının aralığını, çarpıtma, bozulma veya veri yıkım, iletişim kanallarına bağlantı yöntemlerini, bağlantı yöntemlerini açıkça belirtmek gerekir. Soruları cevaplayın, saldırganlar hangi hedefler takip ediyorlar ve mevcut güvenlik açıklarını planlarını uygulamak için nasıl kullanabilecekleridir.
Uygulanan koruyucu veri kanalı için ek gereksinimlerden, tahsis edebilirsiniz:
etkileşimli tarafların tanımlanması ve kimlik doğrulaması;
taraflardan birinin ikame edilmesine karşı koruma prosedürü (açık anahtar kriptoalgorems kullanımı);
İletilen verilerin bütünlüğünün izlenmesi, bilgi aktarma rotası ve iletişim kanalı koruma seviyesi;
İletişim kanalının kalitesini yapılandırma ve doğrulama;
bulaşan bilgilerin sıkıştırılması;
verileri iletişim kanallarına aktarırken hataların tespiti ve düzeltilmesi;
olayların denetimi ve tescili;
Çalışma kapasitesinin otomatik olarak azaltılması.
İhlalci modelini ve Nesne Modeli modelini inşa ediyoruz (Şek. 1).
Bir bileşik oluşturmak için algoritma
Güvenli bir veri kanalı uygulamak için, istemci-sunucu etkileşimi modelini kullanın.
İki taraf var: sunucu ve müşteri - iş istasyonuBununla birlikte, sunucuya bir bağlantı kurmak istiyor.
Başlangıçta, sadece iki anahtar vardır: açık ve kapalı sunucu tuşları ( ÖKÜZ.ve Zks) ve sunucunun ortak anahtarı herkes tarafından bilinir ve sunucuya erişirken müşteriye iletilir. En katı gizliliğin kapalı bir sunucu anahtarı sunucuda saklanır.
Bağlantı başlatıcısı bir müşteridir, herhangi bir şekilde sunucuya erişebilir. küresel ağBu sunucuda, en sık internet üzerinden çalışır.
Bağlantıyı başlatırken ana görev, iki etkileşimli taraf arasında bir veri değişim kanalı oluşturmak, sahteciliğin ömrünü önlemek ve bağlantının bir kullanıcıyla yüklendiğinde kullanıcının sonlandırma durumunun önlenmesi, başka bir sistem katılımcısı birine bağlanır. Taraflar ve tüzel kişilik için bir mesaj atmaya başlar. Kullanıcı veya bir başkasının adından mesaj aktarın.
Saldırganı herhangi bir zamanda bağlama olasılığını öngörmek ve "el sıkışma" (el sıkışma) prosedürünü belirli zaman aralıkları ile tekrarlamak için, izin verilenden minimum olarak ayarlanmalıdır.
Varsayımına dayanarak Zksve ÖKÜZ.zaten yaratıldı ve ÖKÜZ.herkes tarafından bilinir ve Zks- Sadece sunucu, aşağıdaki algoritmayı alırız:
1. İstemci, sunucuya bir istek gönderir.
2. Sunucu, istenen istasyonu, genel anahtar sunucusunu diken önceden ayarlanmış bir istemci uygulaması için bazı özel mesajları ileterek uygulamayı başlatır.
3. Müşteri, sunucu ile çalışmak için anahtarlarını (açık ve kapalı) oluşturur. OKKve Zkk.).
4. Müşteri oturum anahtarını oluşturur ( Ks.) (Simetrik mesaj şifreleme anahtarı).
5. İstemci, aşağıdaki bileşenleri sunucuya gönderir:
halk Müşteri Anahtarı ( OKK);
anahtar oturumu;
rastgele mesaj (hadi arayalım H.), algoritma tarafından açık bir anahtar sunucu tarafından şifrelenmiş RSA..
6. Sunucu, alınan mesajı işler ve yanıt olarak bir mesaj gönderir. H.Şifreli oturum anahtarı ( simetrik şifreleme) + istemci şifreli anahtar (asimetrik şifreleme, örneğin algoritma) RSA.) + sunucu özel bir anahtar tarafından imzalandı ( RSA, DSA, GOST) (Yani, şifre çözme işleminden sonra müşteri tarafındaysak, tekrar X alır, o zaman bu şudur:
mesaj sunucudan geldi (imza - Zks);
sunucu sunucumuzu kabul etti OKK(ve anahtarımızı şifrelenmiş);
alınan sunucu Ks.(Bu anahtar mesajı şifrelemek).
7. Müşteri, bu mesajı imzayı kontrol eder ve ortaya çıkan metni şifresini çözer. Tüm ters işlemin ürününün bir sonucu olarak, sunucuya gönderilen mesajla tam olarak aynı olan bir mesaj alırız. H.Korunan veri değişim kanalının doğru şekilde ayarlandığına ve iş için tam olarak hazır olduğuna ve işlevlerini yerine getirdiğine inanılmaktadır.
8. Gelecekte, her iki taraf da gönderen kapalı tuşlar tarafından imzalanan mesajları değiştirmeye ve oturum anahtarını şifrelemeye başlar.
Bağlantı kuruluş algoritmasının diyagramı, Şekil 2'de gösterilmiştir. 2.
Mesajı güvenli bir kanala göndermeye hazırlamak için algoritma
Görevin ayarı aşağıdaki gibi sesler: Kaynak (açık) metni, algoritmanın girişine gelir, çıkışta kriptografik dönüşümlerle, kapalı ve imzalı bir dosya elde ediyoruz. Bu algoritmaya atanan ana görev, korunmasız bir kanalda koruma sağlayarak güvenli metin iletimini sağlamaktır.
Mesajı bir saldırgan tarafından yakaladığında bilgi açıklamasını önleme yeteneğini tanıtmak da gereklidir. Ağ açık, bu ağdaki herhangi bir kullanıcı, veri kanalı üzerinden gönderilen herhangi bir mesajı engelleyebilir. Ancak, bir saldırgan tarafından elde edilen bu algoritmada belirtilen koruma sayesinde, veri tamamen işe yaramaz olacaktır.
Doğal olarak, söndürme dolu bir açılış seçeneği sağlamak gerekir, ancak daha sonra hesaplanan otopside harcanan zamanı dikkate almak gerekir. Ünlü bir yöntemdeve belirtilen süre için kapalı bilgilerin maruz kalmamasını garanti eden uygun anahtar uzunluklarını kullanın.
Ayrıca, kanalın (alıcı tarafın üzerinde) bir yasal temsilci tarafından değiştirilen bir saldırgan olduğu ortaya çıktığı olasılık da vardır. Bu algoritma sayesinde, böyle bir saldırganın ellerine serbestçe düşen bir mesaj da "okunamaz", çünkü açık ve kapalı tuşları yanlarında ve oturum anahtarını değiştirdik.
Algoritma aşağıdaki gibi uygulanabilir (Şekil 3):
kaynak metin, zip algoritması kullanılarak sıkıştırılır;
bu işlem için paralel olarak, ilk metin imzası alıcının açık anahtarıdır;
sıkıştırılmış metin, simetrik bir oturum tuşuyla şifrelenir, bu anahtarın da alıcı tarafın üzerinde olduğu;
Şifreli ve sıkıştırılmış metnin eklenmesi elektronik imza, açıkça göndereni tanımlamak;
mesaj ayrılmaya hazırdır ve iletişim kanalının üzerinden iletilebilir.
Güvenli bir kanal alırken mesaj işleme algoritması
Algoritma girişi, iletişim kanalında kabul ettiğimiz şifreli, sıkıştırılmış ve imzalanmış metne girer. Algoritmanın görevi, kaynak açık metnin tersi şifreleme dönüşümlerini, mesajın kimlik doğrulaması ve yazarlığını kullanarak almaktır.
Sistemin ana görevi, korunmasız iletişim hatlarında güvenli bir kanal oluşturmak olduğundan, her mesaj güçlü değişikliklere uğrar ve bununla ilişkili kontrol ve kontrol bilgilerini getirir. Kaynak metnin ters restorasyonu süreci de oldukça uzun bir dönüşüm süresi gerektirir ve çok fazla sayıda işlemleri kullanan modern şifreleme algoritmaları kullanır.
Mesajın kaydedilmesinin korumalı bir kanalın üzerinden geçişinin maksimum korunmasını sağlamak istiyorsanız, oldukça uzun vadeli ve kaynak yoğun bir işlemlere başvurmanız gerekir. Güvenlik derecesine kadar kazanma, gönderilen mesajların işlenmesinin hızında kaybediyoruz.
Ek olarak, iletişimin (birbirlerinin tarafları tarafından muayenesi) ve kontrol ve yönetim bilgilerinin değişimi için geçici ve makine maliyetlerini dikkate almak gerekir.
Korunan bir kanal alırken bir mesaj işlemek için algoritma (Şek. 4):
alınan şifreli, sıkıştırılmış ve imzalı mesajdan, bir dijital imza vurgulanır;
dijital imzasız metin, anahtar oturumu tarafından şifrelenir;
kodu çözülmüş metin, örneğin zip algoritmasını kullanarak Unzip Prosedürünü geçer;
İki işlemin bir sonucu olarak elde edilen metin, mesajın dijital imzasını kontrol etmek için kullanılır;
algoritmanın çıktısında, bir kaynak açık mesajımız ve imza kontrolünün sonucu var.
Algoritma İmza Mesajı
Mesaj imzası algoritması daha ayrıntılı olarak düşünün. Tarafların her iki uzantısının da tüm açık ve kapalı anahtarlarının zaten oluşturulduğu ve kapalı anahtarların yakın sahiplerine kaydedildiği varsayımdan devam edeceğiz ve açık anahtarlar birbirlerine gönderilir.
Kaynak metin sınırsız ve her zaman kalıcı olmayan bir boyut olabileceği ve dijital imza algoritması, çalışması için belirli bir sabit uzunluğun veri bloğunu gerektirir, ardından bu metinden gelen karma işlevinin değeri kullanılacaktır. tüm metnin önceden belirlenmiş uzunlukta gösterilmesine. Sonuç olarak, karma fonksiyonunun ana özelliği sayesinde metin gösterimini elde ediyoruz: tek taraflı, ekrandan kaynak metni geri yüklemek mümkün değil. Algoritmik olarak, HASH fonksiyon değerinin daha önce bulunduğunda çakışan herhangi bir metni seçmek imkansız. Bu, bir saldırganın mesajı serbestçe değiştirmesine izin vermez, çünkü hashfunctionun değerini derhal değiştirir ve sesli imza standart ile çakışmaz.
Hashfunction'un değerini bulmak için, iyi bilinen karma algoritmaları kullanılabilir ( Sha, md4, md5, gostve ark.), bu da çıktıya sabit uzunlukta bir veri bloğu elde etmenize izin verir. Bu blokta, dijital imza algoritmasının çalışacağıdır. Algoritmalar, elektronik dijital imza algoritması olarak kullanılabilir. DSA, RSA, El Gamalve benzeri.
İmza algoritması mesajını açıklıyoruz (Şekil 5):
genel algoritmanın girişi, herhangi bir uzunluğun kaynak metninden gelir;
bu metin için karma fonksiyonunun değeri hesaplanır;
Edi;
alınan verileri kullanarak, değer hesaplanır Editoplam metin;
algoritmanın çıktısında, Exchange kanalına gönderilen veri paketine katılmak için gelen mesajın dijital imzasına sahibiz.
Algoritma doğrulama imzası
Algoritmanın girişi iki bileşen gelir: mesajın kaynak metni ve dijital imzası. Ayrıca, kaynak metin sınırsız olabilir ve her zaman kalıcı olmayan bir boyutta ve dijital imzanın her zaman sabit bir uzunluğa sahip olmasıdır. Bu algoritma, metin karma işlevini bulur, dijital imzayı hesaplar ve girişte alınan bilgilerle karşılaştırır.
Algoritmanın çıktısında, sadece iki değeri olan bir dijital imza kontrolünün sonucunu var: "İmza, orijinaline karşılık gelir," Ya "metnin imzası yanlış, dürüstlük, özgünlük veya yazarlık şüphelidir."Bu algoritmanın çıktısındaki değer, korumalı kanalın destek sisteminde daha fazla kullanılabilir.
İmza kontrol algoritmasını tanımlayalım (Şekil 6):
genel algoritmanın girişi, herhangi bir uzunluğun kaynak metninden ve sabit uzunluğun bu metninin dijital imzasından gelir;
bu metinden karma fonksiyonunun değeri hesaplanır;
sabit uzunluğun metninin ortaya çıkan görüntüsü, aşağıdaki algoritmik işleme bloğuna girer;
genel algoritmanın girişine gelen aynı bloğa dijital imza gönderilir;
ayrıca, bu bloğun girişinde (dijital imza) bulmak için kullanılan gizli (kapalı) tuşuna girer. Edi;
alınan verilerin kullanılması, tüm metnin elektronik dijital imzasının değerini hesaplar;
batik olarak hangi dijital mesaj imzası aldık? EdiGenel algoritmanın girişine girilen, metnin güvenilirliği hakkında sonuçlar çıkarabiliriz;
algoritmanın çıktısında, dijital imza kontrolünün sonucunu var.
Korunan bir iletişim kanalı uygulamak için önerilen şemaya ilişkin olası saldırılar
Güvenli bir veri kanalına en yaygın olası saldırıların en yaygın örneklerini göz önünde bulundurun.
İlk olarak, kime ve kime güvenilebileceğine karar vermek gerekir, çünkü kimseye ve hiçbir şeye güvenmezseniz, küresel ağda veri değişimini desteklemek için benzer programlar yazmak anlamsızdır.
Kendine güveniyoruz yazılımiş istasyonuna yüklü.
Bir tarayıcı sunucusu (Internet Explorer veya Netscape Navigator) ile iletişim kurmak için kullanıldığında, bu tarayıcıya güveniyoruz ve ziyaret edilen sitelerin sertifikalarını kontrol ederek güveniyoruz.
Uygulamadaki imzayı kontrol ettikten sonra güvenebilirsiniz ÖKÜZ.sunucudan (applets) yüklenebilir verilere veya programlara dikilir.
Sahip olma ÖKÜZ.Güvendiğimiz için, sunucu ile daha fazla çalışmaya devam edebilirsiniz.
Sistem istemci uygulamaları kullanılarak oluşturulursa, kurulmuş istemci yazılımına güvenmek gerekir. Bundan sonra, benzerlere göre, yukarıdaki zincir, bağlantının kurulduğu sunucuya güvenebiliriz.
Olası saldırılar.
1. İletildiğinde ÖKÜZ.. Prensip olarak, herkes için mevcuttur, bu yüzden saldırgan onu engellemek zor olmayacak. Sahip olma ÖKÜZ., teorik olarak, hesaplanabilir Zks. Gizlilik uzunluğunu korumak için belirli bir süre için şifreleme tuşlarını yeterli kullanmak gerekir.
2. Sunucudan gönderildikten sonra ÖKÜZ.ve müşteriyi cevap olarak göndermeden önce OKKve Ks.. Onları üretirken ( OKK, Zkk.ve Ks.) Zayıf bir jeneratör kullanılır rastgele sayılar, Belirtilen üç parametreyi veya bunlardan herhangi birini tahmin etmeye çalışabilirsiniz.
Bu saldırıyı yansıtmak için, birkaç gereksinimi karşılayan rasgele sayılar elde etmek gerekir. Örneğin, bir saldırgandan beri rastgele sayılar oluşturmak için bir zamanlayıcı kullanmak imkansızdır. ÖKÜZ.sunucudan), paketi saniyelere kadar gönderme süresini ayarlayabilir. Zamanlayıcı her milisaniye çalışırsa, otopsi için sadece 60.000 değer (60 _ 1000 ms) tam bir aramaya ihtiyacınız vardır.
Rasgele sayılar oluşturmak için, bir işlem numarası veya diğer sistem parametreleri (tanımlayıcı kimlik numarası gibi) gibi saldırgana (bilgisayarı) erişilemeyen parametreleri kullanmak gerekir.
3. İstemciden içeren bir paketin sunucusuna iletirken OKK, Ks., H., şifreli ÖKÜZ.. Yakalanan bilgileri açmak için, sahip olmanız gerekir. Zks. Bu saldırı yukarıda tartışılan saldırıya düşürülür. Zks). Kendi başına, sunucuya iletilen kapalı bilgiler saldırgan için işe yaramaz.
4. Sunucudan bir test mesajının istemcisine iletirken H., şifreli Ks.ve OKKve imzalı Zks. Yakalı mesajı deşifre etmek için, bilmeniz gerekir ve OKK, BEN. Ks.Düşmanın bilindikten sonra yukarıdaki saldırılardan birini uygulamak durumunda kimin bilinmesi durumunda Zks.
Ancak, test mesajının kod çözülmesi çok korkunç değil, çok daha büyük bir tehlike, saldırganın kendisine sunucu için verebileceği iletilen mesajın sahte olasılığıdır. Bunu yapmak için bilmesi gerekiyor ZksPaketi doğru bir şekilde imzalamak için ve tüm tuşları Ks.ve OKKmesajın kendisi gibi H.Yanlış bir paketi düzgün şekilde derlemek için.
Bu eşyaların herhangi birinin ihlal edilmesinde, sistem tehlikeye girme ve daha fazla hüküm peşindef sayılır güvenli iş müşteri.
Böylece, "el sıkışma" prosedürünün (el sıkışma) uygulanmasının aşamasında mümkün olan saldırılara baktık. Kanalımızdaki veri iletim sürecinde yapılabilecek saldırıları tarif ediyoruz.
Bilgi yakaladığında, saldırgan sadece biliniyorsa açık metni okuyabilir. Ks.. Saldırgan, tüm olası değerlerini geçerek tamamen tahmin edebilir veya alabilir. Düşman mesajı bilse bile (yani, açık metnin nasıl göründüğünü, ele geçirdiği koda karşılık geldiğini biliyor), bu metin sıkıştırma algoritmasına tabi tutulduğundan kesinlikle şifreleme anahtarını kurmaz.
Her bir mesajın farklı görüneceği gibi, "Muhtemel Kelime Broş" na göre bir saldırı uygulamak imkansızdır. Arşivlenmesinde, bir bilgi karışımı olması nedeniyle, yalnızca karma fonksiyonunun değerini hesaplarken gerçekleştirildiğinde, önceki bilgiler aşağıdaki veri bloğunun nasıl görüneceğini etkiler.
Açıklanandan, herhangi bir durumda saldırganın yalnızca tüm olası anahtar değerlerinin tam olarak söndürme temelinde bir saldırı uygulayabildiğini takip eder. Sürdürülebilirliği geliştirmek bu tip Saldırıların değer aralığını genişletmesi gerekir Ks.. 1024 bit bir anahtar kullanırken, olası değerlerin aralığı 2 1024'e yükselir.
İletişim kanalı aracılığıyla iletilen mesajları yazmak veya değiştirmek için, bir saldırganın her iki tarafın da kapalı anahtarlarını değişimin değişimine veya iki kapalı anahtardan birini bilmesi gerekir ( Zk). Ancak bu durumda, mesajları yalnızca bir yöne doğru yapabilecek, Zko bilir. Gönderen olarak hareket edebilir.
Taraflardan herhangi birini değiştirmeye çalışırken, yani, bir iletişim oturumu kurduktan sonra kendinizi yasal bir değişim katılımcısına vermeye çalıştığınızda, bilmesi gerekiyor. Ks.ve Zk(Daha önce gözden geçirilen davalara bakınız). Eğer n. Ks.ne de ZktOGO, bunun yerine, iletişim kanalına bağlanmak istediği, bir saldırgan bilinmiyorsa, sistem hemen bunu öğrenecek ve bir uzlaşma kaynağıyla daha fazla çalışacaktır.
İşin başlangıcında, sunucuya bağlanırken, önemsiz bir saldırı mümkündür: DNS sunucusunun yerine. Buna karşı korumak mümkün değildir. Bu sorunun çözümü, İnternet Sağlayıcıları tarafından yönetilen DNS sunucularının yöneticilerine atanır. Tasarruf sağlayan tek şey, sitenin istenen sunucuya geldiğini onaylayan tarayıcıyı tarayıcıya kontrol etme prosedürünün yukarıda açıklanmıştır.
Sonuç
Makale, dağıtılmış kurumsal bilgi işlem sistemleri arasındaki etkileşimi sağlamak için korumalı bir veri kanalı oluşturma yöntemleri.
Güvenli bir bağlantı kurmak ve korumak için bir protokol geliştirildi. Veri korumasının sağlanması için algoritmalar önerilmektedir. Geliştirilen etkileşim şemasının olası güvenlik açıklarını analiz etti.
Böyle bir korumalı bağlantı teknolojisi, SSL Ağ Etkileşimi Protokolü tarafından düzenlenir. Ek olarak, sanal özel ağlar önerilen ilkelere (sanal özel ağlar - VPN) dayanmaktadır.
EDEBİYAT
1. Medvedovsky I. D., Familyanov P.V., Platonov V. V. Internet'te Atak. - St. Petersburg: Yayınevi "DMK" 1999. - 336 s.
2. Karva A. Altyapısı açık anahtarlar. LAN / Network Solutions Magazine (Rus Baskı), 8, 1997.
3. Melnikov Yu. N. Elektronik Dijital İmza. Koruma yetenekleri. Kendine güvenen sayı 4 (6), 1995, s. 35-47.
4. TERENIN A. A., MELNIKOV YU. N. Ağda güvenli bir kanal oluşturma. Seminer Malzemeleri "Bilgi Güvenliği - Rusya'nın Güney", Taganrog, 28-30, 2000 Taganrog.
5. Terenin A. A. Güvenli bir kanal oluşturmak için algoritmaların geliştirilmesi açık ağ. Otomasyon ve modern teknolojiler. - Yayınevi "Makine Mühendisliği", № 6, 2001, s. 5-12.
6. Terenin A. A. Tarafından oluşturulan açık bir ağda güvenli kanaldaki olası saldırıların analizi yazılım. Moskova Devlet Üniversitesi Mekaniği ve Matematik Fakültesi Genç Bilim İnsanları Mekaniği ve Matematik Fakültesi'nin XXII Konferansı Malzemeleri, M,17-22 Nisan 2000.
Herhangi bir kuruluşun çalışmasında, iki veya daha fazla kişi arasında gizli bilgi alışverişinde bulunma ihtiyacı vardır. En basit çözüm, sözlü veya kişisel olarak kağıda iletmektir. Bununla birlikte, böyle bir olasılık yoksa, gerektiğinde, şifreleme dönüşümleri genellikle elektronik biçimde kullanılır. Yaygın kullanımlara rağmen, kriptografinin dezavantajları vardır - iletim gerçeği gizlenmez ve şifreleme algoritması, davetsiz misafir tarafından bilgileri geri yükleme yeteneğine sahiptir. Ek olarak, kriptografik dönüşümlerin karmaşıklığı nedeniyle, veri aktarım hızı üzerindeki kısıtlamalar, örneğin telekonference modunda, büyük miktarda belgesel veya multimedya bilgisi (video veya ses) açık kanalında yayınlanırken kritik olabilecek kritik olabilir.
Yazarlar göz önüne alındığında, bu durumda kriptografik dönüşümlere alternatif, steganografik dönüşümler dahil olmak üzere gizli bilgi alışverişinin organizasyonuna entegre bir yaklaşım olabilir (gizli bilgi iletimi gerçeğinin gizlenmesi anlamına gelir) ve uygulama Çeşitli metodlar Kimlik doğrulama ve ağ yükü dengeleme.
Bu çalışmanın amacı, video akışındaki bilgilerin gizli iletiminin ve bir yazılım paketi biçiminde uygulanması için bir metodolojinin geliştirilmesidir. Metodoloji, bazı kullanıcıların trafiğinin diğerine göre önceliklendirilmesine dayanır. Çalışma sırasında, bu metodolojide güvenli bir bilgi alışverişi düzenlemek için kullanılan kendi trafik yönetimi algoritması oluşturulmuştur.
Algoritmanın olası uygulamaları - Ağ yükü dengeleme, kaynaklara imtiyazlı erişim, gizli mesajlaşma kanalının organizasyonu.
Aşağıdaki şartlar algoritma yazılımı uygulamasına sunulur:
Kullanıcı için şeffaflık;
Hata toleransı;
- 
gizli anahtarların ve sistem verilerinin güvenilir depolanması Sınırlı erişim;
Uygulamanın uygunluğu, yani, hızda kazançlar, hizmet veya güvenlik kalitesi;
Çeşitli ağ ekipmanları ile uyumludur.
Ayrıcalıklı etiket algoritmasını düşünün. Daha fazla ayrıntı. Her zamanki modda, paketler doğrudan Sunucuyu atlayarak doğrudan kaynaktan hedefe iletilir. Bu, kuruluşun sıradan bir yerel organizasyonudur. Özel bir modun tahmini başlamasından önce, yönetici sunucudaki hizmeti başlatır. Ağ bekleme moduna geçer.
Paket kabul edilir, eğer varsa, özel bir modun başlangıcının bir etiket olup olmadığını kontrol edilir. Özel rejimAksi halde paket muhataplara teslim edilir ve yeni olan kabul edilir. Paket yapısı Şekil 1'de gösterilmiştir.
Özel mod. Paketin gönderenin kimlik doğrulama bilgileri kontrol edilir. Citely Server işlemi, Şekil 2'deki blok şeması olarak gösterilir.
Şekil 3, gönderim şemasını muhataplara göstermektedir. Tüm paketler, etiketin okunması, alıcının adresine karşılık gelen sunucudan geçer. Başarılı kimlik doğrulamasıyla, paket muhataplara gönderilir.
Müşteri, bilgisayarındaki hizmeti başlatır. Servis, sunucunun çalışıp çalışmadığını kontrol eder. Sunucu çalışmıyorsa, program günlüğüne bir hatanın kaydı kaydedilmiş ve Kaynak-Addressesee moduna geçin. Sunucu çalışıyorsa, bir donanım tuşu olup olmadığı kontrol edilir. Donanım tuşu yoksa, hata kaydedilir ve kaynak kaynak moduna geri döner. Bir donanım anahtarı varsa, kaynak sunucu modlarına ve adres sunucusuna geçiş yapın.
Modlarda, sunucu ve sunucu ve sunucu gönderen mesajlar aşağıdaki gibi görünür. Paket, kullanıcı, ayrıcalık etiketi ve gizli veriler hakkında bilgi ekler. Paket gönderilir. Mesajların alımı böyle yapılır: mesaj tamponda kaydedilir; Steganografik dönüşümler tablosuna göre, gizli bilgiye sahip paketler vurgulanır; Gizli bilgileri aramak (Şekil 4).
Korumalı Kanal Organizasyonu Yöntemi
Korunan kanal iletim kanalı, ağ düğümlerinin yetkisiz erişimine karşı koruma görevini çözer, bunun arasında bilgi iletilir ve açık iletişim kanallarıyla iletim işlemi sırasında bilginin kendisidir.
Ayrıcalık Mark Algoritmasına dayanarak, bir korumalı kanal iletim kanalı düzenlemek için bir metodoloji, iletim sırasında trafik kontrolü ile geliştirilmiştir.
Dahil olan adımları düşünün bu method Kullanıcı için gizli bilgi alışverişi yapın.
1. Kimlik doğrulama (elektronik anahtar) sunulmuştur.
2. Başarılı bir kimlik doğrulama ile, program gerekli gizli bilgilere girer.
3. Video konferansı başlar (ve sırasında gizli bilgi gönderir).
4. 
Video konferansı sırasında, bir başka veri alışverişi katılımcısından gelen bilgiler de kabul edilir.
5. Konferans tamamlandı.
Böylece, korumalı bir kanal düzenlemek için, kullanıcının sahip olması gerekir. yüklü program "Privilege etiketi", kimlik doğrulama verileri, web kamerası ile elektronik anahtar, web kamerası ve iletişim kuruluşu için ağ erişimi.
Kimlik doğrulama
Bu yöntemde, kimlik doğrulama prosedürü, istemci yazılımı modülüyle çalışmaya başlamadan önce kullanıcı operatörünü yetkilendirmek ve mesajın istemciden sistem sunucusuna imtiyaz etiketi ile doğrulanmasını onaylamak için kullanılır.
Böylece, tek adımlı kimlik doğrulama şemasını donanım anahtarıyla ve TCP paket başlığındaki veri alanı üzerinden uygulanması gerekir. Bu sorunu çözmenin en basit ve en etkili yolu, GOST 28147-89'a göre olan hesaplama algoritmasının uygulanması, çünkü yüksek kriptik direnç sağlar, çünkü yüksek kriptik direnç sağlar, paketteki kimlik doğrulama alanının uzunluğunu değiştirmenizi sağlar ve etkilidir. Modern HDPE donanım platformlarında uygulanır. genel amaçlı. Aynı zamanda, operatör tarafından operatör tarafından operatör tarafından operatörün üzerinde tutulan aynı anahtar, her iki görevi de çözmek için uygulanabilir. Bir kullanıcının giriş yapması için (bir istemci uygulamasını başlattığınızda) kimlik doğrulaması yaptığınızda, anahtar taşıyıcısından gelen tuşa şifrelenen bir test mesajı sunucuya gönderilir. Sunucu, bu ağ düğümünün yasal kullanıcısına karşılık gelen anahtarla deşifre etmeyi başardıysa, kimlik doğrulamasının tamamlandığı kabul edilir ve sunucu bu istemci uygulamasını bildirir.
TCP paketinin iletilen paketlerinin kimlik doğrulaması, paket bilgi alanı simülasyonlu hesaplama modunda şifrelenirken ve kimlik doğrulama alanına eklendiğinde standart bir şemaya göre gerçekleştirilir ve sunucu, şifreleme anahtarını kullanarak hesaplanan IMITAVA'nın doğruluğunu kontrol eder. veritabanına kaydedildi.
Bu tür bir şemanın ağın yüklenmesi ile güvenilirliğini sağlamak için, tüm kullanıcılar için şifreleme tuşları, yerel ağında çalışırken sistemi kullanma durumunda en az bir kez değiştirilmelidir. Örgüt, organizasyonel ve idari yöntemlerle kolaydır ve çözülür.
Steganografi
Steganografik dönüşüm olduğunda, konteynerlerin eklenmesi gerçek zamanlı olarak gerçekleşmelidir, ek olarak, anahtarlık sağlamak için gereklidir.
En sık, stegontainers video işleme ve gömülmesinin değiştirilmesi için, en az önemli bitlerin yöntemi kullanılır. Bu yöntem, Stegontainers'ta iletilen bilgilerin bozulmasına kararsızdır, örneğin, tüm gizli bilgileri imha edecek tüm son parçaları sıfırlayabilirsiniz. İstatistiksel kalıpları kullanarak gizli bilgileri de geri yükleyebilirsiniz.
Video konferansı için geliştirilen yöntemlerde steganografi kullanımının özellikleri şunlardır:
Stegonteners gerçek zamanlı olarak inşa edilmiştir;
Açık iletilen bilgilerin büyük bir boyutuna sahiptir - kanaldaki yük artar;
Stüellikte, kimlik doğrulama etiketlerini iletmek için gereklidir;
Konteyner ekleme, şeffaf bir mod modunda geçmelidir;
Kimlik doğrulama kullanıcı için basit olmalı ve otomatik modda çalıştırılmalıdır;
Kimlik doğrulama işaretlerinin iletilmesi sürekli olarak yapılmalıdır.
Paket numarası bilgisi çeşitli şekillerde iletilebilir. İlk iletim yönteminin özü: İlk pakette, ofset bir sonraki paketi gizli bilgi, vb. İle bir sonraki paketi açar, yani veri alanının başlangıcındaki stelekontener olan her bir paket bir sonraki paket hakkında bilgi içerecektir. StegoxTener. Ofsetin ayarlanması önemlidir, çünkü genel olarak, yer değiştirme kodlaması daha az bit gerektirecektir.
Program ayarlarında, bir sonraki paket için paketin başlangıcında kaç tane bit vurgulanacağını belirlemek gerekir. Örneğin, paketler arasındaki mesafe 100'ü geçmezse, ofset kodlamasında 7 bit seçilmelidir. Ofset'e tahsis edilen her bit, paketler arasındaki mesafeyi önemli ölçüde arttırmaya ve böylece video akışının istatistiksel özelliklerini düzeltmeyi sağlar.
Yöntemin olmaması, ilk paketi yakalayan, saldırganın bir sonraki paketin numarasını tanır ve böylece kademeli olarak tüm sırayı geri yükleyebilir.
İkinci şanzıman yöntemi, video konferansından önce donanım tuşlarına, Gizli Bilgiler içeren paket numaralarını içeren bir tablo girişidir. Tüm trafik dönüşümleri müşteri makinelerinde meydana gelir, böylece açık formdaki bilgiler ağ üzerinden taşınmazken ek güvenlik sağlar.
Dezavantaj bu method Donanımdan aldığın elde edildiği gerçeği, iletilen gizli bilgileri geri yüklemesine izin verir.
Tabloyu aktarmanın üçüncü yolu, örneğin kağıtta malzeme taşıyıcısına iletmektir. Bu yöntemin dezavantajları: Programdaki istemci tarafından manuel olarak masaya girin ve davetsiz misafirlerin temel bilgilerini engelleme yeteneği.
Yazılım Uygulaması
Bu algoritmayı uygulayan programın çalışmalarını düşünün. Müşteri ve sunucu parçalarından oluştuğu belirtilmelidir.
Müşteri parçası arka planda başlar, minimum özellik seti sağlar:
Video konferansına katılmak;
Muhataplara gizli bilgi gönderin;
Gizli bilgileri kabul edin ve tanıyın.
Ve kullanıcı, gerekli video akışından seçim yapmayı düşünmemelidir. gizli Bilgi - Dağınık paketlerden veri montajı, uygulamanın istemci kısmı tarafından otomatikleştirilir. Bu işlem, istemci makinede yapılır, böylece bilgi açık formda ağda çalışmaz, çünkü sunucuya geri yüklerseniz ve daha sonra iletim yaparsanız, Sunucunun sunucusuna sunucuya kadar tehlikeli olacaktır.
Sunucu kısmı yönetici için tasarlanmıştır. İlk başladığınızda, yönetici ağının IP adreslerini manuel olarak ekler, ardından etiketlerin hedefine ilerler. Ayrıcalıklı adresin karşısında bir işaret koydu. Yönetici ayrıca yer değiştirme boyutunu belirler (paketin başlangıcında ayrılan bit sayısı), çünkü, uygulamanın bir istemci parçası ile belirtirseniz, yer değiştirmelerin boyutları çakışmazsa çakışmalar meydana gelebilir.
Böylece, manuel yönetici aşağıdaki işlemleri gerçekleştirir:
Video konferans kullanıcılarının IP adresini girme;
Adresin altındaki yer değiştirme boyutunun seçimi;
Kimlik doğrulamak için kullanıcı tuşlarını girin.
Program çalışması için gerekli hizmet bilgileri, gizli bilgiler ve doğrudan anahtarlar hem sunucuda hem de istemci işyerlerinde depolanır.
Sunucu, donanım kullanıcıları, kullanıcı şifreleri, kullanıcı şifreleri, kullanıcıların IP adreslerinin yanı sıra, özel bir modun başlangıcının bir etiketinin yanı sıra depolar.
Bir donanım anahtarı, şifre, gizli bilgiler, bilgi alışverişindeki diğer katılımcıların IP adresleri hakkında bilgi, müşteri işyerinde saklanır.
Bu programın arayüzünün çok sayıda ince ayar anlamına gelmediği belirtilmelidir. Program, yöneticiye etiketlerin hedefinin basit bir sunumunu sağlamayı amaçlamaktadır. Tüm dönüşümler kendiniz paket düzeyinde üretecektir.
Program, iki tür kullanıcının varlığını kabul eder - müşteri ve yönetici.
Uygulamanın istemcisini kullanan müşteri ve kimlik doğrulaması sistemde oturum açmıştır ve video konferansına erişir, bu da gizli bilgiler ilettiği ve aldığı video konferansına erişir. Ağ ayarlarına erişimi yok, adımları seçebileceğiniz anahtarı bilir ve ilk durumuna gizli bilgi toplamak.
Yönetici, uygulamanın sunucu kısmını kullanarak ağ ayarlarını yönetir. IP adresleri tarafından izin verilen kullanıcıları ekler ve siler, Gizli Bilgilere erişimi yoktur ve bu sayede stereoons seçmek mümkün olduğu anahtarı toplam akıştan bilmiyor.
Program sürdürmeli işletim sistemi Windows ve Linux aileleri. Sistemin çapraz platform olması önemlidir, çünkü ağ özellikle uzak kullanıcılar için heterojen olabilir.
"Ayrıcalık etiketleri" algoritmasını uygulamak için, TCP paket başlıklarını değiştirmeniz gerekir. Başlangıçta, RFC 793 spesifikasyonu (TCP paket yapısını açıklar) ve araçlar seçildi - PCAP ve LIGNET kütüphaneleri seçildi. Her iki kütüphane de çapraz platformdur. Yardımlarıyla, TCP başlık işleme işlevlerini uygulayan kendi programınızı oluşturabilirsiniz.
Bir prototip olarak, bir priz oluşturuldu, bu da bir soket veya sunucu durumunda (istemciyi bağlamayı bekler) veya istemci durumunda (sunucuya bağlanmaya çalışır). Üniversitedeki önceki gelişmelerin sonuçları hapsedilmiş konularda dikkate alınmıştır.
Oluşturulan TCP programı, istikrarlı bir bağlantı sağlar, paketler bağımsız olarak üretilir. Sonuç olarak, TCP başlık seçeneğinde kendi bilgilerinizi eklemek mümkündür. Ana programı oluşturmak için, bu prototipte bir sunucu ve istemci oluşturmak için kalır, bir kullanıcı arayüzü ekleyin, standartların ve düzenleyici eylemlerin gereksinimlerini dikkate alır.
Sunucu görevi - paketleri müşterilere yönlendirir. Sunucuya bağlanabileceğiniz IP adreslerinin bir listesini belirlemelisiniz. Ek olarak, yönetici konferansları yapılandırmalı ve bunlara dahil olan istemcileri belirlemelidir. Sunucu yapılandırması bir metin dosyasında ayarlanır ve sunucunun kendisi bir konsol uygulaması olarak başlar.
Sonuç olarak, aşağıdaki sonuçları çizebilirsiniz. İşin amacı, SteGoxontainers'ı video akışında yer alarak gizli bilgilerin korunan bir kanal iletimi düzenlemek için bir metodoloji geliştirmektir. Ayrıcalık işaretlerine göre mantıksal bir kanalı düzenlemek için bir algoritma geliştirin, kimlik doğrulama yöntemleri seçilir. Yazılım uygulaması için gereksinimler. Steganografik dönüşümlerin mekanizması düzenlendi. Genel olarak, iş, korumalı bir kanalı düzenlemek için gerekli bileşenlerin bir listesi olan Trafik "Taggery Tag" trafiğinin bir listesini, STEGoxontainers'ın gömülmesi yöntemi, yazılım uygulaması için gereksinimlerin açıklaması, yazılımın ilk sürümü ürün. Algoritmanın daha da iyileşmesi, yeni özellikler eklemesi ve kullanıcı arayüzüne daha uygun, ayrıca yukarıdakilerin tümünün tam teşekküllü bir yazılım paketi biçiminde uygulanması planlanmaktadır.
Edebiyat
1. Litvinenko V.A., Khovedskov S.A. Toplu Karar Verme Yöntemi // IZV yöntemiyle ağdaki dağıtılmış hesaplamalar. YUFU. Teknik. Bilim: Konu. VOL.: Telekomünikasyon sistemlerinin güvenliği. TAGANROG: TTTY South AFU, 2008. № 3 (80) Yayınevi. S. 110-113.
2. Svetatsov S.V. Ses konferans sunucularının indirilmesini azaltma yöntemleri // IZV. Spbgeu (Leti), 2008. Vol. 2. S. 25-30.
3. Gölge v.v. SSL-VPN-Tunnels hakkında güvenli bilgi için TCP ve UDP protokollerini kullanma: DOKL. TGUSUR, 2010. S. 225-229.
4. Samuelov K.E. Multiservice ağ kaynaklarını tek noktaya yayın ve çok noktaya yayın bileşikleri ile sanal özel ağlar arasında ayırma problemini çözme yöntemi // vestn. Rudn. Ser.: Matematik, Bilgisayar Bilimleri, Fizik. 2010. № 2 (1). S. 42-53.
5. Antamoshkin A.N., Zolotarev V.V. Dağıtılmış işleme ve depolama sistemlerini tasarlarken öngörülen trafiği hesaplamak için algoritma // vestn. Sibgua, Krasnoyarsk, 2006. No. 1. S. 5-10.
6. BONDAR I.V., ZOLOTAREV V.V., POPOV A.M. Bilgi sisteminin güvenliğini bilişim güvenliği standartlarına göre değerlendirme yöntemleri // Bilişim ve yönetim sistemleri. 2010. Vol. 4 (26). S. 3-12.
