Способ защиты персонального номера пользователя

1. Область техники

Изобретение относится к области электросвязи и предназначено для защиты персонального номера пользователя от изменений при передаче пакетов данных.

Изобретение может быть использовано при построении глобальных или локальных сетей подвижной и фиксированной связи.

2. Уровень техники

Известно [1], что на сетях связи с коммутацией каналов установление канала связи осуществляют по исходящим и входящим номерам, а на сетях связи с коммутацией пакетов установление соединения осуществляют по адресам отправителя и получателя.

Известно [1], что сетевые устройства, применяемые на сетях связи с коммутацией пакетов, имеют аппаратный номер доступа к среде передачи (MAC-адрес), который записан в сетевое устройство во время изготовления.

Известно [3], что для пересылки пакета по сети сетевые устройства используют статический (постоянный) сетевой адрес (IP-адрес - Internet Protocol Address), получаемый от сервера (компьютерной программы), который определяет соответствие между статическим IP-адресом и MAC-адресом (ARP).

Известно [3, 4], что подключенные к сети Интернет ЭВМ, называемые клиенты, динамически конфигурируются, посредством протокола DHCP (Dynamic Host Configuration Protocol), DHCP-сервером (компьютерной программой), который предоставляет конфигурационные параметры и сетевые адреса. Сетевым адресом, как правило, выступает IP-адрес. DHCP-сервер поддерживает три механизма выделения IP-адресов:

а. "автоматическое", когда DHCP присваивает клиенту постоянный IP-адрес;

b. "динамическое", когда DHCP присваивает клиенту временный IP-адрес на ограниченное время;

с. "ручное", когда сетевой администратор присваивает клиенту постоянный или временный IP-адрес, а DHCP используется для передачи адреса.

Недостаток способа распределения IP-адреса клиенту через конфигурационные параметры от DHCP-сервера заключается в том, что параметры хранятся, в том числе, в ARP таблице, которая находится на компьютере пользователя. После получения конфигурационных параметров клиент может случайно или преднамеренно изменить свой сетевой адрес. Возможность изменения сетевого адреса делает сведения об отправителе пакета недостоверными.

Известно [5], что устранение возможности подмены сетевого адреса отправителя после получения конфигурационных параметров основано на способе фильтрации всех пакетов, поступающих от пользователя на входном порту коммутационного оборудования. Любые пакеты, исходящие от пользователя, содержащие неправильный, или MAC-адрес, или IP-адрес, блокируются. Способ фильтрации может использовать и дополнительную информацию в виде номера порта. В этом случае через конкретный порт коммутационного оборудования могут передаваться пакеты только с заданных MAC- и IP-адресов отправителя.

Данный способ не работает при одновременной подмене MAC-адреса и IP-адреса.

3. Сущность изобретения

Сущность изобретения заключается в том, что персональный номер хранится в устройстве персонального адреса пользователя, подключаемом к сетевому устройству, имеющему соединение с сетью и выполняющему

считывание персонального номера из устройства персонального адреса,

генерирование пакета данных с идентификатором «регистрация», и

передачу пакета данных во входной порт коммутационного устройства.

Входной порт коммутационного устройства принимает пакет данных и извлекает из поступившего пакета данных поле идентификатор и,

если поле идентификатор имеет значение «регистрация», то

выполняет процедуру многофакторной аутентификации пользователя и, в случае успешного завершения процедуры аутентификации, выполняет запись персонального номера в ячейку памяти, адресом которой служит номер канала связи или номер устройства, из/от которого поступил пакет данных,

генерирует пакет данных с идентификатором «подтверждение регистрации» и передает пакет данных сетевому устройству,

в случае неуспешного завершения процедуры аутентификации удаляет поступивший пакет данных.

Сетевое устройство, получив пакет данных с идентификатором «подтверждение регистрации», генерирует пакеты данных, составляющие сетевой трафик, с идентификатором «соединение» и передает пакеты входному порту коммутационного устройства.

Входной порт коммутационного устройства извлекает из поступающих пакетов данных поле идентификатор, и

если поле идентификатор имеет значение «соединение», то

выполняет чтение персонального номера из ячейки памяти, адресом которой служит номер канала связи или номер устройства, из/от которого поступил пакет данных,

выполняет вставку персонального номера пользователя в поле адрес отправителя поступившего пакета,

если поле идентификатор имеет значение «сброс», то

выполняет удаление персонального номера из ячейки памяти, адресом которой служит номер канала связи или номер устройства, из/от которого поступил пакет данных.

Заявляемый технический результат использует устройство персонального адреса пользователя, имеющее область хранения, для сведений, составляющих персональный номер, идентификационные данные и другие сопутствующие данные. Таким устройством могут выступать пластиковая карта со встроенным микропроцессором, модуль идентификации абонента, память типа ROM или иные устройства с внутренней областью памяти.

Сетевое устройство, подключенное с сети, имеющее считыватель информации с устройства персонального адреса и средства для генерации трафика, считывает из устройства персонального адреса персональный номер и записывает персональный номер в каждый генерируемый пакет данных в поле адрес отправителя.

Входной порт коммутационного устройства, включающий внутреннюю память для хранения персонального номера, модуль многофакторной аутентификации, блок анализа, определяющий номер канала связи или номер устройства и выделяющий из пакета данных идентификатор и адрес отправителя, выходной мультиплексор.

Способ защиты персонального номера пользователя, считывающий из устройства персонального адреса персональный номер, передающий персональный номер через сетевое устройство входному порту коммутационного устройства, выполняющий процедуру многофакторной аутентификации пользователя, записывающий и стирающий персональный номер в/из внутренней памяти, и препятствующий случайному или преднамеренному изменению персонального номера, с целью поддержания сведений об отправителе пакета достоверными.

4. Перечень чертежей.

Фиг.1. Схема способа регистрации и защиты персонального номера пользователя.

Фиг.2. Структура информации, хранимая в устройстве персонального адреса.

Фиг.3. Функциональная схема входного порта.

Фиг.4. Блок-схема способа регистрации и защиты.

Фиг.5а. Структурная схема определения порядкового номера канала при циклической передаче.

Фиг.5а1. Временная диаграмма определения порядкового номера канала при циклической передаче.

Фиг.5б. Структурная схема определения номера частоты несущего сигнала.

Фиг.5б1. Временная диаграмма определения номера частоты несущего сигнала.

Фиг.5в. Структурная схема определения номера кода псевдослучайной последовательности.

Фиг.5в1. Временная диаграмма определения номера кода псевдослучайной последовательности.

Фиг.5г. Структурная схема определения номера виртуального канала.

Фиг.5г1. Временная диаграмма определения номера виртуального канала.

Фиг.5д. Структурная схема определения номера виртуальной сети.

Фиг.5д1. Временная диаграмма определения номера виртуальной сети.

Фиг.5е. Структурная схема определения номера устройства.

Фиг.5е1. Временная диаграмма определения номера устройства.

5. Сведения, подтверждающие возможность осуществления изобретения

Функциональная схема способа защиты персонального номера пользователя показана на фиг.1 и включает устройство персонального адреса 1, сетевое устройство 2, включающее устройство считывания 4, соединенное двунаправленным выходом 1 по линии 5 с двунаправленным входом 1 входного порта коммутационного устройства 3.

Устройство персонального адреса 1 имеет множество реализаций, например: пластиковая карта со встроенным микропроцессором с областью хранения, универсальный модуль идентификации абонента (USIM - Universal Subscriber Identity Module), универсальная карта с интегральной схемой (UICC - Universal Integrated Circuit Card), съемный модуль идентификации пользователя (R-UIM - Removable User Identity Modules), модуль памяти типа ROM, встраиваемый в сетевое устройство, и иные реализации. Область хранения устройства персонального адреса пользователя 1, фиг.2, содержит сведения, включая персональный номер 7, идентификационные данные 8 и иные сведения о пользователе 9. Поле Персональный номер 7 имеет разрядность не менее 64 бит.

Устройство считывания 4 сетевого устройства 2 имеет множество реализаций, например, для контактных устройств персонального адреса 1 в соответствии со стандартом [6] ISO/IEC 7816-3:2006 для (USIM, UICC и R-UIM), для бесконтактных устройств персонального адреса 1 в соответствии со стандартом ISO/IEC14443-4:2008 [7] и иные реализации.

Входной порт коммутационного устройства 3, фиг.3, включает блоки 30, 31, 33, реализованные на базе программируемой пользователем логической схемы типа (field-programmable gate array - FPGA). Блок 32 реализуют как оперативное запоминающее устройство с произвольной выборкой (RAM) для временного хранения персонального номера. При этом

блок 30 выходом 2 линией 10 соединен с входом 1 блока 31 и входом 1 блока памяти 32, выходом 4 линией 13 соединен с входом 3 блока памяти 32, выходом 6 линией 15 соединен с входом 3 блока 33, выходом 7 линией 11 соединен с входом 4 блока 33,

блок 31 выходом 2 линией 12 соединен с входом 3 блока 30,

блок 32 выходом 2 линией 14 соединен с входом 5 блока 30 и входом 1 блока 33.

Способ защиты персонального номера пользователя функционирует в соответствии с блок-схемой, фиг.4.

Сетевое устройство 2 считывает из устройства персонального адреса 1 через устройство считывания 4 персональный номер 7, шаг 1, и идентификационные данные 8, шаг 2, генерирует и передает пакет данных, шаг 3, с выхода 1 по линии 5 на двунаправленный вход 1 входного порта коммутационного устройства 3.

Блок 30 входного порта коммутационного устройства 3 принимает пакет данных, шаг 4, с двунаправленного входа 1 и выделяет «идентификатор» и персональный номер из принятого пакета, шаг 5,

анализирует «идентификатор», шаг 6, и если «идентификатор» имеет значение «Регистрация»,

то блок 30 с выхода 2 по линии 10 передает идентификационные данные 8 на вход 1 блока 31 для выполнения процедуры многофакторной идентификации пользователя, шаг 7, если процедура многофакторной идентификации закончилась не успешно, шаг 8,

то блок 31 с выхода 2 по линии 12 подает на вход 3 блока 30 команду «удалить» пакет, шаг 9, и переходит к шагу 4,

иначе блок 31 с выхода 2 по линии 12 подает на вход 3 блока 30 команду «принять» пакет, блок 30 генерирует пакет данных с идентификатором «подтверждение» и передает пакет данных с двунаправленного входа 1 по линии 5 на двунаправленный выхода 1 сетевого устройства 2 пакет данных, шаг 10, переходит к шагу 4 для принятия нового пакета от сетевого устройства 2,

иначе блок 30 определяет номер канала связи или устройства, из/от которого поступил пакет данных, шаг 11.

Блок 30 входного порта коммутационного устройства 3 анализирует «идентификатор», шаг 12, и если «идентификатор» не имеет значение «соединение»,

то блок 30 с выхода 2 по линии 10 подает на вход 1 блока памяти 32 персональный номер, и с выхода 4 по линии 13 подает на вход 3 блока памяти 32 команду «удалить», шаг 13,

иначе блок 30 подает с выхода 2 по линии 10 на вход 1 блока памяти 32 номер канала связи или номер устройства, с выхода 4 по линии 13 на вход 3 блока памяти 32 команду «чтение», блок 32 подает с выхода 2 по линии 14 на вход 5 блока 30 значение персонального номера, анализирует значение персонального номера, шаг 14, если значение персонального номера равно нулю,

то блок 30 с выхода 2 по линии 10 подает на вход 1 блока памяти 32 значение персонального номера, и с выхода 4 по линии 13 на вход 3 блока памяти 32 команду «запись», шаг 15,

иначе блок 30 с выхода 7 по линии 11 подает на вход 4 блока 33 команду «вставка», шаг 16, и переходит к шагу 4 для приема следующего пакета данных.

Блок 30 входного порта коммутационного устройства 3, фиг.5, имеет множество реализаций, например,

для определения порядкового номера канала при циклической передаче, фиг.4а, блок 30 состоит из блоков 34, 35, 36, при этом

двунаправленный вход 1 блока 30 соединен с входом 1 блока 34, с входом 1 блока 35 и с входом 5 блока 36,

вход 3 блока 30 соединен с входом 2 блока 35,

выход 6 блока 30 соединен с выходом 3 блока 35,

выход 2 блока 30 соединен с выходом 6 блока 36, вход 5 блока 30 соединен с входом 2 блока 36, выход 4 блока 30 соединен с выходом 4 блока 36, выход 7 блока 30 соединен с выходом 3 блока 36,

выход 2 блока 34 соединен с входом 1 блока 36.

Блок 34, получая на вход 1 циклическую передачу, фиг.4а1, определяет цикл передачи обнаружением кода цикловой синхронизации в позиции Т0 и передает с выхода 2 на вход 1 блока 36 сигнал «начало счета». Блок 36, получив на входе 1 сигнал «начало счета» и на входе 5 данные, определяет временную позицию Ti, откуда поступает пакет данных.

Присваивает номеру канала связи порядковое значение временной позиции Ti.

Для определения номера частоты несущего сигнала, фиг.4б, блок 30 состоит из блоков 35, 36, 39, 40, 41, 42, при этом

двунаправленным входом 1 блока 30 соединен с входом 1 блока 40,

выход 2 блока 40 через схему умножения 41 соединен с входом 1 блока 39, а вход 3 через вторую схему умножения 41 соединен с выходом 3 блока 39,

выход 2 блока 39 соединен с входом 5 блока 36 и соединен с входом 1.1 блока 35, вход 4 блока 39 соединен с входом 1.2 блока 35,

выход 1 блока 42 соединен с входами двух схем умножения 42,

выход 2 блока 42 соединен с входом 1 блока 36,

выход 2 блока 30 соединен с выходом 6 блока 36, вход 5 блока 30 соединен с входом 2 блока 36, выход 4 блока 30 соединен с выходом 4 блока 36, выход 7 блока 30 соединен с выходом 3 блока 36,

выход 2 блока 42 соединен с входом 1 блока 36.

Блок 42 устанавливает значение частоты несущей 38, фиг.5б1, передавая значение на вход умножителей, его как значение номер канала связи.

Присваивает номеру канала связи номер частоты несущей сигнала 38.

Для определения номера кода псевдослучайной последовательности, фиг.5в, блок 30 состоит из блоков 35, 36, 42, 43, 44, 45, при этом

двунаправленным входом 1 блока 30 соединен с входом 1 блока 43,

выход 2 блока 43 через схему исключающего ИЛИ (XOR) 44 соединен с входом 1 блока 45, а вход 3 через вторую схему исключающего ИЛИ (XOR) 44 соединен с выходом 3 блока 45,

выход 2 блока 45 соединен с входом 5 блока 36 и соединен с входом 1.1 блока 35, вход 4 блока 45 соединен с входом 1.2 блока 35,

выход 1 блока 42 соединен с входами двух схем исключающего ИЛИ (XOR) 44,

выход 2 блока 42 соединен с входом 1 блока 36,

выход 2 блока 30 соединен с выходом 6 блока 36, вход 5 блока 30 соединен с входом 2 блока 36, выход 4 блока 30 соединен с выходом 4 блока 36, выход 7 блока 30 соединен с выходом 3 блока 36,

выход 2 блока 42 соединен с входом 1 блока 36.

Блок 42 устанавливает значение кода псевдослучайной последовательности 38, фиг.5в1, передавая значение на вход схем исключающего ИЛИ (XOR) 44.

Присваивает номеру канала связи код псевдослучайной последовательности 38.

Для определения номера виртуального канала, фиг.5г, блок 30 состоит из блоков 34, 35, 36, при этом

двунаправленный вход 1 блока 30 соединен с входом 1 блока 34, с входом 1 блока 35 и с входом 5 блока 36,

вход 3 блока 30 соединен с входом 2 блока 35,

двунаправленный выход 6 блока 30 соединен с двунаправленным выходом 3 блока 35,

выход 2 блока 30 соединен с выходом 6 блока 36, вход 5 блока 30 соединен с входом 2 блока 36, выход 4 блока 30 соединен с выходом 4 блока 36, выход 7 блока 30 соединен с выходом 3 блока 36,

выход 2 блока 34 соединен с входом 1 блока 36.

Блок 34, получая на вход 1 пакет данных, фиг.5г1, определяет начало и конец пакета и обнаруживает позицию 38, где указывается номер виртуального канала (VLAN) в соответствии со стандартом [8] IEEE 802.1Q.

Присваивает номеру канала связи значение номера виртуального канала 38.

Для определения номера виртуальной сети, фиг.5д, блок 30 состоит из блоков 34, 35, 36, при этом

двунаправленный вход 1 блока 30 соединен с входом 1 блока 34, с входом 1 блока 35 и с входом 5 блока 36,

вход 3 блока 30 соединен с входом 2 блока 35,

двунаправленный выход 6 блока 30 соединен с двунаправленным выходом 3 блока 35,

выход 2 блока 30 соединен с выходом 6 блока 36, вход 5 блока 30 соединен с входом 2 блока 36, выход 4 блока 30 соединен с выходом 4 блока 36, выход 7 блока 30 соединен с выходом 3 блока 36,

выход 2 блока 34 соединен с входом 1 блока 36.

Блок 34, получая на вход 1 пакет данных, фиг.5д1, определяет начало и конец пакета и обнаруживает позицию 38, где указывается номер виртуальной сети (S-VLAN) в соответствии со стандартом [9] IEEE 802.1ad.

Присваивает номеру канала связи значение номера виртуального канала 38.

Для определения номера устройства, фиг.5е, блок 30 состоит из блоков 34, 35, 36, при этом

двунаправленный вход 1 блока 30 соединен с входом 1 блока 34, с входом 1 блока 35 и с входом 5 блока 36,

вход 3 блока 30 соединен с входом 2 блока 35,

двунаправленный выход 6 блока 30 соединен с двунаправленным выходом 3 блока 35,

выход 2 блока 30 соединен с выходом 6 блока 36, вход 5 блока 30 соединен с входом 2 блока 36, выход 4 блока 30 соединен с выходом 4 блока 36, выход 7 блока 30 соединен с выходом 3 блока 36,

выход 2 блока 34 соединен с входом 1 блока 36.

Блок 34, получая на вход 1 пакет данных, фиг.5е1, определяет начало и конец пакета и обнаруживает позицию 38, где указывается номер устройства (MAC) в соответствии со стандартом [10] IEEE 802.3.

Присваивает номеру канала связи значение номера устройства 38.

Библиография

1. В.Г.Олифер, Н.А.Олифер, Компьютерные сети. Принципы, технологии, протоколы. Учебник для вузов, 960 стр. Издательство: Питер, 2007 г.

2. US 2004174872, 2004-09-09, KONDAPALLI et al.

3. US 6678732 B1, 2004-01-13, MOUKO et al.

4. RFC2131 Dynamic Host Configuration Protocol, R. Droms, March 1997, http://www.rfc-editor.org/rfc/rfc2131.txt.

5. WO 2008/077414 A1, 2008-07-03, JAERREDAL.

6. ISO/IEC 7816-3:2006 Identification cards - Integrated circuit cards - Part 3: Cards with contacts - Electrical interface and transmission protocols.

7. ISO/IEC 14443-4:2008 Identification cards - Contactless integrated circuit cards - Proximity cards - Part 4: Transmission protocol.

8. IEEE Std 802.1Q-2003, IEEE Standards for Local and metropolitan area networks, Virtual Bridged Local Area Networks.

9. IEEE Std 802.1ad-2005, IEEE Standards for Local and metropolitan area networks, Virtual Bridged Local Area Networks. Provider Bridges.

10. IEEE Std 802-2001, IEEE Standard for Local and Metropolitan Area Networks: Overview and Architecture.

1. Способ защиты персонального номера пользователя, предназначенный для защиты персонального номера от изменений, сохраняющий персональный номер во внутренней области памяти устройства персонального адреса пользователя, считывающий значение персонального номера из устройства персонального адреса пользователя через устройство считывания в сетевое устройство, генерирующий пакет данных, передающий пакет данных из сетевого устройства через линию связи во входной порт коммутационного устройства,
отличающийся тем, что
код идентификатора пакета устанавливают равным «регистрация»,
записывают сетевым устройством в поле пакета «адрес отправителя» значение персонального номера,
передают указанный пакет во входной порт коммутационного устройства, извлекают из поступившего пакета код идентификатора, во входном порту коммутационного устройства,
если код идентификатора имеет значение «регистрация», то выполняют процедуру многофакторной аутентификации пользователя, во входном порту коммутационного устройства,
в случае если процедура многофакторной аутентификации пользователя завершена успешно,
определяют номер канала связи или номер устройства, откуда поступил пакет,
извлекают из поля «адрес отправителя» поступившего пакета значение персонального номера,
записывают значение персонального номера в ячейку памяти по адресу, равному номеру канала связи или номеру устройства,
генерируют пакет данных с кодом идентификатора пакета «подтверждение регистрации», во входном порту коммутационного устройства,
передают указанный пакет сетевому устройству,
в случае если процедура многофакторной аутентификации пользователя завершена неуспешно, во входном порту коммутационного устройства,
удаляют поступивший пакет данных,
принимают пакет данных сетевым устройством, извлекают код идентификатора, если код идентификатора имеет значение «подтверждение регистрации», то генерируют последовательность пакетов, составляющих сетевой трафик, с кодом идентификатора «соединение», иначе повторяют передачу кода идентификатора со значением «регистрация»,
принимают последовательность пакетов во входном порту коммутационного устройства, если код идентификатора пакета имеет значение «соединение», то
определяют номер канала связи или номер устройства, из которого поступили пакеты,
считывают из ячейки памяти с адресом, равным номеру канала связи или номеру устройства, значение персонального номера,
вставляют значение персонального номера в поле «адрес отправителя» в каждый пакет из последовательности,
если код идентификатора пакета имеет значение «сброс», то
удаляют из ячейки памяти с адресом, равным номеру канала связи или номеру устройства, значение персонального номера.

2. Способ защиты персонального номера пользователя по п.1, отличающийся тем, что номер канала связи определяют как порядковый номер интервала времени при циклической передаче.

3. Способ защиты персонального номера пользователя по п.2, отличающийся тем, что номер канала связи определяют как номер частоты несущего сигнала.

4. Способ защиты персонального номера пользователя по п.3, отличающийся тем, что номер канала связи определяют как номер кода псевдослучайной последовательности.

5. Способ защиты персонального номера пользователя по п.4, отличающийся тем, что номер канала связи определяют как номер виртуальной сети.

6. Способ защиты персонального номера пользователя по п.5, отличающийся тем, что номер канала связи определяют как номер виртуального канала.

7. Способ защиты персонального номера пользователя по п.1, отличающийся тем, что номер устройства определяют как адрес доступа к среде передачи сетевого устройства.