Повышение уровня конфиденциальности в промышленных сетях систем автоматизации испытаний

Капгер, Игорь Владимирович

Методы и системы защиты информации, информационная безопасность

автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Повышение уровня конфиденциальности в промышленных сетях систем автоматизации испытаний

кандидата технических наук: Капгер, Игорь Владимирович
город: Пермь
год: 2012
специальность ВАК РФ: 05.13.19
цена: 450 рублей

Диссертация по информатике, вычислительной технике и управлению на тему «Повышение уровня конфиденциальности в промышленных сетях систем автоматизации испытаний»

Автореферат диссертации по теме "Повышение уровня конфиденциальности в промышленных сетях систем автоматизации испытаний"

На правах рукописи КАПТЕР Игорь Владимирович А^Ш&П

ПОВЫШЕНИЕ УРОВНЯ КОНФИДЕНЦИАЛЬНОСТИ В ПРОМЫШЛЕННЫХ СЕТЯХ СИСТЕМ АВТОМАТИЗАЦИИ ИСПЫТАНИЙ

05.13.19 - Методы и системы защиты информации, информационная безопасность

диссертации на соискание ученой степени кандидата технических наук

АВТОРЕФЕРАТ

2 9 мдр 2012

Уфа-2012

005020642

Работа выполнена на кафедре автоматики и телемеханики ФГБОУ ВПО

«Пермский национальный исследовательский политехнический университет»

Научный руководитель доктор технических наук, профессор,

ЮЖАКОВ Александр Анатольевич, Пермский национальный исследовательский политехнический университет, кафедра автоматики и телемеханики

Официальные оппоненты доктор технических наук, профессор,

ВАСИЛЬЕВ Владимир Иванович, Уфимский государственный авиационный технический университет, кафедра вычислительной техники и защиты информации

кандидат технических наук, доцент, ЗЫРЯНОВА Татьяна Юрьевна, Уральский государственный университет путей сообщения, кафедра информационных технологий и защиты информации

Ведущее предприятие ФГБОУ ВПО «Казанский национальный

исследовательский технический университет им. А.Н. Туполева-КАИ»

Защита состоится // апреля 2012 г. в "о? часов на заседании диссертационного совета Д 212.288.07 при Уфимском государственном авиационном техническом университете по адресу: 450000, г. Уфа, ул. К. Маркса, 12 С диссертацией можно ознакомиться в библиотеке университета

Автореферат разослан «^2» Ндрт^и 2012 г.

Ученый секретарь диссертационного совета, доктор технических наук, профессор

С.С. Валеев

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность работы

Повышение требований к быстродействию, достоверности и другим характеристикам процесса испытаний авиационных агрегатов обуславливает необходимость создания и развития современных систем автоматизации испытаний (САИ). Переход к САИ характеризуется интенсивностью информационных потоков, требованиями к точности, быстродействию и конфиденциальности испытаний. Задачи построения сетевых САИ, обработки результатов и совершенствования технических средств нашли отражение в работах И.М. Пашковского, Р.И. Адгамова, ГТ.П. Орнатского, H.H. Матушкина, A.A. Южакова, ).Ю. Комарова, И.А. Елизарова, И.М. Сендеева и др. Компьютерные сети все :ире применяются для автоматизации производства, в том числе и для САИ авиационных изделий. Появление возможности объединения датчиков и исполнительных механизмов привело к появлению САИ на базе промышленных се-ей. Построение распределенных приложений в промышленных сетях на примере LON исследованы в работах Д. Дитриха, Ф. Тирш.

Информация внутри САИ передается в открытом виде, что может привести к её несанкционированному чтению и передаче ложных сообщений. Повышение уровня конфиденциальности передачи сообщений, исследование и оптимизация структуры информационных систем представлены в работах

A.Н. Пивоварова, А.Г. Мамиконова, A.A. Сарвина, Г.А. Шастовой, Т.Я. Лазаревой и др. Повышение уровня конфиденциальности связано с необходимостью создания новых и совершенствования существующих методов защиты передаваемой в промышленных сетях информации, базирующихся на использовании кодирования данных и применении стеганографических алгоритмов. Задача реализации кодирования и стеганографии на современной элементной базе отражена в работах А. Винокурова, В.Х. Ханова, А.Н. Терехова, A.B. Яковлева,

B.Г. Грибунина, К.И. Пономарева и др. Оценка эффективности алгоритмов путем исследования статистических зависимостей отражена в работах Д. Кнута, А.Н. Фионова, М.А. Иванова, И.В. Чугункова и др. Однако, построение алгоритмов кодирования и стеганографии в системах «реального» времени не нашло должного отражения в известных работах. Таким образом, создание современных САИ с высоким уровнем конфиденциальности при помощи методов, связанных с кодированием данных, является актуальной задачей.

Объектом исследований является совокупность процессов при передаче сообщений в промышленной сети САИ.

Предмет исследований - методы и алгоритмы повышения уровня конфиденциальности передачи сообщений в промышленных сетях.

Цель работы - разработка способа и алгоритма повышения уровня конфиденциальности передачи сообщений в промышленной сети САИ.

Задачи исследования

Для достижения цели в работе поставлены и решены следующие задачи:

1. Создание критерия оценки уровня конфиденциальности передачи сообщений в промышленной сети САИ авиационных изделий с целью определения основных элементов, влияющих на уровень конфиденциальности.

2. Разработка способа потоковой стеганографической передачи двоичных данных с целью построения потокового стегоканала для скрытой передачи двоичных данных.

3. Адаптация известного способа кодирования на тригонометрических функциях, для использования в потоковом кодировании с целью построения защищенной системы передачи двоичных данных.

4. Разработка инструментально-программного средства для создания потокового стегоканала для скрытой передачи двоичных данных и для создания кодированной защищенной системы передачи двоичных данных в промышленной сети Ь(Ж с целью реализации предложенных способов.

Методы исследования

В процессе исследований были использованы основные положения и методы теории потокового программирования, теории планирования параллельных вычислительных процессов, теории имитационного моделирования сложных систем, теории кодирования дискретных источников, теории вероятностей и математической статистики.

Основные научные результаты, выносимые на защиту

1. Критерий оценки уровня конфиденциальности передачи сообщений в промышленной сети САИ авиационных изделий, основанный на показателях вероятности несанкционированного чтения информации из промышленной сети, вероятности возникновения скрытых ошибок или искажений промышленной сети по причине передачи ложного сообщения, и относительных временных затрат'узла на обработку и передачу сообщений при использовании различных алгоритмов.

2. Способ потоковой стеганографической передачи двоичных данных, основанный на особенностях генерации и кодирования заголовка, тела и окончания стегосессии потокового стегоканала.

3. Адаптированный способ кодирования на тригонометрических функциях, для использования в потоковом кодировании, основанный на особенностях генерации гаммы, когда для расчета следующего элемента гаммы производится извлечение младшего битового поля из двухбайтного значения предыдущего элемента гаммы.

4. Инструментально-программное средство для создания потокового стегоканала для скрытой передачи двоичных данных и для создания кодированной защищенной системы передачи двоичных данных в промышленной сети LON, основанное на предложенных способах.

Научная новизна работы состоит в следующем:

1. Новизна критерия оценки уровня конфиденциальности передачи сообщений в промышленной сети САИ авиационных изделий, который отличается тем, что в качестве основных элементов, влияющих на уровень конфиденциальности передачи сообщений в промышленной сети, определены показатель конфиденциальности, который представляет собой вероятность несанкционированного чтения информации из промышленной сети, показатель целостности, который представляет собой вероятность возникновения скрытых ошибок или искажений промышленной сети по причине передачи ложного сообщения, и показатель временных затрат узла на обработку и передачу сообщений при использовании различных алгоритмов.

2. Новизна способа потоковой стеганографической передачи двоичных данных, при котором внедряют скрываемые данные D в потоковый контейнер в передатчике путем формирования по N бит открытых данных D', отбора и кодирования по L бит из D (L<N), встраивания L(D) в N(D') на место младших L(D'); передают N(D') каналам связи; восстанавливают D из потока D' в приемнике путем извлечения кодированных L(D) из N(D'), формирования и декодирования D из L(D), отличающийся тем, что передатчиком генерируют заголовок Z&R из известного приемнику и передатчику значения синхронизации Z и случайного числа R, кодируют заголовок в режиме простой замены на долгосрочном ключе К - Fk(Z&R), генерируют сессионный ключ Q(R) и гамму G(Q), накладывают побитно D©G, на известное окончание Е накладывают побитно E©G, собирают полный пакет в обратном порядке E8G & D©G & Fk(Z&R), из

которого отбор ведут с младших бит; в приемнике накапливают извлеченные кодированные L(D) в старших битах накопителя со сдвигом в сторону младших, после каждого сдвига декодируют накопитель в режиме простой замены на ключе К и ожидают в старшей части появления Z, после чего заголовок принят (иначе декодирование и ожидание продолжают), накопитель обнуляют, генерируют ключ Q(R) и гамму G(Q); накладывают G побитно на кодированные L(D), накапливают декодированные L(D) в старших битах накопителя со сдвигом в сторону младших и ожидают появления в старшей части значения Е, при появлении которого заканчивают прием D (иначе ожидание Е продолжают).

3. Новизна адаптированного способа кодирования на тригонометрических функциях, при котором кодирование увеличенного на 0,5 открытого значения N-ro по счету байта из потока величиной X с помощью элементов ключа Z и ДX осуществляется по формуле Y=X+255»(cos(Z+N«AX))±255 и результат кодирования, удовлетворяющий диапазону [0;255], округляется до большего целого, отличающийся тем, что в линейной функции гаммирования On=(ZI-+N„'AX) для исключения статистических зависимостей элемент Zn вычисляется как Фп.1&255 (логическое «И» на битовую маску) при п=1.. .255.

4. Новизна инструментально-программного средства для создания потокового стегоканала для скрытой передачи двоичных данных и для создания кодированной защищенной системы передачи двоичных данных в промышленной сети LON, которое отличается тем, что с целью реализации предложенных способов для него разработана модель и блок-схема узла промышленной сети, создан и реализован на языке Neuron С код программной вставки в микросхему Neuron Chip узла путем внедрения специфичных функций в тело программы микросхемы с помощью специализированного программного обеспечения.

Практическая ценность работы

Предложенный критерий оценки уровня конфиденциальности передачи сообщений в промышленной сети позволяет провести количественную оценку уровня конфиденциальности. Предложенный способ потоковой стеганографи-ческой передачи двоичных данных и адаптированный способ кодирования на тригонометрических функциях позволяют построить защищенную систему передачи двоичных данных. Предложенное инструментально-программное средство позволяет реализовать предложенные способы с сохранением скорости обработки и передачи информации.

Результаты исследований внедрены в учебный процесс подготовки специалистов и магистров по направлению 220200 «Автоматизация и управление» в Пермском национальном исследовательском политехническом университете и использованы при проектировании и построении САИ авиационных изделий в ОАО НПО «Искра», г. Пермь.

Апробация работы

Основные результаты докладывались и обсуждались на XXXV, XXXVI майская и осенняя сессия) и XXXVII Международных конференциях «Инфор-ационные технологии в науке, социологии, экономике и бизнесе», Украина, 008-2010 г.; IX Международной научно-технической конференции «Пробле-1ы техники и технологий телекоммуникаций», г. Казань, 2008 г.; Международен научно-технической конференции «Информационные технологии и ин-ормационная безопасность в науке, технике и образовании "Инфотех - 2009"», краина, 2009 г.

По итогам исследований имеется 19 опубликованных работ объемом ,09 усл. печ. л., личный вклад автора в которых составляет не менее 65% (5,87 сл. печ. л.), в том числе:

- пять статей опубликованы в рецензируемых журналах из списка ВАК;

- три свидетельства регистрации программ для ЭВМ №2009616305 от 13.11.09 г, №2010610255 от 11.01.10 г. и№2010610256 от 11.01.10 г.;

- патент на полезную модель «Устройство для потоковой стеганогра-l ической передачи двоичных данных» № RU 101299 U1, опубл. 10.01.2011;

- 10 работ в других изданиях и материалах конференций.

Структура и объем работы

Диссертация содержит 175 страниц машинописного текста и состоит из ведения, четырех глав, заключения, списка литературы из 110 наименований и 5 приложений. В диссертацию включены 15 таблиц, 45 рисунков, 6 листингов рограмм.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность создания современных САИ, об-адающих высоким уровнем конфиденциальности, при помощи специальных гетодов, связанных с кодированием данных. Определена необходимость применения алгоритмов для кодирования сообщений и стеганографических алгоритмов в микропрограммном обеспечении узлов в САИ, работающих в режиме

"реального" времени, с минимизацией затрат времени на реализацию указанных алгоритмов. Сформулированы цель работы, задачи, определены научная новизна и практическая значимость результатов.

В первой главе содержится обзор развития САИ, обсуждаются централизованные и децентрализованные структуры, приведены модели и архитектуры современных САИ, требования к ним. Особый акцент обращен на обработку данных в распределенных системах управления, исследованы отличия Fieldbus-сетей от других, а также отличия промышленной сети LON от других Fieldbus-сетей. Показаны возможности узлов промышленной сети LON, описаны объекты микросхемы Neuron Chip. Большое внимание уделено коммуникации узлов промышленной сети LON и возможностям штатной аутентификации узлов.

Проведен обзор проблем промышленной сети LON с точки зрения уровня конфиденциальности передачи сообщений. Показаны направления повышения уровня конфиденциальности передаваемых сообщений при эксплуатации промышленной сети LON, связанные с защитой сети от несанкционированных действий в части несанкционированного чтения информации из сети LON путем подключения к шине, внесения изменений в работу системы при передаче ложных сообщений. Представлена зависимость возникновения угроз жизнеобеспечению автоматизированных систем от низкого уровня конфиденциальности передаваемых сообщений, связанных с отсутствием защиты сетей от несанкционированных действий.

Доказана необходимость и актуальность создания новых методов кодирования при передаче сообщений в промышленных сетях LON, повышающих уровень конфиденциальности, при помощи специальных алгоритмов. Постановлена задача повышения уровня конфиденциальности при передаче сообщений в промышленных сетях LON путем обеспечения противодействия несанкционированному чтению информации из сети LON с минимизацией времени, затрачиваемого узлом промышленной сети LON на обработку дополнительных алгоритмов.

Во второй главе проведен анализ принципов создания надежных и достоверных систем, рассмотрены свойства надежности объектов. Показано, что показатели аппаратной надежности по ГОСТ 27.002-89 и методы расчета по ГОСТ 27.301-95 не могут быть применены к оценке надежности передачи сообщений в части, касающейся уязвимостей несанкционированных чтения и навязывания сообщений.

Проанализирована методологическая база и даны определения программной надежности автоматизированной системы управления, заключающиеся в ее защищенности от случайных или преднамеренных вмешательств в нормальный процесс ее функционирования, выражающийся в хищении или изменении информации, а также в нарушении ее работоспособности. Для построения надежных АСУ определены меры, направленные на защиту ее от случайных или преднамеренных воздействий, которые могут повлечь нарушение запрограммированного процесса управления, состоящие, в том числе, из программно-технических средств, связанных с кодированием информации, идентификацией и аутентификацией, контролем целостности информации, регистрацией и анализом событий.

Показано отсутствие единого определения термина «достоверность информации» и методики её определения. Сделана попытка структурировать понятия достоверности и выработать методику её расчета. Рассмотрены проблемы, методы выбора и оптимизации структуры информационных систем (ИС). Показано, что ИС характеризуется множеством ее входов и выходов, имеет зависимость выхода от входа в виде закона функционирования. Рассмотрены понятия алгоритма функционирования ИС, в качестве которого понимается метод получения выходной функции из входной. Отмечено, что один и тот же закон функционирования может быть реализован различными способами, т. е. с помощью различных алгоритмов. Особое внимание уделено структуре ИС, заключающейся в совокупности и взаимодействии её подсистем.

Показано, что для решения задач по оптимизации структуры системы необходимо выбрать основной (или разработать обобщённый) критерий её оценки. Сформулирована задача выработки критерия, который наиболее полно характеризовал бы различные свойства системы в зависимости от назначения и целей ее применения. Произведен выбор целевой функции конфиденциальности передаваемых сообщений в промышленных сетях на основании обобщенных критериев. Для построения целевой функции предложено в качестве показателя конфиденциальности N выбрать вероятность несанкционированного чтения информации из промышленной сети (1), в качестве показателя целостности О - вероятность возникновения скрытых ошибок или искажений сети по причине передачи ложного сообщения, в качестве показателя временных затрат б - затраты узла на обработку и передачу сообщений, а, - экспертные оценки.

^=а,-Лг +а 2-Б +а3б,

(1)

причем

1а, =1.

(2)

В свою очередь, N, й и б также лежат в интервале (0; 1).

Отмечено, что при расчете и анализе целевой функции ^ необходимо стремиться к нахождению её минимума, приведены положительные свойства выбранной целевой функции.

Формализована задача повышения показателей конфиденциальности и целостности передаваемых сообщений в промышленных сетях ЬОИ, которая заключается в расчете и минимизации обобщенного критерия (целевой функции). Предъявлено требование по ограничению затрат времени узла на обработку и передачу сообщений в размере 210 мс.

В третьей главе показано, что повышение показателей конфиденциальности и целостности передачи сообщений САИ связано с созданием новых и совершенствованием существующих методов защиты передаваемой в промышленных сетях информации, базирующихся на использовании алгоритмов кодирования. Исследованы методы повышения показателей конфиденциальности и целостности при передаче сообщений в промышленных сетях ЬОН включающие в себя применение кодирования сообщений по ГОСТ 28147-89 и по известному алгоритму на тригонометрических функциях, а также применения стеганографических алгоритмов для передачи скрытых данных в сообщениях промышленных сетей ШК показаны особенности реализации алгоритмов. Указаны имеющиеся прецеденты встраивания алгоритмов кодирования в специализированный кристалл.

Отмечено, что для применения кодирования по ГОСТ 28147-89 к потоку информации в сети ЬОЫ возможно использовать только режим гаммирования -наложение (снятие) при помощи операции побитового исключающего «ИЛИ» на открытые (закрытые) данные последовательности элементов данных (гаммы), вырабатываемых алгоритмом. Определено ограничение, по которому для обратимости кодирования необходимо использовать одну и ту же синхропо-сылку, которая должна вырабатываться синхронно источником и приемником по определенному закону. Предусмотрена возможность использования случайных чисел для создания сессионных синхропосылок ключей приемника и передатчика, а также смены ключевого материала с его передачей в закодированном

виде в режиме простой замены по ГОСТ 28147-89 между узлами LON по сети.

Для реализации предложенных алгоритмов была разработана модель узла, создан и реализован на языке Neuron С код программной вставки в микросхему Neuron Chip узла промышленной сети LON (здесь и далее реализация алгоритмов осуществлялась путем внедрения специфичных функций в тело программы микросхемы Neuron Chip версии 3150 с помощью специализированного программного обеспечения), осуществлена экспериментальная проверка при передаче 1000 сообщений. Затраты времени узла на реализацию рассматриваемых алгоритмов во всех случаях не превышали 210 мс.

Для применения алгоритма кодирования сообщений на тригонометрических функциях (патент RU 2331116) к потоку информации в сети LON предложено использование периодических функций:

У, = + 255 • (cos(z+iV • Дх)) ± 255, (3)

где X - открытое значение байта, увеличенное на 0,5; z - любое число, задаваемое в ключе, z е (-ао,+со); N - номер по счету байта из потока; Ах - любое число, задаваемое в ключе. Дх е (-со,-н»). В линейной функции ®„=(z„+Ar/i • Дх) для исключения статистических зависимостей элемент zn вычисляется как Ф„_!& 255 (логическое «И» на битовую маску) при п=1...255. Итоговое Y попадающее в [0;255] округляют до большего целого. Реализована обратная формула, при этом X - кодированное значение, уменьшенное на 0,5, а У, попадающее в [0;255], округляют до меньшего целого. Показаны ограничения z, N и Дх. Предусмотрены использование случайных чисел для создания сессионных ключей (n> z и Дх) и безопасная смена ключей по сети. Затраты времени при реализации не превышают 210 мс,

Разработан и реализован принципиально новый потоковый стеганогра-фический алгоритм, позволяющий не только скрытно передавать данные, но и решать задачи помехоустойчивой аутентификации, защиты информации от несанкционированных действий. Проведен обзор существующих методов стеганографии, рассмотрены возможности методов стеганографии применительно к потоковому контейнеру, представляющему собой непрерывно следующую последовательность бит. Показаны трудности определения начала и конца последовательности, которые являются и достоинством для скрытности передачи. Отмечено отсутствие работ, посвященных потоковым стегосистемам.

Приведено описание структуры потокового стеганографического алгоритма с кодированием скрываемых значений по ГОСТ 28147-89. При этом в передатчике предложено генерировать заголовок, состоящий из случайного числа и из известного приемнику и передатчику значения, после чего заголовок кодируется в режиме простой замены, что позволит исключить его повторяемость. Передатчик генерирует элементы гаммы, используя в качестве сессионных ключей и синхропосылки определенное выше случайное число, после чего по-битно накладывает по модулю 2 гамму на скрываемые данные. Затем передатчик создает итоговый пакет, состоящий из известного приемнику и передатчику значения и накладывает на пакет побитно последующую гамму. Передатчик собирает полный пакет: итоговый пакет, скрываемые данные, кодированные в режиме гаммирования, и заголовок пакета, кодированный в режиме простой замены, после чего полный пакет побитно, в соответствии с количеством используемых младших бит (например, 4 бита), внедряется на место младших бит открытых значений. Отбор проводится со стороны младших бит. Передатчик продолжает внедрение в младшие биты потока следующих элементов гаммы между' окончанием одного пакета и началом другого для сохранения статистических зависимостей и для невозможности определения момента завершения одного пакета и начала другого, эти значения игнорируются приемником.

Для приема потока открытых данных и восстановления скрытых данных приемник постоянно отбирает младшие биты из потока. Если заголовок пакета не принят, восстановленные биты помещаются в накопитель со сдвигом в сторону младших бит. После сдвига осуществляются попытки декодирования накопителя в режиме простой замены на идентичных с передатчиком долгосрочных ключах. После декодирования ожидается появление заголовка, состоящего из случайного числа и из известного приемнику и передатчику значения. При совпадении части заголовка с ожидаемым значением заголовок считается принятым, из него выделяют случайное число, используемое для сессионных ключей и синхропосылки. Далее приемник декодирует восстановленные биты наложением гаммы по модулю 2, декодированные биты помещаются в накопитель со сдвигом в сторону младших бит. После сдвига ожидается появление значения итогового пакета, известного приемнику и передатчику, в случае появления которого стегосессия завершена. Особо отмечено, что в младших битах потока наблюдается информация, неотличимая от случайной, отсутствуют явно выраженные моменты начала и окончания передачи стегоданных.

Проведен анализ предложенных алгоритмов кодирования с помощью рограммного обеспечения для статистических тестов, которое позволяет про-одить тестирование по методам Д. Кнута, Diehard и NIST. Для сбора статисти-i и тестирования использовался стенд, реализующий кодирование нулевых начений и их передачу, программное обеспечение LonScanner для перехвата акетов сети LON, в результате чего получены несколько последовательностей о ГОСТ 28147 89 и по алгоритму кодирования на основе тригонометрических ункций, а также по стеганографическим алгоритмам с применением кодиро-ания по ГОСТ 28147 89 и без кодирования. Для сравнения результатов полу-ены и использованы в тестах последовательности с аппаратного датчика слу-айных чисел (ДСЧ). Результаты тестирования приведены в таблице 1.

аблица 1 - Результаты тестирования последовательности алгоритмов

Наименование тестов

Результат

теста аппаратного ДСЧ

Результат теста по алгоритму

ГОСТ 28147-89

Результат теста по алгоритму на тригонометрических функциях

Результат теста по стеганографичс-скому алгоритму без кодирования

Результат теста по стеганографнческоыу алгорит/иу с кодированием по ГОСТ 28147-89

П юверка 0 и 1

П зоверка несцепленных серий

П зоверка сцепленных серий

П зоверка «дырок»

П зоверка непересекающихся шаблонов

П зоверка пересекающихся шаблонов

П хіверка частот

Посимвольная проверка

П зоверка интервалов

П зоверка перестановок

П зоверка на монотонность

П юверка рангов матриц 32*32

П зоверка кумулятивных сумм

П-зоверка случайных отклонений

П зоверка линейной сложности

П зоверка сжатия по Лемпел-Зиву

Измерено время работы узлов и выполнено сравнение их производи-1ельности при кодировании по ГОСТ 28147-89 и по алгоритму на тригономет-ических функциях, а также при стеганографии. Затраты времени узла на штат-ые операции, на обработку по ГОСТ 28147-89 и на передачу сообщения соста-или при генерации гаммы 170 мс, при наложении имеющейся гаммы - 50 мс. атраты времени на штатные операции, на обработку алгоритма на тригономет-ических функциях и на передачу сообщения составили при генерации ключей обмену ими 100 мс, при расчете и наложении гаммы - 80 мс. Затраты времени а штатные операции, на генерацию гаммы, кодирование и сборку полного па-ета составили 190 мс, а на внедрения данных и передачу - 60 мс.

В целевой функции без применения предложенных алгоритмов показатель конфиденциальности передачи сообщений принят равным 0.99, что соответствует высокой вероятности несанкционированного чтения, в случае использования алгоритмов - 0.01. Показатель целостности без использования аутентификации принят равным 0.99, что соответствует высокой вероятности возникновения ложного сообщения, при использовании аутентификации - 0.01.

Рассчитаны затраты времени узла на обработку и передачу сообщений в относительных единицах, для чего определены формулы расчета удельного веса временных затрат QF, соответствующие целевым функциям для различных вариантов применения предложенных алгоритмов и аутентификации. Рассчитана зависимость целевой функции от различных значений коэффициентов а!, а2 и а3. Задаваясь для каждого из а, значениями а2 и а3 с учетом (2), показано, что для любых а, и а2, а также для соответствующего им а3, целевая функция при использовании стеганографии (без кодирования и аутентификации) всегда хуже, чем целевая функция без использования кодирования, стеганографии и аутентификации, которая в свою очередь всегда хуже, чем целевая функция с аутентификацией (без кодирования или стеганографии), принятой в качестве базовой. При этом целевая функция при использовании кодирования всегда лучше, чем базовая целевая функция. Однако целевая функция при использовании стеганографии (с кодированием по ГОСТ 28147-89 и с аутентификацией) при а, =0.1 будет лучше, чем базовая целевая функция только при а2>0.5, а при других а, >0.1 будет всегда лучше, чем базовая целевая функция. Для дальнейших расчетов экспертным путем установлена величина а,, а2 и а3 из (2) в размере 0.2,0.5 и 0.3 соответственно. Расчет показан в таблице 2.

Таблица 2 - Расчет целевых функций показателя качества Т7

Целевая функция Значение целевой функции Изменение от базовой величины

без кодирования и стеганографии (без штатной аутентификации) 0,6983 30,17% -61,12%

без кодирования и стеганографии (с штатной аутентификацией) 0,2241 77,59% -

с кодированием по ГОСТ 28147-89 (с штатной аутентификацией) 0,0333 96,67% +24,59%

с кодированием на основе тригонометрических функций (с штатной аутентификацией) 0,0333 96,67% +24,59%

со стеганографией без кодирования (без штатной аутентификации) 0,7246 27,54% -64,51%

со стеганографией без кодирования (с штатной аутентификацией) 0,2977 70,23% -9,49%

со стеганографией с кодированием по ГОСТ 28147-89 (с штатной аутентификацией) 0,1017 89,83% +15,78%

Показано, что стремится к нулю при максимальной конфиденциальности и целостности. Базовой конфиденциальностью и целостностью определе-

на целевая функция без предложенных алгоритмов и с штатной аутентификацией при F =0,2241 или 77,59%. Величина целевой функции с применением штатной аутентификации и использованием алгоритма кодирования по ГОСТ 28147-89 или алгоритма на основе тригонометрических функций, увеличится на 24,59%, а при стеганографии с кодированием по ГОСТ 28147-89 и с штатной аутентификацией - на 15,78%.

В четвертой главе нашли отражение вопросы, связанные с практической реализацией предложенных алгоритмов в составе САИ. Приведены назначение и характеристики САИ, определена её структура, состав аппаратурно-программного обеспечения, описано функционирование.

Предложена аппаратурно-программная реализация алгоритмов кодирования и стеганографических алгоритмов, в результате чего разработана и внедрена в опытную эксплуатацию САИ, обеспечивающая передачу сообщений промышленной сети LON с использованием предложенных алгоритмов. Апробация алгоритмов в составе САИ при её эксплуатации подтвердила теоретические результаты о возможности использования алгоритмов для защиты сообщений промышленной сети LON от несанкционированного чтения информации, показала практическую целесообразность построения защищенной передачи сообщений в процессе проведения испытаний при заданном режиме работы в реальном времени. Результаты опытной эксплуатации показали высокую степень защиты передаваемых сообщений, компактный объем программного модуля, масштабируемость системы, при этом попытки имитации несанкционированных действий с помощью прослушивания сети и передачи ложных сообщений не привели к успеху.

В заключении сформулированы основные результаты работы.

В приложениях приведен программный код на языке Neuron С, реализующий указанные алгоритмы, и документы, подтверждающие внедрение.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ И ВЫВОДЫ

1. Предложен обобщенный критерий оценки конфиденциальности и целостности при передаче сообщений в промышленной сети САИ, в качестве параметров выбраны вероятность несанкционированного чтения информации из сети, вероятность передачи ложного сообщения и затраты времени на обработку и передачу сообщений. Осуществлено сопоставление алгоритмов с использованием предложенной целевой функции. Базовая величина конфиденциаль-

ности и целостности определена в размере 77,59%. Показано, что одновременно с сохранением штатных средств аутентификации величина конфиденциальности и целостности при использовании алгоритма кодирования по ГОСТ 28147-89 или алгоритма кодирования на основе тригонометрических функций даст прирост на 24,59%, а при использовании стеганографического алгоритма с кодированием по ГОСТ 28147-89 - на 15,78%. Использование стеганографического алгоритма без кодирования признано нецелесообразным.

2. Разработан принципиально новый способ потоковой стеганографиче-ской передачи двоичных данных, который позволяет построить потоковый сте-гоканал для скрытой передачи двоичных данных.

3. Адаптирован известный способ кодирования на тригонометрических функциях, для использования в потоковом кодировании, который позволяет построить защищенную систему передачи двоичных данных.

4. Разработано инструментально-программное средство с реализацией предложенных способов при сохранении скорости обработки информации. Проведена оценка производительности узлов промышленной сети LON при использовании предложенных алгоритмов. Затраты времени узла промышленной сети LON не превышают заданной величины в 210 мс. Проведен анализ предложенных способов с помощью статистических тестов, для которых получены положительные результаты, сравнимые со статистическим распределением последовательностей, полученных с аппаратных датчиков случайных чисел.

ОСНОВНЫЕ ПОЛОЖЕНИЯ ДИССЕРТАЦИИ ОПУБЛИКОВАНЫ В РАБОТАХ

В рецензируемых журналах из списка ВАК

1. Капгер И.В. Реализация криптографического преобразования сообщений, передаваемых в промышленных сетях LON / И.В. Капгер, В.П. Сизов, A.A. Южаков // Вопросы защиты информации, 2010, №1. С. 28-43.

2. Капгер И.В. Реализация криптографических преобразований сообщений, передаваемых в промышленных сетях LON, по ГОСТ 28147-89 / И.В. Капгер, A.A. Южаков // Приборы и системы. Управление, контроль, диагностика, 2010, №5. С. 2-9.

3. Капгер И.В. Реализация применения стеганографических вставок в сообщениях, передаваемых в промышленных сетях LON / И.В. Капгер, A.A. Южаков // Промышленные АСУ и контроллеры, 2010, №6. С. 48-53.

4. Капгер И.В. Реализация стеганографических вставок в сообщениях промышленных сетей LON // Вестник компьютерных и информационных технологий, 2010, №9. С. 32-36.

5. Капгер И.В. Повышение достоверности информации в системах управления промышленных сетей LON интеллектуальных зданий / И.В. Капгер, А.Ан. Южаков, А.Ал. Южаков // Автоматизация и современные технологии, 2010, №12. С. 17-22.

6. Патент на полезную модель «Устройство для потоковой стеганографи-ческой передачи двоичных данных» / И.В. Капгер, A.A. Южаков // Патент № RU 101299 U1, опубл. 10.01.2011, Бюл. № 1.

В других изданиях

7. Капгер И.В. Повышение надежности и достоверности промышленных Fieldbus-сетей на примере LON / И.В. Капгер, A.A. Южаков // Информационные технологии в науке, социологии, экономике и бизнесе IT+SE'08: материалы XXXV междунар. конф. и дискус. науч. клуба: осенняя сес., Украина, Крым, Ялта-Гурзуф, 30 сентября-8 октября 2008 г. -М., 2008.С. 76-77.

8. Капгер И.В. Увеличение надежности и достоверности Fieldbus-сетей / И.В. Капгер, A.A. Южаков // Проблемы техники и технологий телекоммуникаций: материалы IX междунар. науч.-технич. конф., Казань, 25-27 нояб. 2008 г. -Казань: Изд-во Казан, гос. техн. ун-та, 2008. С. 75-76.

9. Капгер И.В. Применение криптографического преобразования сообщений в промышленных сетях LON по ГОСТ 28147-89 / И.В. Капгер, A.A. Южаков // Радіоелектронні і комп'ютерні системи. - 2009. -7(41). С. 106-110.

10. Капгер И.В. Повышение надежности и достоверности промышленных сетей LON путем применения криптографических преобразований / И.В. Капгер, A.A. Южаков // Информационные технологии в науке, социологии, экономике и бизнесе IT+SE'09: материалы XXXVI междунар. конф. и дискус. науч. клуба: майская сес., Украина, Крым, Ялта-Гурзуф, 20-30 мая 2009 г. - М., 2009. С. 121-123.

11. Капгер И.В. Применение криптографических алгоритмов в сетях LON / И.В. Капгер, В.П. Сизов, A.A. Южаков // Системы мониторинга и управления: сб. науч. тр. Перм. гос. тех. ун-т. - Пермь, 2009. С. 232-236.

12. Капгер И.В. Применение стеганографических вставок при передаче сообщений в промышленных сетях LON / И.В. Капгер, A.A. Южаков // Информационные технологии и информационная безопасность в науке, технике и обра-

зовании ИНФОТЕХ-2009: материалы междунар. науч.-практ. конф,, Севастополь, Украина, 07-12 сент. 2009 г. - Севастополь, 2009. С. 313-316.

13. Капгер И.В. Реализация криптографического преобразования сообщений, передаваемых в промышленных сетях LON / И.В. Капгер, A.A. Южаков // Информационные технологии в науке, социологии, экономике и бизнесе 1T+SE'09: материалы XXXVI междунар. конф. и дискус. науч. клуба: осенняя сес., Украина, Крым, Ялта-Гурзуф, 1-10 окт. 2009 г. -М., 2009. С. 56-58.

14. Капгер И.В. Реализация криптографического преобразования сообщений, передаваемых в промышленных сетях LON, по ГОСТ 28147-89 // Свидетельство о государственной регистрации программы для ЭВМ №2009616305, опубликовано 13.11.2009.

15. Капгер И.В. Реализация применения стеганографических вставок в сообщениях, передаваемых в промышленных сетях LON / И.В. Капгер, A.A. Южаков // Свидетельство о государственной регистрации программы для ЭВМ №2010610255, опубликовано 11.01.2010.

16. Капгер И.В. Реализация криптографического преобразования сообщений, передаваемых в промышленных сетях LON, по алгоритму шифрования В.П. Сизова / И.В. Капгер, В.П. Сизов, A.A. Южаков // Свидетельство о государственной регистрации программы для ЭВМ №2010610256, опубликовано 11.01.2010.

17. Капгер И.В. Реализация стегоканала в промышленных сетях LON / И.В. Капгер, A.A. Южаков // Системы мониторинга и управления: сб. науч. тр. Перм, гос. тех. ун-т. - Пермь, 2010. С. 4-8.

18. Капгер И.В. Реализация криптографических преобразований сообщений в системах управления промышленных сетей LON интеллектуальных зданий / И.В. Капгер, A.A. Южаков, Ал.А. Южаков // Радіоелектронні і комп'ютерні системи. -2010. - 6(47). С. 78-81.

19. Капгер И.В. Анализ реализаций криптографических преобразований сообщений в системах управления промышленных сетей LON интеллектуальных зданий / И.В. Капгер, A.A. Южаков, Ал.А. Южаков // Информационные технологии в науке, образовании, телекоммуникации и бизнесе IT+SE'10: материалы XXXVII междунар. конф. и дискус. науч. клуба: майская сес., Украина, Крым, Ялта-Гурзуф, 20-30 мая 2010 г. - М., 2010. С. 117-118.

Диссертант

И.В. Капгер

Подписано в печать 06.03.2012. Формат 60x90/16. Усл. печ. л. 1,0. Тираж 100 экз. Заказ № 325/2012

Издательство Пермского национального исследовательского

политехнического университета 614990, г. Пермь, Комсомольский пр., 29, к.113 тел. (342) 219-80-33

Текст работы Капгер, Игорь Владимирович, диссертация по теме Методы и системы защиты информации, информационная безопасность

61 12-5/3683

Пермский национальный исследовательский политехнический университет

На правах рукописи

КАПТЕР Игорь Владимирович

ПОВЫШЕНИЕ УРОВНЯ КОНФИДЕНЦИАЛЬНОСТИ В ПРОМЫШЛЕННЫХ СЕТЯХ СИСТЕМ АВТОМАТИЗАЦИИ ИСПЫТАНИЙ

Специальность 05.13.19 - Методы и системы защиты информации,

информационная безопасность

Диссертация на соискание ученой степени кандидата технических наук

Научный руководитель д.т.н., профессор Южаков A.A.

Пермь -2012

Содержание

Введение............................................................................................................................................^

1. Распределенные системы управления..................................................... 12

1.1. Развитие систем автоматизации и управление технологическими процессами и производствами в промышленности...........................................12

1.1.1. Модели и структурные решения человеко-машинных систем автоматизации испытаний.......................................................................... 14

1.1.2. Требования к системам автоматизации испытаний............................15

1.2. Обработка данных в распределенных системах управления....................17

1.2.1. Особенности реализации Fieldbus-сетей..............................................20

1.2.2. Структура промышленной сети LON...................................................22

1.2.2.1. Узлы промышленной сети LON...................................................25

1.2.2.2. Объекты и линии ввода и вывода Neuron Chip..........................29

1.2.2.3. Коммуникация узлов промышленной сети LON.......................31

1.3. Возможности аутентификации узлов LON.................................................32

1.4. Выводы...........................................................................................................34

2. Надежность и достоверность передачи сообщений в промышленных сетях 35

2.1. Принципы создания надежных и достоверных систем.............................35

2.2. Проблемы и методы выбора и оптимизации структуры информационных систем......................................................................................................................38

2.2.1. Обобщенный критерий оценки информационных систем.................41

2.2.2. Выбор целевой функции уровня конфиденциальности передаваемых сообщений в промышленных сетях LON........................................................42

2.3. Анализ и исследование процессов сбора и обработки данных в системах автоматизации испытаний на базе LON систем.................................................45

2.4. Выводы...........................................................................................................53

3. Методы повышения уровня конфиденциальности...........................................54

3.1. Исследование применения кодирования сообщений промышленных сетей LON...............................................................................................................54

3.1.1. Построение алгоритма кодирования сообщений по ГОСТ 28147-89 55

3.1.2. Построение алгоритма кодирования сообщений на основе тригонометрических функций..........................................................................63

3.2. Исследование применения стеганографических алгоритмов для передачи скрытых сообщений промышленных сетей LON..............................................79

3.2.1. Построение стеганографического алгоритма без использования кодирования.......................................................................................................81

3.2.2. Построение стеганографического алгоритма с использованием кодирования.......................................................................................................88

3.3. Оценка качества разработанных алгоритмов.............................................98

3.3.1. Оценка статистических зависимостей при использовании различных алгоритмов..........................................................................................................98

3.3.2. Оценка производительности узлов промышленной сети LON при использовании различных алгоритмов.........................................................103

3.4. Оценка целевой функции уровня конфиденциальности передаваемых сообщений в промышленных сетях LON..........................................................112

3.5. Выводы.........................................................................................................124

4. Реализация кодирования сообщений в составе системы автоматизации испытаний.................................................................................................................127

4.1. Структура и характеристика объекта автоматизации..............................127

4.1.1. Характеристика объекта автоматизации............................................127

4.1.2. Назначение системы автоматизации испытаний...............................128

4.1.3. Структура системы автоматизации испытаний.................................129

4.2. Функционирование системы автоматизации испытаний........................131

4.3. Результаты опытной эксплуатации системы............................................134

4.4. Выводы.........................................................................................................135

Заключение...............................................................................................................136

Перечень принятых терминов и сокращений................................................. 139

Список использованных источников............................................................................................141

Приложение А..........................................................................................................................................................^ 52

Приложение Б...........................................................................

Приложение В....................................................................................................................................................2 70

Приложение Г................................................................................................................................................................174

Приложение Д........................................................................................................................................................................175

Введение

Постоянное повышение требований к точности, быстродействию, достоверности и другим характеристикам процесса испытаний сложных авиационных агрегатов обуславливает необходимость создания и развития современных систем автоматизации испытаний (САИ). При этом расширение номенклатуры испытываемых изделий, их усложнение и повышение требований к эффективности САИ определяют тенденцию к созданию их на основе эффективных алгоритмов сбора и преобразования информации, реализуемых с помощью средств вычислительной техники [1]. Переход к САИ характеризуется наличием большой интенсивности информационных потоков, высокими требованиями к точности, быстродействию и конфиденциальности испытаний [2]. Задачи автоматизированных испытаний и обработка их результатов, технические средства автоматизации авиационной техники нашли свое отражение в работах И.М. Пашковского, Р.И. Адгамова, П.П. Орнатского, H.H. Матушкина, A.A. Южакова, Ю.Ю. Комарова, И.А. Елизарова, И.М. Сендеева и др.

Максимальную достоверность испытаний авиационных изделий, связанных с воздействием всех физических факторов обеспечивают испытания в условиях летной лаборатории. Однако возможности использования испытательной базы этого уровня ограничиваются экономическими соображениями. Аналогичные причины обуславливают ограниченность возможностей использования для испытаний авиационных изделий специализированных высотных стендов. Постановка испытаний авиационных изделий на универсальных моделирующих комплексах, реализованных на средствах вычислительной техники, выявила ряд проблем моделирования датчиков, сигналов и процессов, что не обеспечивает требуемую достоверность испытаний [3]. Кроме этого, информация, циркулирующая внутри САИ, передается в открытом виде, что может привести к её несанкционированному чтению и возможной передаче ложных сообщений. Повышение уровня конфиденциальности передачи сообщений поднимались в работах Ю.Н. Мельникова, А.Н. Пивоварова, В.Е. Захарченко, А.Г. Мамиконова, А.Н. Ефимова, A.A. Сарвина и др.

Исследованию и оптимизации структуры информационных систем посвящены работы авторов Г.А. Шастовой, А.И. Коёкина, Т.Я.Лазаревой, Ю.Ф. Мартемьянова, А.Г. Схиртладзе, А.Г. Цветкова и др.

Для того чтобы максимально эффективно использовать вычислительные ресурсы компьютеров, их необходимо объединить в сеть. Компьютер и компьютерные сети все чаще применяются для автоматизации производственных процессов, в том числе и для САИ авиационных изделий. Идея их полной автоматизации стала доступной с появлением возможности объединять компьютерные сети различного назначения между собой. Эта идея особенно привлекательна сейчас, когда стало известно, каким образом можно объединить датчики и исполнительные механизмы «в поле» (от англ. «in the field», имеется в виду термин Fieldbus — полевая шина), не прибегая к большим затратам.

Fieldbus-системы автоматизации испытаний авиационных изделий, которые могут быть построены и на базе промышленных сетей LON, могут стать существенной частью будущих систем автоматизации, базисом для разработок, которые в будущем приобретут большую значимость.

Объединение САИ в сеть может быть экономически эффективно на основе Fieldbus-технологии. До недавнего времени управление системами автоматизации носило выраженный централизованный характер, такая структура не является оптимальной и видна тенденция к децентрализации процессов.

Основная идея LON заключается в децентрализованном распределении интеллекта на основе новых концепций. Принципы построения распределенных приложений и перспективы развития промышленных сетей LON показаны в работах Д. Дитриха, Ф. Тирш и др.

Повышение уровня конфиденциальности передачи сообщений в САИ авиационных изделий, построенных на базе промышленной сети LON, тесно связано с необходимостью создания новых и совершенствования существующих методов защиты передаваемой в промышленных сетях информации, которые базируются на использовании кодирования данных и применении стегано-графических алгоритмов.

Задача реализации алгоритмов кодирования на современной элементной базе с помощью использования известных методов и алгоритмов неоднократно обсуждалась в работах А.Винокурова, В.Х.Ханова, А.Н.Терехова,

A.B. Яковлева, A.A. Безбогова и др.

Вопросы применения стеганографических методов показаны в работах

B.Г. Грибунина, И.Н. Окова, И.В. Туринцева, К.И. Пономарева.

Оценка эффективности предложенных алгоритмов основывается, в первую очередь, на исследовании статистических зависимостей, различные варианты частных подходов к задачам, исследования которых отражены в работах Д. Кнута, G. Marsaglia, А.Н. Фионова, М.А. Иванова, И.В. Чугункова и др.

Таким образом, создание современных САИ авиационных изделий, построенных на основе промышленных сетей LON, обладающих высоким уровнем конфиденциальности, при помощи специальных методов, связанных с кодированием данных, - перспективная и актуальная задача.

Объектом исследований является совокупность процессов при передаче сообщений в промышленной сети САИ.

Задачи исследования

Методы исследования

Основные научные результаты, выносимые на защиту

1. Критерий оценки уровня конфиденциальности передачи сообщений в промышленной сети системы автоматизации испытаний авиационных изделий, основанный на показателях вероятности несанкционированного чтения информации из промышленной сети, вероятности возникновения скрытых ошибок или искажений промышленной сети по причине передачи ложного сообщения, и относительных временных затрат узла на обработку и передачу сообщений при использовании различных алгоритмов.

4. Инструментально-программное средство для создания потокового стегоканала для скрытой передачи двоичных данных и для создания кодированной защищенной системы передачи двоичных данных в промышленной сети Ь01М, основанное на предложенных способах.

Научная новизна работы состоит в следующем:

2. Новизна способа потоковой стеганографической передачи двоичных данных, при котором внедряют скрываемые данные О в потоковый контейнер в передатчике путем формирования по N бит открытых данных Б', отбора и кодирования по Ь бит из Б (Ь < 14), встраивания ЦБ) в Ы(Б') на место младших ЦБ'); передают N(0') каналам связи; восстанавливают Б из потока Б' в приемнике путем извлечения кодированных ЦБ) из N(0'), формирования и декодирования Б из ЦБ), отличающийся тем, что передатчиком генерируют заголовок 2&Я из известного приемнику и передатчику значения синхронизации Ъ и случайного числа Я, кодируют заголовок в режиме простой замены на долгосрочном ключе К - Ек^&Я), генерируют сессионный ключ С)(Я) и гамму О(0>), накладывают побитно БбЮ, на известное окончание Е накладывают побитно ЕШв, собирают полный пакет в обратном порядке Е0О & Б0О & Рк(2&11), из которого отбор ведут с младших бит; в приемнике накапливают извлеченные кодированные ЦБ) в старших битах накопителя со сдвигом в сторону младших, после каждого сдвига декодируют накопитель в режиме простой замены на ключе К и ожидают в старшей части появления Z, после чего заголовок принят (иначе декодирование и ожидание продолжают), накопитель обнуляют, генерируют ключ <3(Я) и гамму 0((£); накладывают О побитно на кодированные ЦБ), накапливают декодированные ЦБ) в старших битах накопителя со сдви-

гом в сторону младших и ожидают появления в старшей части значения Е, при появлении которого заканчивают прием D (иначе ожидание Е продолжают).

3. Новизна адаптированного способа кодирования на тригонометрических функциях, при котором кодирование увеличенного на 0,5 открытого значения N-ro по счету байта из потока величиной X с помощью элементов ключа Z и АХ осуществляется по формуле Y=X+255«(cos(Z+N«AX))±255 и результат кодирования, удовлетворяющий диапазону [0;255], округляется до большего целого, отличающийся тем, что в линейной функции гаммирования On=(Zn+Nn«AX) для исключения статистических зависимостей элемент Zn вычисляется как Фп-1&255 (логическое «И» на битовую маску) при п=1.. .255.

Практическая ценность работы

Результаты исследований внед

Похожие работы

Информатика, вычислительная техника и управление
05.13.00