eng
TS_pub
technospheramag
technospheramag
ТЕХНОСФЕРА_РИЦ
Выпуск #8/2019
М.Басараб, Р.Бельфер, Е.Глинская, А.Кравцов
АЛГОРИТМ УСТАНОВЛЕНИЯ ЗАЩИЩЕННОГО СОЕДИНЕНИЯ НА АБОНЕНТСКОМ ДОСТУПЕ ИМИТАТОРА ОБЪЕДИНЕННОЙ СЕТИ ПД СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ
АЛГОРИТМ УСТАНОВЛЕНИЯ ЗАЩИЩЕННОГО СОЕДИНЕНИЯ НА АБОНЕНТСКОМ ДОСТУПЕ ИМИТАТОРА ОБЪЕДИНЕННОЙ СЕТИ ПД СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ
Просмотры: 1855
Рассматривается объединенная сеть, включающая несколько изолированных (частных) сетей ПД специального назначения для разных ведомств. На гипотетической конфигурации имитатора сети передачи данных учебного лабораторного стенда кафедры "Информационная безопасность" МГТУ им. Н.Э.Баумана предложен алгоритм установления коммутируемых виртуальных каналов разных частных сетей. В алгоритме предусмотрено обеспечение надежности и информационной безопасности.
DOI: 10.22184/2070-8963.2019.85.8.46.51
DOI: 10.22184/2070-8963.2019.85.8.46.51
Теги: data transmission network information security logical channel number private network united network simulator имитатор объединенной сети информационная безопасность логический адрес сеть передачи данных частная сеть
М.Басараб, д.ф.-м.н., заведующий кафедрой
"Информационная безопасность" МГТУ им. Н.Э.Баумана,
Р.Бельфер, к.т.н., доцент кафедры "Информационная безопасность" МГТУ им. Н.Э.Баумана / a.belfer@yandex.ru,
Е.Глинская, ст. преподаватель кафедры "Информационная безопасность" МГТУ им. Н.Э.Баумана,
А.Кравцов, начальник отдела НИИЦ (Москва) ЦНИИ ВВКО
УДК 621.392, DOI: 10.22184/2070-8963.2019.85.8.46.51
Рассматривается объединенная сеть, включающая несколько изолированных (частных) сетей передачи данных (ПД) специального назначения для разных ведомств. На гипотетической конфигурации имитатора сети ПД учебного лабораторного стенда кафедры "Информационная безопасность" МГТУ им. Н.Э.Баумана предложен алгоритм установления коммутируемых виртуальных каналов разных частных сетей. В алгоритме предусмотрено обеспечение надежности и информационной безопасности.
Введение
Настоящая статья является развитием работ [1, 2 и др.] по созданию имитатора объединенной сети ПД категории специального назначения, проводимых в рамках учебного лабораторного стенда УЛС на кафедре "Информационная безопасность" МГТУ им. Н.Э.Баумана совместно с Научно-исследовательским испытательным центром ЦНИИ Войск ВВКО МО РФ. В ФЗ "О связи" отмечено, что сети специального назначения предназначены для нужд органов государственной власти, обороны страны, безопасности государства и обеспечения правопорядка. Под объединенной сетью понимается создание единой сети, включающей несколько изолированных (частных) сетей ПД специального назначения для разных ведомств из указанных в категории сетей специального назначения. Это соответствует резолюции IV конференции "Информационные технологии на службе оборонно-промышленного комплекса России-2015" [3] и предложению распространения объединения на сети специального назначения других ведомств [4]. В [1, 2] приводится, соответственно, алгоритм аутентификации и формирования разовых ключей в имитаторе объединенной сети, алгоритм формирования архитектуры очередей таблиц маршрутизации этого имитатора сети ПД категории специального назначения. В настоящей статье приводятся укрупненные алгоритмы установления на удаленном абонентском доступе двух соединений коммутируемых виртуальных каналов (КВК) разных частных сетей ПД объединенной сети категории специального назначения. Рассматривается только один из абонентских доступов соединения, включающий оконечный пункт источника запроса на установление КВК. Составлению остальных алгоритмов установления КВК в объединенной сети будет посвящена другая статья в ближайших номерах журнала.
Общие положения установления КВК в имитаторе объединенной сети ПД специального назначения
Приведенная на рис.1 конфигурация имитатора объединенной сети ПД в рамках учебного лабораторного стенда (УЛС) позволяет создавать пучок маршрутов между оконечными пунктами, состоящий из четырех путей маршрутизации. Каждый путь маршрутизации включает три центра коммутации пакетов (ЦКП). К двум оконечным ЦКП в каждом пути маршрутизации (ЦКП 1.1, ЦКП 3.1 и ЦКП 1.2, ЦКП 3.2) подключены оконечные пункты, а ЦКП 2.1 и ЦКП 2.2 являются транзитными. Доступ оконечных пунктов (a, b,..., c и d, e,..., f) к центру коммутации пакетов удаленный.
Конфигурация имитатора сети ПД в УЛС предусматривает создание пучка маршрутов из четырех путей маршрутизации одного соединения между оконечными пунктами. К двум граничным ЦКП абонентского доступа в каждом пути маршрутизации (ЦКП 1.1 – адрес 11, ЦКП 3.1 – адрес 31, ЦКП 1.2 – адрес 12, ЦКП 3.2 – адрес 32) подключены оконечные пункты, а ЦКП 2.1 – адрес 21 и ЦКП 2.2 – адрес 22 являются транзитными (или транспортными). Имитатор сети ПД представляет объединение частных (изолированных) сетей, каждая из которых предназначена для определенных функций ОПК, МВД и некоторых других государственных ведомств.
Примем, что оконечные пункты a (ОПa) и f (ОПf) принадлежат частной сети 1 (ЧС1); оконечные пункты c (ОПc) и e (ОПe) принадлежат частной сети 2 (ЧС2), оконечные пункты b (ОПb) и d (ОПd) принадлежат частной сети 3 (ЧС3). Присвоим оконечным пунктам ЧС1 физические адреса от 1 до 999, ЧС2 – от 1001 до 1999, ЧС3 – от 2001 до 2999. Присвоим физический адрес 101 для ОПa, 601 – для ОПf, 1101 – для ОПc, 1601 – для ОПe, 2101 – для ОПb, 2601 – для ОПd.
В настоящей статье приводится описание укрупненных алгоритмов защищенного установления КВК в имитаторе объединенной сети на примере двух частных сетей ПД (частной сети 1 – ЧС1 и частной сети 3 – ЧС3). Допустим, что ЧС1 относится к одному роду войск МО, а ЧС3 – к другому. Приведем последовательность операций алгоритма защищенного установления двух КВК имитатора объединенной сети ПД: в ЧС1 – между оконечным пунктом a (ОПa) и f (ОПf), в ЧС3 – между оконечным пунктом b (ОПb) и d (ОПd).
Установлению КВК предшествует выполнение c определенной периодичностью предложенных в [1] алгоритмов: взаимная аутентификация на основе сертификатов Удостоверяющего Центра (УЦ) смежных ЦКП, оконечного пункта и ЦКП, аутентификация оконечного пункта и центра эксплуатации сети (ЦЭС); формирование ключей шифрования и обеспечения целостности сообщений.
Алгоритм установления КВК в частной сети состоит из трех последовательно выполняемых алгоритмов: на абонентском доступе оконечного пункта источника установления соединения (в настоящем примере – ОПa и ОПb); в транспортной части сети между смежными ЦКП; на абонентском доступе оконечного пункта назначения (в настоящем примере – ОПf и ОПd).
После успешного завершения выполнения процедур этих алгоритмов следует последовательное выполнение алгоритмов подтверждения установления соединения КВК: на абонентском доступе оконечного пункта назначения; в транспортной части сети между смежными ЦКП; на абонентском доступе оконечного пункта источника установления соединения. Принятое в статье обозначение АИД означает идентификатор устройств, физический адрес которого А. В ЦКП используется одна общая очередь свободных номеров для всех частных сетей, использующих этот ЦКП для установления соединения.
Примем исходное состояние очередей свободных номеров в ЦКП 1.1 и ЦКП 1.2 ЧС1 и ЧС3 имитатора объединенной сети (для упрощения описания алгоритмов очереди свободных номеров приняты одинаковыми). Тогда в ЧС1 – О1свн1112: 809; 802; 805; 814; 815; 816; 817; 818; 819; 820; 821; 822; 823; 824; 825; 826; 827; 828; 804; 807… 801; 803. В ЧС3 – О3свн1112: 2809; 2802; 2805; 2814; 2815; 2816; 2817; 2818; 2819; 2820; 2821, 2822, 2823; 2824; 2825; 2826; 2827; 2828; 2804; 2807… 2801; 2803.
Алгоритм установления КВК на абонентском доступе источника установления соединения
Первое: нужно согласовать алгоритмы канальной безопасности (шифрование, аутентификация и др.) между ОПa (физический адрес 101) в ЧС1 и граничными ЦКП 1.1 и ЦКП 1.2 абонентского доступа (ассоциация безопасности Security Association, SA), в ЧС3 – между ОПb (физический адрес 2101) и ЦКП 1.1 и ЦКП 1.2; снять стоящие первыми в приведенных выше очередях свободных номеров О1свн1112 ЧС1 и О3свн1112 ЧС3 – соответственно LCN = 809 и LCN = 2809. Затем назначить логический адрес LCN = 809 (Logical Channel Number) оконечному пункту источника соединения ОПa КВК ЧС1 [1] и LCN = 2809 оконечному пункту источника соединения ОПb КВК ЧС3. Откорректировать очереди и характеристики очередей О1свн1112 и О3свн1112 с целью использования при установлении этого и других КВК частных сетей.
Второе: в ОПа, ОПb, ЦКП 1.1 и ЦКП 1.2 создаются канальные ключи абонентских доступов, соответственно КВК ЧС1 и ЧС3, – K101 = hash(Ka||101ИД), K2101 = hash(Kb|| 2101ИД) – для шифрования/дешифрации на абонентском доступе сообщений установления соединения КВК, заголовков информационных сообщений установленного КВК [1]. Здесь Kа и Kb – сгенерированные ключи соответственно в ОПа, ОПb, переданные в граничные маршрутизаторы с помощью открытого и закрытого ключей этих маршрутизаторов.
Зашифрованное в ЦКП 1.1 и ЦКП 1.2 ключом K101 сообщение согласованных алгоритмов канальной безопасности КВК ЧС1 (п.1) и LCN ОПa отправить в ОПa. Зашифрованное в ЦКП 1.1 и ЦКП 1.2 ключом K2101 сообщение согласованных алгоритмов канальной безопасности КВК ЧС3 (п.1) и LCN ОПb отправить в ОПb.
Третье: в ОПа и ОПb создаются разовые сквозные ключи соответственно КВК ЧС1 и ЧС3 Kаинф1, Kаинф2 и Kbинф1, Kbинф2 для шифрования/дешифрации в оконечном пользователе ОПа и ОПb информационной части передаваемого/принимаемого соответственно в прямом и обратном направлении пакета данных:
Kаинф1 = K1101601 = hash(Kа || 101ИД || 1); Kаинф2 = K2101601 = hash(Kа || 101ИД || 2),
Kbинф1 = K121012601 = hash(Kb || 2101ИД || 1); Kbинф2 = K221012601 = hash(Kb || 2101ИД || 2).
В ОПа и ОПb создаются разовые сквозные ключи КЦаинф1, КЦаинф2, КЦbинф1, КЦbинф2 для проведения контроля в оконечном пользователе целостности информационной части пакета данных соответственно в прямом и обратном направлениях:
КЦаинф1 = K3101601 = hash(101ИД || Kа ||3); КЦаинф2 = K4101601 = hash(2101ИД || Kа || 4),
КЦbинф1 = K321012601 = hash(2101ИД || Kb ||3); КЦbинф2 = K421012601 = hash(2101ИД || Kb || 4).
Алгоритм защищенной доставки сквозных ключей на другой оконечный пункт КВК использует ЦЭС и приводится при описании алгоритма установления КВК.
Четвертое: нужно составить в ОПа и ОПb сообщения на установление соединения (УС); привести поля сообщения УС и ключи на примере только для ЧС1 (УС включает поля: тип (установление КВК), физический адрес оконечного пункта источника соединения (ОПа), физический адрес оконечного пункта назначения f (в примере – 601)); зашифровать сообщение УС, сквозные ключи шифрования и целостности – K1101601, K2101601, K3101601, K4101601 канальным ключом K101 (передача всех этих зашифрованных сообщений в ЦКП 1.1 и ЦКП 1.2); дешифровать сообщение УС и сквозные ключи шифрования и контроля целостности K1101601, K2101601, K3101601, K4101601 канальным ключом K101; сформировать в ЦКП 1.1 и ЦКП 1.2 сообщения запроса цепочек маршрутизации (ЗЦМ), шифрование/дешифрация их при передаче в ЦЭС.
Пятый шаг: нужно составить в ЦКП 1.1 и ЦКП 1.2 два сообщения (для ЧС1 и ЧС3), запрос цепочек маршрутизации (ЗЦМ) – тип сообщения, физический адрес ЦКП абонентского доступа оконечного пункта источника установления КВК, физический адрес оконечного пункта абонентского доступа назначения установления КВК ОПf и ОПd, путь маршрутизации сообщений ЗЦМ в ЦЭС, дублированный путь маршрутизации сообщений ЗЦМ ЦКП 1.1 – ЦКП 2.1 – ЦЭС и ЦКП 1.2 – ЦКП 2.1 – ЦЭС. Затем передать в ЦКП 2.1 зашифрованное ЗЦМ ЧС1 и ЗЦМ ЧС3 в ЦКП 1.1 и ЦКП 1.2 соответственно канальными ключами K11121 и K31121, дешифровать эти сообщения в ЦКП 2.1 [1]. Алгоритм шифрования определяется ассоциацией безопасности.
Сообщения ЗЦМ ЧС1 и ЧС3 передаются в ЦЭС с использованием шифрования/дешифрации соответствующими канальными ключами K1ЦЭС и K3ЦЭС [1].
Шаг шестой: на основании полученных сообщений ЗЦМ в ЦЭС формируются сообщения цепочек маршрутизации (ЦМ) для КВК ЧС1 и ЧС3, включающие: тип сообщения; текущий номер устанавливаемого КВК; принадлежность КВК определенной частной сети; механизмы сквозного шифрования и контроля целостности пакета данных устанавливаемого КВК; пути их маршрутизации в граничные маршрутизаторы ЦКП 1.1 и ЦКП 1.2, которые являются обратными путям маршрутизации сообщения ЗЦМ в ЦЭС; цепочки маршрутизации первого пути (11-21-31) и третьего пути (11-22-31) в ЦКП 1.1; цепочки маршрутизации второго пути (12-22-32) и четвертого пути (12-21-32). На каждом из участков между смежными ЦКП с помощью канальных ключей производится шифрование/дешифрация сообщений.
Примем для упрощения одинаковыми цепочки маршрутизации всех четырех путей маршрутизации КВК ЧС1 и ЧС3.
Седьмой и восьмой шаги: из граничных маршрутизаторов ЦКП 1.1 и ЦКП 1.2 отправить в ОПа и ОПb полученные из ЦЭС механизмы сквозного шифрования и контроля целостности информации передаваемых пакетов данных после установления КВК ЧС1 и КВК ЧС3. В граничных маршрутизаторах ЦКП 1.1 и ЦКП 1.2 формируются два сообщения "Запрос вызова" (ЗВ) (для КВК ЧС1 и ЧС3), включающие соответствующие устанавливаемым КВК их текущие номера; физические адреса ОПа и ОПb; номера путей маршрутизации, полученные из ЦЭС цепочки физических адресов ЦКП каждого пути маршрутизации от ОПа и ОПb; номер частной сети; полученные из ЦЭС механизмы сквозного шифрования и контроля целостности информационной части передаваемых по установленным КВК ЧС1 и КВК ЧС3 пакетов данных, ключи сквозного шифрования и контроля целостности.
Наконец, это формирование в граничных маршрутизаторах ЦКП 1.1 и ЦКП 1.2 (на основании входящих значений в ЗВ) строк таблиц маршрутизации по логическим адресам КВК ЧС1 и КВК ЧС3. Эти строки создаются для каждого пути маршрутизации. В табл.1 приведены строки маршрутизации ЦКП 1.1 по логическим адресам КВК ЧС1 для первого и третьего пути маршрутизации, в табл.2 – строки ЦКП 1.2 второго и четвертого пути маршрутизации КВК ЧС1. В скобках этих таблиц приведены значения для КВК ЧС3.
Каждая приведенная таблица состоит из двух частей – для входящего сообщения в ЦКП и исходящего сообщения из этого ЦКП. Мы видим, что в верхней строке входящего в ЦКП сообщения таблицы маршрутизации каждого пути приведены следующие характеристики: адрес источника сообщения, поступившего в ЦКП 1.1 или ЦКП 1.2 (в примере – ОПa с адресом 101 для КВК ЧС1 и ОПb с адресом 2101 для КВК ЧС3); LCN этого сообщения (809 для КВК ЧС1 и 2809 для КВК ЧС3); производилось ли назначение этого LCN в данном ЦКП (в данном случае – да). Это необходимо учесть в алгоритме разъединения КВК. В том случае, если это имело место, необходимо при разъединении это значение LCN установить в очередь свободных номеров.
В результате выполнения первого пункта данного алгоритма первые в очереди – О1свн1112 LCN = 802 для КВК ЧС1 и О3свн1112 LCN = 2802 для КВК ЧС3. Если снять из О1свн1112 и О3свн1112, соответственно LCN = 802 и LCN = 802, и запомнить их, то в результате О1свн1112: 805; 814; 815; 816; 817; 818; 819; 820; 821; 822; 823; 824; 825; 826; 827; 828; 804; 807… 801; 803; О3свн1112: 2805; 2814; 2815; 2816; 2817; 2818; 2819; 2820; 2821; 2822; 2823; 2824; 2825; 2826; 2827; 2828; 2804; 2807… 2801; 2803.
Теперь следует откорректировать очереди О1свн1112 и О3свн1112 и их характеристики.
Для подготовки к передаче сообщения ЗВ от ЦКП абонентских доступов (в примере ЦКП 1.1 и ЦКП 1.2) в транзитные ЦКП 2.1 и ЦКП 2.2 нужно заменить в сообщении ЗВ КВК ЧС1 LCN = 809 на LCN = 802, а в ЗВ КВК ЧС3 LCN = 2809 на LCN = 2802.
В верхней строке исходящего из ЦКП сообщения таблицы маршрутизации каждого пути приведены следующие характеристики: адрес поступления из ЦКП сообщения (в зависимости от пути маршрутизации ЦКП 2.1 или ЦКП 2.2); LCN этого сообщения (802 для КВК ЧС1 и 2802 для КВК ЧС3); производилось ли назначение этого LCN в данном ЦКП (в данном случае – да).
Приведенные таблицы маршрутизации и последующие таблицы в остальных ЦКП имитатора объединенной сети ПД составляются при установлении КВК для маршрутизации в сети ПД по логическим адресам служебных сообщений (при подтверждении установления или разъединении КВК и др.), при передаче пакетов данных.
Верхние строки пути маршрутизации таблиц по логическим адресам обеспечивают передачу сообщений только в одном направлении – от оконечного пункта источника установления КВК во второй оконечный пункт (в примере от ОПa в ОПf КВК ЧС1, от ОПb в ОПd КВК ЧС3). Для передачи сообщений в противоположном направлении в таблицы маршрутизации для каждого пути вводится еще одна строка (нижняя). Как видно из таблиц, эта строка для другого направления составляется на основе верхней строки.
Создание строк таблиц маршрутизации для передачи сообщений противоположного направления производится при установлении КВК во всех ЦКП сети ПД.
Заключение
Изложены общие положения установления КВК объединенной сети ПД категории специального назначения; разработан алгоритм установления КВК на одном из удаленных абонентских доступов в каждой из двух изолированных частных сетей ПД, входящих в объединенную сеть. В алгоритме предусмотрено обеспечение высоких требований по информационной безопасности и надежности. Составлению остальных алгоритмов установления КВК в имитаторе объединенной сети будет посвящена другая статья в ближайших номерах журнала. Эти работы являются составной частью подготовки студентов кафедры "Информационная безопасность" МГТУ им. Н.Э.Баумана к участию в создании предприятиями страны отечественной объединенной сети ПД специального назначения.
ЛИТЕРАТУРА
Басараб М.А., Бельфер Р.А., Кравцов А.В., Никулина Т.П. Алгоритм аутентификации и формирования разовых ключей в имитаторе лабораторного стенда объединенной сети ПД специального назначения // ПЕРВАЯ МИЛЯ. 2019. № 2. С. 62–68.
Басараб М.А., Бельфер Р.А., Кравцов А.В. Архитектура очередей таблиц маршрутизации объединенной сети ПД категории специального назначения // Электросвязь. 2019. № 2. С. 33–37.
Резолюция конференции "Информационные технологии на службе оборонно-промышленного комплекса России 2015" // Connect. 2015. № 9. С. 78–88.
Матвеев В.А., Басараб М.А, Бельфер Р.А., Кравцов А.В., Мерзляков Д.И. Алгоритм функционирования УЛС защищенной сети ПД на базе виртуальных каналов с высокими требованиями к качеству обслуживания // "Электросвязь". 2017. № 8. С. 57–62.
"Информационная безопасность" МГТУ им. Н.Э.Баумана,
Р.Бельфер, к.т.н., доцент кафедры "Информационная безопасность" МГТУ им. Н.Э.Баумана / a.belfer@yandex.ru,
Е.Глинская, ст. преподаватель кафедры "Информационная безопасность" МГТУ им. Н.Э.Баумана,
А.Кравцов, начальник отдела НИИЦ (Москва) ЦНИИ ВВКО
УДК 621.392, DOI: 10.22184/2070-8963.2019.85.8.46.51
Рассматривается объединенная сеть, включающая несколько изолированных (частных) сетей передачи данных (ПД) специального назначения для разных ведомств. На гипотетической конфигурации имитатора сети ПД учебного лабораторного стенда кафедры "Информационная безопасность" МГТУ им. Н.Э.Баумана предложен алгоритм установления коммутируемых виртуальных каналов разных частных сетей. В алгоритме предусмотрено обеспечение надежности и информационной безопасности.
Введение
Настоящая статья является развитием работ [1, 2 и др.] по созданию имитатора объединенной сети ПД категории специального назначения, проводимых в рамках учебного лабораторного стенда УЛС на кафедре "Информационная безопасность" МГТУ им. Н.Э.Баумана совместно с Научно-исследовательским испытательным центром ЦНИИ Войск ВВКО МО РФ. В ФЗ "О связи" отмечено, что сети специального назначения предназначены для нужд органов государственной власти, обороны страны, безопасности государства и обеспечения правопорядка. Под объединенной сетью понимается создание единой сети, включающей несколько изолированных (частных) сетей ПД специального назначения для разных ведомств из указанных в категории сетей специального назначения. Это соответствует резолюции IV конференции "Информационные технологии на службе оборонно-промышленного комплекса России-2015" [3] и предложению распространения объединения на сети специального назначения других ведомств [4]. В [1, 2] приводится, соответственно, алгоритм аутентификации и формирования разовых ключей в имитаторе объединенной сети, алгоритм формирования архитектуры очередей таблиц маршрутизации этого имитатора сети ПД категории специального назначения. В настоящей статье приводятся укрупненные алгоритмы установления на удаленном абонентском доступе двух соединений коммутируемых виртуальных каналов (КВК) разных частных сетей ПД объединенной сети категории специального назначения. Рассматривается только один из абонентских доступов соединения, включающий оконечный пункт источника запроса на установление КВК. Составлению остальных алгоритмов установления КВК в объединенной сети будет посвящена другая статья в ближайших номерах журнала.
Общие положения установления КВК в имитаторе объединенной сети ПД специального назначения
Приведенная на рис.1 конфигурация имитатора объединенной сети ПД в рамках учебного лабораторного стенда (УЛС) позволяет создавать пучок маршрутов между оконечными пунктами, состоящий из четырех путей маршрутизации. Каждый путь маршрутизации включает три центра коммутации пакетов (ЦКП). К двум оконечным ЦКП в каждом пути маршрутизации (ЦКП 1.1, ЦКП 3.1 и ЦКП 1.2, ЦКП 3.2) подключены оконечные пункты, а ЦКП 2.1 и ЦКП 2.2 являются транзитными. Доступ оконечных пунктов (a, b,..., c и d, e,..., f) к центру коммутации пакетов удаленный.
Конфигурация имитатора сети ПД в УЛС предусматривает создание пучка маршрутов из четырех путей маршрутизации одного соединения между оконечными пунктами. К двум граничным ЦКП абонентского доступа в каждом пути маршрутизации (ЦКП 1.1 – адрес 11, ЦКП 3.1 – адрес 31, ЦКП 1.2 – адрес 12, ЦКП 3.2 – адрес 32) подключены оконечные пункты, а ЦКП 2.1 – адрес 21 и ЦКП 2.2 – адрес 22 являются транзитными (или транспортными). Имитатор сети ПД представляет объединение частных (изолированных) сетей, каждая из которых предназначена для определенных функций ОПК, МВД и некоторых других государственных ведомств.
Примем, что оконечные пункты a (ОПa) и f (ОПf) принадлежат частной сети 1 (ЧС1); оконечные пункты c (ОПc) и e (ОПe) принадлежат частной сети 2 (ЧС2), оконечные пункты b (ОПb) и d (ОПd) принадлежат частной сети 3 (ЧС3). Присвоим оконечным пунктам ЧС1 физические адреса от 1 до 999, ЧС2 – от 1001 до 1999, ЧС3 – от 2001 до 2999. Присвоим физический адрес 101 для ОПa, 601 – для ОПf, 1101 – для ОПc, 1601 – для ОПe, 2101 – для ОПb, 2601 – для ОПd.
В настоящей статье приводится описание укрупненных алгоритмов защищенного установления КВК в имитаторе объединенной сети на примере двух частных сетей ПД (частной сети 1 – ЧС1 и частной сети 3 – ЧС3). Допустим, что ЧС1 относится к одному роду войск МО, а ЧС3 – к другому. Приведем последовательность операций алгоритма защищенного установления двух КВК имитатора объединенной сети ПД: в ЧС1 – между оконечным пунктом a (ОПa) и f (ОПf), в ЧС3 – между оконечным пунктом b (ОПb) и d (ОПd).
Установлению КВК предшествует выполнение c определенной периодичностью предложенных в [1] алгоритмов: взаимная аутентификация на основе сертификатов Удостоверяющего Центра (УЦ) смежных ЦКП, оконечного пункта и ЦКП, аутентификация оконечного пункта и центра эксплуатации сети (ЦЭС); формирование ключей шифрования и обеспечения целостности сообщений.
Алгоритм установления КВК в частной сети состоит из трех последовательно выполняемых алгоритмов: на абонентском доступе оконечного пункта источника установления соединения (в настоящем примере – ОПa и ОПb); в транспортной части сети между смежными ЦКП; на абонентском доступе оконечного пункта назначения (в настоящем примере – ОПf и ОПd).
После успешного завершения выполнения процедур этих алгоритмов следует последовательное выполнение алгоритмов подтверждения установления соединения КВК: на абонентском доступе оконечного пункта назначения; в транспортной части сети между смежными ЦКП; на абонентском доступе оконечного пункта источника установления соединения. Принятое в статье обозначение АИД означает идентификатор устройств, физический адрес которого А. В ЦКП используется одна общая очередь свободных номеров для всех частных сетей, использующих этот ЦКП для установления соединения.
Примем исходное состояние очередей свободных номеров в ЦКП 1.1 и ЦКП 1.2 ЧС1 и ЧС3 имитатора объединенной сети (для упрощения описания алгоритмов очереди свободных номеров приняты одинаковыми). Тогда в ЧС1 – О1свн1112: 809; 802; 805; 814; 815; 816; 817; 818; 819; 820; 821; 822; 823; 824; 825; 826; 827; 828; 804; 807… 801; 803. В ЧС3 – О3свн1112: 2809; 2802; 2805; 2814; 2815; 2816; 2817; 2818; 2819; 2820; 2821, 2822, 2823; 2824; 2825; 2826; 2827; 2828; 2804; 2807… 2801; 2803.
Алгоритм установления КВК на абонентском доступе источника установления соединения
Первое: нужно согласовать алгоритмы канальной безопасности (шифрование, аутентификация и др.) между ОПa (физический адрес 101) в ЧС1 и граничными ЦКП 1.1 и ЦКП 1.2 абонентского доступа (ассоциация безопасности Security Association, SA), в ЧС3 – между ОПb (физический адрес 2101) и ЦКП 1.1 и ЦКП 1.2; снять стоящие первыми в приведенных выше очередях свободных номеров О1свн1112 ЧС1 и О3свн1112 ЧС3 – соответственно LCN = 809 и LCN = 2809. Затем назначить логический адрес LCN = 809 (Logical Channel Number) оконечному пункту источника соединения ОПa КВК ЧС1 [1] и LCN = 2809 оконечному пункту источника соединения ОПb КВК ЧС3. Откорректировать очереди и характеристики очередей О1свн1112 и О3свн1112 с целью использования при установлении этого и других КВК частных сетей.
Второе: в ОПа, ОПb, ЦКП 1.1 и ЦКП 1.2 создаются канальные ключи абонентских доступов, соответственно КВК ЧС1 и ЧС3, – K101 = hash(Ka||101ИД), K2101 = hash(Kb|| 2101ИД) – для шифрования/дешифрации на абонентском доступе сообщений установления соединения КВК, заголовков информационных сообщений установленного КВК [1]. Здесь Kа и Kb – сгенерированные ключи соответственно в ОПа, ОПb, переданные в граничные маршрутизаторы с помощью открытого и закрытого ключей этих маршрутизаторов.
Зашифрованное в ЦКП 1.1 и ЦКП 1.2 ключом K101 сообщение согласованных алгоритмов канальной безопасности КВК ЧС1 (п.1) и LCN ОПa отправить в ОПa. Зашифрованное в ЦКП 1.1 и ЦКП 1.2 ключом K2101 сообщение согласованных алгоритмов канальной безопасности КВК ЧС3 (п.1) и LCN ОПb отправить в ОПb.
Третье: в ОПа и ОПb создаются разовые сквозные ключи соответственно КВК ЧС1 и ЧС3 Kаинф1, Kаинф2 и Kbинф1, Kbинф2 для шифрования/дешифрации в оконечном пользователе ОПа и ОПb информационной части передаваемого/принимаемого соответственно в прямом и обратном направлении пакета данных:
Kаинф1 = K1101601 = hash(Kа || 101ИД || 1); Kаинф2 = K2101601 = hash(Kа || 101ИД || 2),
Kbинф1 = K121012601 = hash(Kb || 2101ИД || 1); Kbинф2 = K221012601 = hash(Kb || 2101ИД || 2).
В ОПа и ОПb создаются разовые сквозные ключи КЦаинф1, КЦаинф2, КЦbинф1, КЦbинф2 для проведения контроля в оконечном пользователе целостности информационной части пакета данных соответственно в прямом и обратном направлениях:
КЦаинф1 = K3101601 = hash(101ИД || Kа ||3); КЦаинф2 = K4101601 = hash(2101ИД || Kа || 4),
КЦbинф1 = K321012601 = hash(2101ИД || Kb ||3); КЦbинф2 = K421012601 = hash(2101ИД || Kb || 4).
Алгоритм защищенной доставки сквозных ключей на другой оконечный пункт КВК использует ЦЭС и приводится при описании алгоритма установления КВК.
Четвертое: нужно составить в ОПа и ОПb сообщения на установление соединения (УС); привести поля сообщения УС и ключи на примере только для ЧС1 (УС включает поля: тип (установление КВК), физический адрес оконечного пункта источника соединения (ОПа), физический адрес оконечного пункта назначения f (в примере – 601)); зашифровать сообщение УС, сквозные ключи шифрования и целостности – K1101601, K2101601, K3101601, K4101601 канальным ключом K101 (передача всех этих зашифрованных сообщений в ЦКП 1.1 и ЦКП 1.2); дешифровать сообщение УС и сквозные ключи шифрования и контроля целостности K1101601, K2101601, K3101601, K4101601 канальным ключом K101; сформировать в ЦКП 1.1 и ЦКП 1.2 сообщения запроса цепочек маршрутизации (ЗЦМ), шифрование/дешифрация их при передаче в ЦЭС.
Пятый шаг: нужно составить в ЦКП 1.1 и ЦКП 1.2 два сообщения (для ЧС1 и ЧС3), запрос цепочек маршрутизации (ЗЦМ) – тип сообщения, физический адрес ЦКП абонентского доступа оконечного пункта источника установления КВК, физический адрес оконечного пункта абонентского доступа назначения установления КВК ОПf и ОПd, путь маршрутизации сообщений ЗЦМ в ЦЭС, дублированный путь маршрутизации сообщений ЗЦМ ЦКП 1.1 – ЦКП 2.1 – ЦЭС и ЦКП 1.2 – ЦКП 2.1 – ЦЭС. Затем передать в ЦКП 2.1 зашифрованное ЗЦМ ЧС1 и ЗЦМ ЧС3 в ЦКП 1.1 и ЦКП 1.2 соответственно канальными ключами K11121 и K31121, дешифровать эти сообщения в ЦКП 2.1 [1]. Алгоритм шифрования определяется ассоциацией безопасности.
Сообщения ЗЦМ ЧС1 и ЧС3 передаются в ЦЭС с использованием шифрования/дешифрации соответствующими канальными ключами K1ЦЭС и K3ЦЭС [1].
Шаг шестой: на основании полученных сообщений ЗЦМ в ЦЭС формируются сообщения цепочек маршрутизации (ЦМ) для КВК ЧС1 и ЧС3, включающие: тип сообщения; текущий номер устанавливаемого КВК; принадлежность КВК определенной частной сети; механизмы сквозного шифрования и контроля целостности пакета данных устанавливаемого КВК; пути их маршрутизации в граничные маршрутизаторы ЦКП 1.1 и ЦКП 1.2, которые являются обратными путям маршрутизации сообщения ЗЦМ в ЦЭС; цепочки маршрутизации первого пути (11-21-31) и третьего пути (11-22-31) в ЦКП 1.1; цепочки маршрутизации второго пути (12-22-32) и четвертого пути (12-21-32). На каждом из участков между смежными ЦКП с помощью канальных ключей производится шифрование/дешифрация сообщений.
Примем для упрощения одинаковыми цепочки маршрутизации всех четырех путей маршрутизации КВК ЧС1 и ЧС3.
Седьмой и восьмой шаги: из граничных маршрутизаторов ЦКП 1.1 и ЦКП 1.2 отправить в ОПа и ОПb полученные из ЦЭС механизмы сквозного шифрования и контроля целостности информации передаваемых пакетов данных после установления КВК ЧС1 и КВК ЧС3. В граничных маршрутизаторах ЦКП 1.1 и ЦКП 1.2 формируются два сообщения "Запрос вызова" (ЗВ) (для КВК ЧС1 и ЧС3), включающие соответствующие устанавливаемым КВК их текущие номера; физические адреса ОПа и ОПb; номера путей маршрутизации, полученные из ЦЭС цепочки физических адресов ЦКП каждого пути маршрутизации от ОПа и ОПb; номер частной сети; полученные из ЦЭС механизмы сквозного шифрования и контроля целостности информационной части передаваемых по установленным КВК ЧС1 и КВК ЧС3 пакетов данных, ключи сквозного шифрования и контроля целостности.
Наконец, это формирование в граничных маршрутизаторах ЦКП 1.1 и ЦКП 1.2 (на основании входящих значений в ЗВ) строк таблиц маршрутизации по логическим адресам КВК ЧС1 и КВК ЧС3. Эти строки создаются для каждого пути маршрутизации. В табл.1 приведены строки маршрутизации ЦКП 1.1 по логическим адресам КВК ЧС1 для первого и третьего пути маршрутизации, в табл.2 – строки ЦКП 1.2 второго и четвертого пути маршрутизации КВК ЧС1. В скобках этих таблиц приведены значения для КВК ЧС3.
Каждая приведенная таблица состоит из двух частей – для входящего сообщения в ЦКП и исходящего сообщения из этого ЦКП. Мы видим, что в верхней строке входящего в ЦКП сообщения таблицы маршрутизации каждого пути приведены следующие характеристики: адрес источника сообщения, поступившего в ЦКП 1.1 или ЦКП 1.2 (в примере – ОПa с адресом 101 для КВК ЧС1 и ОПb с адресом 2101 для КВК ЧС3); LCN этого сообщения (809 для КВК ЧС1 и 2809 для КВК ЧС3); производилось ли назначение этого LCN в данном ЦКП (в данном случае – да). Это необходимо учесть в алгоритме разъединения КВК. В том случае, если это имело место, необходимо при разъединении это значение LCN установить в очередь свободных номеров.
В результате выполнения первого пункта данного алгоритма первые в очереди – О1свн1112 LCN = 802 для КВК ЧС1 и О3свн1112 LCN = 2802 для КВК ЧС3. Если снять из О1свн1112 и О3свн1112, соответственно LCN = 802 и LCN = 802, и запомнить их, то в результате О1свн1112: 805; 814; 815; 816; 817; 818; 819; 820; 821; 822; 823; 824; 825; 826; 827; 828; 804; 807… 801; 803; О3свн1112: 2805; 2814; 2815; 2816; 2817; 2818; 2819; 2820; 2821; 2822; 2823; 2824; 2825; 2826; 2827; 2828; 2804; 2807… 2801; 2803.
Теперь следует откорректировать очереди О1свн1112 и О3свн1112 и их характеристики.
Для подготовки к передаче сообщения ЗВ от ЦКП абонентских доступов (в примере ЦКП 1.1 и ЦКП 1.2) в транзитные ЦКП 2.1 и ЦКП 2.2 нужно заменить в сообщении ЗВ КВК ЧС1 LCN = 809 на LCN = 802, а в ЗВ КВК ЧС3 LCN = 2809 на LCN = 2802.
В верхней строке исходящего из ЦКП сообщения таблицы маршрутизации каждого пути приведены следующие характеристики: адрес поступления из ЦКП сообщения (в зависимости от пути маршрутизации ЦКП 2.1 или ЦКП 2.2); LCN этого сообщения (802 для КВК ЧС1 и 2802 для КВК ЧС3); производилось ли назначение этого LCN в данном ЦКП (в данном случае – да).
Приведенные таблицы маршрутизации и последующие таблицы в остальных ЦКП имитатора объединенной сети ПД составляются при установлении КВК для маршрутизации в сети ПД по логическим адресам служебных сообщений (при подтверждении установления или разъединении КВК и др.), при передаче пакетов данных.
Верхние строки пути маршрутизации таблиц по логическим адресам обеспечивают передачу сообщений только в одном направлении – от оконечного пункта источника установления КВК во второй оконечный пункт (в примере от ОПa в ОПf КВК ЧС1, от ОПb в ОПd КВК ЧС3). Для передачи сообщений в противоположном направлении в таблицы маршрутизации для каждого пути вводится еще одна строка (нижняя). Как видно из таблиц, эта строка для другого направления составляется на основе верхней строки.
Создание строк таблиц маршрутизации для передачи сообщений противоположного направления производится при установлении КВК во всех ЦКП сети ПД.
Заключение
Изложены общие положения установления КВК объединенной сети ПД категории специального назначения; разработан алгоритм установления КВК на одном из удаленных абонентских доступов в каждой из двух изолированных частных сетей ПД, входящих в объединенную сеть. В алгоритме предусмотрено обеспечение высоких требований по информационной безопасности и надежности. Составлению остальных алгоритмов установления КВК в имитаторе объединенной сети будет посвящена другая статья в ближайших номерах журнала. Эти работы являются составной частью подготовки студентов кафедры "Информационная безопасность" МГТУ им. Н.Э.Баумана к участию в создании предприятиями страны отечественной объединенной сети ПД специального назначения.
ЛИТЕРАТУРА
Басараб М.А., Бельфер Р.А., Кравцов А.В., Никулина Т.П. Алгоритм аутентификации и формирования разовых ключей в имитаторе лабораторного стенда объединенной сети ПД специального назначения // ПЕРВАЯ МИЛЯ. 2019. № 2. С. 62–68.
Басараб М.А., Бельфер Р.А., Кравцов А.В. Архитектура очередей таблиц маршрутизации объединенной сети ПД категории специального назначения // Электросвязь. 2019. № 2. С. 33–37.
Резолюция конференции "Информационные технологии на службе оборонно-промышленного комплекса России 2015" // Connect. 2015. № 9. С. 78–88.
Матвеев В.А., Басараб М.А, Бельфер Р.А., Кравцов А.В., Мерзляков Д.И. Алгоритм функционирования УЛС защищенной сети ПД на базе виртуальных каналов с высокими требованиями к качеству обслуживания // "Электросвязь". 2017. № 8. С. 57–62.
Отзывы читателей
