автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.11, диссертация на тему:Методы и программные средства предварительного распределения ключей в компьютерной сети

На правах рукописи

Щуров Игорь Игорьевич

Методы и программные средства предварительного распределения ключей в компьютерной сети

Специальность, 05 13 11 - Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей

АВТОРЕФЕРАТ

диссертация на соискание ученой степени кандидата технических наук

003167986

Москва 2008

003167966

Работа выполнена на кафедре Математического моделирования Московского энергетического института (технического университета)

Научный руководитель доктор технических наук, профессор

Фролов А Б

Официальные оппоненты доктор технических наук профессор

Мельников Юрий Николаевич,

кандидат технических наук, доцент Хорев Павел Борисович

Ведущая организация Механико-математический факультет МГУ им

М В Ломоносова

Защита состоится «23» мая 2008 г В 16.00 в ауд Г-306 на заседании диссертационного совета Д 212 157 01 при Московском энергетическом институте (техническом университете) по адресу 111250, Москва, Красноказарменная ул , Д 17

С диссертацией можно ознакомиться в библиотеке Московского энергетического института (технического университета)

Отзывы в двух экземплярах, заверенные печатью организации, просьба отправлять по адресу 111250, Москва, Красноказарменная ул , д 17, Ученый совет МЭИ (ТУ)

Автореферат разослан «23» апреля 2008 г

Ученый секретарь Диссертационного совета кандидат технических наук, доцент Фомина М В

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность работы. Одной из ключевых задач совершенствования информационных коммуникаций является задача построения безопасной компьютерной сети Интерес к ней обусловливается возрастающими объемами передаваемыми между участниками информационного обмена конфиденциальной информации, и быстрым ростом таких показателей информации, как стоимость потери конфиденциальности, стоимость скрытого нарушения целостности, стоимость утраты информации Этой проблеме посвящено большое число научных работ и монографий

Защищенность коммуникаций в безопасной сети включает обеспечение конфиденциальности и целостности передаваемой информации Эти свойства обеспечиваются используемыми криптографическими системами, успешное функционирование которых предполагает использование на приемной и передающей сторонах защищенного канала криптографических ключей, бинарных наборов достаточной длины До 1976 года использовались лишь симметричные криптосистемы, в которых ключи передающей и принимающей стороны должны быть секретными и практически одинаковыми, что связано с проблемой доставки ключа от одного участника другому или от доверенного центра обоим участникам С изобретением У Диффи, М Хеллманом публичной криптографии один из ключей может быть открытым и доставляться использующей его стороне не по закрытому, а по аутентичному каналу, что требует регистрации этого ключа в центрах сертификации инфраструктуры распределения открытых ключей.

Заметим, что использование криптосистем с открытым ключом само по себе не достаточно для обеспечения защищенности коммуникаций в компьютерных сетях, поскольку алгоритмы криптографии с открытым ключом из-за необходимости выполнения алгебраических операций в алгебраических структурах высоких порядков на три порядка медленнее алгоритмов симметричных криптосистем Поэтому криптосистемы с открытым ключом могут использоваться для защиты лишь небольших объемов информации и в основном играют вспомогательную роль, обеспечивая защиту передачи секретных ключей для симметричных криптосистем

Непосредственное использование этого способа доставки секретного ключа каждым } частником компьютерной сети приводит к многократному (по числу участников) исполнению дорогостоящих актов сертификации и использованию ключей, генерируемых участниками без должного контроля их качества Изобретение протокола КегЬегоз частично упростило проблему, ограничив число каналов, для которых необходимо распределять ключи «внешними» средствами по отношению к домену сети, обслуживаемому протоколом, при этом ключи для любой пары участников сети вырабатываются доверенным центром и доставляются с использованием ключей, генерируемых центром аутентификации данного домена

Для упрощения процедуры формирования и доставки секретных ключей в криптографии предложены и исследовано разнообразные схемы предварительного распределения ключей В них процедура доставки секретного ключа уча-

стникам компьютерной сети выполняется в два этапа каждому участнику доверенным центром доставляется пакет ключевой информации (в виде наборов двоичных слов достаточной длины), состав которого (возможно, с некоторой дополнительной открытой информации об этих словах) публикуется

При этом каждый участник, зная составы пакетов и опубликованные данные, может, используя только наборы из своего пакета, вычислить для защищенной коммуникации с любым другим участником сети ключ, который не может вычислить никакой третий участник

Развивая этот подход, криптографы предложили и схемы более общего характера, позволяющие предварительно распределять ключевую информацию для вычисления ключей привилегированных групп участников, недоступных запрещенным группам участников Но и этот подход встречает трудности применительно к большим вычислительным сетям, поскольку предполагает использование единого центра генерации и доставки пакетов ключевой информации каждому участнику сети Использование для доставки пакетов криптосистем с открытым ключом предполагает сертификацию отрытых ключей участниками

Рассмотренное состояние проблемы распределения ключей позволяет считать актуальными следующие задачи

- разработка и обоснование архитектурных сетевых решений нецентрализованного предварительного распределения ключевой информации в компьютерной сети на основе независимого предварительного ее распределения в сегментах или доменах сети,

- разработка и обоснование способа реализации предварительного распределения ключевой информации в сегментах или доменах вычислительной сети на основе использования предлагаемой модификации протокола КегЬегоз;

- разработка и обоснование новых схем предварительного распределения ключей,

- разработка программного обеспечения для вычисления пакетов ключевой информации и принципов построения системного программного обеспечения для вычислительных систем с нецентрализованным предварительным распределением ключей

Следует подчеркнуть соответствие этих направлений исследования особенностям мобильных вычислительных сетей, в которых практически трудно реализуемы требования сертификации открытых ключей и актуальна задача учета условия расширяемости сети

При решении этих задач использованы имеющиеся достижения по проблеме распределения ключей в компьютерных сетях, связанные с вкладом таких ученых как В М Сидельников, М А Черепнев, В В Ященко и др Исследованием схем предварительного распределения ключей занимались ПЭрдеш, Д Стинсон, Э Шпернер, Р Блом, К Блундо, С Микали, М Рамкумур, и другие

Таким образом, в настоящей работе исследуются подходы к созданию безопасной компьютерной сети, позволяющие одновременно и независимо применять известные и новые схемы предварительного распределения ключей в сегментах или доменах на основе модификации протокола аутентификации

КегЬегоэ, что позволяет сократить объем ключевой информации, необходимый для построения расширяемой безопасной сети, время ее генерации и доставки

Целью работы является разработка, исследование и совершенствование математических методов и соответствующих программных средств для нецентрализованного предварительного распределения ключевой информации в расширяемой компьютерной сети

При этом ставились следующие задачи

1 Исследовать существующие методы построения схем предварительного распределения ключей и область их применения

2 Модернизировать известные методы построения схем предварительного распределения ключей с целью уменьшения необходимого ключевого материала и времени его вычисления и обосновать возможность программной реализации методов построения схем предварительного распределения ключей

3 Предложить архитектурные сетевые решения нецентрализованного предварительного распределения ключей в сегментированной компьютерной сети

4 Разработать принципы построения сетевого программного обеспечения для предварительного распределения ключей в сегментах или доменах вычислительной сети с использованием предлагаемой модификации протокола типа КегЬегов.

Полученные в диссертации научные результаты

1 Предложены новые модификации известных схем предварительного распределения ключей и вероятностные алгоритмы синтеза таких схем, а также метод синтеза схем предварительного распределения ключей общего вида

2 Разработаны программные средства генерации и предварительного распределения ключевой информации в сегменте или домене компьютерной сети с использованием предложенной модификации протоколов типа КегЬегоБ

3 Для вероятностного метода построения схемы предварительного распределения ключей понижены оценки объема необходимого ключевого материала.

4 Исследован способ нецентрализованного распределения ключевой информации, получены оценки объема ключевой информации, необходимого для построения сетей различных типов и разработаны принципы построения программных средств обеспечения коммуникации на его основе в глобальной сети

Методы исследования. Поставленные задачи решались с использованием методов дискретной математики, теории информации, теории вероятностей, теории вычислительной сложности алгоритмов При создании программного обеспечения использовались методы объектно-ориентированного программирования

Научная новизна:

1 Модификация ряда известных схем предварительного распределения ключей осуществлена с использованием приема хеширования ключей, известного по применению к модификации других известных схем В методе синтеза схем предварительного распределения ключей общего вида реализовано комбинирование методов построения частных схем

2 Предлагаемая модификация протокола Kerberos для генерации и распределения ключевой информации в компьютерной сети отличается тем, что в серверах TGS (Ticket Granting Server) вычисляются пакеты ключевой информации, доставляемые клиентам с сервера приложений в составе посылок TGT (Ticket Granting Ticket)

3 Показано преимущество вероятностных методов построения схем предварительного распределения ключей по сравнению с детерминированными

4 Получены оценки параметров ключевой информации, подтверждающие преимущества использования нецентрализованного подхода к распределению ключевой информации в глобальной сети, по сравнению с централизованным

Достоверность научных результатов подтверждена теоретическими выкладками, данными компьютерного моделирования, а также соответствием полученных результатов частным результатам, приведенным в научной литературе

Практическая значимоегь полученных результатов. Использование предложенных модификаций известных схем предварительного распределения ключей существенно, в несколько раз, ускоряет процедуру построения таких схем при сокращении объемов используемого и рассылаемого абонентам ключевого материала Использование методов нецентрализованного распределения ключей позволяет обеспечивать безопасность больших сегментированных сетей, включая мобильные сети

Реализация результатов. Работа выполнена по гранту РФФИ 08-01-00632-а «Схемные и программкые методы реализации алгебраических и логических операций в криптографических протоколах и системах распознавания образов» и по гранту МЭИ 2007 г по итогам конкурса НИР для аспирантов третьего года обучения Разработанные программные средства использованы в МЭИ (ТУ) при создании электронного Образовательного Ресурса Алгебраический процессор1 Результаты диссертации были внедрены в Московском энергетическом институте (техническом университете) и в Российском государственном социальном университете в качестве программных средств учебного назначения и ООО «ЮВС-Софт», что подтверждено акгами об использовании

Апробация полученных результатов осуществлена при их обсуждении на девятой, десятой, двенадцатой и четырнадцатой международной научно-технической конференции студентов и аспирантов «Радиоэлектроника, электротехника и энергетика», Москва, 2003, 2004, 2006, 2008, восьмой, девятой, десятой, одиннадцатой Московской Международной телекоммуникационной конференции студентов и молодых ученых «Молодежь и наука», Москва, 2005,

1 Фролов Александр Борисович Алгебраический процессор [Электронный ресурс] для студентов и аспирантов всех специальностей АВТЙ /А Б Фролов, С Б Гашков, С Ю Жебет, С В Морозов, И И Щуров, - M Издательский дом МЭИ, 2007 1 электрон оптич диск (CD-ROM),12 см - Системные требования ПК, 1ГГц, 512 Мб оперативной памяти, 160 Мб на ж д (рек ^ Мб), ОС Microsoft Windows 2000/ХР/2003/, Microsoft Office 2003, Borland C++Buiider6 Microsoft Visual Studio 2005 Adobe Reader 7 0

2006,2007,2008, на научном семинаре, посвященном памяти д т.н., профессора З.М. Бененсона, Москва, ВЦ РАН, 2008

Публикации. Основные результаты, полученные при выполнении диссертационной работы, опубликованы в 12 печатных изданиях, включая 2 статьи в журнале из Перечня ВАК

Структура и объем работы. Работа состоит из введения, 5 глав, заключения, списка использованной литературы, содержащей 126 наименований, и приложений Основной текст занимает 154 машинописных страниц, в том числе 20 рисунков и 6 таблиц Полный объем диссертации (с приложениями) составляет 164 страниц

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ Во введении обоснована актуальность темы диссертации, ее научная новизна и практическая значимость, сформулирована цель работы и приведено краткое содержание диссертации по главам

первой гл«вс рассмотрены известные методы и протоколы распределения ключей и протокол КегЬегоз в системе распределения ключей Даны определения схем предварительного распределения ключей и предварительного распределение системных ключей Рассмотрены их основные свойства, классы и примеры схем

Назначение протокола КегЬегов в общем смысле шире изучаемой в настоящей диссертации проблемы распределения ключей2 он предоставляет собой разработанный для сетей ТСР/ГР-протокол проверки подлинности с доверенной третьей стороной Использование этого стандарта создает надежную основу для взаимодействия между различными платформами и при этом значительно повышает безопасность сетевой аутентификации Служба КетЬегоэ, работающая в сети, действует как доверенный посредник, обеспечивает проверку подлинности сетевых объектов Объектами сетевого взаимодействия в модели КегЬегоз являются клиенты и серверы КегЬегоэ хранит базу данных клиентов и их секретных ключей Сетевые службы, требующие проверки подлинности, и клиенты, которые хотят использовать эти службы, регистрируют в КегЬегоБ свои секретные ключи Так как КегЬегоз знает все секретные ключи, он может создавать сообщения, убеждающие один объект в подлинности другого КегЬе-гсй также создает уникальные сеансовые ключи, которые выдаются клиенту и серверу (или двум клиентам) Сеансовый ключ используется для шифрования/расшифрования сообщения, которым обмениваются две стороны, и уничтожаются после окончания сеанса Таким образом, протоколом КегЬегоз, в частности, решается задача распределения ключей для коммуникации между двумя абонентами сети

Пять участников Протокола КегЬегоз (см Рис 1)

и Пользователь и выступает, инициализирует посредством пароля соответствующий процесс С(Ц) Пользователь должен знать свой одноразовый пароль на обращение к протоколу КегЬегок

2 Чмора А Л Современная прикладная криптография Москва, «Гелиое-АРВ», 2001

7

С- Клиент это процесс, использующий ресурс сети по поручению пользователя U Для его запуска необходимо свидетельство о допуске пользователя к протоколу Kerberos, что и сообщается ему паролем пользователя

AS Сервер аутентификации (Authentication Server) - процесс, выдающий по запросу AS_REQ (Kerberos Authentication Service Request - запрос к службе аутентификации Kerberos от С) мандат ТОТ на право получения билетов ТКТ.

TGS Сервер, выдающий по запросу TGSREQ (Kerberos Ticket-Granting Service Request - запрос к службе выдачи билетов Kerberos) от С билет ТКТ (Ticket Kerberos Ticket) на доступ к ресурсу

S Сервер приложений — процесс, предоставляющий клиенту С по его запросу AP_REQ (Kerberos Application Request - запрос приложения Kerberos) разрешение на использование сетевого ресурса (AP_REP (Kerberos Application Reply - ответ приложения Kerberos))

AS и TGS образуют центр распределения ключей (KDC - Key Distribution Center) Разделение на два сервера позволяет разгрузить AS от работы по выдаче сеансовых ключей

Рис. 1 Пять участников и три протокола обмена в протоколе Kerberos Подпротоколы протокола Kerberos.

Протокол аутентификации AS Exchange - Authentication Service Exchange, взаимодействующий между клиентом С и сервером аутентификации AS Используется KDC для передачи клиенту сеансового ключа регистрации и билета TGT (Ticket Granting Ticket) на получение билетов-аутентификаторов

Протокол TGS Exchange - Ticket-Granting Service Exchange, взаимодействие между клиентом С и сервером TGS Служит для рассылки служебных сеансовых ключей и сеансовых ключей самой службы KDC Протокол содержит схему и соответствующую программу распределения ключей, позволяющую вычислить ключи для каждой пары клиент-сервер приложений

Протокол Client/Server Authentication Application Exchange (АР Exchange) аутентифицированного обмена клиента С с сервером S приложений

U

Все протоколы работают в две стороны. Для AS Exchange Сн> AS. ASJREQ (запрос билета TGT), AS -»С AS_REP(билетTGT) Для TGS Exchange

С—> TGS TGS_REQ (запрос билета-аутентификатора ТКТ), TGS ->С TGS_REP (ТКТ) И для Application Exchange. С—> АР. AP_REQ (запрос сетевого ресурса), АР -»С APREP (разрешение на использование сетевого ресурса) Предварительное распределение ключей - одна из важнейших проблем информационного обмена В больших сетях возникает потребность в большом количестве ключей для связи между абонентами сети. Предварительное распределение ключей позволяет существенно уменьшить объем ключевой информации, передаваемой по секретным каналам, сохраняя при этом возможность соединения абонентов сети, входящих в определенные коалиции Суть предварительного распределения ключей заключается в том, что абонентам сети распределяются не сами ключи, а некоторый вспомогательный материал, занимающий (в совокупности) меньший объем На основании данного материала каждый абонент сети по некоторому алгоритму может самостоятельно вычислить ключ, необходимый для связи с некоторой группой абонентов (привилегированной группой); то же самое могут сделать все члены этой группы В то же время, определенные группы абонентов {запрещенные группы), объединив вспомогательный материал, не могут получить какую-либо информацию об этом ключе, если этот абонент не входит ни в одну из объединившихся групп. Известно несколько схем предварительного распределения ключей, например, схема Блома (Blom Scheme), схема Блундо (Blundo et al Scheme), схема Фиат-Наора (Fiat-Naor Scheme).

Рассматриваются методы построения схем KDP (Key Distribution Pattern) -схемы распределения системных ключей В данной схеме каждому абоненту сети распределяются системные ключи, выбираемые из некоторого множества

Определение 1: КОР^^-схемой, где Р и F- это семейства подмножеств множества U = {1, , п}, называется всякое семейство В={В\, , 2?*} подмножеств множества U, удовлетворяющее условию

WеРVFeF,FC\P = 0 {Bt PqBs, Ff]Bs = 0}^0 Определение 2: КОР(Р,.Р)-схемой, где Р и F- это семейства подмножеств множества U = {1, . ., п), называется всякое семейство S={S\, . , Sn} подмножеств конечного множества YcfiS (|¥|=£), удовлетворяющее условию \/PeP,FeF,P(]F = 0 f|5, «(J-?,

ieP jeF

Здесь U - множество абонентов сети Р и F- привилегированное и запрещенное семейства соответственно, Q - это множество возможных системных ключей^ а ¥- множество системных ключей распределяемых абонентам сети В диссертации доказана эквивалентность двух определений

Ключ кР, необходимый для связи с некоторой группой абонентов, вычисляется абонентом сети как значение некоторой хэш-функции на множестве системных ключей, общих для всех абонентов данной группы

кР = ^pS1, j, для любого РвР

Если множество коалиций привилегированных пользователей включает все подмножества множества U из g пользователей, а множество запрещенных коалиций - все подмножества из w пользователей, то схема KDP(P,F) обозначается KDPfew)

Рассмотрим два известных тривиальных метода построения КЮР-схем Первый метод заключается в том, что всем абонентам привилегированной коалиции Р доверенный центр ТА (Trusted Authority) выделяет один системный ключ, который не знают остальные абоненты VPePVieP о/ eS„V; g.p,0p gS,

При этом количество системных ключей |¥| в схеме, построенной данным методом, будет h=\P\ Заметим, что данный метод не зависит от семейства F и, следовательно, можно считать, что F= 2и Далее KDP-схемы, построенные данным методом будем обозначать KDP(P, )

Второй метод заключается в том, что ТА выделяет один системный ключ каждому абоненту, не входящему в запрещенную коалицию F-\/F eFVuF af eSn\/jeF.coF tSj

При этом ТА должен выделить один системный ключ всем абонентам сети m°eS,\fieU

Данный системный ключ необходим для обеспечения связи между коалициями абонентов, которые, пересекаются со всеми запрещенными коалициями Например, для P-U Количество системных ключей в схеме, построенной данным методом, будет &=J.Fj+l,

Данный метод не зависит от семейства Р и, следовательно, можно считать, что Р=оУ KDP-схемы, построенные данным методом обозначаются KDP( ,F)

Данные тривиальные методы рационально использовать при небольших мощностях семейств Р и F

Пример KDP(2,I )-схемы для 4 абонентов сети, использующей 4 ключа, приведен в табл 1

Табл. 1 KDP(2,1 Усхемя для и=4 абонентов

Vi Vi щ

ах 1 1 1

л2 1 1 1

а3 1 i 1

а4 1 1 1

В таблицы строкам таблицы соответствуют абоненты сети, столбцам - системные ключи На пересечении г-ой строки и _/-го столбца стоит 1, если у-ый системный ключ принадлежит ;-му абоненту

Рассматриваются известные методы, позволяющие построить частные случаи схем распределения системных ключей, например, вероятностный и основанные на ортогональных массивах, перпендикулярных массивах, уравновешенных неполных блок-схемах В этих случаях любые g абонентов способны вычислить общий ключ, и никакие другие м> абонентов не способны узнать какую-либо информацию об этом ключе

Обоснован вывод преимущества вероятностных методов построения схем предварительного распределения ключей над детерминированными

Во второй главе приведены примеры улучшения схем предварительного распределения системных ключей за счет анализа привилегированного и запрещенного семейств

Определение: Пусть - множество всех возможных КБР^ь/'О-схем, - множество всех возможных КОР(Р2^2)-схем, 51 - КОР(Рь^1)-схема (5!е 52 - ИЭР(Р5^2)-схема (£2еЦ2) Схемы 51 и 81 являются взаимозаменяемыми,

Для взаимозаменяемых схем по определению КОР-схемы выполнено

¡еР ' ¡ер 1

УРеРг,РеР2,РС\Р = 0 П^^и5,1

¡еР ' & 1

Заметим, что отношение взаимозаменяемости является симметричным и рефлексивным, но не является транзитивным, то есть из того, что схемы 51 и 5й взаимозаменяемы, Б1 и 53 взаимозаменяемы, не следует, что 51 и взаимозаменяемы Отношение взаимозаменяемости является отношением толерантности

Утверждение 1. Если Р^Р, где /м это семейство всех подмножеств множества IIмощности м>, причем УРеР \Р\ + м><п (шах|Р| + и><и), то КОРСР,/7)

р<вр

и КШ(Р, ¥' )-схемы являются взаимозаменяемыми, где Р"- это объединение семейства ¥ и всех подмножеств множества II мощность которых не превосходит №

Утверждение 2. Если существует семейство Р1сР, такое что Р\ это семейство всех подмножеств множества II мощности g, причем \ZFeF \F\ + g<n, то КБР(Р,.Р) и КОР( Р' ,/<*)-схемы являются взаимозаменяемыми, где Р' - это объединение семейства Р и всех подмножеств множества и, мощность которых не превосходит g

Утверждение 3. Если то схемы КВР^н1) и КОР(<& <и0 являются

взаимозаменяемыми

Для вероятностного метода предложена более низкая оценка количества системных ключей, необходимых для построения схемы На основе изученных методов предложен метод построения общего случая схем распределения системных ключей

Суть вероятностных методов заключается в том, что формируется некоторым случайным образом таблица Далее проверяется, является ли сформированная таблица К1)Р-схемой Если нет - то таблица формируется заново

Рассмотрен вероятностный метод построения Ы)Р(Р,^)-схем Пусть элементы множества ¥ пронумерованы {у/х,ч/2, ¡Ук) _ если ^е й ~ {о, если у/$ € 5,! Таблица X заполняется следующим способом [1, с вероятностью р

[О, с вероятностью 1 -р Верхняя оценка вероятности того, что КВР-схема не будет построена вероятностным методом'

Обозначим X,. =■!.,к,г-1, , п.

Х„

РеР «=1 V Те? уь?

РеР

№=0

Рассмотрен вероятностный метод, позволяющий построить КОР(Рг, схемы,где ={Р РеР,¡Р| = , = ^е=

Минимизируя Е(к, р) по р, имеем /?0 =

8

Количество юпочей Ц1™, необходимых для построения такой схемы вычисляется по формуле

-1п

I II

рЕр8

ргу-0

1-Е

+ 1

Введено понятие объединения КОР-схем и предложены способы уменьшения объема ключевого материала за счет комбинирования различных методов построения схем КВР (или схем, получаемых одним методом, но с различными параметрами)

Определение: Пусть {5/, - КОР^^О-схема, {51,2,.. ,5„2} -

КОР^^-схема При этом У, (~)Ч2 = 0 Тогда объединением КОР-схем КОР(Рь^)1) КВР(Р2,^2) является семейство {£„ ,5„} = и 8;1 Обозначим О = • Рё * 0}, Ж = {ы Тогда.

Р = []Рг, и КВР(Р,Г) = икВР(^,Р") При этом можно

использовать различные методы построения КОР -схем

Рассмотрим комбинирование вероятностных и тривиальных методов построения схем предварительного распределения системных ключей

Если выполняются условия #i(£,w)={^mm{fc0s,",,|P?|}>|Fu'|} или

geG

^fewMX^W^I^i^lj0*!}' то для построения KD?(Ps,FW)-схемы

wew

рационально использовать тривиальные методы, иначе - вероятностные Таким образом, КОР(Р,/)-схема (JKDP(P«,FW)U (Jkdpo.F^U (JKDP(Ps, )

wew geG, -weW, geG,

ff, <w,g) H2(g,w)

Количество системных ключей необходимых для построения схемы

*о= i*r+ IM+

wew geG, welv, geG,

Предложен вероятностный метод построения схемы предварительного распределения ключей с хэш-функцией.

Определение: НАКОР(Р,Р,£)-схемой3, где Р и F - это семейства подмножеств множества U = {1, ., и}, называется всякая пара семейств (SJD), S={S\, ,Sn} подмножеств конечного множества TcQ и /)={Д, £)„}

подмножеств множества {1, ,L], причем \D,\ - \St\ для t=\, ^удовлетворяющие условию

VP € Р, F е F, Р П F = 0 pjS, <£ [J^ или не выполнено условие Df P < Dp,

ie р jef

где Dp - набор значений тах(Д(Л) соответствующих совпадающим элементам

t

множеств S, из Р и Dfjp есть набор значений min(£), (/)) всех тех элементов из F,

которые соответствуют совпадающим элементам множеств S, из F Замечание: HAKDP(P,F,0)-cxeMa является К0Р(Р,Р)-схемой Пример НАКЮР(2,1,1)-схемы для п=4 абонентов и к=3 ключей-

S2={1,2},D2=(0,0),

5з={1,3} А=(0,0),

54={2,3},А=(0,0)

Пусть, как и в случае KDP-схем, таблица X получена некоторым случайным способом Pr{ X.s =1 }=ро Таблица D также полена случайным способом

Pr{A(i)=a}=~, а е {1, , 1} При этом ро вычисляется по формуле L

___2_

Рп~%\ + />)'

количество ключей, необходимых для построения НAKDP(2,1,Х)-схемы

log(w(yi-lX»-2))

log(l-р2(1-р)-p3PL)'

3 HAKDP - Hashed Key Distribution Patterns

где Рг - вероятность того, что < Д(д) и Д(л) < Д^) Данную вероятность можно посчитать по формуле

Р =у 1

1 ¿¿£ + 1{1 + 1) 61? +121 + 6 Преимущества использования ЗШР и НАКОР-схем вытекают из данных, представленных в табл 2 на примере ЫЭР(104, 173) и НАШ)Р(104, 114, 10)-схем.

Табл 2 Сравнение централизованной КРР и НАКРР-схем

Без предварительного распределения КОР(Ю4,173)-схема НАК1)Р(104,114,10)-схема

Средняя длина пакета 9 999 115 71

Число передаваемых ключей 99 990 ООО 1 150 ООО 710 000

В третьей главе предлагается три способа организации безопасной сети на основе протокола КегЬегоз и схем предварительного распределения ключей Первый способ предполагает использование стандартного протокола КегЬегоз, в котором в качестве сервера приложений выступает абонент сети, которому адресуется сообщение Второй способ предполагает использование стандартного протокола КегЬегоБ для предварительного распределения ключевого материала в сети, в соответствии с ЮЗР-схемой При этом КОР-схема и ключевой материал формируется на стороне сервера приложений Третий способ предполагает использование модернизированного протокола КегЬегоз для распределения ключевого материала При этом КОР-схема и ключевой материал формируются на стороне сервера Т08

В четвертой главе рассматривается нецентрализованное распределение ключевой информации В сложных сетях, состоящих из нескольких доменов, использование централизованного распределения ключевой информации может быть затруднительно

Изучается технология защищенных коммуникаций в компьютерной сети, с использованием ключевой информации, предварительно распределенной в ее сегментах Хотя бы один из элементов в каждом сегменте играет роль сервера приложений Прочие элементы сегмента представляют сетевых клиентов Сетевые серверы приложения являются доверенными узлами для всех элементов компьютерной сети Они зашифровывают и расшифровывают конфиденциальную информацию пользователей, когда соответствующий шифротекст одного сегмента передается пользователю из другого сегмента. При этом используются ключи, вычисляемые по пачкам, распределенным элементам одного сегмента, для расшифрования и другого для зашифрования

Защищенные коммуникации в сети осуществляются с использованием ключей, вычисляемых на основании долей ключевой информации, выделяемых отдельным элементам или различным парам элементов одного и того же домена (см Рис 2)

Данная технология позволяет уменьшить время вычисления схем предварительного распределения ключей, а также объем ключевой информации, передаваемой по секретным каналам от генератора к элементам компьютерной сети

Предполагаются следующие особенности сети

1) компьютерная сеть состоит из N сегментов (или доменов) Д, , D,\,

2) хотя бы один участник каждого домена выполняет роль сетевого сервера приложений NAS (Network Application Server), прочие элементы являются клиентами сети

3) каждый NAS является элементом двух соседних сегментов, он получает свои доли ключевой информации, распределенной в обоих сегментах,

4) граф, вершины которого соответствуют сегментам, а ребра - сетевым серверам приложений NAS связен,

5) каждый участник может передавать зашифрованную информацию любому другому участнику по открытым каналам,

6) сетевые серверы приложений NAS являются доверенными узлами для всех элементов компьютерной сети,

7) каждый сетевой сегмент (или домен) Dpj=1, Д, прикреплен к определенному доверенному центру ТА,,

8) каждый доверенный центр ТА„/=1, , N, вырабатывает схему предварительного распределения ключей для прикрепленного сегмента и распределяет между его элементами пакеты вычисленной ключевой информации,

9) генерация схем распределения ключей и доставка ключевой информации для элементов различных сегментов осуществляется независимо и, возможно, одновременно

10) конфиденциальная коммуникация между участниками компьютерной сети организуется с использованием зашифрования-расшифрования и обеспечения целостности одних и тех же или различных пакетов ключевой информации, принадлежащих одному или нескольким участникам одного и того же сегмента

Рис. 2 Нецентрализованное предварительное распределение ключей Рассмотрен частный случай сети, в которой каждый абонент сети может передать информацию другому абоненту сети

Распределение ключевой информации осуществляется независимо во всех доменах сети. Для этого в каждом домене строится КВР(2Д)-схема. Такие схемы могут иметь одинаковую или различающееся структуры, но в каждой из них

элементы распределяемой ключевой информации вырабатываются случайно и независимо

Пусть по завершению этапа предварительного распределения ключей (централизованном для каждого домена образом, но независимым в каждом домене) все участники компьютерной сети обладают пакетами ключевой информации. Это позволяет им вычислить ключи для конфиденциального обмена в пределах одного домена

Для конфиденциальной передачи информации от абонента А абоненту В одного и того же домена, абонент А шифрует информацию на ключе Нав> который строится на основе ключевой информации абонента А и КОР-схемы данного домена

Для конфиденциальной передачи информации от абонента А абоненту В соседнего (имеющего с доменом абонента А общий сервер приложения С) домена, А передает С информацию, зашифрованную на ключе кАС Сервер приложения С зашифровывает информацию с помощью ключа ксв, затем передает информацию абоненту В, расшифрованную на ключе кАс

Для конфиденциальной передачи информации от абонента А абоненту В домена, не имеющего с доменом элемента А общего сервера приложений, строится путь от абонента А к абоненту В через сервера приложений Сь С2, , С/ Далее абонент А передает серверу приложений С1 информацию, зашифрованную на ключе &АС1 Сервер приложений С1 зашифровывает информацию с помощью ключа £С]Сг, затем передает информацию серверу приложений С2. расшифрованную на ключе кАС1, и так далее В конце сервер приложений С; передает абоненту В информацию, зашифрованную на ключе кС/В

Заметим, что открытый текст отправителя доступен для атак злоумышленника через серверы приложений КА8, они являются доверенными узлами для всех участников информационного конфиденциального обмена Бели шифратор соответствует свойству перестановочности (как, например, блочный шифратор в режиме гаммирования), го расшифрованию в доверенных узлах связи может предшествовать вторичное зашифрование, что имелось ввиду выше

Для сокращения операций расшифрования и зашифрования в узлах связи возможен следующий вариант абонент А передает абоненту В ключ Кдв, вычисленный на основе его ключевого пакета, а затем осуществляет передачу информации, зашифрованной на ключе КАв Ключ зашифрования является значением хэш-функции, примененной к идентификатору абонента В Передача ключа КАв и информации осуществляется описанным выше способом

В диссертации исследован также способ организации конференц-связи коалиции абонентов из разных доменов в условиях нецентрализованного распределения ключевой информации

Генерация и распределение ключевой информации для безопасной сети может быть организована с использованием модификации протокола КегЬегоз Предлагаемая модификация протокола КегЬегов для генерации и распределения ключевой информации в компьютерной сети отличается тем, что в серверах

TGS вычисляются пакеты ключевой информации, доставляемые клиентам с сервера приложений в составе посылок TGT

Пусть есть один или более серверов аутентификации (AS) и, по крайней мере, такое же количество серверов выдачи билетов (TGS)

Каждый сервер TGS соответствует одному серверу AS Каждый домен сети связывается с сервером TGS и абоненты домена привязываются к этому TGS Если сервер приложений NAS содержится в нескольких доменов, то он привязывается ко всем TGS принадлежащих данным доменам Все абоненты сети поддерживают службу одноразовых паролей OTPS (One-Time Password Service) с несколькими AS, к которым привязаны соответствующие TGS

Сервер приложений NAS поддерживают службу одноразовых паролей одной или более OTPS Абонент А, и сервер аутентификации AS; из OTPS имеют одноразовый пароль кА ÀS

На этапе инициализации (см Рис 3) каждый сервер AS, вычисляет ключи kA:JCSi для связи с TGS; и привязанных к нему абонентов А„ kNASpXGSi для связи

TGS, и привязанных к нему NASP Предположим, что у каждого AS, есть ключ к as,,ras, для связи с привязанными к нему TGS/ и каждый TGS строит

KDP(P,F)-cxeMy для соответствующего домена сети для каждого абонента А, или NASP этого домена вычисляются пакеты S„ S,.

Домен 1 . Домен р

Рис 3. Протокол обмена с сервером аутентификации с целью получения разрешения на выдачу ключевой информации

Теперь каждый участник А, поддерживающий службу одноразового пароля с соответствующим сервером аутентификации AS,, может получить свой пакет К, ключевой информации, инициализируя и выполняя протоколы

a) протокол обмена с сервером аутентификации, с целью получения разрешения TGT на получение ключевой информации (см Рис 3).

b) протокол обмена с сервером TGS, с целью получения ключевой информации (см Рис 4),

Для безопасного обмена информации между абонентами сети используется с) протокол коммуникации абонентов сети, в том числе через сервер приложений NAS (см. Рис 5)

Даны оценки ключевой информации, необходимой для организации защищенных коммуникаций, для сетей различных типов

Данные, представленные в таблице 3 показывают преимущества использования нецентрализованных 10 KDP(1002, 56) и 10 HAKDP(1002, 56, 10)-схем

Домен 1 Домен 2

Рис 4. Протокол обмена с сервером TGS с целью получения ключевого материала абонентами сети А и серверами приложений NAS.

Рис 5 Протокол коммуникаций абонентов сети, в том числе через сервер приложений NAS Как видим, в нецентрализованной сети по сравнению с централизованной (см табл 2), число ключей, пересылаемых от ТА участникам, сокращается Применение схем с хешированием приводит к еще большему сокращению средней длины пакетов ключевой информации и объема ключевой информации, передаваемой от доверенного центра ТА

Таблица 3 Сравнение нецентрализованной KDP и HAKDP

Без предварительного распределения KDP(104,173)-схема HAKDP(10",114,10)-схема

Средняя длина пакета 1 001 37 28

Число передаваемых ключей 10 030 020 370 740 280 560

Пятая глава посвящена особенностям построения программных средств предварительного распределения ключей Показано, что при этом предпочтение отдается вероятностным методам двухэтапного синтеза схем На первом этапе случайно генерируется таблица распределения ключей, а на втором -проверяется ее соответствие условиям требуемой схемы Аналитически обоснованы параметры управления вероятностного этапа Работоспособность предложенных методов подтверждена экспериментами с использованием разработанных программных средств при различных параметрах требований к сети Приведены характеристики разработанного программного обеспечения (объем 1600 Кб, 13500 строк).

В Заключении даны вывода по результатам исследования

В Приложения приведены акты об использовании результатов диссертации и описание лабораторных работ

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

1 Предложены новые модификации HAKDP (Hashed Key Distribution Patterns) и HAKDS (Hashed Key Distribution Scheme) известных схем предварительного распределения ключей, обеспечивающие сокращение необходимого ключевого материала

2 Разработаны детерминированные и вероятностные алгоритмы построения HAKDP и HAKDS, а также схем предварительного распределения ключей общего вида

3 Показано преимущество использования вероятностных алгоритмов перед детерминированными по времени построения схемы.

4 Разработаны программные средства генерации и распределения ключевой информации в сетях с использованием модификации протокола Kerberos

5 Для вероятностного метода построения схем предварительного распределения ключей понижен объем необходимого ключевого материала

6 Предложены архитектурные сетевые решения нецентрализованного предварительного распределения ключей в сегментированной компьютерной сети, включающие способы организации коммуникации абонентов различных доменов, организации конференц-связи с участием абонентов различных доменов, способ вторичного шифрования, предшествующего расшифрованию при передаче данных из одного домена в другой, способы использоания стандартного и модифицированного протокола Kerberos

7 Показаны возможности реализации этих решений с применением разработанных в диссертации схем предварительного распределения ключей

8 Даны оценки необходимого ключевого материала построения KDP-схем для различных типов сетей и оценки параметров программного обеспечения

СПИСОК РАБОТ, ОПУБЛИКОВАННЫХ ПО ТЕМЕ ДИССЕРТАЦИИ

1. Щуров И.И. «Методы построения схем предварительного распределения ключей». Вестник МЭИ, №6, 2004, Москва, Издательство МЭИ, с. 94-104.

2. Щуров И.И. «Минимизация ключевого материала для построения безопасной сети». Вестник МЭИ, №6, 2006, Москва, Издательство МЭИ, с. 112-118.

Уз

3 Щуров И И «Алгоритм порождения семейств Шпернера для предварительного распределения ключей», рук д т н, проф Фролов А.Б // Радиоэлектроника, электротехника и энергетика Тезисы докладов IX Международной научно-технической конференции студентов и аспирантов в 3-х т М. Издательство МЭИ 2003. Т1 с 280-281

4. Щуров И И «.Вероятностный подход к построению схем предварительного распределения ключей», рук д т н , проф. Фролов А Б // Радиоэлектроника, электротехника и энергетика Тезисы докладов X Международной научно-технической конференции студентов и аспирантов в 3-х т М. Издательство МЭИ 2004. Т I. с.306-307

5 Щуров ИИ. «Обобщение методов построения схем предварительного распределения ключей», рук д.т.н, проф. Фролов А Б // Радиоэлектроника, электротехника и энергетика Тезисы докладов XII Международной научно-технической конференции студентов и аспирантов- в 3-х т М Издательство МЭИ 2004 Т 1 с 388-389

6 Щуров И И «Построение безопасной сети на основе протокола Kerberos и схем предварительного распределения ключей», рук д.тн, проф Фролов А.Б // Радиоэлектроника, электротехника и энергетика. Тезисы докладов XIV Международной научно-технической конференции студентов и аспирантов- в 3-х т М Издательство МЭИ 2004 Т 1 с 288

7 Щуров И И «Вероятностные методы построения схем предварительного распределения ключей», рук д т н, проф. Фролов А Б Научная сессия МИФЙ-2005. XII Всероссийская научно-практическая конференция. Проблемы информационной безопасности в системе высшей школы, с 133-134

8. Фролов А Б., Щуров ИИ «Предварительное распределение ключей мобильных сетях» // Сборник трудов научного семинара, посвященного памяти д т н, профессора 3 М Бененсона М ВЦ РАН, 2008, с 20-25

9. Щуров ИИ «Предварительное распределение ключей посредством протокола Kerberos» , рук д т н, проф Фролов А Б . Научная сессия МИФИ-2006 XIII Всероссийская научная конференция Проблемы информационной безопасности в системе высшей школы, с 142-143

10Щуров ИИ «Один способ построения безопасной сети», рук д.тн, проф Фролов А Б X Московская Международная телекоммуникационная конференция студентов и молодых ученых «Молодежь и наука», http //molod meptu ru/2C06/Data/603 htm

11 Шуров И И «Нецентрализованное предварительное распределение ключей», рук д т н, проф Фролов А Б XI Московская Международная телекоммуникационная конференция студентов и молодых ученых «Молодежь и наука», http //molod mephi ru/Data/657 htm

Подписано в печать!^О1!' ЙГЗак. i^j Полиграфический центр МЭИ (ТУ) Красноказарменная ул., д13

Тир. ¡00 Пл. Ш

Введение.

Глава 1. Задача предварительного распределения ключей в компьютерной сети

1.1 Предварительное распределение ключей.

1,2Схемы KDP (Key Distribution Patterns).

1.3 Схемы предварительного распределения ключей с хэш-функцией.

1.3 Эластичные функции.

1.4Подходы к построению KDP-схем.

1.4.1 Тривиальные методы.

1.4.2 Вероятностные методы [77].

1.4.3 Построение KDP-схемы на основе ортогонального массива [124].

1.4.4 Построение схемы распределения ключей на основе перпендикулярного массива [123].

1.4.5 Построение схемы распределения ключей на основе уравновешенных неполных блок-схем [123],[26],[43].

1.5 Сравнение методов построения KDP-схем.

1.6Частный случай КЮР(2,1)-схемы.

1.7Протокол аутентификации Kerberos.

1.7.1 Работа протокола Kerberos.

1.7.2 Подпротоколы протокола Kerberos [44].

1.7.3 Предосторожности при использовании протокола [58].

1.7.4 Об одноразовых паролях [58].

1.7.5 Уязвимые места протокола [41][58].

Выводы.

Глава 2. Предлагаемое решение и обоснование новых подходов к построению схем предварительного распределения ключей.

2.1 Анализ привилегированного и запрещенного семейств.

2.2Методы построения KDP-схем.

2.2.1 Вероятностный метод построения KDP-схем и новая оценка необходимого ключевого материала.

2.2.2 Модернизированный вероятностный метод.

2.2.3 Дерандомизированный метод.

2.2.4 Детерминированный метод.

2.3НАКОР-схемы и вероятностный метод их построения.

2.4Сравнение методов построения KDP-схем.

2.5Комбинирование методов построения KDP-схем.

2.6Примеры построения KDP-схем.

Выводы.

Глава 3. Защищенные коммуникации на основе схем предварительного распределения ключей в локальной компьютерной сети.

3.1 Построение безопасной сети на основе стандартного протокола аутентификации Kerberos.

3.2Построение безопасной сети с KDP-схемой на стороне сервера

Актуальность работы. Одной из ключевых задач совершенствования информационных коммуникаций является задача построения безопасной компьютерной сети. Интерес к ней обуславливается возрастающими объемами передаваемыми между участниками информационного обмена конфиденциальной информацией, и быстрым ростом таких показателей информации, как стоимость потери конфиденциальности, стоимость скрытого нарушения целостности, стоимость утраты информации. Этой проблеме посвящено большое число научных работ и монографий (см. например [2],[15],[20],[27],[55]). Защищенность коммуникаций в безопасной сети включает обеспечение конфиденциальности и целостности передаваемой информации. Эти свойства обеспечиваются используемыми криптографическими системами, успешное функционирование которых предполагает использование на приемной и передающей сторонах защищенного канала криптографических ключей, бинарных наборов достаточной длины. До 1976 года использовались лишь симметричные криптосистемы, в которых ключи передающей и принимающей стороны должны быть секретными и практически одинаковыми, что связано с проблемой доставки ключа от одного участника другому или от доверенного центра обоим участникам. С открытием У. Диффи, М. Хеллманом [76] публичной криптографии один из ключей может быть открытым и доставляться использующей его стороне не по закрытому, а аутентичному каналу, что требует регистрации этого ключа в центрах сертификации инфраструктуры распределения открытых ключей [5]1. Следует заметить, что использование криптосистем с открытым ключом само по себе не достаточно для обеспечения защищенности коммуникаций в компьютерных сетях,

Первоначальный однораундовый двусторонний протокол Диффи-Хелмана, использующий только открытые каналы подвержен атаки третьим участником путем перехвата и подмены передаваемых посылок. Отражение этой атаки требует использования сертифицированных посылок, передаваемые через доверенные узлы (протокол Менезеса-Кью-Венстоуна). поскольку алгоритмы криптографии с открытым ключом из-за необходимости выполнения алгебраических операций в алгебраических структурах высоких порядков на три порядка медленнее алгоритмов симметричных криптосистем. Поэтому криптосистема с открытым ключом могут использоваться для защиты лишь небольших объемов информации и в основном играют вспомогательную роль, обеспечивая защиту передачи секретных ключей для симметричных криптосистем. Непосредственное использование этого способа доставки секретного ключа каждым участником компьютерной сети приводит к многократному (по числу участников) исполнению дорогостоящих актов сертификации и использованию ключей, генерируемых участниками без должного контроля их качества. Изобретение протокола Kerberos [1],[44],[73],[88],[89],[90] частично упростило проблему, ограничив число каналов, для которых необходимо распределять ключи «внешними» по отношению к домену сети, обслуживаемому протоколом, средствами, при этом ключи для любой пары участников сети вырабатываются доверенным центром и доставляются с использованием ключей, генерируемых центром аутентификации данного домена.

Для упрощения процедуры формирования и доставки секретных ключей в криптографии предложено и исследовано большое разнообразие схем предварительного распределения ключей. В них процедура доставки секретного ключа участникам компьютерной сети выполняется в два этапа: каждому участнику доверенным центром доставляется пакет ключевой информации (в виде набора двоичных слов достаточной длины), состав которого (в виде списка номеров и, возможно, некоторой дополнительной открытой информации об этих наборах) публикуется. При этом каждый участник, зная составы пакетов и опубликованные данные, может, используя только наборы из своего пакета, вычислить для защищенной коммуникации с любым другим участником сети ключ, который не может вычислить никакой третий участник. Развивая этот подход, криптографы предложили и схемы более общего характера, позволяющие предварительно распределять ключевую информацию, позволяющую вычислять ключи для общения привилегированных групп участников, недоступные запрещенным группам участников. Но и этот подход встречает трудности применительно к большим вычислительным сетям, поскольку предполагает использование единого центра генерации и доставки пакетов ключевой информации каждому участнику сети. Использование для доставки пакетов криптосистем открытым ключом предполагает сертификацию отрытых ключей участниками.

Рассмотренное состояние проблемы распределения ключей позволяет заключить, что актуальны следующие задачи:

- разработка и обоснование архитектурных сетевых решений нецентрализованного предварительного распределения ключевой информации в компьютерной сети на основе независимого предварительного ее распределения в сегментах или доменах сети;

- разработка и обоснование способа реализации предварительного распределения ключевой информации в сегментах или доменах вычислительной сети на основе использования предлагаемой модификации протокола Kerberos;

- разработка и обоснование новых схем предварительного распределения ключей;

- разработка программного обеспечения для вычисления пакетов ключевой информации и принципов построения системного программного обеспечения для вычислительных систем с нецентрализованным предварительным распределением ключей.

Следует подчеркнуть соответствие этих направлений исследования особенностям мобильных вычислительных сетей, в которых практически нереализуемы требования сертификации открытых ключей и актуальна задача учета условия расширяемости сети.

При решении этих задач использованы имеющиеся достижения по проблеме распределения ключей в компьютерных сетях, связанные с вкладом таких ученых как В.М. Сидельников, М. А. Черепнев, В. В. Ященко и др. Исследованием схем предварительного распределения ключей занимались П. Эрдеш, Д. Стинсон, Э.Шпернер, Р.Блом, К.Блундо, С.Микали, М.Рамкумур, и другие.

Таким образом, в настоящей работе исследуются подходы к созданию безопасной компьютерной сети, позволяющие одновременно и независимо применять известные и новые схемы предварительного распределения ключей в сегментах или доменах на основе модификации протокола аутентификации Kerberos, что позволяет сократить объем ключевой информации, необходимый для построения расширяемой безопасной сети, как и время ее генерации и доставки.

Целью работы является разработка и исследование математических методов и соответствующих программных средств для нецентрализованного предварительного распределения ключевой информации в расширяемой компьютерной сети.

При этом ставились следующие задачи:

1. Исследовать существующие методы построения схем предварительного распределения ключей и область их применения.

2. Модернизировать известные методы построения схем предварительного распределения ключей с целью уменьшения необходимого ключевого материала и времени его вычисления и обосновать возможность программной реализации методов построения схем предварительного распределения ключей.

3. Предложить архитектурные сетевые решения нецентрализованного предварительного распределения ключей в сегментированной компьютерной сети.

4. Разработать принципы построения сетевого программного обеспечения для предварительного распределения ключей в сегментах или доменах вычислительной сети с использованием предлагаемой модификации протокола типа Kerberos.

Полученные в диссертации научные результаты:

1. Предложены новые модификации известных схем предварительного распределения ключей и вероятностные алгоритмы синтеза таких схем, а также метод синтеза схем предварительного распределения ключей общего вида.

2. Разработаны программные средства генерации и предварительного распределения ключевой информации в сегменте или домене компьютерной сети с использованием предложенной модификации протоколов типа Kerberos.

3. Для вероятностного метода построения схемы предварительного распределения ключей понижены оценки объема необходимого ключевого материала.

4. Исследован способ нецентрализованного распределения ключевой информации, получены оценки объема ключевой информации, необходимого для построения сетей различных типов и разработаны принципы построения программных средств обеспечения коммуникации на его основе в глобальной сети.

Поставленные задачи решались с использованием методов дискретной математики, теории информации, теории вероятностей, методов анализа вычислительной сложности алгоритмов. При создании программного обеспечения использовались методы объектно-ориентированного программирования.

Научная новизна:

1. Модификация ряда известных схем предварительного распределения ключей осуществлена использованием приема хеширования ключей, известного по применению к модификации других известных схем. В методе синтеза схем предварительного распределения ключей общего вида реализовано комбинирование методов построения частных схем.

2. Предлагаемая модификация протокола Kerberos для генерации и распределения ключевой информации в компьютерной сети отличается тем, что в серверах TGS (Ticket Granting Server) вычисляются пакеты ключевой информации, доставляемые клиентам с сервера приложений в составе посылок TGT (Ticket Granting Ticket),

3. Показано преимущество вероятностных методов построения схем предварительного распределения ключей по сравнению с детерминированными.

4. Получены оценки параметров ключевой информации подтверждающие преимущества использования нецентрализованного подхода к распределению ключевой информации в глобальной сети, по сравнению с централизованным.

Достоверность научных результатов подтверждена теоретическими выкладками, данными компьютерного моделирования, а также соответствием полученных результатов частным результатам, приведенными в научной литературе.

Практическая значимость полученных результатов:

Использование предложенных модификаций известных схем предварительного распределения ключей существенно, в несколько раз, ускоряет процедуру построения таких схем при сокращении объемов используемого и рассылаемого абонентам ключевого материала. Использование методов нецентрализованного распределения ключей позволяет обеспечивать безопасность больших сегментированных сетей, включая мобильные сети. Разработанные программные средства использованы в МЭИ при создании электронного Образовательного Ресурса Алгебраический процессор:

Фролов, Александр Борисович. Алгебраический процессор [Электронный ресурс]: для студентов и аспирантов всех специальностей АВТИ /А.Б.Фролов, С.Б. Гашков, С.Ю. Жебет, С.В.Морозов, И.И. Щуров,. -М.: Издательский дом МЭИ, 2007. 1 электрон, оптич. диск (CD-ROM); 12 см.

- Системные требования: ПК, 1ГГц, 512 Мб оперативной памяти, 160 Мб на ж. д (рек. 700 Мб), ОС Microsoft Windows 2000/ХР/2003/, Microsoft Office 2003, Borland С++ Builder 6. Microsoft Visual Studio 2005, Adobe Reader 7.0.

Апробация полученных результатов осуществлена при их обсуждении на девятой, десятой, двенадцатой и четырнадцатой международной научно-технической конференции студентов и аспирантов «Радиоэлектроника, электротехника и энергетика», Москва, 2003, 2004, 2006, 2008; восьмой, девятой, десятой, одиннадцатой Московской Международной телекоммуникационной конференции студентов и молодых ученых «Молодежь и наука», Москва, 2005, 2006, 2007, 2008; Семинар, посвященный памяти д.т.н., профессора З.М. Бененсона, Москва, 2008.

Результаты опубликованы в следующих работах:

1. Щуров И.И. «Методы построения схем предварительного распределения ключей». Вестник МЭИ, №6, 2004, Москва, Издательство МЭИ, с. 94-104.

2. Щуров И.И. «Минимизация ключевого материала для построения безопасной сети». Вестник МЭИ, №6, 2006, Москва, Издательство МЭИ, с. 112-118.

3. Щуров И.И «Алгоритм порождения семейств Шпернера для предварительного распределения ключей», рук. д.т.н., проф. Фролов А.Б. // Радиоэлектроника, электротехника и энергетика. Тезисы докладов IX Международной научно-технической конференции студентов и аспирантов: в 3-х т. М.: Издательство МЭИ. 2003. Т.1. с. 280-281

4. Щуров И.И. «Вероятностный подход к построению схем предварительного распределения ключей», рук. д.т.н., проф. Фролов А.Б. // Радиоэлектроника, электротехника и энергетика. Тезисы докладов X Международной научно-технической конференции студентов и аспирантов: в 3-х т. М.: Издательство МЭИ. 2004. Т.1. с.306-307

5. Щуров И.И. «Обобщение методов построения схем предварительного распределения ключей», рук. д.т.н., проф. Фролов А.Б. // Радиоэлектроника, электротехника и энергетика. Тезисы докладов XII Международной научно-технической конференции студентов и аспирантов: в 3-х т. М.: Издательство МЭИ. 2004. Т.1. с.388-389

6. Щуров И.И. «Построение безопасной сети на основе протокола Kerberos и схем предварительного распределения ключей», рук. д.т.н., проф. Фролов А.Б. // Радиоэлектроника, электротехника и энергетика. Тезисы докладов XIV Международной научно-технической конференции студентов и аспирантов: в 3-х т. М.: Издательство МЭИ. 2004. Т.1. с.288

7. Щуров И.И. «Вероятностные методы построения схем предварительного распределения ключей», рук. д.т.н., проф. Фролов А.Б. Научная сессия МИФИ-2005. XII Всероссийская научно-практическая конференция. Проблемы информационной безопасности в системе высшей школы, с. 133-134.

8. Фролов А.Б., Щуров И.И. «Предварительное распределение ключей мобильных сетях» // Сборник трудов научного семинара, посвященного памяти д.т.н., профессора З.М.Бененсона. М.: ВЦ РАН, 2008, с.20-25.

9. Щуров И.И. «Предварительное распределение ключей посредством протокола Kerberos» , рук. д.т.н., проф. Фролов А.Б. Научная сессия МИФИ-2006. XIII Всероссийская научная конференция. Проблемы информационной безопасности в системе высшей школы, с. 142-143.

Ю.Щуров И.И. «Один способ построения безопасной сети», рук. д.т.н., проф. Фролов А.Б. X Московская Международная телекоммуникационная конференция студентов и молодых ученых «Молодежь и наука», http://molod.mephi.ru/2006/Data/603.htm

11.Щуров И.И. «Нецентрализованное предварительное распределение ключей», рук. д.т.н., проф. Фролов А.Б. XI Московская Международная телекоммуникационная конференция студентов и молодых ученых «Молодежь и наука», http://molod.mephi.ru/Data/657.htm

В работе 8, написанной в соавторстве, автору принадлежат обоснованные в них оценки объема ключевой информации, необходимого для построения сетей различных типов, и принципы построения программных средств обеспечения коммуникации на его основе в глобальной сети, сетевые решения, обеспечивающие нецентрализованное распределение ключей, а также модификация схем предварительного распределения ключей на основе приема хеширования разработаны совместно с А.Б.Фроловым.

Работа состоит из настоящего введения, 5 глав, заключения, списка использованной литературы, содержащей 126 наименования, и приложений. Основной текст занимает 154 машинописных страниц, в том числе 20 рисунков и 6 таблиц. Полный объем диссертации (с приложениями) составляет 164 страниц.

В первой главе рассмотрены известные методы и протоколы распределения ключей и протокол Kerberos в системе распределения ключей. Даны определения схем предварительного распределения ключей и предварительного распределение системных ключей и их основных свойств. Рассмотрены примеры схем. Кроме того, анализируются основные свойства частного случая схем предварительного распределения системных ключей.

Назначение протокола Kerberos в общем смысле шире изучаемой в настоящей диссертации проблемы распределения ключей: он предоставляет собой разработанный для сетей TCP/IP-протокол проверки подлинности с доверенной третьей стороной [44]. Использование этого стандарта создает надежную основу для взаимодействия между различными платформами и при этом значительно повышает безопасность сетевой аутентификации. Служба Kerberos, работающая в сети, действует как доверенный посредник, обеспечивает проверку подлинности сетевых объектов. Объектами сетевого взаимодействия в модели Kerberos являются клиенты и серверы. Kerberos хранит базу данных клиентов и их секретных ключей. Сетевые службы, требующие проверки подлинности, и клиенты, которые хотят использовать эти службы, регистрируют в Kerberos свои секретные ключи. Так как Kerberos знает все секретные ключи, он может создавать сообщения, убеждающие один объект в подлинности другого. Kerberos также создает уникальные сеансовые ключи, которые выдаются клиенту и серверу (или двум клиентам). Сеансовый ключ используется для шифрования/расшифрования сообщения, которым обмениваются две стороны, и уничтожаются после окончания сеанса. Таким образом, протоколом Kerberos, в частности, решается задача распределения ключей для коммуникации между двумя абонентами сети.

Предварительное распределение ключей - одна из важнейших проблем информационного обмена [2]. В больших сетях возникает потребность в большом количестве ключей для связи между абонентами сети. Предварительное распределение ключей позволяет существенно уменьшить объём ключевой информации, сохраняя при этом возможность соединения абонентов сети, входящих в определенные коалиции. Суть предварительного распределения ключей заключается в том, что абонентам сети распределяются не сами ключи, а некоторый вспомогательный материал, занимающий (в совокупности) меньший объем. На основании данного материала каждый абонент сети по некоторому алгоритму может самостоятельно вычислить ключ, необходимый для связи с некоторой группой абонентов {привилегированной группой); то же самое могут сделать все члены этой группы. В то же время, определенные группы абонентов {запрещенные группы), объединив вспомогательный материал, не могут получить какую-либо информацию об этом ключе, если этот абонент не входит ни в одну из объединившихся групп. Известно несколько схем предварительного распределения ключей, например, схема Блома (Blom Scheme) [2],[123],[68],[69], схемаБлундо (Blundo etal Scheme) [123],[71],[72], схема Фиат-Наора (Fiat-Naor Scheme) [123].

Обобщением схем предварительного распределения ключей являются схемы предварительного распределения ключей с хэш-функцией [113],[114]. Суть предварительного распределения ключей с хэш-функцией заключается в том, что абонентам сети распределяется вспомогательный материал не в чистом виде, а к нему применяется известная односторонняя хэш-функция некоторое количество раз. Данное обобщение позволяет сократить общее количество ключевой информации, необходимой для построения схемы и количество ключевой информации, которое необходимо передать каждому абоненту сети.

Рассматриваются методы построения схем KDP (Key Distribution Pattern) [2],[123],[77],[100] — схемы распределения системных ключей. В данной схеме каждому абоненту сети распределяются системные ключи, выбираемые из некоторого множества. Ключ, необходимый для связи с некоторой группой абонентов, вычисляется абонентом сети как значение некоторой хэш-функции на множестве системных ключей, общих для всех абонентов данной группы. Рассмотрены известные методы, позволяющие построить частные случаи схем распределения системных ключей, например, вероятностный [77] и основанные на ортогональных массивах, перпендикулярных массивов, уравновешенных неполных блок-схемах [124]. В этих случаях любые g абонентов способны вычислить общий ключ, и никакие другие w абонентов не способны узнать какую-либо информацию об этом ключе.

Во второй главе приведены примеры улучшения схем предварительного распределения системных ключей за счет эластичных функций и анализа привилегированного и запрещенного семейств. Рассмотрены методы построения схем, указаны достоинства и недостатки методов, а также критерий выбора метода для построения конкретной схемы. Предложены новые оценки ключевого материала, необходимого для построения схем. Показано превосходство вероятностных методов над остальными рассмотренными методами построения схем. Приведены сравнения различных методов построения схем.

Для вероятностного метода, описанного в [77], предложена более низкая оценка количества системных ключей, необходимых для построения схемы. На основе изученных методов, предложен метод построения общего случая схем распределения системных ключей.

Кроме того, предложены способы уменьшения объема ключевого материала за счет комбинирования различных методов построения схем KDP (или схем, получаемых одним методом, но с различными параметрами). Более подробно рассмотрено комбинирование вероятностных и тривиальных методов построения схем предварительного распределения системных ключей.

Предложен вероятностный метод построения схемы предварительного распределения ключей с хэш-функцией.

В третьей главе предложен способ реализации схем с использованием протокола Kerberos, и способ построения безопасной сети путем комбинирования протокола Kerberos и схем предварительного распределения ключей. Приведен способ сокращения необходимого ключевого материала за счет такого комбинирования.

Для частного случая дана оценка минимального ключевого материала необходимого для построения безопасной сети, основанная на семействах Шпернера.

В четвертой главе рассматривается нецентрализованное распределение ключевой информации.

В сложных сетях, состоящих из нескольких доменов, использование централизованного распределения ключевой информации может быть затруднительно.

Изучается технология защищенных коммуникаций в компьютерной сети, с использованием ключевой информации, предварительно распределенной в ее сегментах. Хотя бы один из элементов в каждом сегменте играет роль сервера приложений. Прочие элементы сегмента представляют сетевых клиентов. Сетевые серверы приложения являются доверенными узлами для всех элементов компьютерной сети. Они расшифровывают и зашифровывают конфиденциальную информацию пользователей, когда соответствующий шифротекст одного сегмента передается пользователю из другого сегмента. При этом используются ключи, вычисляемые по пачкам, распределенным элементам одного сегмента, для расшифрования и другого для зашифрования. Данная технология позволяет уменьшить время вычисления схем предварительного распределения ключей, а также объем ключевой информации, предаваемой по секретным каналам от генератора к элементам компьютерной сети.

Даны оценки ключевой информации, необходимой для организации защищенных коммуникаций, для сетей различных типов.

В пятой главе обоснована возможность программной реализации разработанных методов построения схем предварительного распределения ключей. Показано, что при этом предпочтение отдается вероятностным методам двухэтапного синтеза схем. Первый этап заключается в случайной генерации таблицы распределения ключей, а второй - в проверке соответствия полученной таблицы логическим условиям требуемой схемы. Аналитически обоснованы параметры управления вероятностного этапа. Работоспособность предложенных методов подтверждена экспериментами при различных параметрах требований к сети.

В Заключении даны вывода по результатам исследования.

В Приложении приведены акты об использовании результатов диссертации и описание лабораторных работ.

Заключение