Исследование механизма доверенной маршрутизации в глобальных телекоммуникационных сетях Тиамий Осуоалал Абдулрахамон

Содержание к диссертации

Введение

1 Анализ возможности реализации механизма доверенной маршрутизации в сетях TCP/IP 8

1.1 Постановка задачи на алгоритмизацию механизма доверенной маршрутизации в сетях TCP/IP 8

1.2 Создание топологической карты сети 12

1.3 Расширенная идентификация узлов сети 21

1.4 Вычисление доверенного маршрута 25

1.5 Принудительная маршрутизация 29

Выводы по разделу 1 35

2 Синтез программной архитектуры системы управления доверенной маршрутизацией 37

2.1 Разработка специальных средств доверенной маршрутизации 37

2.2 Программная архитектура системы управления доверенной маршрутизацией 55

2.3 Типовые сценарии функционирования механизма ДМ 69

Выводы по разделу 2 75

3 Оценка свойств механизма доверенной маршрутизации в глобальных телекоммуникационных сетях 77

3.1 Имитационное моделирование ТКС с доверенной маршрутизацией 77

3.2 Оценка свойств механизма ДМ 86

3.3 Оценка информационной безопасности глобальных ТКС при использовании механизма ДМ 97

3.4 Рекомендации по совершенствованию механизма ДМ 105

Выводы по разделу 3 112

Заключение 114

Список литературы

• Расширенная идентификация узлов сети
• Принудительная маршрутизация
• Программная архитектура системы управления доверенной маршрутизацией
• Оценка свойств механизма ДМ

Введение к работе

Актуальность темы исследования. Актуальность темы обусловлена значительным количеством угроз информационной безопасности в глобальных телекоммуникационных сетях. Для противодействия угрозам существуют и стандартизованы соответствующие механизмы защиты. Анализ современных международных и российских стандартов в области обеспечения безопасности и устойчивого функционирования сетей связи показал, что управление маршрутизацией в контексте доверительной функциональности, которое поглощается понятием «доверенная маршрутизация», даже не упоминается как сетевой механизм защиты информации. Под доверенной маршрутизацией понимается процесс планирования передачи информационных потоков по вычисленному маршруту через узлы, исключающие возможность подмены, модификации или внедрения информации в потоки данных, проходящих через них. Будучи малоизученной научным сообществом, этот защитный механизм практически не используется для борьбы с сетевыми атаками, несмотря на потенциальную возможность обеспечения безопасной передачи конфиденциальных данных через глобальную телекоммуникационную сеть. Дефицит знаний о возможностях, ограничениях, условиях применения, способах реализации и границах эффективности доверенной маршрутизации в глобальных телекоммуникационных сетях и обуславливает необходимость исследования этого механизма.

Степень разработанности темы. Круг работ, посвященных анализу, обобщению и поиску решения проблемы организации доверенной телекоммуникационной среды «поверх» недоверенной еще весьма ограничен. Отдельные аспекты обеспечения безопасности передачи данных при помощи доверенных механизмов защиты, и в частности, управления маршрутизацией, затрагивались в работах ведущих российских и зарубежных ученых: оптимальная маршрутизация и доверенная инфотелекоммуникационная среда - И. Абрахам, 3. Вонг, М. В. Буйневич, В. М. Зима, М. О. Калинин, С. И. Макаренко, Б. И. Марголис, С. Н. Новиков, К. К. Сумасундарам; системы управления сетью - Б. С. Голь-дштейн, В. А. Ефимушкин, А. Клемм, Д. С. Комер, А. А. Костин, В. А. Нетес; агентные системы и архитектура сетевой защиты - Ю. А. Гатчин, И. В. Котен-ко, X. Лин, И. Б. Саенко, М. Шумахер; моделирование и оценка устойчивости функционирования телекоммуникационных сетей - А. А. Зацаринный, А. Н. Назаров, В. К. Попков, Ю. И. Стародубцев, А. А. Шелупанов, О. И. Шелухин, Ю. К. Язов и др. Состояние и тенденции развития рассматриваемой предметной области актуализируют вопрос о проведении комплексного исследования механизма доверенной маршрутизации в глобальных телекоммуникационных сетях.

Цели и задачи. Целью работы является установление возможных способов реализации, ограничений и условий применения, а также границ эффективности механизма доверенной маршрутизации в глобальных телекоммуникационных сетях. Для достижения поставленной цели в работе были поставлены и решены следующие задачи:

1. Анализ возможности реализации механизма доверенной маршрутизации «штатными» средствами TCP/IP;

2. Разработка специальных средств доверенной маршрутизации;

3. Синтез программной архитектуры системы управления доверенной маршрутизацией;

4. Оценка эффективности механизма доверенной маршрутизации в глобальных телекоммуникационных сетях;

5. Выработка рекомендаций по совершенствованию механизма доверенной маршрутизации.

Объект исследования - механизм доверенной маршрутизации.

Предмет исследования - алгоритмизация, программная реализация, оценка эффективности механизма в глобальных телекоммуникационных сетях и рекомендации по его совершенствованию.

Научная новизна. Научная новизна работы определяется новой предметной областью и новизной полученных результатов и состоит в:

комплексировании алгоритмов, реализующих содержание принципиально нового механизма защиты информации в глобальных телекоммуникационных сетях - механизма доверенной маршрутизации - «штатными» средствами TCP/IP;

разработке специальных средств доверенной маршрутизации и создании оригинального протокола информационного взаимодействия менеджера с агентами доверенной маршрутизации и базой данных в интересах управления механизмом;

имитации механизма доверенной маршрутизации в модели полносвязной сети, которая в отличие от известных учитывает признак доверенности узлов и их временный контроллинг.

Теоретическая и практическая значимость работы.

Теоретическая значимость научных положений, изложенных в работе, состоит в установлении ограничений и условий реализации механизма доверенной маршрутизации в глобальных телекоммуникационных сетях, модификации алгоритма Дейкстры (для нахождения кратчайшего доверенного пути), установлении свойств механизма доверенной маршрутизации, а также динамики влияния его ключевых факторов на интегральное качество телекоммуникационных сетей.

Практическая значимость результатов проведенных исследований состоит в получении требований к специальным средствам (алгоритмам) доверенной маршрутизации, использовании агентной архитектуры системы управления при проектировании программного обеспечения телекоммуникационного и маршрутизирующего оборудования, а также в научном обосновании требований к протоколу доверенной маршрутизации в глобальных телекоммуникационных сетях.

Полученные научные результаты используются на кафедрах «Сети связи и передачи данных» и «Защищенные системы связи» СПбГУТ им. проф.

М. А. Бонч-Бруевича при подготовке и проведении лекционно-практических занятий по учебным дисциплинам «Маршрутизация услуг», «Информационная безопасность в сетях передачи данных», «Моделирование инфокоммуникаци-онных сетей и систем», «Качество обслуживания в ІР-сетях».

Методология и методы исследования. При решении поставленных задач использовались современные и традиционные методы исследования - системный, логический и сравнительный анализ, структурный и функциональный синтез, имитационное моделирование, теория планирования и обработки результатов эксперимента. Научно-методической базой исследования явились теоретические и практические разработки отечественных и зарубежных ученых в области маршрутизации, управления и безопасного масштабирования глобальных телекоммуникационных сетей, а также моделирования процессов их функционирования.

Положения, выносимые на защиту. Соискателем лично получены следующие основные научные результаты, выносимые на защиту:

6. Метод доверенной маршрутизации в глобальных телекоммуникационных сетях;

7. Программная архитектура системы управления доверенной маршрутизацией;

8. Модель сети с доверенной маршрутизацией и рекомендации по совершенствованию реализации механизма защиты.

Степень достоверности. Достоверность основных полученных результатов обеспечивается корректностью постановки научно-технической задачи исследования, строго обоснованной совокупностью ограничений и допущений, представительным библиографическим материалом, опорой на современную научную базу, корректным применением апробированных общенаучных и специальных методов исследования; и подтверждается непротиворечивостью полученных результатов практике функционирования глобальных телекоммуникационных сетей и их широкой апробацией на научных форумах, а также получением авторского патента на полезную модель.

Апробация результатов. Основные положения и результаты диссертации докладывались, обсуждались и получили одобрение на XVI Всероссийской научно-методической конференции «Фундаментальные исследования и инновации в национальных исследовательских университетах» (г. Санкт-Петербург, СПбГПУ, 17-18 мая 2012 г.), научно-практической конференции «Информационные технологии и непрерывность бизнеса» (г. Санкт-Петербург, СПбГИЭУ, 8 ноября 2012 г.), X Международной научно-технической конференции «Новые информационные технологии и системы (НИТиС-2012)» (г. Пенза, ПТУ, 27-29 ноября 2012 г.), Международной научно-технической конференции «Фундаментальные и прикладные исследования в современном мире» (г. Санкт-Петербург, СПбГПУ, 20-22 июня 2013 г.), П-ой Международной научно-технической и научно-методической конференции «Актуальные проблемы ин-фотелекоммуникаций в науке и образовании» (г. Санкт-Петербург, СПбГУТ, 26-27 февраля 2013 г.), XIV Санкт-Петербургской Международной конферен-

ции «Региональная информатика (РИ-2014)» (г. Санкт-Петербург, 29-31 октября 2014 г.), IV-ой Международной научно-технической и научно-методической конференции «Актуальные проблемы инфотелекоммуникаций в науке и образовании» (г. Санкт-Петербург, СПбГУТ, 3-4 марта 2015 г.).

Публикации. Основные результаты диссертационного исследования опубликованы в 15-ти научных работах, из них: 4 работы в изданиях, входящих в перечень рецензируемых научных изданий, рекомендованных ВАК; 1 результат интеллектуальной деятельности (патент на полезную модель); 9 работ в других изданиях и материалах (трудах) конференций.

Структура и объем работы. Диссертационная работа состоит из введения, основной части (содержащей 3 раздела), заключения и списка литературы. Общий объем работы - 132 страницы. Работа содержит 35 рисунков и 16 таблиц. Список литературы включает 140 библиографических источников.

Расширенная идентификация узлов сети

Научный и чисто практический интерес в контексте безопасности глобальных телекоммуникационных сетей представляет механизм управления маршрутизацией - применение правил в процессе маршрутизации по выбору или исключению конкретных сетей, звеньев данных или ретрансляторов. Согласно пп. 5.3.7.1 - 5.3.7.1 ГОСТ «маршруты могут выбираться либо динамически, либо путем такого предварительного распределения, которое использует только физически защищенные подсети, ретрансляторы или звенья данных»; «при обнаружении постоянных попыток манипуляции данными оконечные системы могут передать поставщику сетевой услуги команду на установление соединения через другой маршрут»; «инициатор соединения может установить запрет на использование маршрутов, что требует исключения из маршрута заданных подсетей, звеньев данных или ретрансляторов».

Такое «предварительное распределение, запрет на использование маршрутов и установление соединения через другой маршрут» поглощается понятием доверенная маршрутизация (ДМ), под которой понимается процесс планирования передачи информационных потоков по вычисленному маршруту через (доверенные) узлы, исключающие возможность подмены, модификации или внедрения информации в проходящие через них потоки данных [1]. С позиций общеархитектурных механизмов защиты она реализует, так называемую, доверительную функциональность, согласно которой: «Любая функциональность, непосредственно обеспечивающая механизмы защиты или доступ к ним, должна быть заслуживающей доверия» (см. п. 5.4.1.1 ГОСТ). Можно сказать, что ДМ реализует формулу «управление маршрутизацией + доверительная функциональность».

С целью определения содержания и последующей реализации доверенной маршрутизации автором в работах [55, 56] проанализированы известные стандартизованные механизмы сетевой защиты, также претендующие на доверенность образуемой ими телекоммуникационной среды - MPLS и VPN.

VPN (от англ. Virtual Private Network - виртуальная частная сеть) - логическая сеть, которая создается «поверх» другой ТКС за счет туннелирования, основанного на RFC-1234 [68]. Для обеспечения безопасности трафика используется шифрование, то есть применяется формула «шифрование + доверительная функциональность». Механизм поддерживает различные протоколы и масштабируемость. В работе автора [55] показано, что безопасность с помощью шифрования и туннелирования не препятствует недоверенной сети или сетевым узлам участвовать в маршрутизации данных - будучи частью туннеля, это промежуточное маршрутизирующее оборудование может исследовать, копировать или модифицировать данные, даже если пакеты зашифрованы.

Технология MPLS (от англ. Multiprotocol Label Switching - многопротокольная коммутация по меткам) реализует коммутацию пакетов в многопротокольных сетях, используя общеархитектурный механизм меток [69,70], и в этом смысле работает по формуле «управление маршрутизацией + метки защиты». Несмотря на то, что MPLS дает преимущества управления потоками данных (повышает производительность, интегрирует IP и ATM-сети, позволяет создавать виртуальные каналы), существует проблема потери целостности и конфиденциаль-

ности трафика, проходящего через сеть MPLS [71-73]. В то время как гипотетически механизм ДМ гарантирует целостность и конфиденциальность сетевого трафика. В работе автора [56] анализируются и сравниваются эти два механизма по отношению к безопасности данных, QoS и масштабируемости сети.

Осуществим прототипирование метода реализации механизма ДМ, усилив традиционные этапы механизма управления маршрутизацией требованиями доверительной функциональности.

Во-первых, поскольку основным принципом ДМ является прокладывания точного маршрута через конкретные узлы в сети, то первым этапом метода должно быть определение и изучение ее структуры - то есть топологии. Классически, под топологией понимается способ описания конфигурации сети и схема расположения ее устройств, что является недостаточным для прокладывания доверенного маршрута. Следовательно, необходимо получение более детальной информации о структуре сети с учетом всех доступных межузловых маршрутов, а именно - топологической карты. Формально, такая карта имеет вид двунаправленного графа, узлами которого является маршрутизирующее оборудование (МО), а ребрами - доступные маршруты для пересылки пакетов между ними.

Во-вторых, хотя топологическая карта сети и дает информацию о наличии узлов и возможных маршрутах между ними, однако характеристики каждого конкретного узла, на основании которых можно судить о его применимость в качестве промежуточной точки маршрута, на данной карте не представлены. Для этого предназначен второй этап метода ДМ - расширенная идентификация узлов сети. В данном случае под идентификацией понимается сбор информации об узле, которая позволит отнести его к списку доверенных.

В-третьих, требование доверенности к маршруту означает разделение всех узлов (и, соответственно, их МО) на два типа - «доверенные» и «недоверенные» с дальнейшим построением маршрута только из узлов «первого» типа. Вычисление такого (доверенного) маршрута является отдельным (третьим) этапом метода ДМ. Представляется, что алгоритм, реализующий этап, может быть не только бинарным, но и способным учитывать некий заданный уровень доверия к узлам.

Механизм ДМ должен обеспечить строгое следование сетевых пакетов по вычисленному на предыдущем (третьем) этапе маршруту, так как их проход даже через один не доверенный узел может быть критичным. Таким образом, четвертый этап метода ДМ заключается в принудительной отправке (маршрутизации) пакетов через выбранные доверенные узлы.

Исследуем возможности и ограничения реализации механизма ДМ «штатными» средствами, под которыми понимаются утилиты и протоколы, являющиеся стандартными и применяемые в сетях TCP/IP без каких-либо модификаций. Рассмотрим способ реализации каждого этапа различными алгоритмами с последующим их сравнением. В случае отсутствия доступных реализаций произведем обоснование на разработку соответствующего средства.

Принудительная маршрутизация

В авторском патенте [59] показано, что при вычислении доверенного маршрута с помощью модифицированного алгоритма Дейкстры (см. рисунок 2.2), определение уровня доверия узлам может осуществляться по множеству параметров {а, Ь, с, d}, где а - определяет аутентификации, которые узел способен выполнять при проверке его физического местоположения, поскольку уровень доверия узлов может быть неприемлемым из-за их особого географического расположения; b - определяет узел, известный маршрутизатору отправителя как недоверенный из-за недоверия стране или корпорации, в которой этот узел находится; с - определяет средние значения измерений физического местоположения узла, полученные с помощью «пингования» сети (физическое расположение узла может быть определено путем его размещения в известном безопасном месте, например, на закрытой базе или в правительственном здании; d - характеризует информацию, найденную в узле, хранящуюся с целью идентификации (например, программный модуль в виде агента).

Поскольку после каждого выполнения алгоритма будут выбираться узлы для преобразования в доверенные, создание доверенного маршрута полностью может занимать определенное время. Но при необходимости время может быть уменьшено путем предварительного единовременного преобразования большой группы узлов в доверенные, и этим давать модифицированному алгоритму Дейкстры возможность найти маршрут за одну итерацию. Для этого возможно вычисление всех или определенного количества возможных маршрутов от источника до получателя - активных маршрутов - и преобразование их узлов в доверенные.

Для решения этой задачи предлагается использовать алгоритм X-BDV (от англ. bidirectional version of Dijkstra s algorithm - упрощенная версия двунаправленного варианта алгоритма Дейкстры), с помощью которого можно найти кратные маршруты (кратчайшие маршруты и локально оптимальные) между двумя вершинами на ориентированном графе с неотрицательными, целыми весами по краям. Это алгоритм описан в недавнишнем исследовании [3, 106]. Результаты экспериментов, приведенные в [3], показали, что алгоритм X-BDV по-настоящему практичен для «континентального» размера сети и является быстрым по сравнению с другими подобными алгоритмами.

Таким образом, использование алгоритма X-BDV гипотетически сокращает время нахождения доверенного маршрута, так как существует возможность его получения из первых альтернативных кратчайших маршрутов, что уменьшает потребное количество преобразуемых в доверенные узлов.

Блок-схема такого синтетического (совместного использования X-BDV и модифицированного Дейкстры) алгоритма нахождения доверенного маршрута приведена на рисунке 2.6. Начало

Рассмотрим способы получения удаленного управления узлами в интересах ДМ - контроллинга (от англ. to control - управлять). Суть организации контроллинга улов состоит в удаленном доступе к его оборудованию с последующим внедрением агента ДМ в программное обеспечение маршрутизатора. Поскольку по соображениям безопасности удаленное управление оборудованием узла не предусмотрено, то оно может быть получено лишь с помощью нештатных возможностей, например, используя уязвимости протоколов, обеспечения, настроек оборудования и т.п. [107] - то есть, создания специальных средств ДМ. 2.1.3.1. Техники и утилиты удаленного доступа к узлам сети

Исследуем основные техники, реализующие удаленный «нештатный» доступ к телекоммуникационному оборудованию на примере маршрутизаторов компании Cisco (как наиболее распространенных), а также используемые при этом утилиты на предмет применения в качестве средства для контроллинга. 1) Перехват SNMP-трафика. Аналогично технике расширенной идентификации узлов путем перехвата SNMP-трафика, эти пакеты могут содержать строку доступа, с помощью которой возможно не только чтение, но и запись данных в конфигурационные файлы оборудования на узле (в случае, если используется одна и та же строка). Для перехвата возможно применение утилиты shell-скрипта snmpsniff.sh, разработанной Nuno Leitao [108].

На данный момент известны 3 версии протокола SNMP, определяющие 3 модели безопасности. Безопасность у SNMPvl основана на строках доступа, как и у SNMPv2c. Но у SNMPv3 безопасность доступа обеспечивается комбинацией аутентификации и шифрования передаваемых по сети пакетов [109]. SNMPv3 поддерживает модели безопасности (стратегии аутентификации, которые устанавливаются для пользователя и группы, в которой он находится) и уровни безопасности (разрешенные уровни в модели безопасности). Их комбинация определяет, какой механизм безопасности применяется при обработке SNMP-пакета (см. таблицу 2.1). Таблица 2.1 -Модели и уровни безопасности протокола SNMP

Программная архитектура системы управления доверенной маршрутизацией

Поскольку чисто теоретическое исследование механизма ДМ затруднено при причине крайне сложной его формализации без потери сущности и ограничено только алгоритмизацией (см. п. 1), а практическое - требует полноценного внедрение реализации (см.п. 2) в глобальную ТКС и сбор фактологических статистических данных, то целесообразным является исследование его свойств на соответствующей модели - модели ТКС с ДМ.

В настоящее время значительная часть исследований ТКС осуществляется с использованием программ имитационного моделирования (сетевых симуляторов), которые имитируют функционирование заданной топологии и конфигурации на ЭВМ [38-50, 125-131]. После чего результаты моделирования визуализируются и анализируются исследователем. Адекватность модели зависит от целей исследования, навыков моделирования и собственно характеристик программы-симулятора.

Выбор подходящего сетевого симулятора для предметной области настоящего исследования является нетривиальной задачей вследствие наличия десятка достойных конкурентов (ns-2, OPNET, GPSS, OMNeT++ и др.), которые, сверх традиционных, учитывают целый ряд дополнительных характеристик, связанных с ДМ: возможность работы с таблицей маршрутизации, поддержка протоколов сетевого и транспортного уровня, использование IP адресации и др.

Сравнительный анализ средств имитационного моделирования ТКС, поддерживающих доверенную маршрутизацию, проведен автором в работе [63], где дается, в том числе, краткая характеристика сравниваемых программных продуктов. Сравнительный анализ сетевых симуляторов показал, что большинство из них подходит для исследования свойств механизма ДМ в глобальных ТКС и что выбор «сбалансированного» средства имитационного моделирования будет, в большей степени, определяться сценарием модельного эксперимента и структурой концептуальной модели ТКС с ДМ.

Концептуальная модель ТКС с ДМ разработана в предположении, что: сеть полносвязная, причем первый и последний узлы - терминальные; узлы ненадежны - вероятности отказов и интенсивность восстановлений узлов зависят от их номера; вероятность выбора очередного узла (маршрута) зависит от типа сообщения и номера текущего узла; все линии связи абсолютно надежны; время обработки сообщения в узле зависит от его номера; если очередной узел занят или неисправен, включается механизм контроллинга (см. пп. 2.1.3) дополнительных узлов; есть ограничение по времени пребывания сообщения в сети и интенсивности контроллинга; время контроллинга дополнительных узлов конечно.

Разработанная концептуальная модель ТКС с ДМ реализуется следующим образом. Поток сообщений генерируется и поступает в 1-й узел. При поступлении сообщения, оно обслуживается и передается в следующей узел. При условии, что узел не является терминальным (г Ф К), время жизни (Т) еще не истекло и узел не занят (или исправен), проверяется, не превышен ли еще лимит контроллинга - в этом случае будет осуществлен контроллинг очередного узла; в противном случае будет зафиксирован отказ в обслуживании сообщения. Если узел терминальный (г = К), то порядковый номер сообщения (п) инкрементируется и процессы повторяются, пока порядковый номер сообщения не превысит максимального (7V).

Данная модель характеризуется транзакционным обслуживанием потока сообщений в сети, инвариантным к протокольной и иным реализациям работы маршрутизирующего оборудования, что приводит к возможности выбора в качестве инструментария GPSS [132-134] -достаточно мощного и, одновременно, достаточно простого языка имитационного моделирования СМО (систем массового обслуживания) - и позволяет перейти непосредственно к разработке программной имитационной модели ТКС с ДМ в его программной среде. GPSS-модель в среде строится из отдельных элементов, называемых объектами; совокупность состояний всех объектов определяет состояние модели в любой момент времени. Состояние модели изменяется лишь тогда, когда транзакт проходит через блок. Таким образом, транзакт является первым (динамическим) обязательным объектом модели на GPSS, а вторым (статическим) является блок -операционный объект GPSS-модели, совокупность которых задает логику функционирования модели через определение пути движения транзактов. Блоки представляют собой подпрограммы и содержат набор операндов: в языке GPSS более 50 таких блоков [132-134]. Для построения модели нужно выбрать требуемые блоки и выстроить их в логической последовательности.

Оценка свойств механизма ДМ

Все эти недостатки существенно ограничивают возможность использования предложенного метода ДМ для организации «доверенной сети поверх недоверенной», что актуализирует задачу совершенствования реализации механизма ДМ и создания новых соответствующих алгоритмов и процедур.

Рассмотрим возможные подходы (варианты) к реализации механизма ДМ с учетом полученных новых знаний.

1) Одним из требований к методу реализации механизма ДМ является согласованное выполнение его этапов. Полярными вариантами здесь выступают централизованная диспетчеризация (см. п. 2.2) и децентрализованное функционирование. В первом случае отправка данных возможна только из центрального элемента (например, менеджера ДМ), который и берет на себя ответственность за построение и использования доверенного маршрута. Во втором, каждый из элементов сети может являться источником передаваемых сообщений и потому выступает равноправным элементом распределенной системы управления ДМ. Реализация механизма ДМ по второму варианту обладает большей универсальностью и отказоустойчивостью, однако реализуется более сложно и может инспирировать новые коллизии. В частности, экстренное прекращение передачи данных в случае компрометации маршрута для распределенного варианта представляется крайне нетривиальной задачей.

2) Процесс организации передачи данных по доверенным маршрутам может обладать различной степенью автоматизации; в этом контексте предложенный метод ДМ можно считать автоматизированным. Тем не менее управление процессом может быть смещено как в сторону большей автоматизации, так и быть более контролируемым оператором. Вариант механизма, при котором подготовкой данных для передачи, выбором доверенного маршрута, его контролем, мониторингом и проч. занимается построенная система будет считаться полностью автоматическим. Полярный, полностью ручной, вариант предполагает участие оператора на всех этапах. Реализация первого варианта необходима, когда требуется удобство и многократность использования механизма ДМ. Реализация второго - когда необходима высокая гарантия передачи отдельных блоков данных в условиях враждебной среды; тогда оператор должен полностью контролировать процесс, реагируя на возникающие угрозы и экстренно принимая ситуативные решения.

3) На текущий момент не существует полноценно работающих реализаций механизма ДМ, а особенности функционирования глобальной ТКС не предполагают его простого развертывания. Таким образом, возникает задача по внедрению механизма ДМ в сети TCP/IP. В зависимости от требований к параметрам такого внедрения, возможна как постепенная поддержка отдельными узлами сети механизма ДМ, так и построение новой подсети в рамках существующей, изначально поддерживающей этот механизм. Постепенное внедрение функционала ДМ в узлы сети может быть сопряжено с необходимостью нового функционала одних узлов сочетаться с функционалом менее безопасных и «конкурирующих» за сетевую среду других. Замена же целой группы узлов на поддерживающие механизм ДМ в случае возникновения ошибок в реализации или конфигурации нарушит работоспособность целого участка глобальной сети. Тем не менее, построенная и отлаженная таким образом подсеть будет более надежной и безопасной.

4) Несмотря на то, что наличие доверенного маршрута необходимо лишь на время передачи данных, его наличие до и после собственно передачи может быть применено для улучшения отдельных характеристик механизма ДМ. Так, под 108 держка актуального доверенного маршрута между отдельными передачами позволит как сократить время на его повторное создание, так и осуществлять мониторинг за состоянием безопасности сети. Первое следует из того, что будет отсутствовать этапы, подобные идентификации узлов и выбору доверенного маршрута. Второе же будет возможно по оценке отказов узлов и нарушению доверенности маршрута. Однако постоянная поддержка доверенного маршрута может быть не достаточно скрытной, а, следовательно, механизм ДМ будет сильнее подвержен атакам злоумышленника.

5) Поскольку в любой реализации механизма ДМ должно присутствовать управление маршрутом посредством транзитных узлов, то необходим специальный протокол (некий формализованный набор соглашений и форматов) такого управления. Протокол должен обеспечивать доставку маршрутизирующей информации узлам и результатов создания ими доверенного маршрута. Данные протокола могут являться частью передаваемых данных (а точнее, располагаться в отдельных секциях пакета, таких, как опция IP-пакета для задания маршрутизации от источника). Альтернативной такого расположения может быть создание отдельного канала управления маршрутизацией, с помощью которого перед началом передачи данных все транзитные узлы будут оповещены о том, как пакеты с данными необходимо перенаправлять.

Первый вариант можно считать более стандартным, поскольку он, скорее всего, будет использовать штатные сетевые средства - следовательно, он практически не потребует специальной реализации и может функционировать в существующей сетевой среде. Второй является более трудоемким и требуемым разработки дополнительного функционала. Например, для него необходимо будет решать задачу идентификации пакетов для того, чтобы маршрутизации подверглись только лишь требуемые передаваемые данные, а не все, проходящие через узел. Тем не менее, создание канала управления маршрутизацией сделает ее более гарантированной (поскольку канал априори будет поддерживать подтверждение принятия информации узлами) и даст большие возможности по ее управлению (например, позволит, как экстренно прекратить передачу или изменить ее маршрут для выбранного узла, так и узнать о состоянии последнего).