Способ маскирования структуры сети связи

Изобретение относится к области инфокоммуникаций, а именно к обеспечению информационной безопасности цифровых систем связи. Техническим результатом является повышение скрытности связи и затруднение идентификации абонентов сети несанкционированными абонентами за счет непрерывного изменения идентификаторов абонентов сети в передаваемых пакетах сообщений и передачи пакетов сообщений по всем допустимым маршрутам связи. Способ маскирования структуры сети связи содержит этапы, на которых предварительно задают информацию о структуре сети связи, исходные данные об узлах и абонентах сети, допустимого значения комплексного показателя безопасности маршрута, и вычисляют комплексные показатели безопасности узлов сети. Формируют матрицу смежности вершин графа сети и совокупность возможных маршрутов связи между абонентами сети в виде деревьев графа. Используя полученные результаты, осуществляют выбор наиболее безопасных допустимых маршрутов в сети связи из совокупности всех возможных маршрутов связи между абонентами и доведение безопасных маршрутов до абонентов сети при непрерывном изменении идентификаторов абонентов сети в передаваемых пакетах сообщений. 2 з.п. ф-лы, 9 ил.

 

Изобретение относится к области инфокоммуникаций, а именно к обеспечению информационной безопасности цифровых систем связи, и, в частности, заявленный способ маскирования структуры сети связи предназначен для использования в распределенных сетях связи, построенных на основе сети связи общего пользования (например, Интернет).

Известен способ обеспечения корректировки маршрутов к абонентам сети, реализованный в «Способе корректировки маршрутов в сети передачи данных» по патенту РФ №2220190, МПК H04L 12/28, опубл. 10.10.1998 г.

Способ заключается в том, что поиск маршрутов доставки сообщений к абоненту осуществляется по сетевому адресу узла коммутации его текущей привязки. Выбор маршрутов к абоненту осуществляется на узлах коммутации по служебному корректирующему сообщению, содержащему сетевые адреса абонента, узла коммутации и код признака корректировки «запись», «стирание».

Недостатком данного способа является отсутствие адаптации к изменениям структуры сети связи. Это вызвано тем, что корректировка осуществляется децентрализованно и охватывает не всю сеть связи, а ее отдельные локальные участки. Отсутствие параметров выбора маршрутов к абоненту приводит к низкому качеству выбора.

Известен также способ обеспечения безопасности информации, циркулирующей в распределенной телекоммуникационной системе при передаче ее по каналам связи общего пользования, реализованный в «Распределенной телекоммуникационной системе для передачи разделенных данных, предназначенной для их раздельной передачи и приема» по патенту US №6912252, МПК H04L 12/56; H04L 12/28, опубл. 08.11.2001 г.

Способ заключается в выполнении следующих действий: исходные данные у отправителя разделяют на N частей. Далее из их комбинаций формируют группы промежуточных данных. Затем передают промежуточные данные независимо по N каналам связи. У получателя принимают группы промежуточных данных, пришедших по N каналам связи, и восстанавливают первоначальные данные.

Недостатком данного способа является относительно низкая скрытность связи и увеличение вероятности идентификации корреспондирующих субъектов в результате увеличения числа каналов связи между корреспондентами. Наличие транзитных узлов сети и каналов связи разных типов, обладающих низким уровнем безопасности, увеличивает потребность в ассортименте средств связи и создает предпосылки для перехвата злоумышленниками информационного обмена абонентов сети.

Известен также «Способ выбора целесообразным образом используемого маршрута в маршрутизаторе для равномерного распределения в коммутационной сети» по заявке на изобретение РФ №2004111798, МПК H04L 1/00, опубл. 10.05.2005 г.

Способ учитывает критерии качества маршрутов и информацию о структуре сети связи, включающую адреса узлов сети и наличие связи между ними. Для целевого адреса сети выбирают один маршрут в соответствии с предварительно заданными критериями качества маршрутов и передают по выбранному маршруту сообщения.

Недостатком указанного способа-прототипа является относительно низкая скрытность связи при использовании выбранного маршрута информационного обмена абонентов в сети связи. Наличие транзитных узлов сети, обладающих низким уровнем безопасности, создает предпосылки для перехвата злоумышленниками информационного обмена абонентов сети и реконструкции трафика распределенной сети в некоторой точке сети Интернет.

Наиболее близким аналогом (прототипом) по своей технической сущности к заявленному способу является способ маскирования структуры сети связи, реализованной в «Способе выбора безопасного маршрута в сети связи» по патенту РФ №2331158, МПК H04L 12/28, опубл. 10.08.2008 г.

Ближайший аналог обеспечивает повышение скрытности связи за счет задания информации о структуре сети связи, исходных данных об узлах и абонентах сети, расчета комплексных показателей безопасности узлов сети и на основе этих данных управления маршрутами информационного обмена абонентов в сети связи и выбора наиболее безопасного маршрута.

Недостатком указанного прототипа является низкая скрытность абонентов сети, обусловленная возможностью идентификации пакетов сообщений относительно конкретных пользователей сети и, следовательно, вскрытие структуры распределенной сети связи в случае компрометации выбранного безопасного маршрута связи абонентов.

Здесь и далее под термином «компрометация безопасного маршрута связи абонентов» понимают событие, связанное с получением кем-либо несанкционированного доступа к элементам безопасного маршрута связи - точкам подключения абонентов к сети связи, транзитным узлам и линиям связи.

Целью заявленного изобретения является разработка способа маскирования структуры сети связи, обеспечивающего повышение скрытности связи и затруднение идентификации абонентов сети несанкционированными абонентами за счет непрерывного изменения идентификаторов абонентов сети в передаваемых пакетах сообщений и передачи пакетов сообщений по всем допустимым маршрутам связи.

Указанный технический результат достигается тем, что в известном способе маскирования структуры сети связи, заключающемся в том, что для сети связи, содержащей совокупность из X узлов сети, имеющих адреса IPX, предварительно задают исходные данные, содержащие информацию о структуре сети связи, включающую структурный и идентификационный массивы, адрес сервера безопасности IPСБ, идентификаторы IDа и адреса IPа абонентов, подключенных к сети связи. Задают для каждого х-го узла сети, где x=1, 2, …, X, совокупность Y параметров безопасности и их значения bxy, где y=1, 2, …, Y. Затем вычисляют комплексный показатель безопасности k для каждого x-го узла сети.

Формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IPУС и адреса абонентов IPа сети, а также информацию о наличии связи между узлами и абонентами сети.

В идентификационном массиве запоминают идентификаторы IDа, IDСБ и соответствующие им адреса IPа, IPСБ абонентов сети и сервера безопасности.

После этого формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети, где i=1, 2, …, j=1, 2, …, и i≠j, в виде Nij деревьев графа сети связи. Каждое n-ое, где n=1, 2, …, Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети.

Для каждого из Nij возможных маршрутов связи вычисляют средние показатели безопасности как среднее арифметическое комплексных показателей безопасности узлов сети, входящих в n-й маршрут связи. Формируют сообщения, включающие запомненные маршруты между i-м и всеми j-ми абонентами, идентификаторы IDaj и адреса IPaj всех j-x абонентов, отправляют сформированные сообщения всем i-м абонентам сети, а для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения IDa выбирают его адрес IPa и безопасный маршрут . При подключении нового абонента к сети связи формируют сообщение, содержащее адрес узла сети IPУС подключения нового абонента, его идентификатор IDан и адрес IPан. Сформированное сообщение отправляют на сервер безопасности, где его запоминают в структурном и идентификационном массивах. Затем в сервере безопасности выбирают безопасные маршруты связи между новым абонентом и всеми j-ми абонентами и запоминают их. После чего формируют сообщения, включающие информацию о запомненных безопасных маршрутах связи, и отправляют их всем абонентам сети.

В исходные данные дополнительно задают допустимое значение комплексного показателя безопасности маршрута. После вычисления для каждого из Nij возможных маршрутов связи комплексных показателей безопасности маршрутов , как средних показателей безопасности маршрутов , сравнивают значения комплексных показателей безопасности маршрутов с предварительно заданным допустимым значением . Запоминают допустимые маршруты со значениями комплексных показателей безопасности .

Формируют Mij пар дополнительных идентификаторов для абонентов сети , где .

Формируют совокупность L возможных допустимых маршрутов связи между каждой парой идентификаторов абонентов сети, где L=Mij+1, и запоминают сформированные L маршруты.

После отправки сформированных сообщений всем i-м абонентам сети принимают их абонентами сети и назначают Mij пар дополнительных идентификаторов абонентам сети в соответствии с управляющей информацией, содержащейся в принятых сообщениях.

Фрагментируют исходящее сообщение на L фрагментов. При этом количество фрагментов выбирают равным количеству пар идентификаторов: (L=Mij+1) и передают фрагменты сообщения по L возможным допустимым маршрутам связи.

Благодаря новой совокупности существенных признаков обеспечивается маскирование структуры сети связи, а за счет непрерывного изменения идентификаторов абонентов сети в передаваемых пакетах сообщений и передачи пакетов сообщений по всем допустимым маршрутам связи существенно снижаются потери при компрометации безопасных маршрутов связи абонентов и, следовательно, повышается скрытность связи при обеспечении информационной безопасности цифровых систем связи.

Заявленные объекты изобретения поясняются чертежами, на которых показаны:

фиг. 1 - пример структуры распределенной сети связи;

фиг. 2 - структуры пакета сообщений и его IP-заголовка;

фиг. 3 - исходные данные для иллюстрации порядка расчетов;

фиг. 4 - блок-схема последовательности действий, реализующих заявленный способ маскирования структуры сети связи;

фиг. 5 - матрица доступа и массивы соответствия;

фиг. 6 - выбор допустимых маршрутов связи;

фиг. 7 - таблицы расчета средних показателей безопасности маршрутов и выбора допустимых маршрутов;

фиг. 8 - иллюстрация схем связи абонентов и сервера безопасности по допустимым маршрутам;

фиг. 9 - рисунок, представляющий результаты маскирования структуры сети связи.

Заявленный способ реализуют следующим образом. В общем случае распределенные сети связи (фиг. 1а) строят для соединения абонентов сети 1 посредством сети связи общего пользования (например, Интернет), представляющей собой совокупность физических линий (каналов) связи 2, соединяющих собой X узлов сети 3 в единую инфраструктуру. Различные серверы цифровых систем связи могут быть доступны из выделенной совокупности абонентов, как, например, сервер безопасности 4, или представлять собой общедоступные серверы 5 сети связи общего пользования (например, Интернет 6).

Целесообразно рассматривать случаи, когда количество узлов сети X больше или равно двум. Все элементы инфраструктуры определяются идентификаторами, в качестве которых в наиболее распространенном семействе протоколов TCP/IP используют сетевые адреса (IP-адреса). При необходимости распределенной обработки информации и (или) ее передачи абоненты осуществляют подключение к сети связи.

Множества адресов абонентов, подключенных к сети связи, и адресов узлов сети не пересекаются. Например, при использовании абонентами сервиса электронной почты схема связи абонентов включает в себя абонентов 1 Абi и Абj (фиг. 1б), сервер 5 электронной почты и каналы связи между ними 2. Абоненты 1 Абi и Абj и сервер 5 электронной почты используют уникальные IP-адреса.

При передаче пакетов сообщений по сетям связи общего пользования к абонентам сети, узлам сети и линиям (каналам) связи предъявляют требования информационной безопасности, характеризующие допустимые значения показателей безопасности элементов сети связи.

В случае получения нарушителем несанкционированного доступа к элементам сети связи (фиг. 1а) схема связи абонентов становится доступной нарушителю.

Доступность схемы связи абонентов нарушителю обуславливается низкой скрытностью абонентов сети, использующих открытые IP-адреса, и возможностью идентификации по ним пакетов сообщений относительно конкретных пользователей сети и (или) узлов связи.

Например, на фиг. 1в, пользователи User №1 и User №2 сгруппированы нарушителем в абонента Абi 1 по признаку использования ими одного IP-адреса, так как они подключены к сети связи общего пользования через один маршрутизатор (см. фиг. 1а). Структуры пакета сообщений и его IP-заголовка известны и представлены на фиг. 2. Использование абонентами для подключения к сети связи общего пользования одного маршрутизатора демаскирует их принадлежность к одному узлу связи. В то же время нарушитель наблюдает именно двух пользователей, сгруппированных в абонента Абi 1, так как между абонентами Абi и Абj кроме линии прямой связи существует альтернативный канал связи (показан на фиг. 1в пунктирной линией), включающий сервер электронной почты 5, что демаскируется полями «From» и «To» заголовка сообщения электронной почты, передаваемого абонентами. Структура служебных полей заголовка сообщения электронной почты известна и описана в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://tools.ietf.org/html/rfc822).

В подобных описанному на фиг. 1 случаях считают, что нарушитель реконструирует (вскрывает) структуру сети связи и может осуществлять деструктивные воздействия на все ее элементы.

Реконструкция структуры сети связи происходит вследствие известности (открытости) структуры пакетов сообщений, где адреса отправителя и получателя демаскируют абонентов сети.

Для маскирования структуры сети связи необходимо обеспечивать индивидуальную скрытность абонентов и управлять маршрутами информационного обмена абонентов в сети связи общего пользования. Структура сети связи общего пользования динамична и содержит большое количество узлов, поэтому задачи оценивания показателей безопасности, формирования маршрутов и обслуживания запросов абонентов о безопасных маршрутах связи возлагают на выделенный сервер безопасности. Количество серверов безопасности зависит от размера сети связи и может быть задано, например, в соотношении 1 сервер на 7…10 корреспондирующих абонентов.

Рассмотрим вариант структуры распределенной сети связи (фиг. 3), представляющей собой совокупность из 5 узлов сети 1, сервера безопасности 2 и абонентов сети 3, объединенных физическими линиями связи 4.

На фиг. 4 представлена блок-схема последовательности действий, реализующих заявленный способ маскирования структуры сети связи, в которой приняты следующие обозначения:

{IP} - структурный массив;

{ID} - идентификационный массив;

IPСБ - сетевой адрес сервера безопасности;

IDa - идентификатор абонента;

IPа - сетевой адрес абонента;

Y - число учитываемых параметров безопасности узлов сети;

bxy - значение y-го параметра безопасности x-го узла сети, где x=1, 2, …, X, y=1, 2, …, Y;

k - комплексный показатель безопасности каждого x-го узла сети;

Nij - количество деревьев графа сети связи, соответствующее совокупности возможных маршрутов связи между i-м и j-м абонентами сети, где i=1, 2, …, j=1, 2, …, и i≠j;

- средний показатель безопасности маршрута связи между i-м и j-м абонентами сети;

- безопасный маршрут связи между i-м и j-м абонентами сети;

zn - количество вершин n-ого дерева графа, где n=1, 2, …, Nij, соответствующее количеству принадлежащих ему узлов сети;

СБ - сервер безопасности.

На начальном этапе в сервере безопасности (на фиг. 4 - СБ) задают исходные данные (бл. 1 на фиг. 4), включающие структурный {IP} и идентификационный {ID} массивы, адрес сервера безопасности IPСБ, идентификаторы IDa и адреса IPa абонентов, подключенных к сети связи, а также для каждого x-го узла сети, где x=1, 2, …, X, Y≥2 параметров безопасности и их значения bxy, где y=1, 2, …, Y, которые сведены в таблицу (фиг. 5в). Структурный массив {IP} - массив для хранения адреса сервера безопасности IPСБ, адресов узлов IPУС и абонентов IPa сети, а также информации о наличии связи между ними (фиг. 5а), которая характеризуется только двумя значениями, "1" - наличие связи и "0" - ее отсутствие. Идентификационный массив {ID} - массив для хранения идентификаторов сервера безопасности IDСБ, абонентов IDa сети связи и соответствующих им адресов абонентов сети IPa и сервера безопасности IPСБ (фиг. 5б). Параметры безопасности узлов сети определяют, например, в соответствии с ГОСТ Р ИСО/МЭК 15408-2002 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».

Значения bx1 параметра y=1 безопасности узлов сети определяют, например, по характеристикам производителей оборудования узлов сети, информацию о которых можно получить из физических адресов узлов сети. Физические адреса узлов сети представляют в виде шестнадцатеричной записи, например 00:10:5a:3F:D4:E1, где первые три значения определяют производителя (00:01:е3 - Siemens, 00:10:5а - 3Com, 00:03:ba - Sun).

Например, для УС1 (x=1 на фиг. 5а) физический адрес которого 00:01:e3:3F:D4:E1, первые три значения определяют производителя Siemens, что соответствует значению параметра безопасности b11=0,3. Аналогично определяются значения bx1 параметра y=1 безопасности узлов сети УС2-УС5, а также значения bxy всех заданных Y≥2 параметров безопасности (фиг. 5а).

В качестве остальных параметров безопасности узла сети можно рассматривать тип его оборудования, версию установленного на нем программного обеспечения, принадлежность узла государственной или частной организации и другие известные сведения.

Для каждого x-го узла сети по значениям bxy его параметров безопасности вычисляют комплексный показатель безопасности k (бл. 2 на фиг. 4). Рассчитанные показатели представлены в таблице (фиг. 5г).

Комплексный показатель безопасности k для каждого x-го узла сети вычисляют путем суммирования , или перемножения , или как среднее арифметическое значение его параметров безопасности bxy.

Принципиально способ вычисления k не влияет на результат выбора безопасного маршрута. Например, значения вычисленных комплексных показателей безопасности k для каждого x-го узла рассматриваемого варианта сети связи (фиг. 3) перечисленными способами при заданных значениях параметров безопасности bxy узлов приведены в таблице (фиг. 7а).

Далее формируют матрицу смежности вершин графа сети (бл. 3 на фиг. 4), для чего запоминают в структурном массиве (фиг. 5а) адреса узлов сети IPУС и адреса абонентов IPa сети, а также информацию о наличии связи между узлами и абонентами сети.

Способы формирования матриц смежности вершин графа известны (см., например, Конечные графы и сети. Басакер Р., Саати Т., М, 1973, 368 с.). Для рассматриваемого графа сети связи матрица смежности вершин имеет вид:

После этого в идентификационном массиве (фиг. 5б) запоминают идентификаторы IDa, IDСБ и соответствующие им адреса IPa, IPСБ абонентов сети и сервера безопасности.

Формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети (бл. 4 на фиг. 4), где i=1, 2, …, j=1, 2, …, и i≠j, в виде Nij деревьев графа сети связи. Каждое n-ое, где n=1, 2, …, Nij, дерево графа состоит из zn вершин, соответствующих количеству узлов сети. Порядок формирования деревьев графа известен и описан, см., например, Кристофидес Н. Теория графов: Алгоритмический подход. Пер. с англ. - М.: Мир, 1978. - 432 с.

Общее число Nij деревьев графа сети связи между i-м и j-м абонентами сети может быть определено различными методами. В заявленном способе общее число Nij деревьев графа находят с использованием матрицы смежности.

Удаляя одну строку матрицы B, получают матрицу Bо, а затем транспонированную к ней матрицу . Порядок получения транспонированной матрицы известен и описан (см., например, Г. Корн, Т. Корн. Справочник по математике для научных работников и инженеров. - М.: Наука, 1977 г.).

Построение маршрутов связи между абонентами на основе деревьев графа сети связи обеспечивает нахождение всех возможных маршрутов связи и их незамкнутость, т.е. исключает неприемлемые для передачи сообщений замкнутые маршруты. Таким образом, проведя расчеты получаем общее число Nij деревьев графа сети связи между i-м и j-м абонентами сети равное 5.

Для обоснования и объективного выбора безопасного маршрута связи из совокупности Nij=5 возможных маршрутов связи между i-м и j-м абонентами сети вычисляют средние показатели безопасности (бл. 5 на фиг. 4) как среднее арифметическое комплексных показателей безопасности узлов сети, входящих в n-й маршрут связи .

Используя результаты, полученные при вычислении комплексных показателей безопасности узлов сети разными способами (фиг. 7а), вычислены средние показатели безопасности маршрутов связи, сформированных между i-м и j-м абонентами сети (фиг. 6а). Результаты сведены в таблицу (фиг. 7б).

Далее сравнивают значения комплексных показателей безопасности маршрутов с предварительно заданным допустимым значением (бл. 6 на фиг. 4). Если значения комплексных показателей безопасности маршрутов удовлетворяют условию: , то запоминают допустимые маршруты (бл. 7 на фиг. 4). При сравнении могут быть найдены несколько маршрутов с равными средними показателями безопасности, при этом при передаче сообщений приоритет отдается самому короткому маршруту с наименьшим количеством входящих в него узлов zn.

При заданном из полученных результатов, приведенных на фиг. 6а следует, что первый, второй и третий маршруты n=1, 2, 3 имеют значения среднего показателя безопасности, удовлетворяющие этому требованию и они выделены полужирным шрифтом. При анализе полученных расчетов средних показателей безопасности маршрутов выявлено, что способ вычисления k не влияет на результат выбора безопасного маршрута. Таким образом, формируют множество допустимых маршрутов между всеми абонентами сети.

Далее формируют Mij пар дополнительных идентификаторов для абонентов сети , где , формируют совокупность возможных допустимых маршрутов связи L между каждой парой идентификаторов абонентов сети, где L=Mij+1, и запоминают сформированные L маршруты (бл. 8, 9, 10 на фиг. 4).

Далее формируют сообщения, включающие запомненные L допустимые маршруты между i-м и всеми j-ми абонентами, идентификаторы IDaj и адреса IPaj всех j-х абонентов (бл. 11 на фиг. 4). После этого отправляют сформированные сообщения всем i-м абонентам сети (бл. 12 на фиг. 4). Таким образом, каждого абонента сети уведомляют о допустимых маршрутах ко всем остальным абонентам.

Для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения IDa выбирают его адрес IPa и допустимый маршрут к нему, после чего передают сообщение абоненту-получателю по заданному маршруту. Известные протоколы маршрутизации (routing protocols), такие как RIP, OSPF, NLSP, BGP, предназначены для передачи пользовательской информации и обеспечивают в способе маршрутизации от источника (source specified routing) обмен информацией по заданному маршруту (см., например, Олифер В.Г. и Олифер Н.А. «Компьютерные сети. Принципы, технологии, протоколы», уч. для Вузов, 5-е изд. - СПб.: Питер, 2016). Таким образом, у абонентов имеется возможность передачи сообщений именно по заданному безопасному маршруту.

Затем после отправки сформированных сообщений всем i-м абонентам сети принимают их абонентами сети, назначают Mij пар дополнительных идентификаторов абонентам сети в соответствии с управляющей информацией, содержащейся в принятых сообщениях (бл. 13, 14 на фиг. 4). Далее фрагментируют исходящее сообщение на L фрагментов, при этом количество фрагментов выбирают равным количеству пар идентификаторов: (L=Mij+1) и передают фрагменты сообщения по L возможным допустимым маршрутам связи (бл. 15, 16 на фиг. 4).

При подключении нового абонента (на фиг. 3 - Аб н) к сети связи формируют у него сообщение, содержащее адрес узла сети УС 4 IPУ4 к которому он подключен, его идентификатор IDан и адрес IPан (бл. 17 и 18 на фиг. 4). Отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах (бл. 19 и 20 на фиг. 4), дополняя (обновляя) таким образом, информацию о структуре сети связи и абонентах сети.

В сервере безопасности аналогично описанному выше способу выбирают безопасные маршруты связи между новым абонентом и всеми j-ми абонентами и запоминают их (бл. 21 и 22 на фиг. 4). Формируют сообщение, включающее информацию о запомненных безопасных маршрутах связи ко всем j-ым абонентам сети и отправляют его новому абоненту. Формируют сообщения, включающие информацию о запомненных безопасных маршрутах связи от каждого j-ого абонента сети к новому абоненту, и отправляют их j-ым абонентам сети (бл. 23, 24 на фиг. 4). Таким образом, нового абонента сети уведомляют о безопасных маршрутах ко всем абонентам сети, а остальных абонентов уведомляют о безопасных маршрутах к новому абоненту.

На фиг. 8 представлена иллюстрация схем связи абонентов и сервера безопасности по трем допустимым маршрутам, выбранным с помощью описанного способа. Структура реальной сети связи общего пользования динамична и содержит огромное количество узлов, поэтому задачи оценивания показателей безопасности, формирования маршрутов и обслуживания запросов абонентов о безопасных маршрутах связи возлагают на выделенный сервер или несколько серверов безопасности.

Рисунок, представляющий результаты маскирования структуры сети связи представлен на фиг. 9. В случае когда при анализе связности обнаруживается 3 абонента и 3 канала связи между ними (фиг. 9а), структуру можно определить как «полносвязную».

Совокупность L возможных допустимых маршрутов связи между каждой парой идентификаторов абонентов сети представлена в виде таблицы данных о допустимых маршрутах (фиг. 9б).

В случае когда анализ связности структуры сети связи показывает, например, 12 абонентов и 6 каналов связи между ними (фиг. 9в), структуру определяют как «бессвязная».

Вычисляемые комплексные показатели безопасности узлов, входящих в сформированные маршруты связи, дают основание для объективной оценки выбранных допустимых и безопасных маршрутов связи между абонентами сети и позволяют учитывать необходимые и достаточные условия для выбора допустимого и безопасного маршрута в сети связи. Из проведенных расчетов комплексных показателей безопасности узлов сети с учетом их параметров безопасности bxy и моделирования заявленного алгоритма действий маскирования структуры сети связи, достигается исключение транзитных узлов сети, обладающих низким уровнем безопасности, который указывает на высокую вероятность несанкционированного перехвата передаваемых абонентами сообщений. Выбранные маршруты связи между i-м и j-м абонентами проходят через транзитные узлы сети, обладающие максимально высокими уровнями безопасности, что снижает вероятность перехвата злоумышленниками информационного обмена абонентов сети.

Таким образом, в рассмотренном способе путем задания информации о структуре сети связи, исходных данных об узлах и абонентах сети, и расчета комплексных показателей безопасности узлов сети, осуществляется выбор допустимых и безопасных маршрутов в сети связи из совокупности всех возможных маршрутов связи между абонентами и доведение допустимых и безопасного маршрута до абонентов сети, что обеспечивает достижение сформулированного технического результата - повышение скрытности связи и затруднение идентификации абонентов сети несанкционированными абонентами за счет непрерывного изменения идентификаторов абонентов сети в передаваемых пакетах сообщений и передачи пакетов сообщений по всем допустимым маршрутам связи.

1. Способ маскирования структуры сети связи, заключающийся в том, что для сети связи, содержащей совокупность из X узлов сети, имеющих адреса IPX, предварительно задают исходные данные, содержащие информацию о структуре сети связи, включающую структурный и идентификационный массивы, адрес сервера безопасности IPСБ, идентификаторы IDa и адреса IPa абонентов, подключенных к сети связи, задают для каждого х-го узла сети, где х=1, 2, …, Х, совокупность Y параметров безопасности и их значения bxy, где y=1, 2, …, Y, вычисляют комплексный показатель безопасности kx∑ для каждого х-го узла сети, формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IPУС и адреса абонентов IPa сети, а также информацию о наличии связи между узлами и абонентами сети, а в идентификационном массиве запоминают идентификаторы IDa, IDСБ и соответствующие им адреса IPa, IPСБ абонентов сети и сервера безопасности, после чего формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети, где i=1, 2, …, j=1, 2,…, и i≠j, в виде Nij деревьев графа сети связи, причем каждое n-ое, где n=1, 2, …, Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети, затем для каждого из Nij возможных маршрутов связи вычисляют средние показатели безопасности как среднее арифметическое комплексных показателей безопасности узлов сети, входящих в n-й маршрут связи, и формируют сообщения, включающие запомненные маршруты между i-м и всеми j-ми абонентами, идентификаторы IDaj и адреса IPaj всех j-x абонентов, отправляют сформированные сообщения всем i-м абонентам сети, а для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения IDa выбирают его адрес IPa и безопасный маршрут , причем при подключении нового абонента к сети связи формируют сообщение, содержащее адрес узла сети IPУС подключения нового абонента, его идентификатор IDан и адрес IPан, после чего отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах, затем в сервере безопасности выбирают безопасные маршруты связи между новым абонентом и всеми j-ми абонентами и запоминают их, после чего формируют сообщения, включающие информацию о запомненных безопасных маршрутах связи, и отправляют их всем абонентам сети, отличающийся тем, что дополнительно в исходные данные задают допустимое значение комплексного показателя безопасности маршрута, после вычисления для каждого из Nij возможных маршрутов связи комплексных показателей безопасности маршрутов , как средних показателей безопасности маршрутов , сравнивают значения комплексных показателей безопасности маршрутов с предварительно заданным допустимым значением , запоминают допустимые маршруты со значениями комплексных показателей безопасности , формируют Mij пар дополнительных идентификаторов для абонентов сети , где , формируют совокупность L возможных допустимых маршрутов связи между каждой парой идентификаторов абонентов сети, где L=Mij+1, и запоминают сформированные L маршруты, затем отправляют сформированные сообщения всем i-м абонентам сети, принимают их абонентами сети, назначают Mij пар дополнительных идентификаторов абонентам сети в соответствии с управляющей информацией, содержащейся в принятых сообщениях, фрагментируют исходящее сообщение на L фрагментов, при этом количество фрагментов выбирают равным количеству пар идентификаторов: (L=Mij+1) и передают фрагменты сообщения по L возможным допустимым маршрутам связи.

2. Способ по п. 1, отличающийся тем, что комплексный показатель безопасности kx∑ для каждого х-го узла сети вычисляют путем суммирования, или перемножения, или как среднее арифметическое значение его параметров безопасности bxy.

3. Способ по п. 1, отличающийся тем, что число Nij деревьев графа сети связи между i-м и j-м абонентами сети вычисляют по формуле:

где Во=M×K - преобразованная матрица смежности вершин графа сети связи, а М=Мр-1, K - соответственно число строк и столбцов матрицы, Мр - число строк исходной матрицы смежности, равное общему количеству узлов сети связи; - транспонированная матрица к Bo.



 

Похожие патенты:

Изобретение относится к технике формирования сложных шумоподобных сигналов. Технический результат заключается в расширении функциональных возможностей за счет формирования различных словарей нелинейных рекуррентных последовательностей для различных кодовых словарей и их программную смену в процессе работы длительностью L=12.

Изобретение относится к вычислительной технике и автоматике и может найти применение в быстродействующих вычислительных комплексах. Техническим результатом является повышение достоверности функционального преобразования.
Изобретение относится к вычислительной технике, а именно к вычислительным системам для оптимизации распределения ресурсов. Технический результат – расширение функциональных возможностей.

Изобретение относится к многофункциональным защищенным микровычислителям. Технический результат заключается в обеспечении устройства комплексной защитой от внешних воздействующих факторов при сохранении функциональных возможностей устройства.

Изобретение относится к области вычислительной техники и может быть использовано для получения точного решения задачи о назначениях. Технический результат заключается в повышении точности работы устройства за счет оптимизации решения задачи о назначениях в двух вариантах постановки задачи нахождения оптимального решения.

Изобретение относится к области контрольно-измерительной техники и может быть использовано в устройствах по определению возникновения перемещений конструкций сооружения относительно друг друга.
Изобретение относится к автомобильной промышленности, в частности к системам и способам автоматической настройки автомобильных устройств. Технический результат заключается в ускорении работы за счет упрощения настройки автомобильных устройств при подключении к бортовому компьютеру или мобильному устройству управления.

Изобретение относится к устройству для вычисления функций. Технический результат заключается в повышении достоверности информации.

Предлагаемое техническое решение относится к области телекоммуникаций и может быть использовано для анализа состояния защищенности, мониторинга и управления безопасностью автоматизированных систем, являющихся элементами сети связи и автоматизации, в условиях информационно-технических воздействий.

Изобретение относится к системам с архитектурой типа "клиент-сервер" для графических приложений, то есть для отображения данных в форме модулей программного обеспечения, называемых "виджетами", на экранах дисплеев, называемых "устройствами отображения".

Изобретение относится к способу и системе выбора оптимального провайдера для передачи данных. Технический результат изобретения заключается в повышении релевантности определения оптимального провайдера. Способ выбора оптимального провайдера для передачи данных, в котором проводят, по меньшей мере, два измерения скорости передачи данных между, по меньшей мере, двумя клиентами, находящимися в различных городах посредством холостой загрузки данных в течение заданного промежутка времени; формируют на основании измерений, полученных на предыдущем шаге и измерений, хранящихся в блоке хранения данных, по меньшей мере, один критерий оценки для, по меньшей мере, двух провайдеров на сервере обработки данных; определяют вес и значение для, по меньшей мере, одного вышеупомянутого критерия оценки на сервере обработки данных; определяют рейтинг каждого провайдера для каждой пары городов, между которыми было произведено измерение скорости передачи данных на основании веса и значения, по меньшей мере, одного критерия оценки; обновляют рейтинг каждого провайдера в блоке хранения данных на основании определенного рейтинга на предыдущем шаге; отправляют в блок принятия решений обновленный рейтинг, по меньшей мере, одного провайдера. 2 н. и 8 з.п. ф-лы, 3 табл., 5 ил.

Изобретение относится к вычислительной технике и может быть использовано в управляющих системах и гибридных вычислительных устройствах для получения в следящем режиме одновременно кода непрерывной переменной (X) и кодов функций sin x и cos x. Технический результат заключается в повышении точности преобразования операндов по закону синуса и косинуса. Синусно-косинусный цифровой преобразователь содержит два (2n+1)-разрядных сумматоров, разделенных на старшие n разрядов и на (n+1) младших, логические элементы И и ИЛИ, два элемента задержки. Преобразователь дополнительно содержит два одноразрядных сумматора, четыре логических элемента И и два логических элемента ИЛИ в каждой итерации содержимое старших разрядов одного сумматора суммируется (вычитается) к младшим разрядам другого сумматора и наоборот. 1 ил.

Изобретение относится к области информационной безопасности сетей связи. Технический результат заключается в повышении безопасности передачи данных. В способ в качестве параметров сети связи задают минимальное допустимое значение комплексного показателя безопасности для линий связи, общее количество Dmax случайных испытаний, обеспечивающее достоверность результатов экспериментов, где D=1, 2, …, двумерный массив памяти для хранения значений критического соотношения «опасных» и «безопасных» линий связи каждого из D случайных испытаний по каждому j-му варианту подключения абонентов, где j=1, 2,…, задают значение текущего количества случайных испытаний DТЕК равным нулю, и после запоминания альтернативных маршрутов пакетов сообщений для каждого j-го варианта подключения абонентов, где j=1, 2,…, вычисляют комплексный показатель безопасности для каждой i-й линии связи, где i=1, 2, 3, …, сравнивают значение комплексного показателя безопасности i-й линии связи, с предварительно заданным минимальным допустимым значением , и при запоминают i-ю линию связи как «опасную», в противном случае, при , запоминают линию связи как «безопасную. 6 з.п ф-лы, 5 ил.

Изобретение относится к области вычислительной техники и может быть использовано в технике связи. Технический результат заключается в сокращении аппаратных затрат на построение программно-аппаратным способом большего ансамбля имитостойких сложных сигналов вида дискретно-частотных сигналов фиксированной длительности, в структуре которых наблюдается повышенная степень неопределенности вида, формы, длительности, ансамблевых и других характеристик, свойственных случайным процессам явлениям. В устройстве реализуется правило формирования двукратных производных управляющих числовых кодовых последовательностей заданной длины при наименьших требуемых для устройства значений входных данных. На основе этих последовательностей устройство позволяет формировать более имитостойкие и структурно скрытностные дискретно-частотные сигналы в виде систем двукратных производных кодовых дискретно-частотных сигналов, чем подобные им сигналы вида дискретно-частотных сигналов, строящихся непосредственно на элементах мультипликативных групп конечных полей. 2 з.п. ф-лы, 17 ил.

Изобретение относится к средствам обработки информации для прогнозирования стационарных и нестационарных случайных процессов. Технический результат заключается в повышении точности обработки данных. Для этого в блок прогноза адаптивного цифрового сглаживающего и прогнозирующего устройства, содержащего три вычитателя, два субблока расчета квадратичного и линейного прогнозов, субблок расчета первой производной и узел управления динамикой прогноза, введены сумматор усреднения, субблок подсчета приращений скорости процесса и схема коррекции кода прогноза на динамике. 6 ил., 1 табл.

Изобретение относится к автоматизированным электронным библиотечным системам. Технический результат заключается в расширении инструментария по обработке контента, маркетингового инструментария, расширения арсенала средств того же назначения. Система содержит средства взаимодействия, которыми являются интернет-ресурсы и мобильные приложения для технических средств работы пользователя, а также технические средства обработки информации и средства хранения контента, при этом технические средства обработки информации включают ядро системы, содержащее модуль обработки и управления контентом, модуль управления лицензиями, модуль обработки статистики, модуль подготовки выдачи контента, модуль отображения выдачи, модуль обработки рейтингов, а также средства хранения информации контента и данных для его администрирования и регулирования доступа к модулям ядра. 4 н. и 12 з.п. ф-лы, 2 ил.

Изобретение относится к средствам обработки информации для прогнозирования стационарных и нестационарных случайных процессов. Технический результат заключается в повышении точности обработки данных. Для этого в блок прогноза адаптивного цифрового прогнозирующего устройства, содержащий три вычитателя, два субблока расчета квадратичного и линейного прогнозов, субблок расчета первой производной, сумматор усреднения, субблок подсчета приращений скорости процесса и схему коррекции кода прогноза на динамике введен дополнительный субблок коррекции кода прогноза на стационарных режимах. 5 ил., 1 табл.

Для установки специального программно-математического обеспечения на бортовом компьютере программно-аппаратного комплекса топопривязчика используют компакт-диск с загрузочным модулем, внешний дисковод CD-ROM с интерфейсным кабелем типа USB, клавиатуру с интерфейсным кабелем типа USB, манипулятор, источник питания, комплект технологических жгутов. В процессе установки специального программно-математического обеспечения выполняют действия, требуемые в диалоговых окнах программы установки. Обеспечивается установка специального программно-математического обеспечения на бортовом компьютере программно-аппаратного комплекса топопривязчика. 10 ил.

Изобретение относится к области связи. Технический результат изобретения заключается в возможности загрузки программы управления при отсутствии подключения к сети Интернет. Способ включает в себя этапы: прием сигнала LAN, отправленного посредством подлежащего управлению устройства после входа в режим точки доступа AP; установление соединения LAN с подлежащим управлению устройством согласно сигналу LAN; и загрузка программы управления для управления подлежащим управлению устройством с подлежащего управлению устройства через соединение LAN. Аппаратура включает в себя модуль приема, модуль установления и модуль загрузки через соединение LAN. 4 н. и 8 з.п. ф-лы, 12 ил.

Изобретение относится к области комбинации игрового контроллера и устройства ввода информации. Техническим результатом является обеспечение конструкции, которая смягчает неаккуратное вынимание планшетного компьютера из трехсторонней структуры, когда планшетный компьютер полностью вложен в трехстороннюю структуру. Устройство для управления электронными играми и ввода информации содержит: планшетный компьютер, причем планшетный компьютер обеспечивает множество сторон, причем каждая из множества сторон располагается между электронным экраном отображения планшетного компьютера и задней стороной планшетного компьютера; устройство ввода, электронно связанное с планшетным компьютером, причем устройство ввода обеспечивает пару управляющих модулей, причем пара управляющих модулей прилегает к и ограничивает планшетный компьютер по меньшей мере с двух противоположных сторон из множества сторон планшетного компьютера, причем пара управляющих модулей обеспечивает входные модульные отверстия, причем каждое входное модульное отверстие крепит устройство командного ввода, причем упомянутые входные модульные отверстия прилегают к каждой из по меньшей мере двух противоположных сторон из множества сторон планшетного компьютера; и структурный мост, скрепляющий пару управляющих модулей друг с другом и осуществляющий связь с задней стороной планшетного компьютера в средней части задней стороны планшетного компьютера, и причем устройство ввода является электронным игровым контроллером, в котором пара управляющих модулей обеспечивает упор ограничения и в котором структурный мост содержит: линию связи, передающую сигналы между парой управляющих модулей; и закрепляющий механизм, взаимодействующий с упором ограничения для скрепления пары управляющих модулей друг с другом. 18 з.п. ф-лы, 15 ил.

Изобретение относится к области инфокоммуникаций, а именно к обеспечению информационной безопасности цифровых систем связи. Техническим результатом является повышение скрытности связи и затруднение идентификации абонентов сети несанкционированными абонентами за счет непрерывного изменения идентификаторов абонентов сети в передаваемых пакетах сообщений и передачи пакетов сообщений по всем допустимым маршрутам связи. Способ маскирования структуры сети связи содержит этапы, на которых предварительно задают информацию о структуре сети связи, исходные данные об узлах и абонентах сети, допустимого значения комплексного показателя безопасности маршрута, и вычисляют комплексные показатели безопасности узлов сети. Формируют матрицу смежности вершин графа сети и совокупность возможных маршрутов связи между абонентами сети в виде деревьев графа. Используя полученные результаты, осуществляют выбор наиболее безопасных допустимых маршрутов в сети связи из совокупности всех возможных маршрутов связи между абонентами и доведение безопасных маршрутов до абонентов сети при непрерывном изменении идентификаторов абонентов сети в передаваемых пакетах сообщений. 2 з.п. ф-лы, 9 ил.

Наверх