RU16960U1 - Система защиты пакетов данных в процессе их передачи в выделенном защищаемом фрагменте сети передачи данных общего пользования с коммутацией пакетов от несанкционированных воздействий - Google Patents

Система защиты пакетов данных в процессе их передачи в выделенном защищаемом фрагменте сети передачи данных общего пользования с коммутацией пакетов от несанкционированных воздействий Download PDF

Info

Publication number
RU16960U1
RU16960U1 RU2000126620/20U RU2000126620U RU16960U1 RU 16960 U1 RU16960 U1 RU 16960U1 RU 2000126620/20 U RU2000126620/20 U RU 2000126620/20U RU 2000126620 U RU2000126620 U RU 2000126620U RU 16960 U1 RU16960 U1 RU 16960U1
Authority
RU
Russia
Prior art keywords
data packet
block
received
network
security
Prior art date
Application number
RU2000126620/20U
Other languages
English (en)
Inventor
А.В. Володин
Г.Н. Устинов
Original Assignee
Закрытое акционерное общество "РНТ"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "РНТ" filed Critical Закрытое акционерное общество "РНТ"
Priority to RU2000126620/20U priority Critical patent/RU16960U1/ru
Application granted granted Critical
Publication of RU16960U1 publication Critical patent/RU16960U1/ru

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

2000126620
19111.1Р 1 1РРД11Р1МКИ G 06 F 15/16
Система защиты пакетов данных в процессе их передачи в выделенном защищаемом фрагменте сети передачи данных общего пользования с коммутацией пакетов от несанкционированных воздействий.
Предлагаемая полезная модель относится к вычислительной технике, в частности к системам обеспечения безопасности процесса передачи данных в сетях передачи данных общего пользования с коммутацией пакетов Х.25, Frame Relay, IP и др.
Известны сети передачи данных общего пользования с коммутацией пакетов Х.25, Frame Relay, IP и др., соединяющие пользователей информационных систем с помощью аппаратнопрограммных средств связи, которые обеспечивают защиту передаваемых данных от модификации вследствие случайных помех, но не обеспечивают защиту от преднамеренных несанкционированных воздействий. Г.Н. Устинов. Основы информационной безопасности систем и сетей передачи данных, Москва, «СИНТЕГ, 2000г., стр. 26-56, 59.
Наиболее близкой к предлагаемому техническому рещению является сеть передачи данных общего пользования с коммутацией пакетов, содержащая абонентские линии, центры коммутации пакетов, и центр зшравления сетью и линии связи, их связывающие. Г.Н. Устинов. Основы информационной безопасности систем и сетей передачи данных, Москва, «СИНТЕГ, 2000г., стр.26, прототип.
Недостатком этой сети является отсутствие в ней механизмов защиты от несанкционированного доступа к предоставляемым ею услугам по передаче данных, защиты передаваемых пакетов данных
io-oo.uG ел
пользователей от искажений вследствие несанкционированных воздействий в процессе передачи пакетов данных по сети передачи данных общего пользования с коммутацией пакетов, защиты информационной сферы сети передачи данных общего пользования с коммутацией пакетов от удаленных несанкционированных воздействий информационным оружием и механизмов локализации мест воздействий нарущителя.
Предлагаемая полезная модель решает техническую задачу обеспечения достоверности передаваемых пакетов данных выделенным защищаемым фрагментом сети передачи данных общего пользования с коммутацией пакетов, защиты информационной сферы выделенного защищаемого фрагмента сети передачи данных общего пользования с коммутацией пакетов от удаленных несанкционированных воздействий, защиты выделенного защищаемого фрагмента сети передачи данных общего пользования с коммутацией пакетов от несанкционированного доступа к предоставляемым выделенным защищаемым фрагментом этой сети услугам передачи данных, локализации участков выделенного защищаемого фрагмента сети передачи данных общего пользования с коммутацией пакетов (абонентская линия, участки между коммутаторами), подвергнутых воздействию нарущителя.
Поставленная техническая задача рещается тем, что система защиты пакетов данных в процессе их передачи в выделенном защищаемом фрагменте сети передачи данных общего пользования с коммутацией пакетов от несанкционированных воздействий, содержащем абонентские линии, коммутаторы, центр управления сетью и соединяющие их линии связи, дополнительно содержит центр управления безопасностью, включенный в центр управления сетью, и связанные с ним абонентские серверы безопасности.
установленные на выходе терминала пользователя в начале абонентской линии, а также сетевые серверы безопасности, установленные в конце абонентской линии на входе в порты коммутаторов выделенного защипдаемого фрагмента сети передачи данных общего пользования с коммутацией пакетов, и магистральные серверы безопасности, подключаемые к магистральным каналам связи между коммутаторами, при этом каждый абонентский сервер безопасности содержит блок приема и выделения на сетевом уровне из принятого пакета данных содержимого поля данных, блок из центра управления безопасностью и хранения ключа шифрования для взаимодействия данного абонентского сервера безопасности со всеми сетевыми и магистральными серверами безопасности, блок шифрования содержимого поля данных принятого от пользователя пакета данных и формирования для неизменяемой в процессе передачи части пакета данных имитационной вставки, блок добавления имитационной вставки к зашифрованному пакету данных с формированием преобразованного пакета данных, блок передачи преобразованного пакета данных, блок приема и выделения на сетевом уровне преобразованного пакета данных, блок расшифрования принятого из сетевого сервера безопасности преобразованного пакета данных и проверки правильности принятого значения имитационной вставки, блок выдачи расшифрованного пакета данных пользователю, блок регистрации входяших пакетов данных с отметкой пакетов данных, принятых с неправильным значением имитационной вставки, блок формирования и передачи сообщения о принятом пакете с неправильным значением имитационной вставки в центр управления безопасностью, который содержит блок формирования и
распределения ключей шифрования, блок приема сообщений о пакетах данных, принятых с неправильным значением имитационной вставки, блок принятия решений по локализации несанкционированных воздействий и ликвидации последствий несанкционированных воздействий и блок взаимодействия с центром управления сетью передачи данных общего пользования с коммутацией пакетов, при этом каждый сетевой сервер безопасности содержит блок получения из центра управления безопасностью и хранения ключей шифрования для взаимодействия с каждым абонентским сервером безопасности, блок приема и выделения на сетевом уровне преобразованного пакета данных, блок-буфер для помещения принятого преобразованного пакета данных, блок расшифрования принятого преобразованного пакета данных и проверки правильности принятого значения имитационной вставки в соответствии с алгоритмом и ключом шифрования, соответствующим адресу передающего абонентского сервера безопасности, блок определения адреса принимающего пользователя и формирования в соответствии с ним либо команды на выдачу содержащегося в блоке-буфере пакета данных в коммутатор, либо команды на щифрование и формирования имитационной вставки принятого и расщифрованного пакета данных для выдачи его абонентскому серверу безопасности принимающего пользователя, блок передачи преобразованного пакета данных из блока-буфера в коммутатор, блок щифрования содержимого поля данных принятого и расщифрованного пакета данных в соответствии с ключом щифрования «сетевые и магистральные серверы безопасности абонентский сервер безопасности принимающего пользователя, полученным из центра управления безопасностью, и формирования имитационной вставки для неизменяемой в процессе передачи части
UC
пакета данных, блок добавления имитационной вставки к зашифрованному пакету данных и формирования преобразованного пакета данных, блок передачи преобразованного пакета данных в абонентский сервер безопасности принимающего пользователя, блок регистрации входящих пакетов данных с отметкой пакетов данных, принятых с неправильным значением имитационной вставки, блок формирования и передачи сообщения о принятом пакете с неправильным значением имитационной вставки в центр управления безопасностью, а каждый магистральный сервер безопасности, содержит блок приема и выделения на сетевом уровне пакета данных, блок определения адреса передающего пользователя, содержащегося в принятом пакете данных, блок получения из центра управления безопасностью и хранения ключей щифрования для взаимодействия с передающими абонентскими серверами безопасности, блок расшифрования поля данных и проверки правильности имитационной вставки в пакете данных, с адресом передающего пользователя, принадлежащим пользователю выделенного защищаемого фрагмента сети передачи данных, блок регистрации обрабатываемых пакетов данных с отметкой пакетов данных, принятых с неправильным значением имитационной вставки, блок формирования и передачи сообщения о принятом пакете данных с неправильным значением имитационной вставки в центр управления безопасностью.
Такое выполнение системы защиты пакетов данных в процессе их передачи в выделенном защищаемом фрагменте сети передачи данных общего пользования с коммутацией пакетов от несанкционированных воздействий позволяет решить поставленную техническую задачу за счет дополнительно введенных в систему защиты пакетов данных, передаваемых в выделенном защищаемом
фрагменте сети передачи данных общего пользования с коммутацией пакетов от несанкционированных воздействий, центра управления безопасностью и взаимодействующих с ним абонентских серверов безопасности, сетевых серверов безопасности, и магистральных серверов безопасности, выполняющих функции защиты пакетов данных без изменения функций, выполняемых коммутаторами сети передачи данных общего пользования с коммутацией пакетов, в качестве которых могут быть использованы центры коммутации пакетов или маршрутизаторы.
При передаче в сетевой сервер безопасности выделенного защищаемого фрагмента сети передачи данных общего пользования с коммутацией пакетов каждого пакета данных абонентским сервером безопасности передающего пользователя щифруется неизменяемая в процессе передачи часть пакета данных и по данным, содержащимся в поле данных принятого абонентским сервером безопасности от передающего пользователя пакета данных, формируется имитационная вставка в соответствии с используемым алгоритмом шифрования, например, по ГОСТ 2814789, и ключом щифрования, полученным из центра управления безопасностью для взаимодействия данного передающего абонентского сервера безопасности со всеми сетевыми серверами безопасности выделенного защищаемого фрагмента сети передачи данных, т.е. к передаваемому в сетевой сервер безопасности защифрованному пакету данных длины k двоичных символов добавляется сформированная имитационная вставка длины m двоичных символов, в результате чего образуется преобразованный пакет данных длины двоичных символов, поступающий в сетевой сервер безопасности, установленный на входе в порт доступа коммутатора выделенного защищаемого фрагмента сети
/.//
передачи данных общего пользования с коммутацией пакетов, который обеспечивает дополнительную защиту от несанкционированного доступа в порт коммутатора выделенного защищаемого фрагмента сети передачи данных общего пользования с коммутацией пакетов за счет контроля подлинности принятого преобразованного пакета данных путем расщифрования принятого пакета данных, фиксирования адреса передающего пользователя и проверки правильности содержащейся в преобразованном пакете данных имитационной вставки в соответствии с ключом щифрования «сетевые и магистральные серверы безопасности-передающий абонентский сервер безопасности, полученным из центра управления безопасностью, при этом в случае положительного результата проверки имитационной вставки принятый преобразованный пакет данных, содержащийся в блоке-буфере, передается в первый коммутатор выделенного защищаемого фрагмента сети передачи данных с коммутацией пакетов, в же отрицательного результата проверки имитационной вставки преобразованный пакет данных, содержащийся в блок-буфере сетевого сервера безопасности, стирается,
Из первого коммутатора пакеты данных передаются по магистральной линии связи во второй коммутатор, при этом при передаче пакетов данных по магистральной линии связи они одновременно со вторым коммутатором принимаются блоком приема и выделения на сетевом уровне пакета данных магистрального сервера безопасности, откуда пакет данных передается в блок определения адреса передающего пользователя, содержащегося в принятом пакете данных, пакет данных, содержащий адрес передающего пользователя, не относящийся к пользователю выделенного защищаемого фрагмента сети передачи данных, стирается, преобразованный пакет данных, т.е. пакет, содержащий
адрес передающего пользователя, относящийся к адресу пользователя выделенного защищаемого фрагмента сети передачи данных, из блока определения адреса передающего пользователя отправляется в блок расщифрования поля данных пакета данных и проверки правильности имитационной вставки, где в соответствии с алгоритмом и ключом щифрования, выбранным из блока получения из центра управления безопасностью и хранения ключей щифрования для взаимодействия сетевых и магистральных серверов безопасности с передающим абонентским сервером безопасности, производится проверка правильности содержащейся в принятом преобразованном пакете данных имитационной вставки с последующим фиксированием принимаемых пакетов данных в блоке регистрации обрабатываемых пакетов данных с отметкой пакетов данных, принятых с неправильным значением имитационной вставки, и отправкой сообщений в центр управления безопасностью из блока формирования и передачи сообщения о принятом пакете с неправильным значением имитационной вставки в центр управления безопасностью.
Из второго коммутатора сообщение, содержащее преобразованный пакет данных, передается в сетевой сервер безопасности принимающего пользователя, где на сетевом уровне выделяется преобразованный пакетданных, который
расщифровывается с проверкой правильности содержащейся в нем имитационной вставки в соответствии с адресом передающего пользователя и ключом щифрования «сетевые и магистральные серверы безопасности - передающий абонентский сервер безопасности и в слз/чае правильной имитационной вставки принятое поле данных расщифрованного пакета данных вновь защифровывается, но уже на ключе щифрования для пары «сетевые и магистральные серверы безопасности - принимающий абонентский
сервер безопасности с формированием новой имитационной вставки для неизменяемой части иакета данных, имитационная вставка добавляется к зашифрованному пакету данных с образованием преобразованного пакета данных, который и передается в абонентский сервер безопасности принимающего пользователя. При отрицательном результате проверки имитационной вставки принятый пакет данных стирается и сетевой сервер безопасности формирует и передает в центр управления безопасности сообщение о принятом пакете данных с не прощедшей контроля имитационной вставкой.
В абонентском сервере безопасности принимающего пользователя на сетевом уровне в соответствии с используемым алгоритмом расшифрования, и ключом шифрования для пары «сетевые и магистральные серверы безопасности - принимаюший абонентский сервер безопасности, полученным из центра управления безопасностью, происходит расшифрование принятого из сетевого сервера безопасности преобразованного пакета данных и проверка правильности значения имитационной вставки, содержащейся в принятом преобразованном пакете данных, и выдача в случае правильного значения имитационной вставки расшифрованного и без имитационной вставки пакета данных пользователю; при неправильном значении имитационной вставки принятый преобразованный пакет данных стирается. Принятые абонентским и сетевым серверами безопасности пакеты данных регистрируются с отметкой пакетов данных, не прошедших контроля правильности значения имитационной вставки, там же формируются сообшения о пакете данных с не прошедшем. проверку имитационной вставкой, которое передается в центр управления безопасностью, при этом передаваемое сообщение зашищается выбранным протоколом защиты от его неприема. Распределение ключей шифрования по абонентским, сетевым и магистральным серверам безопасности в выделенном
П /
защищаемом фрагменте сети передачи данных общего пользования с коммутацией пакетов при использовании одноключевой системы щифрования организуется центром управления безопасностью либо с использованием ручного режима на базе смарт-карт, либо с использованием защищаемого протокола взаимодействия центра управления безопасностью с абонентскими, сетевыми и магистральными серверами безопасности по каналам связи, наряду с этим центр управления безопасностью совместно с центром управления сетью и другими организационными структурами сети передачи данных общего пользования с коммутацией пакетов рещает задачи по локализации мест несанкционированных воздействий и ликвидации их последствий на основе информации, полученной от абонентских и сетевых серверов безопасности.
Формирование ключей щифрования центром управления безопасностью при использовании системы щифрования с симметричными ключами, происходит для следующих пар взаимодействующих серверов: «i-тый - абонентский сервер безопасности - сетевые и магистральные серверы безопасности сети т.е. все сетевые и магистральные серверы безопасности имеют одинаковые ключи щифрования для взаимодействия с данным i-тым абонентским сервером безопасности.
Таким образом, протокол защиты, реализуемый абонентскими сетевыми и магистральными серверами безопасности, а также функции, обеспечивающие выполнение предлагаемого протокола защиты, позволяют обнаружить модификацию передаваемых пакетов данных и совместно с центром управления безопасностью и центром управления сетью обеспечить заданную достоверность и надежность доставки до пользователя передаваемых пакетов данных выделенным защищаемым фрагментом сети передачи данных общего пользования с коммутацией пакетов, защиту информационной сферы этого
фрагмента от удаленных несанкционированных воздействий, защиту от несанкционированного доступа к услугам сети передачи данных и локализации участков выделенного защищаемого фрагмента этой сети, где произощло несанкционированное воздействие. Гарантированная достоверность каждого передаваемого пакета данных выделенным защищаемым фрагментом сети передачи данных общего пользования с коммутацией пакетов определяется значением вероятности „ появления не обнаруживаемого абонентскими или
сетевыми серверами безопасности искажения поля данных в пакете данных вследствие несанкционированных воздействий, равным
Р - -
I 1,0/
Сущность предлагаемого технического рещения поясняется схемой системы защиты для двух взаимодействующих пользователей, показанной на фиг. 1. Система защиты пакетов данных в процессе их передачи в выделенном защищаемом фрагменте сети передачи данных общего пользования с коммутацией пакетов от несанкционированных воздействий содержит абонентские линии 1 и 2, связывающие терминалы пользователей 3 и 4 через абонентские серверы безопасности 5 и 6, установленные в начале абонентских линий, с сетевыми серверами безопасности 7 и 8, установленными в конце абонентских линий 1 и 2 и связанными с портами коммутаторов 9 выделенного защищаемого фрагмента 10 сети передачи данных общего пользования с коммутацией пакетов, содержащего центр управления сетью 11 и центр управления безопасностью 12, при этом абонентские серверы безопасности 5 и 6 соответственно содержат блоки 13 и 14 приема и выделения на сетевом уровне из принятого пакета данных содержимого поля данных, блоки 15 и 16 получения из центра управления безопасностью 12 и хранения ключей щифрования, блоки 17 и 18 щифрования содержимого поля данных принятого от
/.; / Л //
ьь
пользователя пакета данных и формирования для неизменяемой в процессе передачи части пакета данных имитационной вставки, блоки 19 и 20 добавления имитационной вставки к передаваемому пакету данных с формированием преобразованного пакета данных, блоки 21 и 22 передачи преобразованного пакета данных, блоки 23 и 24 приема и выделения на сетевом уровне преобразованного пакета данных, блоки 25 и 26 расшифрования преобразованного пакета данных и проверки правильности принятого значения имитационной вставки, блоки 27 и 28 выдачи расшифрованного пакета данных пользователю, блоки 29 и 30 регистрации входящих пакетов данных с отметкой пакетов данных, принятых с неправильным значением имитационной вставки, блоки 31 и 32 формирования и передачи сообщения о принятом пакете данных с неправильным значением имитационной вставки в центр управления безопасностью 12, который содержит блок 33 формирования и распределения по абонентским серверам безопасности ключей шифрования, блок 34 приема сообщений о пакетах данных с неправильным значением имитационной вставки, блок 35 принятия решений по локализации несанкционированных воздействий и ликвидации последствий несанкционированных воздействий и блок 36 взаимодействия с центром управления сетью 11, сетевые серверы безопасности 7 и 8 соответственно содержат блоки 37 и 38 получения из центра управления безопасностью 12 и хранения ключей шифрования, блоки 39 и 40 приема и выделения на сетевом уровне преобразованного пакета данных, блоки-буферы 41 и 42 для хранения принятого преобразованного пакета данных, блоки 43 и 44 расшифрования принятого преобразованного пакета данных и проверки правильности принятого значения имитационной вставки в соответствии с используемыми ключом и алгоритмом шифрования, блоки 45 и 46 определения адреса принимающего пользователя и формирования в соответствии с ним либо команды на выдачу
((Л
содержащегося в блоках-буферах 41 и 42 пакета данных в коммутатор 9, либо команды на перезашифрование принятого пакета данных, блоки 47 и 48 передачи преобразованного пакета данных из блоковбуферов 41 и 42 в коммутатор 9, блоки 49 и 50 шифрования содержимого поля данных принятого и расшифрованного пакета данных в соответствии с ключом шифрования и формирования имитационной вставки для неизменяемой в процессе передачи части пакета данных, блоки 51 и 52 добавления имитационной вставки к зашифрованному пакету данных и формирования преобразованного пакета данных, блоки 53 и 54 передачи преобразованного пакета данных, блоки 55 и 56 регистрации входящих пакетов данных с отметкой пакетов данных, принятых с неправильным значением имитационной вставки, блоки 57 и 58 формирования и передачи сообщения о принятом пакете с неправильным значением имитационной вставки в центр управления безопасностью 12, а также система защиты содержит магистральный сервер безопасности 59, содержащий блок 60 приема и выделения на сетевом уровне пакета данных, блок 61 определения адреса передающего пользователя, содержащегося в принятом пакете данных, блок 62 получения из центра управления безопасностью и хранения ключей шифрования для каждой пары «выделенный защищаемый фрагмент сети передающий абонентский сервер безопасности, блок 63 расшифрования поля данных и проверки правильности имитационной вставки в пакете данных с адресом передающего пользователя, принадлежащим пользователю выделенного защищаемого фрагмента сети передачи данных, блок 64 регистрации обрабатываемых пакетов данных с отметкой пакетов данных, принятых с неправильным значением имитационной вставки и блок 65 формирования и передачи сообщения о принятом пакете данных с неправильным значением имитационной вставки в центр управления безопасностью 12.
Предлагаемая система защиты пакетов данных в процессе их передачи в выделенном защищаемом фрагменте сети передачи данных с коммутацией пакетов работает следующим образом.
При передаче пакета данных от пользователя 3 к пользователю 4 блок 13 абонентского сервера безопасности 5 принимает и выделяет на сетевом уровне из принятого пакета данных содержимое поля данных, блок 15 получает из блока 33 центра управления безопасностью 12 ключи шифрования, блок 17 выбирает из блока 15 ключ щифрования для взаимодействия передающего абонентского сервера безопасности с сетевыми и магистральными серверами безопасности и в соответствии с ним и алгоритмом щифрования, например, по ГОСТ 28147-89, щифрует содержимое поля данных принятого пакета данных и формирует для неизменяемой в процессе передачи части пакета данных имитационную вставку, блок 19 добавляет имитационную вставку к передаваемому пакету данных с формированием преобразованного пакета данных, блок 21 передает преобразованный пакет данных в блок 39 сетевого сервера безопасности 7, из которого преобразованный пакет данных передается в блок-буфер 41, блок 43 расшифровывает принятый преобразованный пакет данных и проверяет правильность принятого значения имитационной вставки в соответствии с ключом щифрования, полученным блоком 37 из блока 33 центра управления безопасностью 12, при отрицательном результате проверки правильности принятого значения имитационной вставки содержащейся в блоке-буфере 41 пакет данных стирается. В случае правильности принятого значения имитационной вставки блок 47 передает преобразованный пакет из буфера 41 в первый коммутатор 9, блок 55 регистрирует входящие пакеты данных с отметкой пакетов данных, принятых с неправильным значением имитационной вставки, а блок 57 формирует и передает сообщение о принятом пакете данных
./(и
с неправильным значением имитационной вставки в блок 34 центра управления безопасностью 12. Из первого коммутатора 9 пакеты данных передаются по магистральной линии связи во второй коммутатор пакетов 9, при этом при передаче пакетов данных по магистральной линии связи они одновременно со вторым
коммутатором 9 принимаются блоком 60 приема и выделения на сетевом уровне пакета данных магистрального сервера безопасности 59, откуда пакет данных передается в блок 61 определения адреса передающего пользователя, содержащегося в принятом пакете данных, пакет данных, содержащий адрес передающего пользователя, не относящийся к выделенному защищаемому фрагменту сети передачи данных, в магистральном сервере безопасности не обрабатываются и поступают только во второй коммутатор 9, преобразованные пакеты данных, т.е. пакеты, данных, содержащие адрес передающего пользователя, относящийся к адресу пользователя
выделенного защищаемого фрагмента сети передачи данных,
ся отправляют в блок 63 расшиф -.вания поля данных и проверки
правильности имитационной вставки в пакете данных, где в соответствии с алгоритмом и ключом шифрования, выбранным из блока 62 получения из блока 33 центра управления безопасностью 12 и хранения ключей щифрования для взаимодействия сетевых и магистральных серверов безопасности с передающим абонентским сервером безопасности, производится проверка правильности содержащейся в принятом преобразованном пакете данных имитационной вставки, в блоке 64 регистрируются обрабатываемые пакеты данных с отметкой пакетов данных, принятых с неправильным значением имитационной вставки, а блок 65 формирует и передает сообщение о принятом пакете с неправильным значением имитационной вставки в блок 34 центра управления безопасностью 12. Из второго коммутатора 9 преобразованный пакет данных на
laoo
сетевом уровне поступает в блок О приема и выделения на сетевом уровне преобразованного пакета данных сетевого сервера безопасности 8, из которого преобразованный пакет данных поступает в блок 44, где происходит расшифрование принятого преобразованного пакета данных и проверка правильности имитационной вставки в соответствии с используемыми ключом и алгоритмом шифрования, в случае неправильного значения имитационной вставки принятый пакет данных стирается, а в случае правильного значения имитационной вставки и установления блоком 46 адреса абонентского сервера безопасности, как получателя пакета данных, содержимое поля данных принятого и расшифрованного пакета данных в блоке 50 шифруется и формируется имитационная вставка для неизменяемой в процессе передачи части пакета данных в соответствии с ключом шифрования «сетевые и магистральные серверы безопасности - принимающий абонентский сервер безопасности 6 пользователя 4, блок 52 добавляет имитационную вставку к зашифрованному пакету данных, блок 54 передает преобразованный пакет данных в абонентский сервер безопасности 6 принимающего пользователя 4, при этом блок 56 регистрирует входящие пакеты данных с отметкой пакетов данных, принятых с неправильным значением имитационных вставок, а блок 58 формирует и передает сообщение о принятом пакете с неправильным значением имитационной вставки в центр управления безопасностью 12.
Блок 24 абонентского сервера безопасности 6 принимает и выделяет на сетевом уровне преобразованный пакет данных, блок 26 в соответствии с ключом шифрования полученным из блока 16 и используемым алгоритмом расшифрования, например по ГОСТ 28147-89, расшифровывает принятый преобразованный пакет данных и проверяет правильность принятой имитационной вставки, а
блок 28 при правильном значении имитационной вставки выдает принятый пакет данных без имитационной вставки пользователю 4.
При фиксировании неправильного значения имитационной вставки в принятом пакете данных пакет данных стирается, блок 30 регистрирует входящие пакеты данных с отметкой пакетов данных, принятых с неправильным значением имитационной вставки, блок 32 формирует и передает сообщение о принятом пакете данных с неправильным значением имитационной вставки в блок 34 центра управления безопасностью 12, блок 35 которого совместно с центром управления сетью И и другими организационными структурами принимает рещение о локализации несанкционированных воздействий и ликвидации их последствий.

Claims (1)

  1. Система защиты пакетов данных в процессе их передачи в выделенном защищаемом фрагменте сети передачи данных общего пользования с коммутацией пакетов от несанкционированных воздействий, содержащем абонентские линии, коммутаторы, центр управления сетью и соединяющие их линии связи, отличающаяся тем, что предлагаемая система защиты пакетов данных дополнительно содержит центр управления безопасностью, включенный в центр управления сетью, и связанные с ним абонентские серверы безопасности, установленные на выходе терминала пользователя в начале абонентской линии, а также сетевые серверы безопасности, установленные в конце каждой абонентской линии на входе в порты коммутаторов выделенного защищаемого фрагмента сети передачи данных общего пользования с коммутацией пакетов и магистральные серверы безопасности, подключенные к магистральным каналам связи между коммутаторами, при этом каждый абонентский сервер безопасности содержит блок приема и выделения на сетевом уровне из принятого пакета данных содержимого поля данных, блок получения из центра управления безопасностью и хранения ключа шифрования для взаимодействия данного абонентского сервера безопасности со всеми сетевыми и магистральными серверами безопасности, блок шифрования содержимого поля данных принятого от пользователя пакета данных и формирования для неизменяемой в процессе передачи части пакета данных имитационной вставки, блок добавления имитационной вставки к зашифрованному пакету данных с формированием преобразованного пакета данных, блок передачи преобразованного пакета данных, блок приема и выделения на сетевом уровне преобразованного пакета данных, блок расшифрования принятого из сетевого сервера безопасности преобразованного пакета данных и проверки правильности принятого значения имитационной вставки, блок выдачи расшифрованного пакета данных пользователю, блок регистрации входящих пакетов данных с отметкой пакетов данных, принятых с неправильным значением имитационной вставки, блок формирования и передачи сообщения о принятом пакете с неправильным значением имитационной вставки в центр управления безопасностью, который содержит блок формирования и распределения ключей шифрования, блок приема сообщений о пакетах данных, принятых с неправильным значением имитационной вставки, блок принятия решений по локализации несанкционированных воздействий и ликвидации последствий несанкционированных воздействий и блок взаимодействия с центром управления сетью передачи данных общего пользования с коммутацией пакетов, при этом каждый сетевой сервер безопасности содержит блок получения из центра управления безопасностью и хранения ключей шифрования для взаимодействия с каждым абонентским сервером безопасности, блок приема и выделения на сетевом уровне преобразованного пакета данных, блок-буфер для помещения принятого преобразованного пакета данных, блок расшифрования принятого преобразованного пакета данных и проверки правильности принятого значения имитационной вставки в соответствии с алгоритмом и ключом шифрования, соответствующим адресу передающего абонентского сервера безопасности, блок определения адреса принимающего пользователя и формирования в соответствии с ним либо команды на выдачу содержащегося в блоке-буфере пакета данных в коммутатор, либо команды на шифрование и формирование имитационной вставки принятого и расшифрованного пакета данных для выдачи его абонентскому серверу безопасности принимающего пользователя, блок передачи преобразованного пакета данных из блока-буфера в коммутатор, блок шифрования содержимого поля данных принятого и расшифрованного пакета данных в соответствии с ключом шифрования "сетевые и магистральные серверы безопасности - абонентский сервер безопасности принимающего пользователя", полученным из центра управления безопасностью, и формирования имитационной вставки для неизменяемой в процессе передачи части пакета данных, блок добавления имитационной вставки к зашифрованному пакету данных и формирования преобразованного пакета данных, блок передачи преобразованного пакета данных в абонентский сервер безопасности принимающего пользователя, блок регистрации входящих пакетов данных с отметкой пакетов данных, принятых с неправильным значением имитационной вставки, блок формирования и передачи сообщения о принятом пакете с неправильным значением имитационной вставки в центр управления безопасностью, а каждый магистральный сервер безопасности содержит блок приема и выделения на сетевом уровне пакета данных, блок определения адреса передающего пользователя, содержащегося в принятом пакете данных, блок получения из центра управления безопасностью и хранения ключей шифрования для взаимодействия с передающими абонентскими серверами безопасности, блок расшифрования поля данных и проверки правильности имитационной вставки в пакете данных с адресом передающего пользователя, принадлежащим пользователю выделенного защищаемого фрагмента сети передачи данных, блок регистрации обрабатываемого пакета данных с отметкой пакетов данных, принятых с неправильным значением имитационной вставки, блок формирования и передачи сообщения о принятом пакете данных с неправильным значением имитационной вставки в центр управления безопасностью.
    Figure 00000001
RU2000126620/20U 2000-10-25 2000-10-25 Система защиты пакетов данных в процессе их передачи в выделенном защищаемом фрагменте сети передачи данных общего пользования с коммутацией пакетов от несанкционированных воздействий RU16960U1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2000126620/20U RU16960U1 (ru) 2000-10-25 2000-10-25 Система защиты пакетов данных в процессе их передачи в выделенном защищаемом фрагменте сети передачи данных общего пользования с коммутацией пакетов от несанкционированных воздействий

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2000126620/20U RU16960U1 (ru) 2000-10-25 2000-10-25 Система защиты пакетов данных в процессе их передачи в выделенном защищаемом фрагменте сети передачи данных общего пользования с коммутацией пакетов от несанкционированных воздействий

Publications (1)

Publication Number Publication Date
RU16960U1 true RU16960U1 (ru) 2001-02-27

Family

ID=35868893

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2000126620/20U RU16960U1 (ru) 2000-10-25 2000-10-25 Система защиты пакетов данных в процессе их передачи в выделенном защищаемом фрагменте сети передачи данных общего пользования с коммутацией пакетов от несанкционированных воздействий

Country Status (1)

Country Link
RU (1) RU16960U1 (ru)

Similar Documents

Publication Publication Date Title
Voydock et al. Security mechanisms in high-level network protocols
US4326098A (en) High security system for electronic signature verification
DeMillo et al. Cryptographic protocols
CN109714167A (zh) 适用于移动应用签名的身份认证与密钥协商方法及设备
CA1292790C (en) Controlled use of cryptographic keys via generating station establishedcontrol values
JP5432999B2 (ja) 暗号鍵配布システム
US5608800A (en) Process for detecting unauthorized introduction of any data transmitted by a transmitter to a receiver
US20190370483A1 (en) Data Protection Method and System
FI86486C (fi) Foerfarande foer att arrangera teleroestningen pao ett saekert saett.
RU2201036C2 (ru) Защищенная радиосеть для пакетной передачи данных
CN109257346A (zh) 基于区块链的隐蔽传输系统
KR20030019344A (ko) 은닉 데이터 통신 방법
CN101867473A (zh) 抗阻塞攻击的共享媒体终端连接建立方法和接入认证系统
Kent Encryption-based protection for interactive user/computer communication
CN111092860A (zh) 一种医疗数据安全交互传输模块
RU16960U1 (ru) Система защиты пакетов данных в процессе их передачи в выделенном защищаемом фрагменте сети передачи данных общего пользования с коммутацией пакетов от несанкционированных воздействий
Varadharajan et al. Design of secure end-to-end protocols for mobile systems
Kline et al. Public key vs. conventional key encryption
Kent Protocol design considerations for network security
Prabhu et al. Security in computer networks and distributed systems
RU16962U1 (ru) Система защиты пакетов данных в процессе их передачи в выделенном защищаемом фрагменте сети передачи данных общего пользования с коммутацией пакетов от несанкционированных воздействий
Kline et al. Encryption protocols, public key algorithms and digital signatures in computer networks
RU16963U1 (ru) Система защиты пакетов данных в процессе их передачи в выделенном защищаемом фрагменте сети передачи данных общего пользования с коммутацией пакетов, реализующей интернет-протокол, от несанкционированных воздействий
JP2001237824A (ja) 情報通信中継装置
Hayden et al. Multi-channel security through data fragmentation

Legal Events

Date Code Title Description
ND1K Extending utility model patent duration
MM1K Utility model has become invalid (non-payment of fees)

Effective date: 20081026