где
i
— конкретное требование ИБ к механизму аутентификации;
N
1
—
общее число требований ИБ к механизму аутентификации;
K
i
и
X
i
—
степени важности и выполнения требования
i
механизмом аутентифи-
кации соответственно.
Значение
X
i
= 0
означает, что требование ИБ механизмом аутен-
тификации
Х
не выполняется. Чем больше
X
i
, тем в большей степени
требование ИБ выполняется механизмом аутентификации. Характе-
ристики
X
i
и
K
i
в выражении (1) определяются экспертным мето-
дом. Значение
Z
определяет диапазон значений
R
sec
. Максимальное
значение
R
sec
определяется произведением числа
Z
и максимального
X
i
, при котором
K
i
выполняется полностью. Далее в табл. 1 приве-
ден упрощенный пример для иллюстрации определения интегральных
значений
R
sec
(
Х
)
рассматриваемых механизмов аутентификации
А
,
Б
,
В
,
Г
,
Д
,
Е
. Значения требований к информационной безопасности этих
механизмов означают:
i
= 1
— обеспечение только подлинности ис-
точника сообщения обновления маршрутизации;
i
= 2
— обеспечение
только целостности принятого сообщения обновления маршрутиза-
ции.
Кроме требований ИБ, имеющих конкретные характеристики
X
i
и
K
i
, предусмотрены так называемые критические требования, ко-
торые не имеют весовых значений и являются обязательными для
выполнения. К таким требованиям относится наличие средств ауди-
та, позволяющих записывать подробную информацию о сообщениях
обновления маршрутизации; системы извещений, позволяющей в ре-
альном масштабе времени указывать на признаки атак, вызванных
фальсификацией сообщений обновления маршрутизации.
Данные расчета
R
sec
(
X
)
, приведенные в табл. 1, иллюстрируют
применение предлагаемого метода. С этой же целью выбраны и при-
ведены параметры
K
i
и
X
i
. Диапазон значений
R
sec
принят равным
100 (произведение
Z
= 10
и максимального значения
X
i
= 10
). Да-
лее приведен список анализируемых механизмов аутентификации, из
которых только механизм
А
используется для защиты от нарушения
маршрутизации в IP-сетях, а остальные выполняют защиту других
функций ССОП.
А
. Подлинность источника и целостности сообщения обновле-
ния маршрутизации с помощью кода аутентичности MD5 (Message
Authentication Code). В IP-сетях такая аутентификация реализуется с
помощью односторонней функции хеширования (по протоколу MD5)
сообщения обновления маршрутизации вместе с общим секретным
значением (ключом) соседнего маршрутизатора [3].
Б
. Механизм аутентификации аналогичен приведенному механиз-
му
А
за исключением того, что используется функция хеширования
по протоколу HMAC [7, 8].
114 ISSN 0236-3933. Вестник МГТУ им. Н.Э. Баумана. Сер. “Приборостроение”. 2009. № 4
