автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.13, диссертация на тему:Разработка методов повышения защиты компьютерных сетей и приложений

кандидата технических наук
Шубарев, Андрей Евгеньевич
город
Москва
год
2006
специальность ВАК РФ
05.13.13
цена
450 рублей
Диссертация по информатике, вычислительной технике и управлению на тему «Разработка методов повышения защиты компьютерных сетей и приложений»

Автореферат диссертации по теме "Разработка методов повышения защиты компьютерных сетей и приложений"

На правах рукописи

ШУБАРЕВ Андрей Евгеньевич

РАЗРАБОТКА МЕТОДОВ ПОВЫШЕНИЯ ЗАЩИТЫ КОМПЬЮТЕРНЫХ СЕТЕЙ И ПРИЛОЖЕНИЙ (НА ПРИМЕРЕ ИСПОЛЬЗОВАНИЯ ТЕХНОЛОГИИ MPLS)

Специальность - OS.13.13 Телекоммуникационные системы и компьютерные сети

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Москва-2006

Работа выполнена при государственном образовательном учреждении высшего профессионального образования «Московский государственный университет путей сообщения (МИИТ)»

Научный руководитель: кандидат технических наук, профессор

СОЛОВЬЕВ Владимир Павлович

Официальные оппоненты: доктор технических наук, профессор

Корниенко Анатолий Адамович кандидат технических наук, доцент Крепкое Игорь Михайлович

Ведущая организация: ГОУ ВПО «Уральский государственный

технический университет - УПИ». Радиотехнический институт - РТФ.

Защита состоится "_"_2006 г. в_часов на заседании

диссертационного совета Д218.005.10 при Московском государственном университете путей сообщения (МИИТ) по адресу: 127994, г. Москва, ул. Образцова, д. 15, ауд._.

С диссертацией можно познакомиться в библиотеке Московского государственного университета путей сообщения (МИИТ).

Автореферат разослан "_"_2006 года.

Ученый секретарь диссертационного совета к.т.н., профессор

Соловьев В.П.

ДООб fi

мнъ

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность.

В современном мире все большее значение приобретают распределенные информационные вычислительные сети и технологии их создания. Развитие технологий сопровождается появлением проблем, для решения которых требуется научный подход. Такого рода проблемой является зашита компьютерных сетей и приложений от несанкционированного доступа.

В частности, современная технология коммутации по меткам (MPLS) не предусматривает возможностей шифрования и скрытия архитектуры распределенной вычислительной сети. Виртуальные частные сети, созданные на основе технологии MPLS обеспечивают только изоляцию распространения сетевого трафика внутри определенной частной виртуальной сети. Таким образом, из-за большой протяженности каналов связи злоумышленник может осуществить атаку на протоколы информационного обмена при непосредственном подключении к каналу связи.

Исследование существующей технологии коммутации по меткам, позволит разработать методы, повышающие защиту компьютерных сетей и приложений.

Делью диссертационной работы является разработка методов и алгоритмов, которые повышают защиту MPLS-сетей и приложений.

Задачи работы:

1. Анализ и исследование существующей технологии многопротокольной коммутации по меткам.

2. Разработка методов и алгоритмов, повышающих защиту MPLS-сети и приложений от атак на протоколы информационного обмена при непосредственном подключении к линии связи.

2.1. Разработка метода отказа от протоколов сетевого уровня при передаче пакетов и шифровании пакетов в MPLS-сети.

2.2. Разработка метода построения односторонних функций.

2.3. Разработка метода кодирования значений меток.

3. Разработка системы моделирования подключения злоумышленника к каналу связи.

Методы исследования:

Для решения поставленных задач были использованы методы криптографии, комбинаторики, декомпозиции систем. При разработке программного обеспечения использован объектно-ориентированный подход.

Научная новизна работы.

Решение поставленных в диссертационной работе задач определяет научную новизну исследования, которую, прежде всего, составляют:

- Метод отказа от использования протоколов сетевого уровня при передаче пакетов и шифрование пакетов;

- Метод кодирования меток при помощи односторонней функции, позволяющий затруднить или сделать невозможной сортировку перехваченных пакетов по классам эквивалентности при пересылке;

- Система моделирования подключения злоумышленника к каналу связи.

Практическая ценность данной работы обусловлена предложениями и выводами, обеспечивающими повышение защиты МРЬв-сетей и приложений от атак на протоколы информационного обмена при непосредственном подключении к каналу связи. Данная защита позволит предотвратить кражу и раскрытие конфиденциальной информации, передаваемой по каналам связи МРЬБ-сети.

Достоверность результатов работы подтверждена модельными экспериментами.

Основные практические результаты, выносимые на защиту.

1. Разработанный метод отказа от использования протоколов сетевого уровня при передаче пакетов и шифрование пакетов.

2. Разработанный усовершенствованный алгоритм работы сета с многопротокольной коммутацией по меткам.

3. Разработанный метод построения односторонних функций для кодирования меток.

4. Разработанный метод кодирования меток односторонней функцией.

5. Основанное на модельном эксперименте обоснование возможности применять выбранные секретные параметры для кодирования меток.

Реализация результатов работы. Результаты были применены ГМНПК «Технологии информационных систем» для обеспечения защиты компьютерных сетей и приложений «Комплекса средств автоматизации полигонных испытаний ВВТ (ОКР "ТИС-7")» от атак на протоколы информационного обмена при непосредственном подключении к каналу связи.

Апробация работы. Основные положения диссертационной работы докладывались и обсуждались на заседаниях кафедры «Математическое обеспечение автоматизированных систем управления» МИИТа, а также на следующих научных конференциях:

• Первая международная научная конференция "ТЯАЫБ-МЕСН-АКТ-СНЕЯМ". Радом, 2003 г.

• 11-ая международная научно-техническая конференция «Радиоэлектроника, электротехника и энергетика». МЭИ, 2005 г.

• Международная научно-техническая конференция «Информационные средства и технологии». МЭИ, 2005 г.

• Всероссийская научно-практическая конференция "Безопасность информационного пространства". УГТУ-УПИ, 2005 г.

Публикации. По теме диссертации опубликовано 7 печатных работ.

Структура и объем работы. Диссертация состоит из введения, четырех глав и заключения. Диссертация содержит 120 страниц, 44 рисунка и 31 таблицу. Список литературы насчитывает 83 наименования.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается актуальность исследуемой в диссертации проблемы, формулируются основные цели и задачи исследования.

Первая глава имеет обзорный характер. Даны определения основных терминов и понятий, используемых далее в работе.

Исследуются существующие уязвимости компьютерных сетей. Приведена классификация способов несанкционированного доступа к информации, передаваемой по компьютерным сетям.

Приводится анализ существующего способа противодействия атакам на протоколы сетевого обмена, а именно создание защищенных виртуальных сетей (Virtual Private Network, VPN).

Наряду с этим, автор позиционирует новую проблему -уязвимость компьютерных сетей, работающих по технологии многопротокольной коммутации по меткам (Multi Protocol Label Switching, MPLS) к атакам на протоколы сетевого обмена при непосредственном подключении к каналу связи.

В заключение главы, опираясь на результаты проведенного исследования проблемы, автор раскрывает цели и задачи диссертационной работы.

Вторая глава посвящена разработке методов и алгоритма повышения защиты MPLS-сетей.

Метод отказа от протоколов сетевого уровня при передаче пакетов и шифровании пакетов позволяет не использовать протоколы сетевого уровня при передаче пакетов по MPLS-сети. Метод включает в себя:

1) Назначение отдельных меток IP-адресам сетевых интерфейсов устройств, работающих по технологии многопротокольной коммутации по меткам.

IP- адрес 1 <-> Метка 1 IP- адрес 2 *-* Метка 2

IP- адрес N «-» Метка N Рис. 1. Сопоставление IP-адресам меток

2) Распространение информации в MPLS-сети о привязке «IP-адрес—метка» с помощью модифицированного протокола распределения меток или модифицированного протокола маршрутизации, например, модифицированного протокола распределения меток (Label Distribution Protocol, LDP) или модифицированного протокола маршрутизации граничного шлюза (Border Gateway Protocol, BGP), который распространяет помимо привязки «маршрут-метка» еще и привязку «1Р-адрес-метка». Используя полученную информацию о привязке «маршрут-метка», «1Р-адрес-метка» MPLS-устройства организуют маршруты с коммутацией по меткам, как и в не модифицированной технологии MPLS.

3) Шифрование отдельно взятого сетевого пакета как при входе в MPLS-сеть, так и при создании пакета на MPLS-устройстве внутри MPLS-сети. Обмен секретными ключами можно реализовать с помощью существующих методов и протоколов.

При работе MPLS-сети по методу отказа от протоколов сетевого уровня при передаче пакетов и их шифровании, злоумышленнику, осуществляющему атаку на протоколы информационного обмена при непосредственном подключении к каналу связи необходимо выполнить криптографический анализ перехваченных пакетов. Скорее всего, первым шагом его анализа будет классификация перехваченных пакетов по классам эквивалентности при пересылке, то есть по значению метки. Чтобы затруднить или сделать невозможной данную классификацию необходимо выполнять кодирование меток. Для этого был разработан метод кодирования меток односторонней функцией, который описан в главе 3.

Реализация приведенных выше методов, предполагает внесение определенных изменений в архитектуру MPLS-устройств (см. рис. 2). В модифицированной архитектуре необходимо реализовать новые функциональные модули:

1. Модуль кодирования и декодирования значений меток. Этот модуль предназначен для наполнения модифицированной информационной базы пересылки по меткам закодированными значениями меток. Вычисление закодированных значений меток выполняется с помощью однонаправленной функции и секретных параметров, используемых при кодировании. Исходными данными для получения закодированного значения метки может быть информация из таблицы маршрутизации и информация из немодифицированной информационной базы пересылки по меткам. Например, исходными данным для получения закодированного значения метки могут быть: IP-адрес устройства в MPLS-сети, адрес сети и т.д.

2. Модуль шифрования и дешифрования. Этот модуль отвечает за криптографическую защиту сетевых пакетов и должен поддерживать как симметричное шифрование, так и асимметричное.

3. Модуль обмена секретными ключами. Этот модуль отвечает за обмен секретными ключами, необходимыми для шифрования пакетов и кодирования меток.

Кроме этого, при реализации данных методов изменится и структура информационной базы меток. В модифицированной информационной базе меток содержатся все закодированные с помощью секретных параметров значения меток. Запись в информационной базе пересыпки по меткам состоит из множества закодированных значений входных меток и одной или более вложенных записей. Каждая вложенная запись состоит из множества закодированных выходных меток, номера выходного сетевого интерфейса и адреса следующего перехода.

Рис. 2. Модифицированная архитектура МРЬБ-устройства

Алгоритм повышения защиты МРЬБ-сети имеет следующий вид:

1. Работа МРЬЭ-сети по обычному принципу. Работа МРЬв-сети по обычному принципу необходима для того, чтобы обеспечить:

первоначальный обмен метками и информацией о маршрутизации;

- создание информационной базы пересылки по меткам на каждом ЫРЬБ-устройстве;

- создание коммутируемых по меткам маршрутов.

2. Отказ от использования протоколов сетевого уровня при передаче пакетов. Отказаться от использования протоколов сетевого уровня при передаче пакетов можно только тогда, когда выполнено сопоставление 1Р-адреса на каждом МРЬ8-устройстве метке. Также необходимо, чтобы был осуществлен обмен информацией о привязке «1Р-адрес-метка» с помощью модифицированных протоколов маршрутизации или модифицированных протоколов распределения меток.

3. Шифрование и дешифрование пакетов. Необходимо, чтобы функции шифрования и дешифрования пакетов выполнялись на каждом МРЬБ-устройстве. Обмен информацией о секретных ключах, используемых при шифровании и дешифровании пакетов необходимо выполнять с помощью существующих протоколов обмена ключами или модифицированными протоколами маршрутизации.

4. Кодирование меток. Функции кодирования меток должны поддерживаться на каждом МРЬЗ-устройстве. Обмен секретными параметрами, используемыми при кодировании, необходимо осуществлять с помощью модифицированных протоколов распределения меток.

Третья глава посвящена разработке метода построения односторонних функций и метода кодирования меток односторонней функцией.

Для повышения защиты приложений и компьютерной сети, работающей по технологии MPLS необходимо выполнять кодирование меток, чтобы затруднить или сделать невозможным классификацию перехваченных данных по классам эквивалентности при пересылке. Нужно осуществлять кодирование только поля «значение метки», имеющее размер 20 бит, остальные поля заголовка MPLS будем считать косвенными и не используемыми при адресации пакета. Слишком малый размер поля не позволяет использовать известные односторонние (однонаправленные) хэш-функции, так как размер свертки, возвращаемый этими функциями слишком велик.

Этот метод позволяет строить односторонние функции, которые преобразовывают параметры, используемые при адресации пакетов, такие как адрес сети, IP-адрес, номер виртуальной частной сети и ряд других в закодированное значение метки. Исходными данными при первичном кодировании значений меток могут служить: сетевой адрес и порт получателя, приоритет, данные о качестве обслуживания, принадлежность к частной виртуальной сети и т.д. При последующих операциях кодирования исходными данными служат значения меток, полученные на предыдущих этапах кодирования. Таким образом, необходимо закодировать множество значений меток, описывающее один класс эквивалентности при пересылке. То есть, в отличии от не модифицированной технологии MPLS, где только одна метка описывала класс эквивалентности при пересылке, в усовершенствованной технологии предлагается использовать множество закодированных значений меток для описания класса эквивалентности при пересылке. Такое кодирование необходимо выполнять для того, чтобы затруднить или сделать невозможной сортировку перехваченных пакетов злоумышленником по классам эквивалентности при пересылке.

На практике достаточно сложно построить функцию, которая для исходных данных произвольной длины возвращала бы свертку заданного размера. Поэтому односторонние функции строятся на основе сжимающих функций. В разработанном методе за основу сжимающей функции взята функция из алгоритма RSA. В этой функции используется операция mod (остаток от деления), которая определяет конечный интервал результата. Таким образом, на основе этой операции можно построить сжимающую функцию, которая бы учитывала все необходимые исходные данные. Применительно к модифицированной технологии MPLS исходными данными являются: сетевой адрес и порт получателя,

приоритет, данные о качестве обслуживания, принадлежность к частной виртуальной сети и т.д., которые берутся из таблицы маршрутизации и модифицированной информационной базы пересылки по меткам. Для этого необходимо исходные данные разбить на блоки М, . Общий вид сжимающей функции:

к. = тех! р,

(1)

где А0, х, р - секретные параметры, - секретный полином, М, - блок данных.

Используя общий вид полинома (2), не составляет особой сложности составить секретный полином, учитывающий все необходимые параметры.

Р{х) = аяхп +ая_ххп-х+... + а0

(2)

В диссертационной работе был использован полином (без секретного параметра х) следующего вида:

= Л/,.

На основе этого полинома была построена односторонняя функция:

к = (/1._( +М.) той р

(3)

Для увеличения разрядности хэш-значения, возвращаемого односторонней функцией используется существующий метод, который используется для увеличения разрядности в алгоритме МЭ5.

Метка идентифицирует класс эквивалентности при пересылке. Входными данными для определения класса эквивалентности при пересылке могут служить: адрес и порт получателя, приоритет, данные о качестве обслуживания, принадлежность к частной виртуальной сети и т.д. Таким образом, для первичного кодирования значения метки с помощью односторонней функции можно использовать информацию из таблицы маршрутизации.

Например, отдельные байты адреса 1Р-сети класса С являются входными данными для односторонней функции, построенной на основе сжимающей функции (3). Блоки М, будут содержать следующие данные:

- М, = 1-й байт адреса 1Р-сети;

- М2 = 2-й байт адреса 1Р-сети;

-М3- 3-й байт адреса 1Р-сети.

С помощью гистограмм был определен диапазон секретного параметра р (от 15 до 35) применительно к 1Р-сетям класса С (адреса находятся в диапазоне от 192.0.1.0 до 223.255.255.0 и имеют маску сети 255.255.255.0). При таких значениях секретного параметра р количество коллизий не так велико и достаточно велико количество разных значений меток. На рис. 3 представлена гистограмма для р = 25.

Хму значения при р » 25

Рис. 3. Количество повторений хэш-значений для 1Р сетей класса С при

р = 25 и Ио = 0

Для каждого маршрута из таблицы маршрутизации необходимо задавать такие параметры р и Ид, чтобы при вычислении значений меток не было коллизий. То есть, чтобы значение метки однозначно определяло маршрут.

Рис. 4. Сопоставление маршруту значения метки

Для получения множества закодированных значений меток необходимо выполнять последующее кодирование. Входными данными для последующего кодирования значения метки с помощью односторонней функции будут два блока данных М, и М2 . Входные данные получаются путем разбиения исходного значения метки на два блока.

123 4567

м, м2

Рис. 5. Разбиение значения метки на два блока данных

Рис. б. Последующее кодирование значений меток

Как и в случае первичного кодирования значения метки, при последующем кодировании значения метки необходимо выбирать параметры pnh0 так, чтобы значение метки однозначно определяло класс эквивалентности при пересылке и чтобы не было коллизий.

Устройство MPLS должно поддерживать для каждого сетевого интерфейса таблицу кодированных меток для каждого класса эквивалентности при пересылке. В случае изменения параметров р и h0 , кодирование меток выполняется заново.

При пересылке пакетов по сети MPLS значения параметров pah0 необходимо менять для каждого класса эквивалентности при пересылке через определенное время. Время смены секретных параметров определяется экспериментально (см. гл. 4).

В процессе анализа результатов кодирования значений меток предложены следующие рекомендации:

1) Не использовать первые 9 значений меток, полученных после смены секретных параметров, так как злоумышленник может по этим значениям получить информацию о количестве классов эквивалентности при пересылке, обрабатываемым сетевым интерфейсом. На рис. 7 в качестве примера показано, что после 100 переданных пакетов произошло изменение секретных параметров и первые 9 значений меток здесь видны в виде «всплесков». После того как метки были удалены, мы вновь видим установившейся процесс.

ЖО lip? , , w |j ' Î , * *

V; " • v Щ " * * f ' Iw*!».», - «f • 'л *йЩ| V ■ lJufclff* SVy Шт и » ■ %

г t ♦ • i -t »*t t*» t * t tMjjcl i li-^jll ! J I ! Ш 14. и W mmm 1 H vu \ 11 As, fl

WfH^f 1 ¡i it "»fi Mi f f ' « m J4 ■ ' й h Ш г w H1 if ' t i fjH Щ 1 tfiii fj f! T1 Ц'

;H Ж if. к h ft m ■ pi s If

1 11 »1 Э1 «1 И « п Я »1 1« 1И 1Я 171 141 1« Iff 171 ttl 1*1 aoi

Наш» цгар>|»ш

Рис. 7. График закодированных значений меток

2) При выполнении первичного кодирования значения метки может возникнуть ситуация, когда результаты кодирования совпадут для разных классов эквивалентности при пересылке, то есть возникнет коллизия. В этом случае необходимо поменять секретные параметры и выполнить кодирование заново.

3) При выполнении последующего кодирования значений меток может возникнуть ситуация, при которой, как и в случае первичного кодирования, закодированные значения меток совпадут. При передаче данных нельзя использовать одни и те же значения меток на одном сетевом интерфейсе, так как это приведет к тому, что на следующем MPLS-устройстве пакет будет отправлен по неправильному маршруту (см. рис. 8). Поэтому необходимо не использовать повторяющиеся закодированные значения меток при передаче пакетов.

178-* 918-* 1712-* ...-* 101 ■* 910-* 174-* 914 ...-* 96-* 165 -* 55- /55— 810-+ 158-* 815 2822 - 120-* 195 - 1912 - 315 - 212-* 2032-* 42

Рис. 8. Закодированные значения меток для 3-х классов эквивалентности при пересылке без повторений

Четвертая глава посвящена постановке и проведению модельного эксперимента, целью которого является имитация действий злоумышленника при осуществлении атаки на протоколы информационного обмена при непосредственном подключении к каналу связи сети, работающей по усовершенствованной технологии многопротокольной коммутации по меткам. Для этого была разработана система моделирования, которая обеспечивает сортировку закодированных значений меток по классам эквивалентности при пересылке.

В системе реализован алгоритм кодирования меток, основанный на методе кодирования меток, который приведен в главе 3. В качестве сжимающей функции используется функция (3). Приложение выполняет перебор всех возможных размещений без повторений закодированных значений меток, т.е. реализован перебор всех возможных подмножеств заданного размера из множества перехваченных закодированных значений меток. Каждое подмножество закодированных значений меток проверяется на принадлежность к одному и тому же классу эквивалентности при пересылке.

Архитектура системы моделирования состоит из следующих подсистем:

- подсистема генерации закодированных меток;

- подсистема установки параметров;

- подсистемы перебора секретных параметров и генерации размещений.

Подсистема генерации закодированных меток выполняет:

- функции вычисления закодированных меток в соответствии с методом, описанным в главе 3;

- функции удаления значений меток.

Подсистема установки параметров обеспечивает установку:

- диапазона изменения параметра р;

- диапазона изменения параметра й<ь

- количества значений меток в каждом классе эквивалентности при пересылке;

- множества закодированных значений меток.

Подсистемы перебора секретных параметров и генерации размещений обеспечивает:

- перебор всех возможных размещений закодированных значений меток в зависимости от их количества в классе эквивалентности при пересылке;

- перебор секретных параметров в заданных диапазонах и проверку принадлежности множества закодированных меток к одному и тому же классу эквивалентности при пересылке;

- подсчет количества вызовов функции кодирования;

- подсчет пройденного времени;

- отображение полученных результатов.

Полученные в процессе модельного эксперимента данные о сортировке закодированных значений меток по классам эквивалентности при пересылке должны соответствовать данным, полученным на практике.

Выполнение классификации закодированных меток определяет набор входных параметров:

- множество перехваченных закодированных значений меток;

- мощность множества перехваченных закодированных значений меток;

- количество закодированных значений меток в каждом классе эквивалентности при пересылке;

- диапазон изменения секретного параметра р\

- диапазон изменения секретного параметра А0;

В процессе эксперимента определяются следующие параметры:

- затраченное время;

- количество классов эквивалентности при пересылке;

- множество закодированных значений меток, относящихся к одному и тому же классу;

- секретные параметры pnh0 для каждого класса;

- количество вызовов процедуры кодирования значения метки. Экспериментально установлено, что с помощью системы моделирования можно выполнять поиск закодированных комбинаций меток, относящихся к одному и тому же классу эквивалентности при пересылке параллельно на разных ЭВМ.

Проведение модельного эксперимента состоит из следующих этапов:

- моделирование перехвата помеченных пакетов, т.е., генерация исходных данных;

- задание секретных параметров и диапазонов их изменения;

- генерация всех возможных размещений значений меток и перебор секретных параметров в заданных диапазонах для определения множества закодированных значений меток относящихся к одному и тому же классу эквивалентности при пересылке;

- анализ полученных результатов.

Были сгенерированны множества закодированных значений меток, которые описывают семь классов эквивалентности при пересылке (семь 1Р-сетей класса С). В действительности же количество классов эквивалентности при пересылке может доходить до 300, но проведение таких экспериментов невозможно из-за того, что для этого требуется много времени и вычислительной техники.

При проведении опытов считаем, что количество классов эквивалентности при пересылке, обрабатываемое сетевым интерфейсом известно.

Секретные параметры находятся в следующих диапазонах:

- параметрр находится в диапазоне от 15 до 35;

- параметр Н0 находится в диапазоне от 10 до 100 (в последнем опыте Ъ0 находится в диапазоне от 10 до 50).

Такие диапазоны секретных параметров выбраны для того, чтобы примерно замерить время, которое бы злоумышленник потратил на выполнение классификации.

Целью проведения опытов является определение времени, необходимого для проведения классификации перехваченных закодированных значений меток по классам эквивалентности при пересылке. Имея замеренное время, затраченное на проведение классификации и число упорядоченных размещений закодированных значений меток без повторений, которое определяется по формуле, известной из комбинаторики, можно рассчитать скорость проверки принадлежности комбинации (размещения) меток к одному и тому же классу эквивалентности при пересылке в секунду. Далее, с помощью определенной скорости проверки принадлежности комбинации меток к одному и тому же классу эквивалентности при пересылке в секунду, можно вычислить мощность множеств закодированных значений меток, которые бы описывали классы эквивалентности при пересылке.

Были проведены последовательно три серии опытов, в которых количество классов эквивалентности при пересылке увеличивалось на единицу от 3-х до 7-ми, кроме третьей серии, где максимальное число классов составило всего пять. В первой серии опытов каждый класс эквивалентности при пересылке описывало множество из 4-х закодированных значений меток, во второй серии для описания классов использовалось пять закодированных значений меток, а в третьей серии опытов использовалось шесть закодированных значений меток. Проведение опытов с большим числом классов затруднительно, так как для этого требуется больше времени и компьютеров (для проведения опыта с пятью классами эквивалентности, где каждый класс описывало множество из шести закодированных значений меток, потребовалась 21 ЭВМ, каждая из которых работала над классификацией примерно 5 часов 30 минут).

Для проведения опытов использовались компьютеры с ЦПУ Pentium IV с тактовой частотой 2,66 ГГц.

На рис. 9 приведены результаты опыта, в котором в качестве входных данных выступало множество из двадцати пяти закодированных значений меток (5 классов и каждый класс эквивалентности описывало множество из 5-ти закодированных значений меток).

Исходные данные:

93 - 1114 -» 130 - 36 - 511 1727 2216 - 2710 - 329 - 84 137 - 710 -* 136 - 79 - 135 1017 - 10 - 1010 - 111 -* 103 2114 - 161 - 2528 -* 2019 - 155

Результат:

р-27 ho=29 93->1114->130->36->511 -> р=33 ho-38 1727->2216->2Л 0->323->84-> р=18 ho-27 2710->10->1010->111 ->103-> р=17 ho-23137->710->138-> 79-> 135-> р«18 ho»271017->10->1010->111 ->103-> р=17 ho=23 103->710->136->79->135-> р-29 ho=24 2114->161 ->2528->2019->155-> р-18 ho»27161 ->1017->10->1010->111 ->

Время, сек: 13935

Кол-во «ложных» комбинаций: 3

Рис. 9. Пример результатов одного из опытов

Результаты проведенных серий опытов показывают, что при подборе секретных параметров возможно появление «ложных» комбинаций значений меток, которые якобы описывают классы эквивалентности при пересылке. Число таких «ложных» комбинаций растет в зависимости от увеличения числа классов эквивалентности при пересылке, т.е., от количества закодированных значений меток, обрабатываемых сетевым интерфейсом. Появление таких «ложных» комбинаций сильно усложняет классификацию перехваченных значений меток злоумышленником по классам эквивалентности при пересылке.

На рис. 10 приведен график роста числа «ложных» комбинаций в зависимости от увеличения числа классов эквивалентности при пересылке (такая зависимость была получена в серии опытов, где каждый класс эквивалентности описывало множество из 4-х закодированных значений меток). Аналогичные графики были построены для двух других серий опытов. И поэтому можно утверждать, что число «ложных» комбинаций растет в зависимости от увеличения классов эквивалентности при пересылке, т.е., от увеличения общего числа закодированных значений меток, обрабатываемых сетевым интерфейсом. Наличие данных «ложных» комбинаций затруднят или сделают невозможной классификацию закодированных значений меток по классам.

Кол-во классов эквивалентности при пересылке

Рис. 10. График зависимости количества «ложных» комбинаций от количества классов эквивалентности при пересылке

В диссертации дана теоретическая оценка необходимой скорости вычислений. Для этого было рассчитано число размещений, и средняя

скорость проверки принадлежности комбинации (размещения) меток к одному и тому же классу эквивалентности при пересылке в секунду.

Скорость проверки принадлежности размещения меток к одному и тому же классу эквивалентности при пересылке определяется по формуле (4):

рая у,

(4)

где

У раз - скорость проверки принадлежности размещения меток к

одному и тому же классу эквивалентности при пересылке, А" - кол-во упорядоченных размещений без повторений, Т - время проведения опыта в секундах.

Приблизительная усредненная скорость проверки принадлежности размещения меток к одному и тому же классу эквивалентности при пересылке в секунду (не учитывающая кол-во меток в размещении) равна 457 {ho от 10 до 100).

Vpmcp<ó =457 размещений в секунду

Определено, что злоумышленнику потребуется примерно одна тысяча девятьсот пятьдесят компьютеров с ЦПУ Intel Pentium IV 2,66 ГГц, чтобы осуществлять сортировку трехсот закодированных значений меток, когда время смены секретных параметров установлено в 30 секунд. Предполагается, что злоумышленник осуществляет предварительную сортировку закодированных меток по классам, когда только три метки описывают класс эквивалентности. Расчет производился по следующей формуле:

Кол-во компьютеров = ^»о -1950 компьютеров 30-457

Полученные в процессе модельного эксперимента результаты, показали, что использование предложенного метода кодирования значений меток оправдано, так как требует от злоумышленника привлечения достаточно большого числа ЭВМ с высокой производительностью.

Пример практической реализации

Методы и алгоритм, разработанные в диссертационной работе, были применены в ГМНПК «Технологии информационных систем» для обеспечения защиты компьютерных сетей и приложений «Комплекса средств автоматизации полигонных испытаний ВВТ (ОКР "ТИС-7")». Разработанные методы и алгоритм были применены для обеспечения защиты компьютерной сети «изделия 49Т6» от атак на протоколы информационного обмена при непосредственном подключении к каналу связи и обеспечило безопасную передачу конфиденциальной информации.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

В процессе исследований, выполненных в диссертационной

работе, получены следующие результаты:

1. Разработан метод отказа от использования протоколов сетевого уровня при передаче и шифровании пакетов в МРЬЗ-сети.

2. Разработана модифицированная архитектура устройств, работающих по усовершенствованной технологии многопротокольной коммутации по меткам, отличающаяся от существующей наличием новых функциональных модулей (модуль кодирования и декодирования значений меток, модуль шифрования и дешифрования, модуль обмена секретными ключами), благодаря которым повышается защита компьютерных сетей и приложений.

3. Разработан усовершенствованный алгоритм работы сети с многопротокольной коммутацией по меткам.

4. Разработан метод построения односторонних функций, который позволяет кодировать данные любой длины и получать свертку любой разрядности. Разработанный метод применим для кодирования значений меток технологии многопротокольной коммутации меток.

5. Разработан метод кодирования значений меток, который затрудняет или делает невозможным классификацию перехваченных пакетов злоумышленником по классам эквивалентности при пересылке.

6. Предложены рекомендации по выбору секретных параметров и необходимой мощности множества закодированных значений меток, описывающих класс эквивалентности при пересылке.

7. Разработана система моделирования действий злоумышленника при классификации закодированных значений меток по классам эквивалентности при пересылке.

8. Проведен модельный эксперимент, состоящий из серии последовательных опытов:

- Моделирование действий злоумышленника при сортировке закодированных значений меток по классам эквивалентности при пересылке.

- Детальный анализ полученных результатов, сопоставление с реальными данными.

9. Результаты проведенного исследования, а также практическая реализация разработанных методов и алгоритмов доказали их способность обеспечивать повышенную защиту компьютерных сетей и приложений, работающих на основе технологии MPLS.

Основные положения диссертации изложены в следующих работах:

1. Соловьев В.П., Шубарев А.Е. Разработка новых методов синтеза сетей на основе технологии многопротокольной коммутации по меткам // Вестник МИИТа. - Вып. 13. - М., 2005. - С. 9-14

2. Шубарев А.Е. Методы повышения защищенности сетей работающих по технологии коммутации меток // 11-ая международная научно-техническая конференция студентов и аспирантов. Труды. Т. 1. Секц. 20: Вычислительные машины, сети и системы. МЭИ, 2005. С. 379-380

3. Шубарев А.Е. Новые методы защиты сетей, работающих по технологии многопротокольной коммутации меток // Международная научно-техническая конференция "Информационные средства и технологии". Труды. Т. 3. Секц.: Вычислительные системы и сети. МЭИ. 2005. С. 161-162

4. Шубарев А.Е. Построение локальных сетей для предприятий железнодорожного транспорта на базе коммутаторов с функциями обнаружения вторжений // 1-я международная научная конференция "TRANS-MECH-ART-CHERM", Радом, 2003. С.53 - 54

¿00 Gft

24

911 ГЦ ИНЬ

5. Шубарев А.Б. Разработка алгоритма повышения защиты сетей с многопротокольной коммутацией по меткам // Всероссийская научно-практическая конференция "Безопасность информационного пространства". Секц.т "Программно-аппаратные средства защиты современных информационных систем". УГТУ-УПИ, 2005. С. 96-98

6. Шубарев А.Е. Разработка новой архитектуры телекоммуникационных систем, работающих по технологии многопротокольной коммутации по меткам // Объединенный научный журнал. 2005. № 24 (152). С. 62-

7. Шубарев А.Е. Усовершенствование алгоритма работы сетей с многопротокольной коммутацией по меткам. М. Техника и технология. - 2005. №6 (12). "Компания Спутаик+", С. 63-65.

65

ШУБАРЕВ Андрей Евгеньевич

РАЗРАБОТКА МЕТОДОВ ПОВЫШЕНИЯ ЗАЩИТЫ КОМПЬЮТЕРНЫХ СЕТЕЙ И ПРИЛОЖЕНИЙ (НА ПРИМЕРЕ ИСПОЛЬЗОВАНИЯ ТЕХНОЛОГИИ MPLS)

Специальность - 05.13.13 Телекоммуникационные системы и компьютерные сети

Подписано к печати - /7.0S, 06, Формат бумаги 60x90 1/16 Заказ № 24-9.

Тираж 80.

Объем печ. л. 1,5

Типография МИИТ, 127994, г. Москва, ул. Образцова 15

Оглавление автор диссертации — кандидата технических наук Шубарев, Андрей Евгеньевич

ВВЕДЕНИЕ.

Глава 1. АНАЛИЗ СОСТОЯНИЯ ПРОБЛЕМЫ И ПОСТАНОВКА ЗАДАЧИ

ИССЛЕДОВАНИЯ.

1.1. Виды уязвимостей компьютерных сетей.

1.2. Противодействия атакам на протоколы сетевого обмена.

1.3. Технологии многопротокольной коммутации по меткам на основе передачи пакетов.

1.4. Задачи диссертационного исследования.

1.5. Выводы. ф

Глава 2. РАЗРАБОТКА МЕТОДОВ И АЛГОРИТМА ПОВЫШЕНИЯ

ЗАЩИТЫ MPLS-сетей.

2.1. Отказ от использования протоколов сетевого уровня при передаче пакетов и шифровании пакетов.

2.2. Кодирование меток односторонней функцией.

2.3. Модификации архитектуры MPLS-устройств.

2.4. Алгоритм работы MPLS-сети по усовершенствованному принципу передачи данных.

2.5. Выводы.

Глава 3. РАЗРАБОТКА МЕТОДА КОДИРОВАНИЯ МЕТОК.

3.1. Односторонние хэш-функции.

3.2. Метод повышения длины сверток односторонних функций.

3.3. Алгоритм RSA.

3.4. Разработка односторонних функций для кодирования значений меток.

3.5. Кодирование значений меток с помощью односторонней функции.

3.6. Исследование и анализ полученных результатов алгоритмом

А кодирования значений меток.

3.7. Выводы.

Глава 4. ПОСТАНОВКА И ПРОВЕДЕНИЕ МОДЕЛЬНОГО ЭКСПЕРИМЕНТА.

4.1. Проектирование и разработка системы моделирования.

4.2. Проведение модельного эксперимента.

4.3. Пример практической реализации.

4.4. Выводы.

Введение 2006 год, диссертация по информатике, вычислительной технике и управлению, Шубарев, Андрей Евгеньевич

В современном мире все большее значение приобретают распределенные информационные вычислительные сети и технологии их создания. Развитие технологий сопровождается появлением проблем, для решения которых требуется научный подход. Такого рода проблемой является защита компьютерных сетей и приложений от несанкционированного доступа. Вследствие того, что каналы связи имеют большую протяженность, в настоящее время их длины исчисляются сотнями тысяч километров, злоумышленник может осуществить подключение к каналу и перехватить конфиденциальную информацию. Злоумышленник также может попытаться внести изменения в передаваемую информацию. В качестве злоумышленника могут выступать: иностранные разведывательные службы, преступные сообщества, группы, формирования и отдельные лица.

В Российской Федерации защите информации, передаваемой по каналам связи уделяется особое внимание. Подтверждением этого является проект Закона Российской Федерации «О защите информации от утечки по техническим каналам и противодействии техническим разведкам».

Проведенный в диссертации анализ современной технологии многопротокольной коммутации по меткам (MPLS) показал, что:

- технология MPLS не предусматривает функций шифрования и скрытия архитектуры распределенной вычислительной сети;

- виртуальные частные сети, созданные на основе технологии MPLS обеспечивают только изоляцию распространения сетевого трафика внутри определенной частной виртуальной сети.

Из-за большой протяженности сетей, работающих по технологии MPLS, злоумышленник может осуществить атаку на протоколы информационного обмена при непосредственном подключении к линиям связи.

Подводя итог, можно сказать, что проблема повышения защиты компьютерных сетей и приложений является актуальной и приоритетность этой проблемы непрерывно возрастает с развитием глобальных сетей. Детальное исследование существующей технологии коммутации по меткам, позволит разработать методы, повышающие защиту компьютерных сетей и приложений.

Заключение диссертация на тему "Разработка методов повышения защиты компьютерных сетей и приложений"

4.4. Выводы

Полученные в процессе модельного эксперимента результаты, показали, что использование предложенных методов кодирования значений меток оправдано, так как требует от злоумышленника привлечения большого числа ЭВМ с высокой производительностью. Например, чтобы осуществить классификацию закодированных значений меток, когда их кол-во составляет 300 шт. за 30 сек. злоумышленнику потребуется примерно 1950 компьютеров с ЦПУ Pentium IV 2,66 ГГц. Показано, что при выполнении классификации возможно появление «ложных» комбинаций. Данные «ложные» комбинации затруднят или сделают невозможной классификацию закодированных значений меток по классам.

Априори известно, что время, необходимое для выполнения классификации, значительно увеличится при реализации в системе моделирования функций определения алгоритма кодирования значений меток и односторонней функции, используемой при кодировании.

ЗАКЛЮЧЕНИЕ

В процессе исследований, выполненных в диссертационной работе, получены следующие результаты:

1. Разработан метод отказа от использования протоколов сетевого уровня при передаче и шифровании пакетов в MPLS-сети.

2. Разработана модифицированная архитектура устройств, работающих по усовершенствованной технологии многопротокольной коммутации по меткам, отличающаяся от существующей наличием новых функциональных модулей (модуль кодирования и декодирования значений меток, модуль шифрования и дешифрования, модуль обмена секретными ключами), благодаря которым повышается защита компьютерных сетей и приложений.

3. Разработан усовершенствованный алгоритм работы сети с многопротокольной коммутацией по меткам.

4. Разработан метод построения односторонних функций, который позволяет кодировать данные любой длины и получать свертку любой разрядности. Разработанный метод применим для кодирования значений меток технологии многопротокольной коммутации меток.

5. Разработан метод кодирования значений меток, который затрудняет или делает невозможным классификацию перехваченных пакетов злоумышленником по классам эквивалентности при пересылке.

6. Предложены рекомендации по выбору секретных параметров и необходимой мощности множества закодированных значений меток, описывающих класс эквивалентности при пересылке.

7. Разработана система моделирования действий злоумышленника при классификации закодированных значений меток по классам эквивалентности при пересылке.

8. Проведен модельный эксперимент, состоящий из серии последовательных опытов:

- Моделирование действий злоумышленника при сортировке закодированных значений меток по классам эквивалентности при пересылке.

- Детальный анализ полученных результатов, сопоставление с реальными данными.

9. Результаты проведенного исследования, а также практическая реализация разработанных методов и алгоритмов доказали их способность обеспечивать повышенную защиту компьютерных сетей и приложений, работающих на основе технологии MPLS.

Библиография Шубарев, Андрей Евгеньевич, диссертация по теме Телекоммуникационные системы и компьютерные сети

1. Алексеев И. Введение в архитектуру MPLS, 1999. http://www.osp.ru/nets/1999/12/02.htm

2. Андронов A.M., Копытов Е.А., Гринглаз Л .Я. Теория вероятностей и математическая статистика: Учебник для вузов. СПб.: Питер, 2004. -461 с.

3. Анин Б.Ю. Защита компьютерной информации. СПб.: БХВ-Петербург, 2000. - 384 с.

4. Аршинов М.Н., Садовский Л.Е. Коды и математика (рассказы о кодировании) М.: Наука, 1983. - 144 с.

5. Бабэ Б. Просто и ясно о Borland С++: Пер. с англ. М.: БИНОМ,1994. -400 с.

6. Баутов А. Экономический взгляд на проблемы информационной безопасности, 2002.http://www.osp.ru/os/2002/02/034.htm

7. Берлекэмп Э. Алгебраическая теория кодирования: Пер. с англ. М.: Издательство "Мир", 1971. - 239 с.

8. Бунин О. Занимательное шифрование // Мир ПК. 2003. - № 7. - С. 54-58

9. Василенко О.Н. Теоретико-числовые алгоритмы в криптографии М.: МЦНМО, 2003. - 328 с.

10. Виленкин Н.Я. Индукция. Комбинаторика. Пособие для учителей М.: Просвещение, 1976. - 48 с.

11. Виленкин Н.Я. Популярная комбинаторика М.: Наука, 1975.

12. Гнеденко Б.В., Хинчин А.Я. Элементарное введение в теорию вероятностей М.: Наука, 1970. - 168 с.

13. Гольдштейн А.Б., Гольдштейн Б.С. Технология и протоколы MPLS -СПб.: БХВ-Санкт-Петербург, 2005. 304 с.

14. Жанг Р. Сетевые услуги нового поколения", 2001. http://www.osp.ru/lan/2001/12/032.htm

15. Зима В.М., Молдовян А.А., Молдовян Н.А. Безопасность глобальных сетевых технологий. СПб.: БХВ-Петербург, 2000 - 320 с.

16. Камерон П., ван Линт Д. Теория графов. Теория кодирования и блок-ф схемы М.: Наука, 1980. - 144 с.

17. Касперски К. Техника сетевых атак М.: Издательства "СОЛОН-Р", 2001.- 396 с.

18. Коблиц Н. Курс теории чисел и криптографии М.: ТВП, 2001. - 254 с.

19. Компьютерные сети. Принципы, технологии, протоколы / В.Г.Олифер, Н.А.Олифер СПб.: Питер, 2001. - 672 с.

20. Кормен Т., Лейзерсон Ч., Ривест Р. Алгоритмы:построение и анализ: Пер. с англ. М.: Бином, 2004. - 955 с.

21. Кочетков П.А. Краткий курс теории вероятностей и математической ф статистики. Учебное пособие. М.: МГИУ, 1999. - 51 с.

22. Кузин Ф.А. Кандидатская диссертация. Методика написания, правила оформления и порядок защиты М.: Ось-89,2003. - 224 с.

23. Левин М. Методы хакерских атак. 2-е изд. М.: Познавательная книга плюс, 2001.- 224 с.

24. Леонтьев Б. Хакинг без секретов М.: Познавательная книга плюс, 2001.- 736 с.

25. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1: Введение и общаяф модель: ГОСТ Р ИСО/МЭК 15408-1-2002. Введ. 04.04.2002. - М., ИПК

26. Издательство стандартов, 2002.

27. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2: Функциональные требования безопасности: ГОСТ Р ИСО/МЭК 15408-2-2002. Введ. 04.04.2002. - М., ИПК Издательство стандартов, 2002.

28. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.Часть 3: Требования доверия кф безопасности: ГОСТ Р ИСО/МЭК 15408-3-2002. Введ. 04.04.2002. - М.,

29. ИПК Издательство стандартов, 2002.

30. Милославская Н.Г., Толстой А.И. Интрасети: обнаружение вторжений: Учеб. пособие для вузов. М.: ЮНИТИ-ДАНА, 2001. - 586 с.

31. Молдовян Н.А., Молдовян А.А., Еремеев М.А. Криптография: от примитивов к синтезу алгоритмов. СПб.: БВХ-Петербург, 2004. - 448 с.

32. Новиков В.Ю., Карпенко Д.Г. Аппаратура локальных сетей: функции, выбор, разработка / Под общей редакцией Новикова Ю.В. М.: Издательство ЭКОМ, 1998. - 288 с.

33. Оглтри Т. Firewalls. Практическое применение межсетевых экранов: Пер. с англ. М.: ДМК Пресс, 2001. - 400 с.

34. Олвейн В. Структура и реализация современной технологии MPLS.: Пер. с англ. М.: Издательский дом "Вильяме", 2004. - 480 с.

35. Олифер Н., Олифер В. Виртуальные частные сети на основе MPLS, 2002. http://www.osp.ru/lan/2002/01/058.htm

36. Орлов С. Ethernet в сетях доступа, 2004. http://www.osp.ru/lan/2004/01/054.htm

37. Орлов С. Перекресток миров, 2004. http://www.osp.ru/lan/2004/05/062.htm

38. Орлов С. Тяжеловесы на подъеме, 2004. http://www.osp.ru/lan/2004/02/034.htm

39. Рейнгольд Э., Нивергельт Ю., Део Н. Комбинаторные алгоритмы. Теория и практика- М.: Мир, 1980. 476 с.

40. Рубан Т. Эффективное соединение распределенных филиалов, 2004. http://www.osp.ru/lan/2004/02/052.htm

41. Рыбников К.А. Комбинаторный анализ. Задачи и упражнения М.: Наука, 1982.-368 с.

42. Саломаа А. Криптография с открытым ключом: Пер. с англ. М.: Мир, 1995.-318 с.

43. Секреты хакеров. Проблемы и решения сетевой защиты / С. Макклуре, Д. Скембрэй, Д. Куртц М: Издательство "ЛОРИ", 2001. - 436 с.

44. Снейдер Й. Эффективное программирование TCP/IP. Библиотека программиста- СПб.: Питер, 2001. 320 с.

45. Соловьев В.П., Шубарев А.Е. Разработка новых методов синтеза сетей на основе технологии многопротокольной коммутации по меткам // Вестник МИИТа. Вып. 13. - М., 2005. - С. 9-14.

46. Справочник по криптологии / К.П. Исагулиев Мн.: Новое знание, 2004. -237 с.

47. Справочник по математике. Для научных работников и инженеров / Г.Корн, К.Корн М.: Издательство "Наука", 1974. - 832 с.

48. Теория вероятностей и математическая статистика: Учеб.пособие для вузов / Гмурман В.Е. М.: Высшая школа, 2005. - 479 с.

49. Технологии защиты информации в Интернете. Специальный справочник / Мамаев М., Петренко С. СПб.: Питер, 2002. - 848 с.

50. Уфимцев Ю.С., Буянов В.П., Ерофеев Е.А., Жогла H.JL, Зайцев О.А., Курбатов Г.Л., Петренко А.И., Федотов Н.В. Методика информационной безопасности. М.: Издательство "Экзамен", 2004. - 544 с.

51. Фигурин В.А., Оболонкин В.В. Теория вероятностей и математическая статистика: Учеб. пособие Мн.: ООО "Новое знание", 2000. - 208 с.

52. Хелеби С., Мак-Ферсон Д. Принципы маршрутизации в Internet: Пер. с англ. М.: Издательский дом "Вильяме", 2001. - 448 с.

53. Хизер О. Маршрутизация в IP-сетях. Принципы, протоколы, настройка: Пер. с англ. СПб.ЮОО "ДиаСофтЮП", 2002. - 512 с.

54. Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си. М.: Издательство ТРИУМФ, 2003. - 816 с.

55. Шубарев А.Е. Атаки на протоколы информационного обмена при подключении к каналу связи // Всероссийская научно-практическая конференция «Наука и образование 2005». Секц.: Информационные технологии. Нефтекамский филиал БашГУ, 2005. 2 с. (в печати)

56. Шубарев А.Е. Методы повышения защищенности сетей работающих по технологии коммутации меток // 11-ая международная научно-техническая конференция студентов и аспирантов. Труды. Т. 1. Секц. 20: Вычислительные машины, сети и системы. МЭИ, 2005. С. 379-380

57. Шубарев А.Е. Построение локальных сетей для предприятий железнодорожного транспорта на базе коммутаторов с функциями обнаружения вторжений // 1-я международная научная конференция "TRANS-MECH-ART-CHERM", Радом, 2003. С.53 54

58. Шубарев А.Е. Проблема обеспечения информационной безопасности как инструмент повышения безопасности движения // Сборник трудов Московского комитета по науке и технологиям. Секц.: "Транспорт (общие проблемы)", М., 2006. 1 с. (в печати)

59. Шубарев А.Е. Разработка новой архитектуры телекоммуникационных систем, работающих по технологии многопротокольной коммутации по меткам // Объединенный научный журнал. 2005. № 24 (152). С. 62-65

60. Шубарев А.Е. Усовершенствование алгоритма работы сетей с многопротокольной коммутацией по меткам. М. Техника и технология. -2005. №6 (12), "Компания Спутник+". С. 63-65.

61. Шубарев А.Е. Усовершенствование технологии многопротокольной коммутации по меткам // Сборник докладов Всероссийской научно-практической конференции "Безопасность информационного пространства". УГТУ-УПИ , 2005. 12 с. (в печати)

62. Щербаков А.Ю., Домашев А.В. Прикладная криптография. Использование и синтез криптографических интерфейсов М.: Издательско-торговый дом "Русская редакция", 2003. - 416 с.

63. Эшвуд-Смит П., Джамаусси Б., Федик Д. MPLS: лиха беда начало, 2000. http://www.osp.ru/lan/2000/01/080.htm

64. Bidwell Т. Hack proofing your identity in the information age, Syngress, 2002. 393 c.

65. Brenton C., Hunt C. Active defense. A comprehensive guide to network security, Sybex, 2001. 374 c.

66. Cole E. Hackers beware. Defending your network from the wiley hacker, New Riders Publiushing, 2002. 800 c.

67. Gallaher R. Rick Gallagher's MPLS Training Guide: Building Multi-Protocol Label Switching Networks, Syngress Publishing, 2003. 301 c.

68. Miller S.S. Wi-Fi security, McGraw-Hill, 2003. 332 c.

69. Morris B.S. Network Management, MIBs and MPLS: Principles, Design and Implementation, Prentice Hall, 2003. 416 c.

70. Parent F. Managing Cisco network security, Syngress, 2000. 497 c.

71. RFC 2702. Requirements for Traffic Engineering Over MPLS. Awduche D., Malcolm J., Agogbua J., O'Dell M., McManus J., 1999

72. RFC 3031. Multiprotocol Label Switching Architecture. Rosen E., Viswanathan A., Callon R., 2001

73. RFC 3032. MPLS Label Stack Encoding. Rosen E., Tappan D., Fedorkow G., Rekhter Y., Farinacci D., Li Т., Conta A., 2001

74. RFC 3034. Use of Label Switching on Frame Relay Networks Specification. Conta A., Doolan P., Malis A., 2001

75. RFC 3035. MPLS using LDP and ATM VC Switching. Davie В., Lawrence J., McCloghrie K., Rosen E., Swallow G., Rekhter Y., Doolan P., 2001

76. RFC 3036. LDP Specification. Andersson L., Doolan P., Feldman N., Fredette A., Thomas В., 2001

77. RFC 3037. LDP Applicability. Thomas В., Gray E., 2001

78. RFC 3107. Carrying Label Information in BGP-4. Rekhter Y., Rosen E., 2001

79. Rhee M.Y. Internet security: cryptographic principles, algorithms, and protocols, Wiley, 2003. 426 c.

80. Schildt H., Guntle G. Borland С++ Builder: The Complete reference, Osborne/McGraw-Hill, 2001. 1009 c.

81. Schweitzer D. Incident response: computer forensics toolkit, Wiley, 2003. -362 c.

82. Shindrer D.L. Scene of the cybercrime. Computer forensics handbook, Syngress, 2002. 754 c.

83. Timm C., Edwards W. CCNP: Building scalable Cisco internetworks. Stydy guide, Sybex, 2004