RU2668979C2 - Method for masking the structure of communication network - Google Patents
Method for masking the structure of communication network Download PDFInfo
- Publication number
- RU2668979C2 RU2668979C2 RU2017110366A RU2017110366A RU2668979C2 RU 2668979 C2 RU2668979 C2 RU 2668979C2 RU 2017110366 A RU2017110366 A RU 2017110366A RU 2017110366 A RU2017110366 A RU 2017110366A RU 2668979 C2 RU2668979 C2 RU 2668979C2
- Authority
- RU
- Russia
- Prior art keywords
- sender
- addresses
- recipient
- false
- address
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
Abstract
Description
Изобретение относится к области инфокоммуникаций, а именно к обеспечению информационной безопасности цифровых систем связи, и, в частности, заявленный способ маскирования структуры сети связи предназначен для использования в распределенных сетях связи, построенных на основе сети связи общего пользования (например, Интернет).The invention relates to the field of information communications, and in particular to ensuring information security of digital communication systems, and, in particular, the claimed method of masking the structure of a communication network is intended for use in distributed communication networks built on the basis of a public communication network (for example, the Internet).
Известен способ защиты виртуального канала, реализованный в «Системе защиты виртуального канала корпоративной сети с мандатным принципом управления доступом к ресурсам, построенной на каналах связи и средствах коммутации сети связи общего пользования» по патенту РФ №2163727 МПК G06F 13/00, F12/14, опубл. 27.02.2001 г.A known method of protecting a virtual channel, implemented in the "Virtual channel protection system of a corporate network with the mandatory principle of access control to resources built on communication channels and switching means of a public communication network" according to RF patent No. 2163727 IPC G 06 F 13/00,
Способ заключается в выполнении следующих действий: клиент согласовывает свои права доступа с межсетевым экраном, для чего на межсетевом экране проходят проверки. Если все проверки пройдены, то направляется пакет, разрешающий соединение между клиентом и межсетевым экраном. Далее пакет, разрешающий соединение, приходит к клиенту, проходя блок приемопередатчика и блок шифрования/расшифровывания и электронной подписи. Затем его передают в блок формирования закрытого протокола. После чего отправляют пакет, устанавливающий соединение по стандартному соединению, но в каждом пакете заменяют IP-адреса сервера назначения на IP-адрес межсетевого экрана корпорации.The method consists in the following actions: the client negotiates its access rights with the firewall, for which checks are performed on the firewall. If all the checks are passed, then a packet is sent that allows the connection between the client and the firewall. Next, the packet that allows the connection comes to the client, passing the transceiver unit and the encryption / decryption unit and electronic signature. Then it is transferred to the closed protocol generation unit. Then they send a packet that establishes a connection using a standard connection, but in each packet they replace the IP addresses of the destination server with the IP address of the corporate firewall.
Недостатком известного способа является относительно низкая безопасность распределенной сети вследствие существования высокой вероятности идентификации корреспондирующих абонентов и (или) устройств и нарушения ее нормального функционирования.The disadvantage of this method is the relatively low security of the distributed network due to the high probability of identification of corresponding subscribers and (or) devices and the violation of its normal functioning.
Известен также способ защиты информации, циркулирующей в распределенной телекоммуникационной системе при передаче ее по каналам связи общего пользования, реализованный в «Распределенной телекоммуникационной системе для передачи разделенных данных, предназначенной для их раздельной передачи и приема» по патенту US №6912252 МПК H04L 12/56; H04L 12/28, опубл. 08.11.2001 г.There is also a method of protecting information circulating in a distributed telecommunication system when transmitting it over public communication channels, implemented in the "Distributed telecommunication system for transmitting shared data intended for their separate transmission and reception" according to US patent No. 6912252 IPC H 04
Способ заключается в выполнении следующих действий: исходные данные у отправителя разделяют на N частей. Далее из их комбинаций формируют группы промежуточных данных. Затем передают промежуточные данные независимо по N каналам связи. У получателя принимают группы промежуточных данных, пришедших по N каналам связи, и восстанавливают первоначальные данные.The method consists in the following actions: the source data from the sender is divided into N parts. Further, from their combinations, intermediate data groups are formed. Then, intermediate data is transmitted independently over N communication channels. The recipient receives groups of intermediate data arriving via N communication channels and restores the original data.
Недостатком данного способа является относительно невысокая защищенность передаваемой информации при использовании распределенной сети вследствие передачи ее в открытом виде, и относительно низкий уровень безопасности распределенной сети вследствие увеличения вероятности распознавания структуры распределенной сети за счет увеличения вероятности обнаружения идентификаторов ее элементов при информационном обмене в результате увеличения числа каналов связи.The disadvantage of this method is the relatively low security of the transmitted information when using a distributed network due to its open transmission, and the relatively low level of security of the distributed network due to the increased likelihood of recognizing the structure of the distributed network due to an increase in the probability of detection of identifiers of its elements during information exchange as a result of an increase in the number of channels communication.
Известен способ защиты корпоративной виртуальной частной компьютерной сети от несанкционированного обмена информацией с публичной транспортной сетью по патенту РФ №2182355 МПК G06F 12/14, 9/00, опубл. 10.05.2002 г.There is a method of protecting a corporate virtual private computer network from unauthorized exchange of information with a public transport network according to the patent of the Russian Federation No. 2182355 IPC G 06 F 12/14, 9/00, publ. 05/10/2002
Способ заключается в том, что предварительно формируют таблицы адресов источников и получателей и их соответствия идентификаторам, формируют у отправителя исходный пакет данных, включают в пакет данных текущие адреса отправителя и получателя, передают сформированный пакет. Принимают у получателя переданный пакет, выделяют из полученного пакета сообщений адреса и идентификаторы отправителя и получателя сообщений, сравнивают у получателя выделенные из полученного пакета сообщений адреса и идентификаторы отправителя и получателя сообщений с предварительно запомненными адресами и идентификаторами отправителя и получателя сообщений. Затем при их совпадении выделяют из полученного пакета закодированные данные, при их несовпадении принятый пакет сообщений не анализируют. Декодируют полученные данные.The method consists in preliminarily generating tables of addresses of sources and recipients and their correspondence with identifiers, forming an initial data packet with the sender, including the current address of the sender and recipient in the data packet, and transmitting the generated packet. The received packet is received from the recipient, the addresses and identifiers of the sender and recipient of the messages are extracted from the received message packet, the addresses and identifiers of the sender and recipient of the messages extracted from the received message packet are compared with the pre-stored addresses and identifiers of the sender and recipient of the messages. Then, when they coincide, the encoded data is extracted from the received packet; if they do not match, the received message packet is not analyzed. Decode the received data.
Недостатком данного способа является относительно невысокая безопасность распределенной инфокоммуникационной системы из-за существования высокой вероятности распознавания ее структуры путем идентификации адресов корреспондентов при анализе трафика в некоторой точке сети Интернет.The disadvantage of this method is the relatively low security of the distributed infocommunication system due to the high probability of recognizing its structure by identifying the addresses of correspondents when analyzing traffic at some point on the Internet.
Наиболее близким по своей технической сущности к заявленному является способ маскирования структуры сети связи, реализованный в способе защиты вычислительной сети по патенту РФ №325694 МПК G06F 21/20 H04L 12/00, опубл. 27.05.2008 г.Closest in its technical essence to the claimed one is a method for masking the structure of a communication network, implemented in the method of protecting a computer network according to RF patent No. 325694 IPC G 06 F 21/20 H 04
Способ-прототип заключается в выполнении следующих действий: предварительно задают исходные данные, включающие А абонентов сети связи и линии связи между ними, совокупность из М IP-адресов отправителей и получателей пакетов сообщений. Назначают из заданной совокупности из М IP-адресов отправителей и получателей пакетов сообщений текущие адреса отправителя A TO и получателя А ТП и запоминают их. Задают у отправителя и получателя функцию F S (i) выбора текущего адреса отправителя и функцию F D (i) выбора текущего адреса получателя для истинных пакетов сообщений, где i=1,2,3,…, в соответствии с которыми на i-м шаге назначают новые адреса. Задают у отправителя и получателя функцию G S (i) выбора текущего адреса отправителя и функцию G D (i) выбора текущего адреса получателя для ложных пакетов сообщений, где G S (i)≠F S (i), G D (i)≠F D (i), i=1,2,3,…, в соответствии с которыми на i-м шаге назначают новые адреса. Устанавливают равными единице номера шагов смены адресов i O=1 и i П=1. Затем формируют у отправителя исходный пакет сообщений, кодируют его, преобразуют закодированный пакет сообщений в формат TCP/IP, включают в него текущие адреса отправителя A TO и получателя А ТП , и передают сформированный информационный пакет сообщений получателю. Назначают у отправителя из заданной базы адресов в соответствии с функциями выбора новые текущие адреса отправителя и получателя и запоминают их в качестве текущих адресов отправителя A TO и получателя A ТП . Заменяют у отправителя его текущий адрес A TO на новый текущий адрес отправителя и увеличивают номер шага i O на единицу (i O =i O +1). Для формирования у отправителя пакета сообщений при отсутствии исходного пакета сообщений генерируют управляющий сигнал для формирования ложного пакета сообщений и формируют у отправителя ложный пакет сообщений. Затем кодируют ложный пакет сообщений, преобразуют закодированный ложный пакет сообщений в формат TCP/IP, включают в полученное значение ложного пакета сообщений в формате TCP/IP текущие адреса отправителя A TO и получателя A ТП . При включении в него текущих адресов отправителя и получателя, текущий адрес отправителя определяют в соответствии с заданной функцией выбора адреса для ложных пакетов сообщений . Передают от отправителя к получателю ложный пакет сообщений, из принятого у получателя пакета сообщений выделяют адреса отправителя A O и получателя А П и сравнивают их с текущими адресами отправителя A TO и получателя А ТП . При их несовпадении принятые пакеты не анализируют, а при их совпадении из принятого пакета сообщений выделяют кодированные данные и декодируют их. Формируют у получателя информацию о новых текущих адресах отправителя и получателя , для чего назначают у отправителя из заданной базы адресов в соответствии с функциями выбора новые текущие адреса отправителя и получателя и запоминают их в качестве текущих адресов, отправителя A TO и получателя А ТП . Заменяют у получателя его текущий адрес A TO на новый текущий адрес получателя и увеличивают номер шага i П на единицу (i П =i П +1). Затем повторно формируют у отправителя очередной пакет сообщений.The prototype method consists in performing the following steps: initial data is preliminarily set, including A subscribers of the communication network and communication lines between them, a set of M IP addresses of senders and recipients of message packets. Assign from the given set of M IP addresses of senders and recipients of message packets the current addresses of the sender A TO and receiver A TP and remember them. The function F S (i) of selecting the current sender address and the function F D (i) of selecting the current recipient address for true message packets, where i = 1,2,3, ..., according to which at the i- th step assign new addresses. The sender and receiver set the function G S (i) to select the current sender address and the function G D (i) to select the current receiver address for false message packets, where G S (i) ≠ F S (i) , G D (i) ≠ F D (i) , i = 1,2,3, ..., in accordance with which new addresses are assigned at the i- th step. Set equal to unity the number of steps of the change of addresses i O = 1 and i P = 1. Then the source message packet is formed at the sender, encoded, the encoded message packet is converted to the TCP / IP format, the current addresses of the sender A TO and the receiver A TP are included in it, and the generated information message packet is transmitted to the recipient. Assign the sender from a given address base in accordance with the selection functions the new current sender addresses and the recipient and remember them as the current addresses of the sender A TO and receiver A TP . Replace the sender's current address A TO with the new current sender address and increase the step number i O by one ( i O = i O +1). To generate a message packet from the sender in the absence of the initial message packet, a control signal is generated to generate a false message packet and a false message packet is generated from the sender. Then a false message packet is encoded, the encoded false message packet is converted to TCP / IP format, and the current address of the sender A TO and receiver A TP are included in the received value of the false message packet in TCP / IP format. When including the current sender and recipient addresses, the current sender address determined in accordance with a predetermined address selection function for false message packets . A false message packet is transmitted from the sender to the receiver, the addresses of the sender A O and the receiver A P are extracted from the message packet received from the receiver and compared with the current addresses of the sender A TO and receiver A TP . If they do not match, the received packets are not analyzed, and if they match, the encoded data is extracted from the received message packet and decoded. Form the recipient with information about the new current addresses of the sender and the recipient , for which purpose the sender is assigned from the given address base in accordance with the selection functions the new current sender addresses and the recipient and remember them as current addresses, the sender A TO and the receiver A TP . Replace the recipient's current address A TO with the new current recipient address and increase the step number i P by one ( i P = i P +1). Then the next message packet is re-formed at the sender.
Известный способ-прототип устраняет некоторые из недостатков аналогов за счет определения функций выбора текущих адресов отправителя и получателя для истинного и ложного обмена пакетами сообщений, а также формирования ложных информационных направлений сети связи.The known prototype method eliminates some of the disadvantages of analogues by determining the functions of selecting the current address of the sender and recipient for true and false exchange of message packets, as well as the formation of false information directions of the communication network.
Недостатками способа-прототипа являются низкая результативность маскирования исходной (истинной) структуры СС и узкая область применения способа маскирования. Низкая результативность маскирования обусловлена тем, что в прототипе не задают количество передаваемых ложных пакетов сообщений от отправителя к получателю, определяющее интенсивность генерируемых ложных информационных направлений. Узкая область применения обусловлена тем, что для реализации маскирующего обмена, представляющего собой пересылку между корреспондентами ложных пакетов сообщений, в прототипе используют как минимум два корреспондента, что создает дополнительную нагрузку на организацию связи для обеспечения подтверждения получения корреспондентом пакета сообщений и двустороннего обмена пакетами сообщений между корреспондентами.The disadvantages of the prototype method are the low efficiency of masking the original (true) structure of the SS and the narrow scope of the masking method. The low effectiveness of masking is due to the fact that the prototype does not specify the number of transmitted false message packets from the sender to the receiver, which determines the intensity of the generated false information directions. The narrow scope is due to the fact that at least two correspondents are used in the prototype to implement a disguised exchange, which is the transfer between false correspondence message packets between correspondents, which creates an additional load on the organization of communication to provide confirmation of receipt of a message packet by a correspondent and two-way exchange of message packets between correspondents .
Целью заявленного технического решения является разработка способа маскирования структуры сети связи, обеспечивающего повышение результативности маскирования исходной (истинной) структуры сети связи за счет задания приоритетов информационных направлений, определяющих интенсивность обмена ложными пакетами сообщений для каждой пары корреспондентов. А расширение области применения обеспечивают за счет передачи пакетов сообщений между IP-адресами, формируемыми одним корреспондентом.The purpose of the claimed technical solution is to develop a method for masking the structure of the communication network, which ensures increased effectiveness of masking the initial (true) structure of the communication network by setting priorities for information directions that determine the intensity of the exchange of false message packets for each pair of correspondents. And the expansion of the scope is provided by the transmission of message packets between IP addresses formed by one correspondent.
Поставленная цель достигается тем, что в известном способе маскирования структуры сети связи заключающемся в том, что предварительно задают исходные данные, включающие А абонентов сети связи и линии связи между ними, совокупность из М IP-адресов отправителей и получателей пакетов сообщений. Назначают из заданной совокупности из М IP-адресов отправителей и получателей пакетов сообщений текущие адреса отправителя A TO и получателя A ТП и запоминают их. Задают у отправителя и получателя функцию F S (i) выбора текущего адреса отправителя и функцию F D (i) выбора текущего адреса получателя для истинных пакетов сообщений, где i=1,2,3,…, в соответствии с которыми на i-м шаге назначают новые адреса. Задают у отправителя и получателя функцию G S (i) выбора текущего адреса отправителя и функцию G D (i) выбора текущего адреса получателя для ложных пакетов сообщений, где G S (i)≠F S (i), G D (i)≠F D (i), i=1,2,3,…, в соответствии с которыми на i-м шаге назначают новые адреса. Устанавливают равными единице номера шагов смены адресов i O =1 и i П =1. Затем формируют у отправителя исходный пакет сообщений, кодируют его, преобразуют закодированный пакет сообщений в формат TCP/IP. Включают в него текущие адреса отправителя A TO и получателя A ТП , и передают сформированный информационный пакет сообщений получателю. Назначают у отправителя из заданной базы адресов в соответствии с функциями выбора новые текущие адреса отправителя и получателя и запоминают их в качестве текущих адресов отправителя A TO , и получателя A ТП . Заменяют у отправителя его текущий адрес A TO на новый текущий адрес отправителя и увеличивают номер шага i O на единицу (i O =i O +1). Для формирования у отправителя пакета сообщений при отсутствии исходного пакета сообщений генерируют управляющий сигнал для формирования ложного пакета сообщений и формируют у отправителя ложный пакет сообщений. Затем кодируют ложный пакет сообщений, преобразуют закодированный ложный пакет сообщений в формат TCP/IP, включают в полученное значение ложного пакета сообщений в формате TCP/IP текущие адреса отправителя A TO и получателя A ТП . При включении в него текущих адресов отправителя и получателя, текущий адрес отправителя определяют в соответствии с функцией выбора адреса для ложных пакетов сообщений . Передают от отправителя к получателю ложный пакет сообщений, из принятого у получателя пакета сообщений выделяют адреса отправителя A O и получателя А П и сравнивают их с текущими адресами отправителя А ТО и получателя А ТП . При их несовпадении принятые пакеты не анализируют, а при их совпадении из принятого пакета сообщений выделяют кодированные данные и декодируют их. Формируют у получателя информацию о новых текущих адресах отправителя и получателя , для чего назначают у отправителя из заданной базы адресов в соответствии с функциями выбора новые текущие адреса отправителя и получателя и запоминают их в качестве текущих адресов отправителя А ТО и получателя А ТП . Заменяют у получателя его текущий адрес А ТО на новый текущий адрес получателя и увеличивают номер шага i П на единицу (iП=iП+1). Затем повторно формируют у отправителя очередной пакет сообщений. В предварительно заданные исходные данные дополнительно включают базу для хранения IP-адресов, предназначенных для истинного обмена между отправителями и получателями для каждого из А абонентов сети связи, где А=а 1,а 2…, базу для хранения IP-адресов, предназначенных для ложного обмена между отправителями и получателями для каждого из А абонентов сети связи. Значение счетчика количества передаваемых ложных пакетов сообщений задают равным нулю. Затем выделяют в предварительно заданной совокупности из М IP-адресов множество из S IP-адресов, предназначенных выбора адреса отправителя A O , и множество из D IP-адресов, предназначенных выбора адреса получателя А П . Из множества S IP-адресов выделяют множество адресов S И , предназначенных для истинного обмена пакетами сообщений между абонентами, где , и множество адресов S Л , предназначенных для ложного обмена пакетами сообщений между абонентами, где . Из множества D IP-адресов выделяют множество адресов D И , предназначенных для истинного обмена пакетами сообщений между абонентами, где , и множество адресов D Л , предназначенных для ложного обмена пакетами сообщений между абонентами, где . После этого запоминают и IP-адресов, предназначенных для истинного обмена, и IP-адресов, предназначенных для ложного обмена для каждого из А абонентов сети связи. Затем задают совокупность связей между и IP-адресами как матрицу связностей истинного обмена, а совокупность связей между и IP-адресами задают как матрицу связностей ложного обмена и запоминают их. Затем задают номера Р приоритета ложного обмена, где Р=1, 2, 3,… для каждой связи между и IP-адресами и запоминают их. Для каждого номера Р приоритета задают максимальное количество передаваемых ложных пакетов сообщений и запоминают его. Затем, после установления равными единице номера шагов смены адресов i O и i П , проверяют наличие у отправителя пакетов сообщений для передачи. При их наличии выбирают новые адреса отправителя и получателя в качестве текущих адресов отправителя A TO и получателя А ТП и запоминают их. Увеличивают номер шага смены адресов отправителя на единицу (i O =i O +1), а после передачи сформированного истинного пакета сообщений получателю устанавливают значение счетчика равным единице . При отсутствии у отправителя пакетов сообщений для передачи сравнивают значение счетчика с заданным максимальным количеством , и если , то выбирают у отправителя в качестве текущих адресов отправителя и получателя . Запоминают их и увеличивают номер шага смены адресов отправителя на единицу (i O =i O +1). После передачи от отправителя к получателю ложного пакета сообщений сравнивают значение текущего адреса получателя А ТП с множеством адресов , и если текущий адрес получателя А ТП совпадает с подмножеством адресов , то формируют ответный пакет сообщений и передают его, затем увеличивают на единицу текущее значение счетчика .This goal is achieved by the fact that in the known method of masking the structure of the communication network, which consists in pre-setting the initial data, including A subscribers of the communication network and communication lines between them, a collection of M IP addresses of senders and recipients of message packets. Assign from the given set of M IP addresses of senders and recipients of message packets the current addresses of the sender A TO and the receiver A TP and remember them. The function F S (i) of selecting the current sender address and the function F D (i) of selecting the current recipient address for true message packets, where i = 1,2,3, ..., according to which at the i- th step assign new addresses. The sender and receiver set the function G S (i) to select the current sender address and the function G D (i) to select the current receiver address for false message packets, where G S (i) ≠ F S (i) , G D (i) ≠ F D (i) , i = 1,2,3, ..., in accordance with which new addresses are assigned at the i- th step. Set equal to unity the number of steps of the change of addresses i O = 1 and i P = 1. Then the source message packet is formed at the sender, encoded, the encoded message packet is converted to TCP / IP format. Include the current addresses of the sender A TO and the receiver A TP , and transmit the generated information packet of messages to the recipient. Assign the sender from a given address base in accordance with the selection functions the new current sender addresses and the recipient and remember them as the current addresses of the sender A TO and the receiver A TP . Replace the sender's current address A TO with the new current sender address and increase the step number i O by one ( i O = i O +1). To generate a message packet from the sender in the absence of the initial message packet, a control signal is generated to generate a false message packet and a false message packet is generated from the sender. Then a false message packet is encoded, the encoded false message packet is converted to TCP / IP format, and the current address of the sender A TO and receiver A TP are included in the received value of the false message packet in TCP / IP format. When the current sender and recipient addresses are included in it, the current sender address is determined in accordance with the address selection function for false message packets . A false message packet is transmitted from the sender to the receiver, the addresses of the sender A O and the receiver A P are extracted from the message packet received from the receiver and compared with the current addresses of the sender A TO and receiver A TP . If they do not match, the received packets are not analyzed, and if they match, the encoded data is extracted from the received message packet and decoded. Form the recipient with information about the new current addresses of the sender and the recipient , for which purpose the sender is assigned from the given address base in accordance with the selection functions the new current sender addresses and the recipient and remember them as the current addresses of the sender A TO and the recipient A TP . Replace the recipient's current address A TO with the new current address of the recipient and increase the step number i P by one (i P = i P +1). Then the next message packet is re-formed at the sender. The predefined source data additionally includes a base for storing IP addresses intended for true exchange between senders and recipients for each of A subscribers of the communication network, where A = a 1 , a 2 ..., a base for storing IP addresses intended for false exchange between senders and recipients for each of A subscribers of the communication network. False Message Packet Counter set equal to zero. Then, a plurality of S IP addresses intended to select a sender address A O and a plurality of D IP addresses intended to select a recipient address A P are isolated in a predetermined set of M IP addresses. From the set of S IP addresses, a plurality of S And addresses are allocated for the true exchange of message packets between subscribers, where , and many addresses S L , intended for the false exchange of message packets between subscribers, where . From the set of D IP addresses, a plurality of D AND addresses are allocated for the true exchange of message packets between subscribers, where , and many addresses D L , intended for the false exchange of message packets between subscribers, where . After that, remember and True IP addresses and IP addresses intended for false exchange for each of A subscribers of the communication network. Then set the relationship between and IP addresses as a matrix of connections of true exchange, and the totality of connections between and IP- addresses are set as a matrix of connections of false exchange and remember them. Then set the numbers P priority of the false exchange, where P = 1, 2, 3, ... for each connection between and IP addresses and remember them. For each priority number P , the maximum number of transmitted false message packets and remember it. Then, after setting the number of steps for changing the addresses i O and i P equal to unity, the sender checks for the presence of message packets for transmission. If available, select new sender addresses and the recipient as the current addresses of the sender A TO and receiver A TP and remember them. Increase the step number of changing the sender addresses by one ( i O = i O +1), and after transmitting the generated true message packet to the recipient, set the counter value equal to one . If the sender does not have message packets for transmission, the counter value is compared. with a given maximum quantity , and if , then select from the sender as the current address of the sender and the recipient . Remember them and increase the step number of the change of sender addresses by one ( i O = i O +1). After transmitting from the sender to the recipient a false message packet, the value of the current address of the recipient A TP is compared with many addresses , and if the current address of the recipient A TP coincides with a subset of addresses then form a response message packet and transmit it, then increase by one the current counter value .
Значения S и D адресов отправителя и получателя выбирают в пределах S=2-64, D=2-64.The values of S and D addresses of the sender and receiver are selected in the range of S = 2-64, D = 2-64.
В качестве функции выбора адреса отправителя F S (i) и получателя F D (i) используют последовательность чисел Фибоначчи: , , а в качестве функции выбора ложного адреса отправителя G S (i) и получателя G D (i) используют последовательность чисел Люка: , As a function of selecting the address of the sender F S (i) and the recipient F D (i) use a sequence of Fibonacci numbers: , , and as a function of choosing a false address, the sender G S (i) and the recipient G D (i) use a sequence of Luc numbers: ,
. .
Благодаря новой совокупности существенных признаков в заявленном способе наряду с изменением в пакетах сообщений их идентификационной структуры, за счет задания приоритетов информационных направлений, определяющих интенсивность обмена ложными пакетами сообщений для каждой пары корреспондентов, достигается повышение результативности маскирования исходной (истинной) структуры сети связи, что делает практически невозможным идентификацию пакетов сообщений относительно конкретного пользователя сети и вскрытие структуры сети, а за счет передачи пакетов сообщений между IP-адресами, формируемыми одним корреспондентом, обеспечивается расширение области применения, когда при маскировании невозможно (нецелесообразно) создавать дополнительную нагрузку на организацию связи.Thanks to the new set of essential features in the claimed method, along with a change in the message packets of their identification structure, by setting priorities for information directions that determine the rate of exchange of false message packets for each pair of correspondents, an increase in the effectiveness of masking the initial (true) structure of the communication network is achieved, which makes it is almost impossible to identify message packets with respect to a specific network user and open the network structure, and due to This allows the transmission of message packets between IP addresses formed by a single correspondent, and the scope of application is expanded when it is impossible (impractical) to create an additional load on the organization of communication during masking.
Заявленные объекты изобретения поясняются чертежами, на которых показаны:The claimed objects of the invention are illustrated by drawings, which show:
фиг. 1 - пример схемы организации связи между автоматизированными системами через сеть Интернет;FIG. 1 - an example of a scheme for organizing communication between automated systems via the Internet;
фиг. 2 - структура пакета сообщений;FIG. 2 - message packet structure;
фиг. 3 - структура IP-заголовка пакета сообщений;FIG. 3 - structure of the IP- header of the message packet;
фиг. 4 - блок-схема алгоритма, реализующего способ маскирования;FIG. 4 is a flowchart of an algorithm implementing a masking method;
фиг. 5 - пример, иллюстрирующий представление матриц связностей истинного и ложного обмена;FIG. 5 is an example illustrating the representation of matrices of connections of true and false exchange;
фиг. 6 - иллюстрация исходной немаскированной и маскированной структуры сети связи без учета интенсивности маскирующих информационных направлений между абонентами;FIG. 6 is an illustration of the original unmasked and masked structure of a communication network without taking into account the intensity of masking information directions between subscribers;
фиг. 7 - иллюстрация назначения приоритетов маскирующих информационных направлений и их отражение на структуре сети связи;FIG. 7 - illustration of the assignment of priorities of masking information areas and their reflection on the structure of the communication network;
фиг. 8 - иллюстрация результатов эксперимента по сетевому сканированию исходной немаскированной и маскированной структур сети связи.FIG. 8 is an illustration of the results of a network scanning experiment of the original unmasked and masked communication network structures.
Реализация заявленного способа объясняется следующим образом. При объединении автоматизированных систем (АС) через сети связи общего пользования (например, Интернет) усложняется решение задачи по обеспечению информационной безопасности АС. Это связано с возникновением практически неограниченного спектра потенциальных угроз безопасности, связанных либо с несанкционированным доступом к информации или ее перехватом в процессе передачи по каналам связи, либо деструктивными воздействиями на АС. Задача защиты информационной части пакетов сообщений достаточно эффективно решается средствами криптографии. Однако факт передачи пакетов сообщений по сети связи общего пользования скрыть невозможно, и даже при отсутствии возможности декодирования перехваченной информации злоумышленник путем анализа идентификационной структуры пакетов сообщений может вскрыть структуру сети связи и предпринять деструктивные воздействия на телекоммуникационное оборудование, то есть нарушить нормальное функционирование АС. Это обусловлено тем, что адреса отправителей и получателей пакетов сообщений передаются в открытом виде.The implementation of the claimed method is explained as follows. When combining automated systems (AS) through public communication networks (for example, the Internet), it becomes more difficult to solve the problem of ensuring information security of AS. This is due to the emergence of an almost unlimited range of potential security threats associated with either unauthorized access to information or its interception in the process of transmission through communication channels, or destructive effects on nuclear power plants. The task of protecting the information part of message packets is quite effectively solved by cryptography. However, it is impossible to conceal the fact of transmission of message packets over a public communication network, and even if there is no possibility of decoding the intercepted information, an attacker, by analyzing the identification structure of message packets, can open the communication network structure and take destructive actions on telecommunication equipment, that is, disrupt the normal functioning of the AS. This is due to the fact that the addresses of senders and recipients of message packets are transmitted in clear text.
Таким образом, возникает противоречие между необходимостью открытой передачи адресов отправителей и получателей пакетов сообщений по каналам связи и требованием по обеспечению безопасности АС, т.к. выявление истинных адресов корреспондирующих субъектов злоумышленником в некоторой точке сети Интернет создает предпосылки для осуществления деструктивных воздействий на АС либо для нарушения ее нормального функционирования. На устранение указанного противоречия направлено заявленное техническое решение.Thus, a contradiction arises between the need for open transmission of the addresses of senders and recipients of message packets over communication channels and the requirement for ensuring the safety of the speakers, because identifying the true addresses of the corresponding entities by an attacker at some point on the Internet creates the prerequisites for the implementation of destructive effects on the AU or for disruption of its normal functioning. The claimed technical solution is aimed at eliminating this contradiction.
В общем случае каждая АС представляет собой совокупность ПЭВМ, периферийного и коммуникационного оборудования, объединенного физическими линиями связи (фиг. 1а). Все эти элементы определяются сетевыми идентификаторами, в качестве которых в наиболее распространенном семействе протоколов TCP/IP используют сетевые адреса (IP-адреса). При необходимости распределенной обработки информации и (или) ее передачи, удаленные АС объединяют, например, через сеть Интернет, образуя сеть связи. При таком объединении оконечное коммуникационное оборудование также идентифицируют сетевыми адресами, причем множества адресов оконечного коммуникационного оборудования и элементов АС не пересекаются.In the General case, each speaker is a combination of a PC, peripheral and communication equipment, combined by physical communication lines (Fig. 1A). All these elements are defined by network identifiers, which are used in the most common TCP / IP protocol family by network addresses ( IP addresses). If necessary, distributed processing of information and (or) its transmission, remote speakers are combined, for example, via the Internet, forming a communication network. With this combination, the terminal communications equipment is also identified by network addresses, and the sets of addresses of the terminal communications equipment and AC elements do not intersect.
Для передачи информации между удаленными АС (например, AC1 и АС2 на фиг. 1а) посредством протоколов взаимодействия устанавливают соединение, под которым, в данном случае, понимают информационный поток от отправителя к получателю.To transfer information between remote speakers (for example, AC 1 and AC 2 in Fig. 1a) using the interaction protocols, a connection is established, which, in this case, is understood as the information flow from the sender to the receiver.
Информационный поток от AC1 к АС2 передают через соответствующие маршрутизаторы и сеть Интернет (фиг. 1а). В общем случае эту модель можно упростить и представить в виде структуры сети связи, включающей оконечное коммуникационное оборудование абонентов (отправителя и получателя пакетов сообщений), а также канала связи между ними (фиг. 1б).The information stream from AC 1 to AC 2 is transmitted through the respective routers and the Internet (Fig. 1a). In the general case, this model can be simplified and presented in the form of a communication network structure including terminal communication equipment of subscribers (sender and receiver of message packets), as well as a communication channel between them (Fig. 1b).
Для безопасной передачи данных через сеть связи общего пользования (например, Интернет) применяют криптографическую защиту информационной части пакетов сообщений (выделена штриховкой на фиг. 2).For secure data transmission through a public communication network (for example, the Internet), cryptographic protection of the information part of message packets is used (highlighted by shading in Fig. 2).
При использовании таких механизмов в открытом виде передают только IP-заголовок пакета сообщений. Структура IP-заголовка известна и показана на фиг. 3, где штриховкой выделены поля адресов отправителя и получателя пакета сообщений. Внешние (так называемые «публичные») IP-адреса оконечного оборудования являются уникальными для каждого абонента, что является необходимым и достаточным условием для реконструкции структуры сети связи злоумышленником, имеющим доступ к произвольной точке сети связи, через которую проходит информационный поток между абонентами (формат представления IP-адреса в десятичной форме известен и описан, например, в книге Олифера В.Г. и Олифер Н.А. «Компьютерные сети. Принципы, технологии, протоколы.», уч. для Вузов, 2-изд.; - СПб.: Питер, 2003. 497 с.).When using such mechanisms, only the IP header of the message packet is transmitted in clear text. The IP header structure is known and shown in FIG. 3, where the fields of the addresses of the sender and recipient of the message packet are highlighted by shading. External (so-called “public”) IP addresses of terminal equipment are unique for each subscriber, which is a necessary and sufficient condition for an attacker to reconstruct the communication network structure having access to an arbitrary point in the communication network through which the information flow between subscribers passes (presentation format The IP address in decimal form is known and described, for example, in the book by Olifer VG and Olifer N. A. "Computer Networks. Principles, Technologies, Protocols.", Academic for Universities, 2nd ed.; - St. Petersburg. : Peter, 2003.497 s.).
Защиту структуры сети связи от реконструкции осуществляют ее маскированием. Для этого предварительно задают (бл. 1 на фиг. 4) исходные данные, включающие А абонентов сети связи и линии связи между ними, совокупность из М IP-адресов отправителей и получателей пакетов сообщений, базу для хранения IP-адресов, предназначенных для истинного обмена между отправителями и получателями для каждого из А абонентов сети связи, где А=а 1,а 2…, базу для хранения IP-адресов, предназначенных для ложного обмена между отправителями и получателями для каждого из А абонентов сети связи. Значение счетчика количества передаваемых ложных пакетов сообщений задают равным нулю. Использование счетчика необходимо для достижения требуемой интенсивности генерируемых ложных информационных направлений.Protection of the structure of the communication network from reconstruction is carried out by its masking. To do this, pre-set (bl. 1 in Fig. 4) the initial data, including A subscribers of the communication network and communication lines between them, a set of M IP addresses of senders and recipients of message packets, a base for storing IP addresses intended for true exchange between senders and recipients for each of A subscribers of the communication network, where A = a 1 , a 2 ..., a base for storing IP addresses intended for false exchange between senders and recipients for each of A subscribers of the communication network. False Message Packet Counter set equal to zero. Using a counter is necessary to achieve the required intensity of the generated false information directions.
В предварительно заданной совокупности из М IP-адресов выделяют (бл. 2 на фиг. 4) множество из S IP-адресов, предназначенных выбора адреса отправителя A O , и множество из D IP-адресов, предназначенных выбора адреса получателя А П .In a predefined set of M IP addresses, a plurality of S IP addresses for selecting a sender address A O and a plurality of D IP addresses for selecting a recipient address A P are selected from M IP addresses (
Из множества S IP-адресов выделяют (бл. 3 на фиг. 4) множество адресовFrom the set of S IP addresses, a plurality of addresses is allocated (bl. 3 in FIG. 4)
S И , предназначенных для истинного обмена пакетами сообщений между абонентами, где , и множество адресов S Л , предназначенных для ложного обмена пакетами сообщений между абонентами, где . Из множества D IP-адресов выделяют множество адресов D И , предназначенных для истинного обмена пакетами сообщений между абонентами, где , и множество адресов D Л , предназначенных для ложного обмена пакетами сообщений между абонентами, где . Выделение подмножеств адресов, предназначенных для истинного и ложного обмена пакетами сообщений между абонентами позволяет задавать как графически, так и в матричной форме навязываемую маскированную (ложную) структуру сети связи. После этого запоминают (бл. 4 на фиг. 4) и IP-адресов, предназначенных для истинного обмена, и IP-адресов, предназначенных для ложного обмена для каждого из А абонентов сети связи. Затем задают (бл. 5 на фиг. 4) совокупность связей между и IP-адресами как матрицу связностей истинного обмена, а совокупность связей между и IP-адресами задают (бл. 6 на фиг. 4) как матрицу связностей ложного обмена и запоминают их. S And , intended for true exchange of message packets between subscribers, where , and many addresses S L , intended for the false exchange of message packets between subscribers, where . From the set of D IP addresses, a plurality of D AND addresses are allocated for the true exchange of message packets between subscribers, where , and many addresses D L , intended for the false exchange of message packets between subscribers, where . The selection of subsets of addresses intended for true and false exchange of message packets between subscribers allows you to specify both graphically and in matrix form the imposed masked (false) structure of the communication network. After that, remember (bl. 4 in Fig. 4) and True IP addresses and IP addresses intended for false exchange for each of A subscribers of the communication network. Then set (bl. 5 in Fig. 4) a set of relations between and IP addresses as a matrix of connections of true exchange, and the totality of connections between and IP- addresses are set (bl. 6 in Fig. 4) as a matrix of connections of false exchange and remember them.
Пример, иллюстрирующий представление матрицы связностей истинного обмена, представлен таблицей на фиг. 5а, а пример, иллюстрирующий представление матрицы связностей ложного обмена, представлен таблицей на фиг. 5б. Для удобства и в качестве примера истинные адреса отличаются от ложных количеством разрядов - два последних разряда для истинных и три для ложных IP-адресов. Матрицы, представленные на фиг. 5, отражают структуры сети связи, изображенные на фиг. 6, где на фиг. 6а представлена исходная немаскированная структура сети связи (соответствует матрице связностей на фиг. 5а), представляющая собой канал связи между маршрутизаторами с IP-адресами 200.168.2.1 и 200.168.2.2, реализованный через Интернет, а на фиг. 6б - маскированная структура сети связи без учета интенсивности маскирующих информационных направлений между абонентами (соответствует матрице связностей на фиг. 5б), представляющая собой совокупность каналов связи между маршрутизаторами с измененными IP-адресами. На фигурах 6 и 7 используется сокращенная форма записи IP-адресов, иллюстрирующая только отличительную их часть справа от последнего разделителя (точки). Слева от последнего разделителя (точки) значения разрядов у всех IP-адресов одинаковы: 200.168.2.Х.An example illustrating the representation of the true exchange connectivity matrix is presented in the table in FIG. 5a, and an example illustrating a representation of a matrix of connections of a false exchange is represented by the table in FIG. 5 B. For convenience and as an example, true addresses differ from false ones by the number of bits - the last two bits for true and three for false IP addresses. The matrices shown in FIG. 5 reflect the structures of the communication network depicted in FIG. 6, where in FIG. 6a shows the original unmasked structure of the communication network (corresponds to the connectivity matrix in FIG. 5a), which is a communication channel between routers with IP addresses 200.168.2.1 and 200.168.2.2 implemented via the Internet, and in FIG. 6b - masked structure of a communication network without taking into account the intensity of masking information directions between subscribers (corresponds to the connectivity matrix in Fig. 5b), which is a collection of communication channels between routers with changed IP addresses. In figures 6 and 7, a shortened form for recording IP addresses is used, illustrating only the distinguishing part to the right of the last separator (dot). To the left of the last separator (dot), the bit values for all IP addresses are the same: 200.168.2.X.
Затем задают номера Р приоритета ложного обмена, где Р=1, 2, 3, … для каждой связи между и IP-адресами и запоминают их (бл. 7 на фиг. 4). В табличном виде иллюстрация назначения приоритетов маскирующих информационных направлений представлена на фиг. 7а, а их отражение на структуре сети связи представлено на фиг. 7б. Для каждого номера Р приоритета задают максимальное количество передаваемых ложных пакетов сообщений и запоминают его (бл. 8 на фиг. 4). Пример задания количества ложных пакетов сообщений для приоритетов №№1…3 представлен таблицей на фиг. 7в. Управление интенсивностью ложных пакетов сообщений необходимо для того, чтобы маскирующие информационные направления имели достаточную контрастность на фоне общего трафика сети связи и были обнаружены злоумышленником, чем и достигается замысел маскирования сети связи с навязыванием злоумышленнику ложных представлений о структуре сети связи.Then set the numbers P priority of the false exchange, where P = 1, 2, 3, ... for each connection between and IP addresses and remember them (bl. 7 in Fig. 4). In tabular form, an illustration of the priority assignment of masking information directions is presented in FIG. 7a, and their reflection on the structure of the communication network is shown in FIG. 7b. For each priority number P , the maximum number of transmitted false message packets and remember it (bl. 8 in Fig. 4). An example of setting the number of false message packets for priorities No. 1 ... 3 is presented in the table in FIG. 7c. The control of the intensity of false message packets is necessary so that the masking information directions have sufficient contrast against the background of the general traffic of the communication network and are detected by the attacker, thereby achieving the idea of masking the communication network by imposing false ideas on the structure of the communication network to the attacker.
После этого назначают из заданной совокупности из М IP-адресов отправителей и получателей пакетов сообщений текущие адреса отправителя A TO и получателя А ТП и запоминают их (бл. 9 на фиг. 4). При установке и настройке систем, реализующих способ, системные администраторы могут назначать текущие адреса либо строго по инструкции, либо, согласовав свои действия по телефону.After that, from the given set of M IP addresses of the senders and recipients of the message packets, the current addresses of the sender A TO and receiver A TP are assigned and stored (
Задают у отправителя и получателя функцию F S (i) выбора текущего адреса отправителя и функцию F D (i) выбора текущего адреса получателя для истинных пакетов сообщений, где i=1,2,3,…, в соответствии с которыми на i-м шаге назначают новые адреса (бл. 10 на фиг. 4).The function F S (i) of selecting the current sender address and the function F D (i) of selecting the current recipient address for true message packets, where i = 1,2,3, ..., according to which at the i- th step assign new addresses (bl. 10 in Fig. 4).
Задают у отправителя и получателя функцию G S (i) выбора текущего адреса отправителя и функцию G D (i) выбора текущего адреса получателя для ложных пакетов сообщений, где G S (i)≠F S (i), G D (i)≠F D (i), i=1,2,3,…, в соответствии с которыми на i-м шаге назначают новые адреса (бл. 11 на фиг. 4), и устанавливают равными единице номера шагов смены адресов i O =1 и i П =1 (бл. 12 на фиг. 4).The sender and receiver set the function G S (i) to select the current sender address and the function G D (i) to select the current receiver address for false message packets, where G S (i) ≠ F S (i) , G D (i) ≠ F D (i) , i = 1,2,3, ..., according to which at the i- th step, new addresses are assigned (bl. 11 in Fig. 4), and they are set equal to the unit of the number of steps of the address change i O = 1 and i P = 1 (bl. 12 in Fig. 4).
Далее (бл. 13 на фиг. 4) проверяют наличие у отправителя пакетов сообщений для передачи и при их наличии выбирают (бл. 14 на фиг. 4) новые адреса отправителя и получателя в качестве текущих адресов отправителя A TO и получателя А ТП , запоминают их и увеличивают номер шага смены адресов отправителя на единицу (i O =i O +1). Затем формируют у отправителя исходный пакет сообщений и кодируют его (бл. 15 на фиг. 4) любым из известных способов (см., например, книгу Молдовян Н.А. и др. «Криптография: от примитива к синтезу», СПб.: БВХ - Петербург, 2004, с. 301-337).Next (bl. 13 in Fig. 4), the sender checks for the presence of message packets for transmission and, if available, selects (bl. 14 in Fig. 4) new sender addresses and the recipient as the current addresses of the sender A TO and the receiver A TP , remember them and increase the step number of the change of sender addresses by one ( i O = i O +1). Then the source message packet is formed at the sender and encoded (block 15 in Fig. 4) using any of the known methods (see, for example, the book by N. A. Moldovyan and others. “Cryptography: from primitive to synthesis”, St. Petersburg: BVH - Petersburg, 2004, p. 301-337).
После этого преобразуют закодированный пакет сообщений в формат TCP/IP, включают в него текущие адреса отправителя A TO и получателя А ТП , и передают сформированный информационный пакет сообщений получателю (бл. 16 на фиг. 4). Преобразование в формат TCP/IP заключается в добавлении IP-заголовка к кодированному пакету данных.After that, the encoded message packet is converted to TCP / IP format, the current addresses of the sender A TO and the receiver A TP are included in it, and the generated information message packet is transmitted to the receiver (block 16 in FIG. 4). Converting to TCP / IP format is to add an IP header to the encoded data packet.
После передачи сформированного истинного пакета сообщений получателю устанавливают (бл. 17 на фиг. 4) значение счетчика равным единице . Передача пакетов сообщений между удаленными АС происходит только тогда, когда необходима передача данных, а при отсутствии данных пакеты сообщений не формируются и не передаются. Паузы между передачей пакетов сообщений могут дать злоумышленнику определенные разведывательные признаки, в частности могут характеризовать оперативный фон распределенной АС, т.е. по тому, есть передача пакетов сообщений или нет, можно определить степень активности распределенной АС в данный момент. Все это может позволить злоумышленнику в случае раскрытия замысла защиты осуществить попытки нарушить нормальное функционирование распределенной АС именно в важный для АС момент. Вследствие этого, в моменты, когда у отправителя нет данных для передачи, в заявленном способе формируют и передают ложные пакеты сообщений: при отсутствии у отправителя пакетов сообщений для передачи сравнивают (бл. 18 на фиг. 4) значение счетчика с заданным максимальным количеством . Если , то (см. бл. 19 на фиг. 4) выбирают у отправителя в качестве текущих адресов отправителя и получателя , запоминают их и увеличивают номер шага смены адресов отправителя на единицу (i O =i O +1). В противном случае, т.е. при , вновь проверяют наличие у отправителя пакетов сообщений для передачи.After transmitting the generated true message packet to the receiver, the counter value is set (bl. 17 in Fig. 4) equal to one . The transmission of message packets between remote speakers occurs only when data transmission is necessary, and in the absence of data message packets are not formed and not transmitted. The pauses between the transmission of message packets can give an attacker certain intelligence features, in particular, they can characterize the operational background of a distributed AS, i.e. by whether there is a transmission of message packets or not, it is possible to determine the degree of activity of a distributed speaker at a given moment. All this can allow an attacker to attempt to disrupt the normal functioning of a distributed speaker system at an important moment for the speaker if the protection plan is revealed. As a result of this, at times when the sender does not have data to transmit, false message packets are generated and transmitted in the claimed method: if the sender does not have message packets for transmission, they compare (block 18 in Fig. 4) the counter value with a given maximum quantity . If , then (see bl. 19 in Fig. 4) is selected from the sender as the current address of the sender and the recipient , remember them and increase the step number of the change of sender addresses by one ( i O = i O +1). Otherwise, i.e. at , again check if the sender has message packets for transmission.
Для формирования у отправителя пакета сообщений при отсутствии исходного пакета сообщений генерируют управляющий сигнал для формирования ложного пакета сообщений, формируют у отправителя ложный пакет сообщений и кодируют ложный пакет сообщений (бл. 20 на фиг. 4). Далее (бл. 21 на фиг. 4) преобразуют закодированный ложный пакет сообщений в формат TCP/IP, включают в полученное значение ложного пакета сообщений в формате TCP/IP текущие адреса отправителя А ТО и получателя А ТП . При включении в него текущих адресов отправителя и получателя, текущий адрес отправителя определяют в соответствии с заданной функцией выбора адреса для ложных пакетов сообщений . Передают от отправителя к получателю ложный пакет сообщений.To generate a message packet from the sender in the absence of the initial message packet, a control signal is generated to generate a false message packet, a false message packet is generated from the sender, and a false message packet is encoded (block 20 in Fig. 4). Next (block 21 in Fig. 4), the encoded false message packet is converted to TCP / IP format, and the current address of the Sender A TO and receiver A TP are included in the received value of the false message packet in TCP / IP format. When including the current sender and recipient addresses, the current sender address determined in accordance with a predetermined address selection function for false message packets . A false message packet is sent from the sender to the receiver.
После передачи от отправителя к получателю ложного пакета сообщений сравнивают (бл. 22 на фиг. 4) значение текущего адреса получателя А ТП с множеством адресов . Если текущий адрес получателя А ТП совпадает (бл. 23 на фиг. 4) с подмножеством адресов , то формируют ответный пакет сообщений и передают его, затем увеличивают на единицу текущее значение счетчика (бл. 24 на фиг. 4). Это необходимо в связи с тем, что при передаче пакетов сообщений между IP-адресами, формируемыми одним абонентом, требуется отправлять и принимать подтверждающие пакеты сообщений (так называемые квитанции).After transmitting from the sender to the recipient a false message packet, compare (bl. 22 in Fig. 4) the value of the current address of the recipient A TP with many addresses . If the current address of the recipient A TP matches (bl. 23 in Fig. 4) with a subset of addresses then form a response message packet and transmit it, then increase by one the current counter value (bl. 24 in Fig. 4). This is necessary due to the fact that when sending message packets between IP addresses formed by one subscriber, it is necessary to send and receive confirmation message packets (so-called receipts).
Если текущий адрес получателя A ТП не совпадает с подмножеством адресов , то увеличивают на единицу текущее значение счетчика без формирования ответного пакета сообщений и его передачи.If the current address of the recipient A TP does not match the subset of addresses , then increase by one the current counter value without forming a response message packet and transmitting it.
Далее (бл. 25 на фиг. 4) из принятого у получателя пакета сообщений выделяют адреса отправителя А О и получателя А П и сравнивают их (бл. 26 на фиг. 4) с текущими адресами отправителя А ТО и получателя А ТП . При их несовпадении (бл. 27 на фиг. 4) принятые пакеты не анализируют (игнорируют), а при их совпадении из принятого пакета сообщений выделяют кодированные данные и декодируют их (бл. 28 на фиг. 4). Далее (бл. 29 на фиг. 4) формируют у получателя информацию о новых текущих адресах отправителя и получателя , для чего назначают у отправителя из заданной базы адресов в соответствии с функциями выбора новые текущие адреса отправителя и получателя и запоминают их в качестве текущих адресов отправителя А ТО и получателя А ТП . Заменяют у получателя его текущий адрес A TO на новый текущий адрес получателя и увеличивают номер шага i П на единицу (i П =i П +1). Затем повторно формируют у отправителя очередной пакет сообщений.Next (bl. 25 in Fig. 4) from the message packet received from the recipient, the addresses of the sender A O and the recipient AP are selected and compared (bl. 26 in Fig. 4) with the current addresses of the sender A TO and the receiver A TP . If they do not match (bl. 27 in Fig. 4), the received packets are not analyzed (ignored), and if they match, the encoded data is extracted from the received message packet and decoded (bl. 28 in Fig. 4). Next (bl. 29 in Fig. 4) form the recipient information about the new current addresses of the sender and the recipient , for which purpose the sender is assigned from the given address base in accordance with the selection functions the new current sender addresses and the recipient and remember them as the current addresses of the sender A TO and the recipient A TP . Replace the recipient's current address A TO with the new current recipient address and increase the step number i P by one ( i P = i P +1). Then the next message packet is re-formed at the sender.
Значения S и D адресов отправителя и получателя выбирают в пределах S=2-64, D=2-64.The values of S and D addresses of the sender and receiver are selected in the range of S = 2-64, D = 2-64.
В качестве функции выбора адреса отправителя F S (i) и получателя F D (i) используют последовательность чисел Фибоначчи: , , а в качестве функции выбора ложного адреса отправителя G S (i) и получателя G D (i) используют последовательность чисел Люка: , .As a function of selecting the address of the sender F S (i) and the recipient F D (i) use a sequence of Fibonacci numbers: , , and as a function of choosing a false address, the sender G S (i) and the recipient G D (i) use a sequence of Luc numbers: , .
Возможность реализации заявленного способа и его результативность была проверена путем проведения эксперимента. Автоматизированные системы AC1 и АС2 связаны между собой, как это показано на фиг. 1а. Схема сети связи соответствует показанной на фиг. 6а, на которой изображены: 1 - маршрутизаторыThe ability to implement the claimed method and its effectiveness was verified by conducting an experiment. Automated systems AC 1 and AC 2 are interconnected, as shown in FIG. 1a. The communication network diagram corresponds to that shown in FIG. 6a, which shows: 1 - routers
М-1 и М-2, реализующие расширение адресного пространства IP-адресов; 2 - коммутаторы доступа к сети связи общего пользования; 3 - маршрутизатор в сети оператора связи (провайдера) М-П; 4 сетевой сканер злоумышленника, реконструирующего структуру сети связи. Сетевым сканером злоумышленник осуществляет распознавание структуры сети связи путем идентификации адресов корреспондентов при анализе трафика в некоторой точке сети Интернет, например, при подключении к оборудованию оператора связи (провайдера).M-1 and M-2, which implement the expansion of the address space of IP- addresses; 2 - access switches to the public communication network; 3 - router in the network of the communication operator (provider) MP; 4 network scanner of an attacker reconstructing the structure of a communication network. Using a network scanner, an attacker recognizes the structure of a communication network by identifying the addresses of correspondents when analyzing traffic at a point on the Internet, for example, when connecting to the equipment of a communication operator (provider).
Расширение адресного пространства IP-адресов осуществляют на внешних интерфейсах маршрутизаторов М-1 и М-2 (см. фиг. 6а). Оценку результативности расширения адресного пространства в процессе эксперимента осуществляют использованием сетевого сканера nmap, функционирующего на ПЭВМ злоумышленника. Принцип, последовательность работы сетевого сканера nmap и методика интерпретации результатов сканирования известны (см., например, https://nmap.org/).The address space of IP addresses is expanded on the external interfaces of the M-1 and M-2 routers (see Fig. 6a). Evaluation of the effectiveness of address space expansion during the experiment is carried out using the nmap network scanner, which operates on an attacker's PC. The principle, sequence of operation of the nmap network scanner and the methodology for interpreting scan results are known (see, for example, https://nmap.org/).
На первом этапе эксперимента внешние IP-адреса маршрутизаторов М-1 и М-2 фиксируют (фиг. 6а). Использованием сетевого сканера nmap выявляют IP-адреса маршрутизаторов, инициализированные на маршрутизаторах службы и версию операционной системы. На фиг. 8а показан протокол результатов работы сетевого сканера, обнаружившего сетевое устройство с IP-адресом 200.168.2.1, где рамкой обведены результаты идентификации портов устройства и типа его операционной системы. Эти результаты идентификации являются исходными данными для осуществления преднамеренных деструктивных воздействий злоумышленником на сетевое устройство.At the first stage of the experiment, the external IP addresses of routers M-1 and M-2 are fixed (Fig. 6a). Using a nmap network scanner, the IP addresses of routers that are initialized on the routers services and the version of the operating system are detected. In FIG. Figure 8a shows the protocol of the results of operation of a network scanner that detected a network device with an IP address 200.168.2.1, where the results of identification of the device ports and the type of its operating system are circled. These identification results are the source data for deliberate destructive actions by an attacker on a network device.
На втором этапе эксперимента на внешних IP-адреса маршрутизаторов М-1 и М-2 осуществляют расширение адресного пространства путем инициализации компьютерной программы, реализующей заявленный способ. В качестве исходных данных задана структура сети связи, соответствующая матрицам связностей истинного и ложного обмена, показанным на фиг. 5. Выбор (смену) адресов осуществляют с использованием генератора псевдослучайных чисел. Далее, как и на первом этапе эксперимента, использованием сканера nmap осуществляют попытки выявления IP-адреса маршрутизаторов, инициализированные на маршрутизаторах службы и версию операционной системы.At the second stage of the experiment, the address space is expanded on the external IP addresses of routers M-1 and M-2 by initializing a computer program that implements the claimed method. The structure of the communication network corresponding to the connection matrices of the true and false exchanges shown in FIG. 5. The selection (change) of addresses is carried out using a pseudo-random number generator. Then, as in the first stage of the experiment, using the nmap scanner, attempts are made to identify the IP addresses of the routers, the services initialized on the routers, and the version of the operating system.
На фиг. 8б показан протокол результатов работы сетевого сканера, осуществившего сканирование диапазона IP-адресов 200.168.2.0/24, исключая собственный IP-адрес сканера 200.168.2.254. Поскольку в результате расширения адресного пространства IP-адреса сетевых устройств динамически изменяются, сетевой сканер фиксирует в своем отчете один из IP-адресов 200.168.2.12, однако все исследуемые порты были отфильтрованы (сообщение «All 1000 scanned ports on 200.168.2.12 are filtered because of 1000 no-responses» означает, что «все 1000 отсканированных портов сетевого устройства были отфильтрованы, потому что они не отвечают») и версию операционной системы определить не удалось (сообщение «Тоо many fingerprints match this host to give specific OS details» означает, что «слишком много отпечатков показывает сетевое устройство для детализации операционной системы»). Эти служебные сообщения сканера, заключенные в рамку на фиг. 8а, говорят о том, что злоумышленнику не удается получить достоверную информацию о каком-либо конкретно сетевом устройстве.In FIG. Figure 8b shows the protocol of the results of operation of a network scanner that scanned the range of IP addresses 200.168.2.0/24, excluding the scanner's own IP address 200.168.2.254. Since, as a result of the expansion of the address space, the IP addresses of network devices dynamically change, the network scanner records one of the IP addresses 200.168.2.12 in its report, however, all the studied ports were filtered (the message “All 1000 scanned ports on 200.168.2.12 are filtered because of 1000 no-responses ”means that“ all 1000 scanned ports of the network device were filtered out because they do not respond ”) and the operating system version could not be determined (the message“ Many fingerprints match this host to give specific OS details ”means that “Too many fingerprints Calls the network device to drill down on the operating system ”). These scanner overhead messages framed in FIG. 8a, it is said that an attacker fails to obtain reliable information about any particular network device.
При малой длительности времени контакта злоумышленника с каналом связи (менее 1 минуты в проведенном эксперименте) или при низкой интенсивности трафика между абонентами, когда заявленным способов реализуют только ложный информационный обмен, злоумышленнику доступны только IP-адреса и пакеты сообщений маскирующего (ложного) обмена, что создает у злоумышленника неверное представление о структуре сети связи.With a short duration of the contact time of the attacker with the communication channel (less than 1 minute in the experiment) or with a low traffic intensity between subscribers, when the claimed methods implement only false information exchange, the attacker can only use IP addresses and message packets of masking (false) exchange, which creates an incorrect idea about the structure of the communication network in an attacker.
В течение длительного времени (от 1 минуты и более в проведенном эксперименте) злоумышленник, анализируя сеть связи и протоколируя появление пакетов сообщений, включающих адреса отправителя и получателя, графически интерпретирует полученную информацию с помощью программы визуализации сетевого окружения (см., например, программное средство Dude, https://mikrotik.com/thedude) или вручную, фиксируя IP-адреса и связи между ними. Результаты визуализации совпадают с фиг. 6б, что означает достижение цели маскирования.For a long time (from 1 minute or more in the experiment), the attacker, analyzing the communication network and logging the appearance of message packets including the addresses of the sender and recipient, graphically interprets the received information using the program for visualizing the network environment (see, for example, the Dude software , https://mikrotik.com/thedude) or manually, fixing IP addresses and connections between them. The visualization results are the same as in FIG. 6b, which means achieving the goal of masking.
Таким образом, в рассмотренном способе за счет непрерывного изменения идентификаторов абонентов сети в передаваемых пакетах сообщений, задания приоритетов информационных направлений, определяющих интенсивность обмена ложными пакетами сообщений для каждой пары корреспондентов, обеспечивается достижение сформулированного технического результата - повышение результативности маскирования исходной (истинной) структуры сети связи. А расширение области применения обеспечивают за счет передачи пакетов сообщений между IP-адресами, формируемыми одним корреспондентом.Thus, in the considered method, by continuously changing the identifiers of network subscribers in the transmitted message packets, setting priorities for information directions that determine the rate of exchange of false message packets for each pair of correspondents, the achieved technical result is achieved - increasing the effectiveness of masking the initial (true) structure of the communication network . And the expansion of the scope is provided by the transmission of message packets between IP addresses formed by one correspondent.
Claims (2)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2017110366A RU2668979C2 (en) | 2017-03-28 | 2017-03-28 | Method for masking the structure of communication network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2017110366A RU2668979C2 (en) | 2017-03-28 | 2017-03-28 | Method for masking the structure of communication network |
Publications (3)
Publication Number | Publication Date |
---|---|
RU2017110366A3 RU2017110366A3 (en) | 2018-09-28 |
RU2017110366A RU2017110366A (en) | 2018-09-28 |
RU2668979C2 true RU2668979C2 (en) | 2018-10-05 |
Family
ID=63769688
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2017110366A RU2668979C2 (en) | 2017-03-28 | 2017-03-28 | Method for masking the structure of communication network |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2668979C2 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2759152C1 (en) * | 2021-01-28 | 2021-11-09 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Method for masking structure of communication network |
RU213782U1 (en) * | 2021-10-28 | 2022-09-28 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | ROUTER WITH PROACTIVE PROTECTION OF THE COMPUTATION NETWORK FROM NETWORK INVESTIGATION |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20010038627A1 (en) * | 2000-05-08 | 2001-11-08 | Hideaki Emoto | Distributed communicating system, distributed communication data, distributed transmitting means and distributed receiving means |
US6647053B1 (en) * | 2000-08-31 | 2003-11-11 | Ricochet Networks, Inc. | Method and system for channel masking in a communication network |
RU2325694C1 (en) * | 2006-11-02 | 2008-05-27 | Военная академия связи | Method of computer network protection (variants) |
RU2449361C2 (en) * | 2009-08-03 | 2012-04-27 | Государственное образовательное учреждение высшего профессионального образования "Военная академия связи имени С.М. Буденного" Министерства обороны Российской Федерации | Method of protecting computer network having dedicated server |
RU2475836C1 (en) * | 2012-03-12 | 2013-02-20 | Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Method for protection of computer networks |
-
2017
- 2017-03-28 RU RU2017110366A patent/RU2668979C2/en not_active IP Right Cessation
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20010038627A1 (en) * | 2000-05-08 | 2001-11-08 | Hideaki Emoto | Distributed communicating system, distributed communication data, distributed transmitting means and distributed receiving means |
US6647053B1 (en) * | 2000-08-31 | 2003-11-11 | Ricochet Networks, Inc. | Method and system for channel masking in a communication network |
RU2325694C1 (en) * | 2006-11-02 | 2008-05-27 | Военная академия связи | Method of computer network protection (variants) |
RU2449361C2 (en) * | 2009-08-03 | 2012-04-27 | Государственное образовательное учреждение высшего профессионального образования "Военная академия связи имени С.М. Буденного" Министерства обороны Российской Федерации | Method of protecting computer network having dedicated server |
RU2475836C1 (en) * | 2012-03-12 | 2013-02-20 | Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Method for protection of computer networks |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2759152C1 (en) * | 2021-01-28 | 2021-11-09 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Method for masking structure of communication network |
RU213782U1 (en) * | 2021-10-28 | 2022-09-28 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | ROUTER WITH PROACTIVE PROTECTION OF THE COMPUTATION NETWORK FROM NETWORK INVESTIGATION |
Also Published As
Publication number | Publication date |
---|---|
RU2017110366A3 (en) | 2018-09-28 |
RU2017110366A (en) | 2018-09-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6741675B2 (en) | Secure dynamic communication network and protocol | |
JP4554609B2 (en) | Network asset tracker that identifies users of networked computers | |
Besher et al. | IoT sensor initiated healthcare data security | |
CN107196917A (en) | A kind of service response method and its middleware | |
CN107172030B (en) | High-privacy and anti-tracing communication method | |
Zhang et al. | An approach of covert communication based on the Ethereum whisper protocol in blockchain | |
CN112333698B (en) | Encryption authentication method and device for mobile game terminal | |
RU2690749C1 (en) | Method of protecting computer networks | |
RU2656839C1 (en) | Method for masking the structure of the communication network | |
US20130219172A1 (en) | System and method for providing a secure book device using cryptographically secure communications across secure networks | |
Sadykov et al. | Technology of Location Hiding by Spoofing the Mobile Operator IP Address | |
CN100512108C (en) | Method for identifying physical uniqueness of networked terminal, and access authentication system for terminals | |
CN111131448A (en) | Edge management method for operation and maintenance management of ADSL Nat and related product | |
Rebahi et al. | A survey on fraud and service misuse in voice over IP (VoIP) networks | |
RU2668979C2 (en) | Method for masking the structure of communication network | |
RU2306599C1 (en) | Method (variants) and device (variants) for protecting communication channel of a computer network | |
RU2586840C1 (en) | Method of processing network traffic datagrams for hiding corresponding pairs of subscribers of information-telecommunication systems | |
CN106537962B (en) | Wireless network configuration, access and access method, device and equipment | |
RU2449361C2 (en) | Method of protecting computer network having dedicated server | |
CN101827079A (en) | Blocking and attacking-resistant terminal connection building method and terminal access authenticating system | |
RU2686023C1 (en) | Method of protecting computer networks | |
CN111031075B (en) | Network service security access method, terminal, system and readable storage medium | |
Shiraz et al. | An improved port knocking authentication framework for mobile cloud computing | |
RU2805354C1 (en) | Method for protecting computer networks | |
CN114499965B (en) | Internet surfing authentication method and system based on POP3 protocol |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20200329 |