close

Вход

Забыли?

вход по аккаунту

?

Презентация (PPT, 5.0MB)

код для вставкиСкачать
УПРАВЛЕНИЕ ДОСТУПОМ В КОМПЬЮТЕРНЫХ
СЕТЯХ С ИСПОЛЬЗОВАНИЕМ ВЕРОЯТНОСТНЫХ
АЛГОРИТМОВ ПРИОРИТЕТНОГО ОБСЛУЖИВАНИЯ
Аспирант: В.А. Мулюха
Руководитель: д.т.н. проф. В.С. Заборовский
Специальность 05.13.19 –
«Методы и системы защиты информации,
информационная безопасность»
(СПбГПУ, факультет при ЦНИИ РТК, каф.Телематики)
Москва 2010
Содержание
1. Сети как сложная среда доступа к информационным ресурсам
2. Расширенная классификация понятия «разрешенное соединение»
3. Цели и задачи диссертационного исследования
4. Модель ВС и управление пропускной способностью
5. Модель разграничения доступа на базе приоритетной системы
массового обслуживания М/М/1/k/f
6. Реализация предложенных моделей
2
Компьютерная сеть как виртуальная среда обмена
данными между объектами информационного
взаимодействия
…
Информационные
приложения – объекты
взаимодействия
Компьютерная сеть
Обмен данными между объектами
взаимодействия реализуется в
форме «информационных потоков»
или виртуальных соединений
Определение: «Доступ» - возможность установления и использования виртуальных соединений (ВС) в процессе
информационного взаимодействия с учетом безопасности и качества функционирования информационных
объектов.
Безопасность - отсутствие запрещенных ВС;
Качество –отсутствие дефицита сетевых ресурсов, обеспечивающих функционирование разрешенных ВС.
3
Современные подходы к обеспечению
безопасности доступа в компьютерных сетях
Методы обеспечения
безопасности доступа
Разграничение доступа
Конфиденциальность
Целостность
Аутентификация и авторизация
Политики
разграничения доступа
Дискреционная
Мандатная
Ролевая
Другие:
Доступность
Криптографическая защита
- приоритетная
- информационнопотоковая
- др.
Разграничение доступа – основной программно-технический метод защиты
информации в открытых компьютерных сетях, обеспечивающий состояние
безопасности информационных приложений на основе субъектно-объектной модели
описания процессов обмена данных при межсетевом взаимодействии
4
Существующие модели разграничения доступа
Развитие сетевых технологий изменило суть понятия разграничение
доступа и многие модели потеряли свою актуальность, тогда как другие
модели, основанные на «мягких критериях» стали завоевывать все большее
признание. Для описания более гибкого подхода в данной работе предлагается
использовать термин «управление доступом».
Существующие на данный момент инженерно-технические решения задачи
управления доступом не могут быть проанализированы, т.к. не имеют
доступных математических моделей.
Известные на данный момент модели систем разграничения доступа могут
быть проклассифицированы по предмету моделирования:
факт осуществления доступа одного объекта к другому;
тип передаваемых данных между объектами;
величину информационного потока между объектами.
Предлагаемый в данной работе метод управления доступом учитывает все
три предмета моделирования.
5
Расширение объема понятия «разрешенное
соединение»
С точки зрения состояния безопасности объектов информационного взаимодействия в
модели доступа обычно выделяются:
Запрещенные потоки информации нарушающие состояние защищенности объектов
взаимодействия;
Разрешенные потоки информации (легальные ВС).
Для реализации требований обеспечения как безопасности, так и качества необходимо
расширить объем понятия «разрешенное соединение», путем параметризации его
фактического содержания.
Такое расширение позволяет гибко управлять функционально-технологическими
процессами, учитывая динамический характер информационного взаимодействия.
Классическая модель
разграничения доступа
С = Сзапр U Cразр
Cразр = {безопасность}
Расширенная модель управления
доступом
С = Сзапр U C`разр U C``разр U … U Cn`разр
Cразр = {безопасность, качество доступа}
Множество
разрешенных
соединений c
приоритетом an`
Множество
запрещенных
соединений
Множество
разрешенных
соединений
Множество
запрещенных
соединений
Множество
разрешенных
соединений c
приоритетом a`
Множество
разрешенных
соединений c
приоритетом a``
6
2. Цель и задачи исследования
Цель: Разработка метода управления доступом в компьютерных сетях, имеющих
дефицит разделяемых ресурсов, с учетом требований к безопасности и качества
взаимодействия между информационными приложениями
Задачи:
1. Расширить субъектно-объектную модель разграничения доступом с учетом требований
качества функционирования информационных приложений и особенностей реализации
ВС на базе существующих транспортных протоколов;
2. Разработать методы оценки параметров ВС, позволяющие вычислить характеристики
качества доступа к разделяемым информационным ресурсам;
3. Разработать двухуровневую модель управления процессами доступа с учетом требований
безопасности и качества информационного взаимодействия
4. Разработать параметрическую модель монитора безопасности на основе системы
массового обслуживания при дефиците разделяемых сетевых ресурсов и вероятностным
механизмом управления пропускной способностью
5. Исследовать качество процессов управления доступом на основе приоритезации трафика в
распределенных компьютерных сетях, использующих проводные и беспроводные каналы
связи для интерактивного и мультимедийного информационного взаимодействия.
7
Компьютерная сеть как совокупность объектов и
среды взаимодействия на базе виртуальных
соединений
Виртуальное соединение – межсетевое взаимодействие информационных приложений
посредством формирования одно- или двунаправленного упорядоченного потока пакетов, а также
логическая организация сетевых разделяемых ресурсов, необходимых для обеспечения такого
взаимодействия.
Особенности: Разделяемые сетевые ресурсы доступные ВС постоянно меняются из-за
конкурентного взаимодействия ВС, а качество функционирования информационных объектов
8
должно сохраняться.
Расширение субъектно-объектной модели
Известная субъектно-объектная модель [*] подразумевает, что в каждый момент времени
компьютерная сеть представляет собой конечное множество элементов, разделяемых на два
подмножества: объектов доступа O и субъектов доступа С.
В данной работе под объектами доступа понимаются информационные приложения, обмен
данными между которыми осуществляется посредствам виртуальных соединений.
Субъектами доступа являются сами виртуальные соединения – активные сущности,
способные изменить состояние сети.
В классической модели разграничения доступа в каждый момент времени все ВС могут
быть однозначно разделены на 2 непересекающихся множества: запрещенные и
разрешенные.
Предлагается расширение объема понятия «разрешенное соединение» путем его
параметризации через характеристику приоритетности, что особенно важно в режимах
дефицита разделяемых сетевых ресурсов.
С = Сзапр U (C`разр U C``разр)
Сзапр ∩ (C`разр ∩ C``разр)= 0
* - Гайдамакин Н.А. Разграничение доступа к информации в компьютерных системах. – Екатеринбург: Изд-во
Урал. Ун-та, 2003. – 328 с.
9
Модель виртуального соединения
Для задачи разграничения доступа к информационным ресурсам может быть
охарактеризована двумя классами параметров:
Зависящие от свойств объектов взаимодействия;
Зависящие от характеристик среды взаимодействия.
Доступ управляется с помощью виртуальных соединений модель которого при
использовании современных транспортных протоколов имеет вид:
V(O1,O2,Пс,К):
O1,O2 – адреса и порты объектов взаимодействия;
Пс – пропускная способность соединения;
К – необходимое качество сервиса.
10
Вычисление пропускной способности ВС на
базе TCP протокола
Динамику изменения внутренней переменной состояния протокола ТСР можно описать в виде
мультипликативно – рекурсивной модели со случайными параметрами:
CWND
k 1
R ( CWND
где
R ( CWND k , k ) ( CWND
k
k
, k ) CWND
k
,
Y k F ( CWND
k
БПП
),
1; k 0, C WND k C
1/2; k 1
1/ C WND k ; k 2
2 ; k 0 , CWND k C , CWND k S
1) / CWND k ; k 0 , CWND k C , CWND
k
S
Н
БПП
ТА
ИП
МС
0
Н
МС
ИП
1
0
0
2
ТА
Yk – пропускная способность ВС на базе TCP протокола
11
Фрактальные свойства виртуальных
соединений на базе TCP протокола
Фрактальные свойства виртуального соединения могут рассматриваться как характеристика,
учитывающая потери его пропускной способности.
Наличие фрактальных свойств виртуального соединения говорит о необходимости учета не
только первого, но и второго статистических моментов пропускной способности.
CWND 3
2p
12
Модель монитора безопасности на основе
системы массового обслуживания
1
По Кендаллу система классифицируется как M / M / 1 / k / f 2
__
M
M
1
k
fij
Простейший входящий поток
Время обслуживания распределено по показательному закону
Один обслуживающий канал
Размер буферной памяти ограничен
i – тип приоритета (2 – «абсолютный»)
j – тип вытесняющего механизма (1 – «случайный»)
13
Определение класса виртуальных соединений
Блок осуществляет разделение виртуальных соединений на 3 класса в 2 этапа:
Запрещенные соединения;
Разрешенные соединения:
Разрешенные приоритетные;
Разрешенные фоновые.
Анализ запрещенности производится при помощи дерева суждения в форме полинома Жегалкина.
Критерием приоритезации являются параметры пропускной способности, а также необходимое
качество сервиса виртуальных соединений V(O1,O2,Пс,К) при условии дефицита разделяемых
сетевых ресурсов.
14
Использование предельной теоремы для случайных
потоков при описании входящего потока пакетов
В зависимости от используемого протокола транспортного уровня распределения интервалов
между пакетами в ВС могут существенно различаться.
Использование экспоненциального распределение объясняется предельной теоремой для
случайных потоков – если рассматривать суперпозицию большого числа потоков с
произвольными распределениями, при условии что ни один из них не превалирует в общей
сумме, то результирующий поток будет близок к простейшему;
Экспериментальные исследования проведенные в Цнии РТК, опубликованные в работе
«Экспериментальное исследование статистических свойств сетевой среды на основе анализа
ансамбля TCP-соединений» показали верность этой теоремы и для открытых компьютерных
сетей.
15
Модель управления доступом при помощи
приоритетной СМО
Буфер ограниченного размера моделирует реальные сетевые устройства с
ограниченным объемом памяти.
Управление доступом разрешенных соединений осуществляется при помощи
буфера путем вытеснения менее приоритетных пакетов с вероятностью
зависящей от уровня дефицита распределенных сетевых ресурсов.
16
Инвариантность финальных вероятностей состояния
системы по отношению к закону обслуживания
Согласно теореме инвариантности, формулы Эрланга для СМО с потерями
М/М/1/k сохраняют свою силу в системе M/G/1/k с произвольным законом
распределения времени обслуживания при условии если в качестве интенсивности
обслуживания принять:
1
1
x
x b ( x ) dx
b(x) – реальное распределение времени обслуживания
0
17
Размеченный граф состояний системы
k
Число неприоритетных
пакетов в буферной памяти
Число приоритетных пакетов в буфере
k
1. Число приоритетов определяет размерность графа (в
данной работе граф двумерный)
2. Размер буферной памяти определяет размер графа k
3. Случайный механизм вытеснения характеризуется
параметром a
Численное решение системы
трудоемкое ~ kчисло приоритетов
Граф с k(k+1)/2
состояниями
Не позволяет получить аналитическое
18
решение
Аналитические преобразования предлагаемой
модели
Система k(k+1)/2 линейных уравнений
[ 1 (1 j ,k i
) a 1 (1 j ,k
)
j ,k i
2 (1 i , 0 p i , j 1 2 p i , j 1 1 p i 1, j a 1
k
G (u , v ) i
p ij u v
) (1 i , 0 p i 1 , j 1 0 ,
j ,0
)] p ij p i 1, j ( i 0 , k ; j 0 , k i ),
Используя
метод
производящих
функций,
предложенный Х.Уайтом, Л.Кристи и Ф.Стефаном
для приоритетных СМО с неограниченным
буфером, все вероятности состояний были
выражены через диагональные элементы, что
позволило
сократить
размерность
системы
уравнений до k+1
k i
j ,k i
j ,k i
j
i0 j0
Система k+1 линейных уравнений
1
1
(
pi i
1
i 1
i 1 ) p 0 [(1 a ) j 1
i 1 ,i (1 a ) 1
1
j i 1
1
i 1, j ] p j
,
( i 1, k )
19
Ограничения накладываемые на модель при
расчетах реальных систем
Pпотерь
12 2,5
~линейные
12 Не требуется
применять
механизм
вытеснения
a
0
M 2 / M /1 / k / f2
1
M2/M?
/1 / k / f2
a=0
2
M 2 / M /1 / k / f2
0<a<1
a=1
аналитическое
решение
12 2,5
аналитическое
решение
20
Управление вероятностью потери пакета в
буфере
1
0 ,2;
2
0 ,9
1 – P2пот - абсолютный пр.
2 – Р2пот – относительный пр.
3 – Р1пот – относительный пр.
4 – Р1пот – абсолютный пр.
k 1
(1 )
пот
P
q k (1 a ) p i ,
i 1
a оказывает более существенное влияние на значение вероятности потери, чем тип
приоритета в системе;
-21
Вероятность потери приоритетных пакетов (0.03, 1.83*10 );
Вероятность потери неприоритетных пакетов возрастает на 1% с 0.11 до 0.12.
Зададим допустимую вероятность потери приоритетных разрешенных пакетов: Р1пот<0.01
Найдем минимальную вероятность вытеснения a, обеспечивающую требуемый уровень
потерь: a>0.775
Для вычисленного значения a определим вероятность потерь фонового трафика: Р1пот>0.114
21
Зависимость пропускной способности виртуального
соединения от вероятности потери пакетов
Изменяя параметр a мы меняем вероятность потери пакетов обоих классов.
Зная вероятность потери можно вычислить пропускную способность виртуальных
соединений.
Для ВС без фрактальных свойств, например построенных на базе протокола UDP
Пс=Пс0*(1-p)
Для ВС с фрактальными свойствами, например на базе TCP протокола справедлива формула
Пс min(
C
RTT
;
1
RTT )
2
p
3
Для С = 100 пакетов и
RTT = 60мс
22
Реализация предложенных моделей управления
доступом в космическом эксперименте «Контур»
Запрещенные соединения
23
Исследование эффективности применения
разработанных моделей
Применение разработанных моделей управления доступом
позволило стабилизировать пропускную способность
интерактивного канала управления роботом на борту МКС
Пропускная способность канала
связи без управления доступом
Пропускная способность канала
связи с управления доступом
24
Выводы
1. Расширена субъектно-объектную модель разграничения доступом с
учетом требований качества функционирования информационных
приложений и особенностей реализации ВС на базе существующих
транспортных протоколов;
2. Разработан метод оценки параметров ВС, позволяющие вычислить
характеристики качества доступа к разделяемым информационным
ресурсам;
3. Разработана двухуровневая модель управления процессами доступа с
учетом требований безопасности и качества информационного
взаимодействия
4. Разработана параметрическая модель монитора безопасности на
основе системы массового обслуживания при дефиците разделяемых
сетевых ресурсов и вероятностным механизмом управления
пропускной способностью
25
Алгебраическое решение СМО
Система уравнений Колмогорова:
[ 1 (1 j ,k i
p i 1, j ) a 1 (1 i,0
j ,k
)
j ,k i
2 (1 j ,k i
p i , j 1 2 p i , j 1 1 p i 1, j a 1
k
j ,k i
j ,0
)] p ij p i 1, j 1 0 , ( i 0 , k ; j 0 , k i ),
k i
Условие нормировки:
) (1 i , 0 p ij 1
i0 j0
k
G (u , v ) Введем производящую функцию:
k i
i
p ij u v
j
i0 j0
Умножая обе части равенства на uivi и суммируя по всем допустимым значениям ,
получаем:
G ( u , v ) { ( u v ) G ( 0 , v ) u ( v 1) G ( 0 , 0 ) [a 1 ( u v ) 1 (1 u ) v k
2 (1 v ) v ]u p i , k i u v
i
k i
a 1 u
k 1
( v u ) p k , 0 }{[ 1 u (1 u ) 2 u (1 v ) ( u 1)] v }
i0
26
1
Алгебраическое решение СМО (продолжение)
Покажем вначале, что через pi выражается распределение числа приоритетных
k
запросов. Подставляя v=1 в предыдущее равенство и учитывая G ( 0 ,1) p k ,0
p 0, j q 0 ,
j0
q k , получаем вместо выражение:
k 1
q 0 (1 a ) 1 p k i u
i 1
i0
G1 (u ) 1q k u
k 1
.
1 1u
Функция имеет полюс первого порядка при u 1 1 . Вместе с тем, согласно
k
G1 (u ) n
q n u G ( u ,1). ,она должна быть полиномом степени k. Чтобы
n0
устранить эту особенность, приравняем к нулю вычет G1 в указанном полюсе:
Res 1 G 1 ( u ) 0 ,
u 1
k 1
что приводит к
q 0 (1 a ) p k i 1 q k 1
i0
i
k
0.
27
Алгебраическое решение СМО (продолжение)
В результате преобразований получим:
(1 1 ) 1
k
qk k 1
(1 1
)
k
[1 (1 a ) p i
i 1
k i 1
(1 1
)
k i
(1 1 ) 1
].
Используя подобный метод выражаем произвольные вероятности p ij через
диагональные p i
1
1
(
i
1
i 1
i 1 ) p 0 [(1 a ) j i 1
1
i 1 , j ] p j
j 1
pi k 1
1
1
2 (1 rk ) a 1 ( rk p 0 ) r0 k p 0 k,j
pj
(1 a )
i 1
i i, j j 1
pk i
( i 1, k 1)
,
1
i 1 ,i (1 a ) 1
,
[ C i j 1 ( t 0 ) C i j 2 ( t 0 )] , ( i 1, k )
j 1
j 1
j
j0
{1
1
s j 1
s j 1
s j 1
[ C i s 1 ( t 0 ) C i s 2 ( t 0 )] a [ C i s
s j 1
( t 0 ) C i s 1 ( t 0 )]} s j
, ( i 2 , k ; j 0 , i 1)
s j
28
Документ
Категория
Презентации
Просмотров
21
Размер файла
5 156 Кб
Теги
1/--страниц
Пожаловаться на содержимое документа