Способ конфигурирования сети связи

Изобретение относится к области телекоммуникаций и может быть использовано для проектирования защищенных сетей связи.

Известно изобретение "Способ создания защищенных виртуальных сетей" по патенту RU №2276466, H04L 12/28, G06F 12/08, 10.05.2006, заключающееся в том, что для каждого компьютера, который может быть использован в нескольких защищенных виртуальных сетях, и для каждой создаваемой защищенной виртуальной сети выделяют отдельный блок долговременной памяти, в который записывается отдельная операционная система, настраиваемая на данную виртуальную сеть. Переход из одной виртуальной сети в другую осуществляется путем перегрузки компьютера, а доступ к блоку долговременной памяти и загрузка операционной системы каждой защищенной виртуальной сети выполняется после предъявления пользователем полномочий и выполнения аутентификации, при этом доступ к блокам памяти защищенной виртуальной сети со стороны других виртуальных сетей блокируется. Недостатком известного способа является то, что при формировании защищенной виртуальной сети не учитываются показатели информационной безопасности возможных направлений связи между узлами сети.

Также известно изобретение "Способ выбора безопасного маршрута в сети связи (варианты)" - патент RU №2331158, H04L 12/28, 10.08.2008. Сущность известного изобретения заключается в том, что для сети связи, содержащей совокупность из X узлов сети, предварительно задают для каждого x-го узла сети, где x=1, 2,…, X, совокупность Y параметров безопасности и их значения b_xy, где y=1, 2,…, Y, вычисляют комплексный показатель безопасности k_xΣ для каждого x-го узла сети, формируют матрицу смежности вершин графа сети, после чего формируют совокупность возможных маршрутов связи между i-ым и j-ым абонентами сети, где i=1, 2,…, j=1, 2,…, и i≠j, в виде N_ij деревьев графа сети связи, причем каждое n-ое, где n=1, 2,…, N_ij дерево графа состоит из z_n вершин, соответствующих количеству принадлежащих ему узлов сети, затем для каждого из N_ij возможных маршрутов связи вычисляют средние показатели безопасности, выбирают один маршрут и передают по нему сообщения.

Недостатком известного способа-прототипа является то, что он не позволяет обеспечить устойчивость сети к угрозам информационной безопасности. Под устойчивостью в данном смысле понимается свойство сети связи, при котором воздействие нарушителя на отдельные ее элементы не приводит к компрометации или нарушению работоспособности сети в целом.

Предлагаемый способ расширяет функциональные возможности способа-прототипа за счет введения дополнительных процедур и частичного изменения связей в логике работы предыдущего уровня техники. Задачей изобретения является конфигурирование сети связи, позволяющей получить повышение устойчивости сети к угрозам информационной безопасности за счет построения регулярной структуры безопасных маршрутов и распределения по ним информационных потоков таким образом, что выбранные маршруты имеют равномерную значимость в смысле информационной безопасности. То есть по техническим характеристикам из совокупности выбранных маршрутов на сети связи выделить наиболее или наименее защищенные для планирования угроз информационной безопасности нарушитель не может. При этом устойчивость функционирования сети обеспечивается не "силовыми" методами защиты, а повышением условий априорной неопределенности относительно принятия решения о воздействие на то или иное направление связи и минимизацией ущерба данного воздействия [Сычев К.И. Многокритериальное проектирование мультисервисных сетей связи. - СПб.: Изд-во Политехн. ун-та, 2008. - 272 с., Царегородцев А.В., Кислицын А.С. Основы синтеза защищенных телекоммуникационных систем / Под ред. Е.М.Сухарева. Кн.6. - М.: Радиотехника, 2006. - 256 с.]. Таким образом, с целью обеспечения устойчивости сети связи к угрозам информационной безопасности выбранные безопасные маршруты необходимо использовать в соответствии с долями потоков, которые позволят уравновесить значимости этих маршрутов для передачи данных. На узлах сети связи необходимо учитывать объемы данных, которые передают по каждому направлению, и проводить его корректировку, например за счет механизмов маршрутизации.

Решение задачи достигается тем, что для сети связи, содержащей совокупность из X узлов сети, предварительно задают для каждого x-го узла сети, где x=1, 2,…, X, совокупность Y параметров безопасности и их значения b_xy, где y=1, 2,…, Y, вычисляют комплексный показатель безопасности k_xΣ для каждого х-го узла сети, запоминают информацию о структуре сети, после чего формируют совокупность возможных маршрутов связи между i-ым и j-ым узлами сети, где i=1, 2,…, j=l, 2,…, и i≠j в виде N_ij деревьев графа сети связи, причем каждое n-оe, где n=1, 2,…, N_ij, дерево графа состоит из z_n вершин, соответствующих количеству принадлежащих ему узлов сети, затем для каждого из N_ij возможных маршрутов связи вычисляют средние показатели безопасности, выбирают один маршрут с наибольшим значением его среднего показателя безопасности, выбранный маршрут запоминают и передают по нему сообщения. В качестве информации о структуре сети запоминают комплексные показатели безопасности k_xΣ для каждого x-го узла сети и матрицу связности S, а средние показатели безопасности для n-го маршрута сети вычисляют путем перемножения комплексных показателей безопасности узлов, входящих в n-ый маршрут, далее после того как выбирают и запоминают один маршрут между каждой парой i и j узлов, дополнительно запоминают их средние показатели безопасности в виде матрицы затем находят максимум функции энтропии H (K, F), а также соответствующую найденному максимальному значению функции энтропии матрицу F=[f_i,j], содержащую доли потоков между каждой парой i и j узлов сети связи с учетом априорных характеристик безопасности, после чего найденные значения [f_i,j] передают на узлы сети и используют на узлах сети для регулирования объемов данных, которые передают по маршрутам. Предлагаемый способ поясняется чертежами:

фиг.1 - схема реализации способа конфигурирования сети связи;

фиг.2 - пример графа, описывающего сеть связи;

фиг.3 - матрица связности для графа;

фиг.4 - таблица значений показателей безопасности для узлов сети;

фиг.5 - таблица сформированных возможных маршрутов в сети и рассчитанных для них средних показателей безопасности;

фиг.6 - таблица выбранных маршрутов для каждой пары узлов сети;

фиг.7 - таблица долей потоков на каждом выбранном маршруте;

фиг.8 - графики, отражающие технический результат заявленного способа.

Проведенный заявителем анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественными всем признакам заявленного способа, отсутствуют. Следовательно, заявленное изобретение соответствует условию патентоспособности "Новизна". Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками заявленного изобретения, показали, что оно не следует явным образом из уровня техники. Из определенного заявителем уровня техники существование влияния существенных признаков заявленного изобретения на достижение указанного технического результата не выявлено. Следовательно, заявленное изобретение соответствует условию патентоспособности "Изобретательский уровень".

Способ конфигурирования сети связи может быть реализован следующим образом. Предположим, что для обеспечения устойчивости к угрозам информационной безопасности необходимо произвести конфигурирование сети связи, описываемой графом (фиг.2).

Для каждого узла сети задают значения параметров безопасности (бл.1 на фиг.1). По аналогии с предыдущим уровнем техники параметры безопасности узлов сети определяют, например, в соответствии с ГОСТ РИСО/МЭК 15408-2002 «Методы и средства обеспечения информационной безопасности. Критерии оценки безопасности информационных технологий». Значения b_xy параметров безопасности у для узлов сети х определяется, например, по характеристикам производителей оборудования составляющих узла сети, типу этого оборудования, типу и версии установленного программного обеспечения [Описание изобретения к патенту RU №2331158, H04L 12/28, 10.08.2008, бюл. №22. «Способ выбора безопасного маршрута в сети связи (варианты)»]. Предположим, что параметры безопасности для узлов сети определяются в соответствии с таблицей (фиг.4).

Для каждого x-го узла сети по значениям его параметров безопасности вычисляют и запоминают комплексный показатель безопасности k_xΣ (бл.2 на фиг.1) путем, например, расчета среднего арифметического значения:

Вычисленные комплексные показатели безопасности для узлов сети связи представлены в таблице (фиг.4).

Запоминают информацию о структуре сети в виде матрицы связности S (бл.3 на фиг.1) (фиг.3).

Формируют совокупность возможных маршрутов связи между i-ым и j-ым абонентами сети, где i=1, 2,…, j=1, 2,…, и i≠j, в виде N_ij деревьев графа сети связи (бл.4 на фиг.1), причем каждое n-ое, где n=l, 2,…, N_ij, дерево графа состоит из z_n вершин, соответствующих количеству принадлежащих ему узлов сети. Порядок формирования возможных маршрутов в виде деревьев графа известен и описан [Кристофидес H. Теория графов: алгоритмический подход. Пер. с англ. - М.: Мир, 1978, - 432 с.]. Для рассматриваемого примера совокупность всех возможных маршрутов между i-ым и j-ым узлами графа представлена в таблице (фиг.5).

Для каждого найденного маршрута вычисляют средние показатели безопасности (бл.5 на фиг.1) как произведение комплексных показателей безопасности k_xΣ узлов сети, входящих в n-ый маршрут:

Рассчитанные средние показатели безопасности для рассматриваемого примера сведены в таблицу (фиг.5).

Выбирают маршруты для каждой пары узлов сети с наибольшими показателями безопасности (бл.6 на фиг.1), причем в случае нахождения нескольких маршрутов с равными средними показателями безопасности выбирают из них маршрут с наименьшим количеством входящих в него узлов z_n. Запоминают выбранные маршруты, а значения их средних показателей безопасности запоминают в матрице (бл.7 на фиг.1), причем элементы матрицы при i=j равны комплексному показателю безопасности соответствующего узла (фиг.6).

Для обеспечения устойчивости сети к угрозам информационной безопасности выбранных маршрутов недостаточно, т.к. они существенно отличаются по показателям защищенности, что для нарушителя может являться определяющим фактором при выборе объекта атаки. Поэтому рассчитанные безопасные маршруты следует сбалансировать путем распределения по ним информационных потоков. Доли потоков, характеризующие отношение объемов информационного взаимодействия между каждой парой узлов, описывают потоковую структуру сети при сложившемся распределении по сети средств обеспечения информационной безопасности.

Для нахождения долей потоков по найденным маршрутам сети находят максимум функции энтропии H (K, F) (бл.8 на фиг.1) (выражение 4), которая является мерой, характеризующей состояние равновесия [Попков Ю.С. Теория макросистем (равновесные модели). - М.: Эдиториал УРСС, 1999. - 320 с.] при ограничениях (5). Матрица K является параметром функции, а матрица F=[f_i,j] - переменной, характеризующей распределение информационного потока между узлами сети.

Решая оптимизационную задачу вида (6) с ограничениями (5) любым из известных методов, например методом множителей Лагранжа [Попков Ю.С.Теория макросистем (равновесные модели). - М.: Эдиториал УРСС, 1999. - 320 с., Таха, Хэмди А. Введение в исследование операций. 6-е издание.: Пер. с англ. - М.: Издательский дом "Вильямс", 2001. - 912 с.], находят матрицу F^m (бл.8 на фиг.1).

Таким образом, найденная матрица F^m содержит сбалансированные значения долей потоков для маршрутов между каждой парой узлов i, j с учетом информационной безопасности этих маршрутов. Для рассматриваемого примера найденная матрица представлена таблицей (фиг.7). Найденную матрицу F передают на узлы связи (бл.9 на фиг.1) и используют на узлах связи для регулирования объемов данных, которые передают по направлениям связи (бл.10, бл.11 на фиг.1).

На графиках (фиг.8) представлены значения относительных показателей безопасности , где , для варианта равномерного распределения потоков по найденным безопасным маршрутам (графика 1 фиг.8) и варианта распределения в соответствии с рассчитанной матрицей долей информационного обмена (графика 2 фиг.8). Анализируя полученные данные, можно сделать вывод о том, что в соответствии с графиком 1 (фиг.8) наиболее предпочтительным объектом атаки нарушителя является направления 1->3 и 1->5, потому как они имеют определенно выраженные всплески относительных показателей безопасности. По графику 2 (фиг.8) подобный выбор сделать затруднительно, поскольку значения относительных показателей безопасности всех направлений приблизительно одинаковы. Разброс значений показателей во втором варианте в 2,7 раза меньше первого.

Заявленный способ может быть реализован в виде устройства, осуществляющего централизованное конфигурирование сети связи (фиг.9).

На схеме (фиг.9) обозначены следующие блоки:

1 - блок мониторинга сети связи;

2 - блок памяти;

3 - сумматор;

4 - делитель;

5 - регистр памяти;

6 - счетчик;

7 - блок формирования маршрутов;

8 - коммутирующее устройство;

9 - умножитель;

10 - блок выбора безопасного маршрута;

11 - блок памяти;

12 - блок расчета функции энтропии;

13 - блок рассылки;

14 - блок распределения нагрузки узла по направлениям связи.

Блоки мониторинга сети 1 и памяти 2 реализуют процедуры бл.1 и бл.3 на фиг.1 способа, сумматор 3, делитель 4, регистр памяти 5 и счетчик 6 реализуют процедуру бл.2 (фиг.1), блок формирования маршрутов 7 реализует процедуру бл.4 (фиг.1), коммутирующее устройство 8 и умножитель 9 реализуют процедуру бл.5 (фиг.1), блок выбора безопасного маршрута реализует процедуру бл.6 (фиг.1), блок памяти 11 реализует процедуру бл.7 (фиг.1), блок расчета функции энтропии 12 реализует процедуру бл.8 (фиг.1), блок рассылки 13 реализует процедуру бл.9 (фиг.1), блок распределения нагрузки узла по направлениям связи 14 реализует процедуры бл.10 и бл.11 (фиг.1).

Таким образом, благодаря новой совокупности существенных признаков за счет введения новых процедур и связей между ними появляется возможность обеспечить устойчивость сети связи к угрозам информационной безопасности. Способ позволяет определить маршруты и требуемые доли информационных потоков для них, обеспечивающих максимальную неопределенность для нарушителя при выборе объекта атаки.

Предлагаемый способ может быть использован в подсистемах и звеньях управления технологическими процессами в информационно-вычислительных сетях, а также средствах и системах обеспечения информационной безопасности сетей связи.

Способ конфигурирования сети связи, заключающийся в том, что для сети связи, содержащей совокупность из Х узлов сети, предварительно задают для каждого х-го узла сети, где х=1,2,…,Х, совокупность Y параметров безопасности и их значения b_xy, где y=1,2,…,Y, вычисляют комплексный показатель безопасности k_xΣ для каждого х-го узла сети, запоминают информацию о структуре сети, после чего формируют совокупность возможных маршрутов связи между i-м и j-м узлами сети, где i=1,2,…; j=1,2,…; и i≠j, в виде N_ij деревьев графа сети связи, причем каждое n-е, где n=1,2,…,N_ij, дерево графа состоит из z_n вершин, соответствующих количеству принадлежащих ему узлов сети, затем для каждого из N_ij возможных маршрутов связи вычисляют средние показатели безопасности, выбирают один маршрут с наибольшим значением его среднего показателя безопасности, выбранный маршрут запоминают и передают по нему сообщения, отличающийся тем, что в качестве информации о структуре сети запоминают комплексные показатели безопасности k_xΣ для каждого х-го узла сети и матрицу связности S, а средние показатели безопасности для n-го маршрута сети вычисляют путем перемножения комплексных показателей безопасности узлов, входящих в n-й маршрут, далее после того как выбирают и запоминают один маршрут между каждой парой i и j узлов, дополнительно запоминают их средние показатели безопасности в виде матрицы , затем находят максимум функции энтропии Н(K, F), а также соответствующую найденному максимальному значению функции энтропии матрицу F=[f_i,j], содержащую доли потоков между каждой парой i и j узлов сети связи с учетом априорных характеристик безопасности, после чего найденные значения [f_i,j] передают на узлы сети и используют на узлах сети для регулирования объемов данных, которые передают по маршрутам.