RU16963U1 - PROTECTION SYSTEM FOR DATA PACKAGES DURING THE TRANSFER OF THE PROTECTED PROTECTED FRAGMENT OF THE GENERAL USE DATA TRANSMISSION NETWORK WITH THE COMMUNICATION OF PACKAGES IMPLEMENTING ONLINE INTERNET PROTOCOL - Google Patents

PROTECTION SYSTEM FOR DATA PACKAGES DURING THE TRANSFER OF THE PROTECTED PROTECTED FRAGMENT OF THE GENERAL USE DATA TRANSMISSION NETWORK WITH THE COMMUNICATION OF PACKAGES IMPLEMENTING ONLINE INTERNET PROTOCOL Download PDF

Info

Publication number
RU16963U1
RU16963U1 RU2000126636/20U RU2000126636U RU16963U1 RU 16963 U1 RU16963 U1 RU 16963U1 RU 2000126636/20 U RU2000126636/20 U RU 2000126636/20U RU 2000126636 U RU2000126636 U RU 2000126636U RU 16963 U1 RU16963 U1 RU 16963U1
Authority
RU
Russia
Prior art keywords
data
user
packet
data packet
block
Prior art date
Application number
RU2000126636/20U
Other languages
Russian (ru)
Inventor
А.В. Володин
Г.Н. Устинов
Original Assignee
Закрытое акционерное общество "РНТ"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "РНТ" filed Critical Закрытое акционерное общество "РНТ"
Priority to RU2000126636/20U priority Critical patent/RU16963U1/en
Application granted granted Critical
Publication of RU16963U1 publication Critical patent/RU16963U1/en

Links

Description

Система защиты пакетов данных в процессе их передачи в выделенном защищаемом фрагменте сети передачи данных общего пользования с коммутацией пакетов, реализующей Интернетпротокол, от несанкционированных воздействий.A system for protecting data packets during transmission in a dedicated protected fragment of a public data transmission network with packet switching that implements the Internet protocol from unauthorized influences.

Предлагаемая полезная модель относится к вычислительной технике, в частности к системам обеспечения безопасности процесса передачи данных в сетях передачи данных общего пользования с коммутацией пакетов, реализующих Интернет-протокол (протокол IP).The proposed utility model relates to computer technology, in particular to systems for ensuring the security of the data transfer process in public data transfer networks with packet switching that implement the Internet Protocol (IP protocol).

Известны сети передачи данных общего пользования с коммутацией пакетов реализующие протокол IP, соединяющие пользователей информационных систем с помощью аппаратнопрограммных средств связи, которые обеспечивают определенную защиту передаваемых данных от модификации вследствие случайных помех, но не обеспечивают защиту от преднамеренных несанкционированных воздействий В.Г. Олифер, Н.А. Олифер. Компьютерные сети. Принципы, технологии, протоколы. СанктПетербург, изд. Питер, 1999г. стр.383-406, 530-539.There are well-known public data networks with packet switching that implement the IP protocol, connecting users of information systems using hardware and software communications that provide some protection for the transmitted data from modification due to accidental interference, but do not provide protection against intentional unauthorized influences V.G. Olifer, N.A. Olifer. Computer networks. Principles, technologies, protocols. St. Petersburg, ed. Peter, 1999 p. 383-406, 530-539.

Наиболее близкой к предлагаемому техническому решению является сеть передачи данных общего пользования с коммутацией пакетов, реализующая протокол IP и содержащая линии связи пользователей, маршрутизаторы, центр управления сетью и линии связи их связывающие. В.Г. Олифер, Н.А. Олифер. Компьютерные сети. Принципы, технологии, протоколы. Санкт-Петербург, изд. Питер, 1999г. стр. 524, прототип.Closest to the proposed technical solution is a public switched data network with packet switching that implements the IP protocol and contains user communication lines, routers, a network control center and communication lines connecting them. V.G. Olifer, N.A. Olifer. Computer networks. Principles, technologies, protocols. St. Petersburg, ed. Peter, 1999 p. 524, prototype.

Недостатком этой сети связи является отсутствие механизмов защиты передаваемых пакетов данных пользователей от случайных и преднамеренных искажений вследствие несанкционированныхThe disadvantage of this communication network is the lack of protection mechanisms for transmitted user data packets from accidental and intentional distortions due to unauthorized

МКИООбР 15/16MKIOOR 15/16

воздействий в процессе передачи пакетов данных по сети передачи данных общего пользования с коммутацией пакетов, реализующей протокол IP, и защиты информационной сферы сети передачи данных общего пользования с коммутацяеи пакетов от удаленных несанкционированных воздействий информационным оружием.impacts in the process of transmitting data packets over a public switched data network with packet switching that implements the IP protocol and protecting the information sphere of a public data transmission network with packet switching from remote unauthorized influences by information weapons.

Предлагаемая полезная модель решает техническую задачу обеспечения достоверности передаваемых пакетов данных выделенным защищаемым фрагментом сети передачи данных общего пользования с коммутацией пакетов, реализующей протокол ЕР, и защиты информационной сферы выделенного защищаемого фрагмента сети передачи данных общего пользования с коммутацией пакетов, реализующей протокол IP, от удаленных несанкционированных воздействий.The proposed utility model solves the technical problem of ensuring the reliability of data packets transmitted by a secured protected fragment of a public data network with packet switching that implements the EP protocol, and protecting the information sphere of a secured protected fragment of a public data network with packet switching that implements IP protocol from remote unauthorized impacts.

Поставленная техническая задача решается тем, что система защиты пакетов данных в процессе их передачи в выделенном защищаемом фрагменте сети передачи данных общего пользования с коммутацией пакетов, реализующей протокол IP, от несанкционированных воздействий, включающая линии связи пользователей, выделенный защищаемый фрагмент сети передачи данных общего пользования с коммутацией пакетов, реализующей протокол IP, содержащий марщрутизаторы, центр управления сетью и линии связи, их связывающие, дополнительно содержит центр управления безопасностью, включенный в центр управления сетью, и связанные с ним абонентские серверы безопасности, установленные либо на выходе терминала пользователя в начале линии связи пользователя, связывающей абонентский сервер безопасности с портом марщрутизатора выделенного защищаемого фрагмента сети передачи данных общего пользования с коммутацией пакетов, либо на входе в порт марщрутизатора в конце линии связи пользователя.The stated technical problem is solved in that the system for protecting data packets during transmission in a dedicated protected fragment of a public data network with packet switching that implements the IP protocol against unauthorized influences, including user lines, a dedicated protected fragment of a public data network with packet switching that implements the IP protocol, containing marshrutators, a network control center and communication lines connecting them, additionally contains a control center security included in the network control center and related subscriber security servers installed either at the output of the user terminal at the beginning of the user's communication line connecting the subscriber security server to the router port of the selected protected fragment of the public data network with packet switching, or at the input to the router port at the end of the user's communication line.

связывающей абонентский сервер безопасности с терминалом пользователя, при этом каждый абонентский сервер безопасности содержит блок приема и выделения на сетевом уровне из принятого пакета данных содержимого поля данных, блок получения из центра управления безопасностью и хранения ключей шифрования для каждой пары взаимодействующих абонентских серверов безопасности, блок шифрования содержимого поля данных принятого от пользователя пакета данных и формирования для неизменяемой в процессе передачи части пакета данных имитационной вставки, блок добавления имитационной вставки к зашифрованному пакету данных, блок коррекции заголовка пакета данных и формирования преобразованного пакета данных, блок передачи преобразованного пакета данных, блок приема и выделения на сетевом уровне преобразованного пакета данных, блок расшифрования принятого преобразованного пакета данных и проверки правильности принятого значения имитационной вставки, блок выдачи расшифрованного пакета данных пользователю, блок регистрации входящих пакетов данных с отметкой пакетов данных, принятых с неправильным значением имитационной вставки, блок формирования и передачи сообщения о принятом пакете с неправильным значением имитационной вставки в центр управления безопасностью, который содержит блок формирования и распределения по абонентским серверам безопасности ключей шифрования, блок приема сообщений о пакетах данных, принятых с неправильным значением имитационной вставки, блок принятия рещений по локализации несанкционированных воздействий и ликвидации последствий несанкционированных воздействий и блок взаимодействия с центром управления сетью передачи данных общего пользования с коммутацией пакетов, при этом абонентскийlinking the subscriber security server with the user terminal, while each subscriber security server contains a block for receiving and extracting at the network level from the received data packet the contents of the data field, a block for receiving from the security control center and storing encryption keys for each pair of interacting subscriber security servers, an encryption block the contents of the data field of the data packet received from the user and the formation of a simulation part of the data packet that is unchanged during transmission inserts, a block for adding a simulated insert to an encrypted data packet, a block for correcting the header of the data packet and generating the converted data packet, a transmission unit for the converted data packet, a block for receiving and isolating the converted data packet at the network level, a decryption block for the received converted data packet and verifying the correctness of the received value simulation insertion, a block for issuing a decrypted data packet to a user, a block for registering incoming data packets with a mark of data packets, p persons with the wrong value of the simulation insert, the unit for generating and transmitting a message about the received packet with the incorrect value of the simulation insert to the security control center, which contains the block for generating and distributing encryption keys to the user security servers, the block for receiving messages about data packets received with the incorrect value of the simulation inserts, the decision-making block on the localization of unauthorized influences and the elimination of the consequences of unauthorized influences and the block action centered data network common control packet, the subscriber

сервер безопасности, установленный в начале линии связи пользователя, связывающей абонентский сервер безопасности с маршрутизатором выделенного защищаемого фрагмента сети передачи данных общего пользования с коммутацией пакетов, с одной стороны связан с терминалом пользователя, а с другой стороны связан с линией связи пользователя, а абонентский сервер безопасности, установленный в конце линии связи пользователя, связывающей его с терминалом пользователя, связан с одной стороны с этой линией связи пользователя, а с другой стороны с портом доступа марщрутизатора выделенного защищаемого фрагмента сети передачи данных общего пользования с коммутацией пакетов, реализующей протокол IP.the security server installed at the beginning of the user’s communication line connecting the subscriber security server with the router of the allocated protected fragment of the public data network with packet switching, on the one hand connected to the user terminal, and on the other hand connected to the user's communication line, and the subscriber security server installed at the end of the user's communication line connecting it with the user terminal is connected on the one hand with this user communication line, and on the other hand with Dedicated access mouth marschrutizatora protected fragment public data packet network implementing the IP protocol.

Такое выполнение системы защиты пакетов данных в процессе их передачи в выделенном защищаемом фрагменте сети передачи данных общего пользования с коммутацией пакетов, реализующей протокол IP, от несанкционированных воздействий позволяет решить поставленнзто техническую задачу за счет дополнительно введенных в систему защиты пакетов данных, передаваемых в выделенном защищаемом фрагменте сети передачи данных общего пользования с коммутацией пакетов от несанкционированных воздействий, центра управления безопасностью и взаимодействующих с ним абонентских серверов безопасности, вьшолняюцщх функции защиты пакетов данных изменения функций, выполняемых основными компонентами сети передачи данных общего пользования с коммутацией пакетов. При передаче в маршрутизатор выделенного защищаемого фрагмента сети передачи данных общего пользования с коммутацией пакетов каждого пакета данных абонентским сервером безопасности передающего пользователя щифруется неизменяемая в процессеSuch an embodiment of the system for protecting data packets during transmission in a dedicated protected fragment of a public data network with packet switching that implements the IP protocol from unauthorized influences allows us to solve the technical problem by additionally introducing data packets transmitted in a dedicated protected fragment into the protection system public data networks with packet switching from unauthorized influences, security control center and interoperability subscriber security servers with it, performing the functions of protecting data packets; changing the functions performed by the main components of a packet-switched public data network. When a selected protected fragment of a public data transfer network is transmitted to the router with packet switching of each data packet, the security of the transmitting user is encrypted unchanged during the process

передачи часть пакета данных и по данным, содержащимся в поле данных принятого пакета данных, формируется имитационная вставка в соответствии с используемым алгоритмом шифрования, например, по ГОСТ 28147-89, и ключом шифрования, выбранным для данной пары взаимодействующих абонентских серверов безопасности, т.е. к передаваемому в центр коммутации пакетов выделенного защищаемого фрагмента сети передачи данных пакету данных длины k двоичных символов добавляется сформированная имитационная вставка длины m двоичных символов и корректируется заголовок пакета данных, в результате чего образуется преобразованный пакет данных длины двоичных символов. В абонентском сервере безопасности принимающего пользователя на сетевом уровне в соответствии с алгоритмом расщифрования, например, по ГОСТ 28147-89, происходит расшифрование принятого из маршрутизатора преобразованного пакета данных и проверка правильности значения имитационной вставки, содержащейся в принятом преобразованном пакете данных, и выдача в случае правильного значения имитационной вставки расшифрованного пакета данных пользователю; при неправильном значении имитационной вставки принятый преобразованный пакет данных стирается. Принятые на сетевом уровне пакеты данных регистрируются с отметкой не прошедших контроль правильности значения имитационной вставки пакетов данных, формируется сообщение о не прощедшем проверку пакете данных, которое передается в центр управления безопасностью, при этом передаваемое сообщение защищается выбранным протоколом защиты от его ненриема. Распределение ключей шифрования для каждой пары абонентских серверов безопасности, взаимодействующих в процессе передачи пакета данных вtransmission part of the data packet and according to the data contained in the data field of the received data packet, a simulation insert is formed in accordance with the encryption algorithm used, for example, according to GOST 28147-89, and the encryption key selected for this pair of interacting subscriber security servers, i.e. . to the data packet of length k of binary symbols transmitted to the packet switching center of the selected protected fragment of the data transmission network, a generated simulation insert of length m of binary symbols is added and the header of the data packet is adjusted, as a result of which a converted data packet of length of binary characters is formed. In the subscriber security server of the receiving user at the network level, in accordance with the decryption algorithm, for example, according to GOST 28147-89, the transformed data packet received from the router is decrypted and the value of the simulation insert contained in the received converted data packet is verified and issued if it is correct the values of the simulation insert of the decrypted data packet to the user; if the simulation value is incorrect, the received converted data packet is erased. Data packets received at the network level are registered with the mark of the data packet simulation insertion that has not passed the correctness control, a message is generated about the failed data packet verification, which is transmitted to the security control center, while the transmitted message is protected by the selected protection protocol from its non-acceptance. Distribution of encryption keys for each pair of subscriber security servers that interact during the transfer of a data packet to

выделенном защищаемом фрагменте сети передачи данных общего пользования с коммутацией пакетов, при использовании одноключевой системы щифрования организуется центром управления безопасностью либо с использованием ручного режима на базе смарт-карт, либо с использованием защищаемого протокола взаимодействия центра управления безопасностью с абонентскими серверами безопасности по каналам связи, наряду с этим центр управления безопасностью совместно с центром управления сетью и другими организационными структурами сети передачи данных общего пользования с коммутацией пакетов рещает задачи по локализации несанкционированных воздействий и ликвидации их последствий на основе информации, полученной от абонентских серверов безопасности.a selected protected fragment of a public data network with packet switching, when using a single-key encryption system, it is organized by the security control center either using manual mode based on smart cards or using the protected protocol for the security control center to interact with subscriber security servers via communication channels, along with with this, the security management center in conjunction with the network management center and other organizational structures of the transmission network yes GOVERNMENTAL public packet-switched reschaet task of tampering localization and liquidation of their consequences on the basis of information received from the subscriber server security.

Таким образом, протокол защиты, реализуемый абонентскими серверами безопасности, а также функции, обеспечивающие выполнение внедряемого протокола защиты, позволяют обнаружить модификацию передаваемых пакетов данных и совместно с центром управления безопасностью и центром управления сетью обеспечить заданную достоверность и надежность доставки до пользователя передаваемых пакетов данных выделенным защищаемым фрагментом сети передачи данных общего пользования с коммутацией пакетов и защиту информационной сферы этого фрагмента от удаленных несанкционированных воздействий. Гарантированная достоверность каждого передаваемого пакета данных выделенным защищаемым фрагментом сети передачи данных общего пользования с коммутацией пакетов определяется значением вероятности „ появления не обнаруживаемогоThus, the security protocol implemented by the subscriber security servers, as well as the functions that ensure the implementation of the implemented security protocol, allow you to detect the modification of the transmitted data packets and, together with the security control center and the network control center, provide the specified reliability and reliability of the delivery of the transmitted data packets to the user with dedicated protected fragment of a public data network with packet switching and protecting the information sphere of this fragment from remote unauthorized influences. The guaranteed reliability of each transmitted data packet with a highlighted protected fragment of a public switched data network with packet switching is determined by the probability value of the occurrence of an undetectable

каждом пакете данных вследствие несанкционированныхeach data packet due to unauthorized

1 воздействии, равным „ -„1 exposure equal to „-„

г 2g 2

Сущность предлагаемого технического решения поясняется схемой для двух взаимодействующих абонентских серверов безопасности, показанной на фиг. 1. Система защиты пакетов данных в процессе их передачи в выделенном защищаемом фрагменте сети передачи данных общего пользования с коммутацией пакетов от несанкционированных воздействий, реализующей протокол IP, содержит линии связи 1 и 2 пользователей, связывающие соответственно терминалы пользователей 3 и 4 с марщрутизаторами 5 выделенного защищаемого фрагмента 6 сети передачи данных общего пользования с коммутацией пакетов, содержащего центр 7 управления сетью, центр управления безопасностью 8, при этом на входе каждой линии связи пользователя 1 и 2 на выходе терминала пользователя установлены соответственно абонентские серверы безопасности 9 и 10 соответственно содержание блоки Ни 12 приема и выделения на сетевом уровне из прршятого пакета данных содержимого поля данных, блоки 13 и 14 получения из центра управления безопасностью 8 и хранения ключей шифрования для каждой пары взаимодействующих пользователей, блоки 15 и 16 шифрования содержимого поля данных принятого от пользователя пакета данных и формирования для неизменяемой в процессе передачи части пакета данных имитационной вставки, блоки 17 и 18 добавления имитационной вставки к передаваемому пакету данных, блоки 19 и 20 коррекции заголовка и формирования преобразованного пакета данных, блоки 21 и 22 передачи преобразованного пакета данных, блоки 23 и 24 приема и выделенияThe essence of the proposed technical solution is illustrated by the scheme for two interacting subscriber security servers, shown in FIG. 1. The system for protecting data packets during transmission in a dedicated protected fragment of a public data network with packet switching from unauthorized influences that implements the IP protocol contains communication lines 1 and 2 of the user, connecting respectively the user terminals 3 and 4 with the routers 5 of the dedicated protected fragment 6 of a public switched data network, containing a network control center 7, a security control center 8, and at the input of each communication line Caller 1 and 2, at the output of the user terminal, security subscriber servers 9 and 10, respectively, are installed; content blocks Ni 12 receive and extract the contents of the data field from the simple data packet from the simple data packet; blocks 13 and 14 receive from the security control center 8 and store encryption keys for each pair of interacting users, blocks 15 and 16 encrypt the contents of the data field of the data packet received from the user and formulate insertion, blocks 17 and 18 add simulation insert to the transmitted data packet, blocks 19 and 20 of the correction of the header and the formation of the converted data packet, blocks 21 and 22 of the transmission of the converted data packet, blocks 23 and 24 of the reception and allocation

на сетевом уровне преобразованного пакета данных, блоки 25 и 26 расшифровки преобразованного пакета данных и проверки правильности принятого значения имитационной вставки, блоки 27 и 28 выдачи расшифрованного пакета данных пользователю, блоки 29 и 30 регистрации входяших пакетов данных с отметкой пакетов данных, принятых с неправильным значением имитационной вставки, блоки 31 и 32 формирования и передачи сообшения о принятом пакете данных с неправильным значением имитационной вставки в центр управления безопасностью 8, который содержит блок 33 формирования и распределения по абонентским серверам безопасности ключей шифрования, блок 34 приема сообшений о пакетах данных с неправильным значением имитационной вставки, блок 35 принятия решений по локализации несанкционированных воздействий и ликвидации последствий несанкционированных воздействий и блок 36 взаимодействия с центром 7 управления сетью передачи данных обшего пользования с коммутацией пакетов.at the network level of the converted data packet, blocks 25 and 26 for decrypting the converted data packet and verifying the validity of the received value of the simulation insert, blocks 27 and 28 for issuing the decrypted data packet to the user, blocks 29 and 30 for registering incoming data packets with the mark of the data packets received with the wrong value simulation inserts, blocks 31 and 32 for generating and transmitting a message about the received data packet with the wrong value for simulation inserts to the security control center 8, which contains block 33 generating and distributing encryption keys to the user security servers, block 34 for receiving data packets with the wrong value of the simulation insert, block 35 for making decisions on localizing unauthorized influences and eliminating the consequences of unauthorized influences, and block 36 for interacting with the general data transmission network control center 7 with packet switching.

На фиг. 2 показана схема системы зашиты пакетов данных в процессе их передачи в выделенном защишаемом фрагменте сети передачи данных обшего пользования с коммутацией пакетов от несанкционированных воздействий, отличаюшаяся от схемы, показанной на фиг. 1 только тем, что абонентские серверы безопасности 9 и 10 установлены в конце линий связи 1 и 2 пользователей непосредственно у портов соответствуюших маршрутизаторов 5 выделенного защищаемого фрагмента 6 сети передачи данных общего пользования с коммутацией пакетов.In FIG. 2 shows a diagram of a system for protecting data packets during transmission in a dedicated protected fragment of a public data network with packet switching from unauthorized influences, different from the circuit shown in FIG. 1 only in that the subscriber security servers 9 and 10 are installed at the end of the communication lines 1 and 2 of the users directly at the ports of the corresponding routers 5 of the allocated protected fragment 6 of the public data network with packet switching.

Предлагаемая система защиты пакетов данных в процессе их передачи в выделенном защищаемом фрагменте сети передачи данных с коммутацией пакетов работает следующим образом.The proposed system for protecting data packets during transmission in a dedicated protected fragment of a packet-switched data network is as follows.

При передаче пакета данных от пользователя 3 к пользователю 4 блок И абонентского сервера безопасности 9 принимает и выделяет на сетевом уровне из принятого пакета данных содержимое поля данных, блок 13 из блока 33 центра управления безопасностью 8 ключи шифрования для всех пар взаимодействующих с данным абонентским сервером безопасности абонентских серверов безопасности, блок 15 выбирает из блока 13 ключ шифрования для взаимодействуюш:ей пары абонентских серверов безопасности 9 и 10 и в соответствии с ним и с алгоритмом шифрования, например, по ГОСТ 28147-89, шифрует содержимое поля данных принятого пакета данных и формирует для неизменяемой в процессе передачи части пакета данных имитационную вставку, блок 17 добавляет имитационную вставку к передаваемому пакету данных, блок 19 корректирует заголовок пакета данных и формирует преобразованный пакет данных, блок 21 передает преобразованный пакет данных в маршрутизатор 5 выделенного защищаемого фрагмента 6 сети передачи данных общего пользования с коммутацией пакетов, откуда преобразованный пакет данных поступает в абонентский сервер безопасности 10 пользователя 4. Блок 24 абонентского сервера безопасности 10 принимает и выделяет на сетевом уровне преобразованный пакет данных, блок 26 в соответствии с ключом щифрования полученным из блока 14 и алгоритмом расщифрования, например, по ГОСТ 28147-89, расшифровывает принятый преобразованный пакет данных и проверяет правильность принятой имитационной вставки, а блок 28 при правильном значении имитационной вставки выдает принятый пакет данных без имитационной вставки пользователю 4. При фиксировании неправильного значения имитационной вставки в принятом пакете данных пакет данных стирается. Блок 30When a data packet is transferred from user 3 to user 4, the block And of the subscriber security server 9 receives and extracts the contents of the data field from the received data packet at the network level, block 13 from the block 33 of the security control center 8 encryption keys for all pairs interacting with this subscriber security server subscriber security servers, block 15 selects from the block 13 an encryption key for interacting with: a pair of subscriber security servers 9 and 10 and, in accordance with it, an encryption algorithm, for example, according to GOST 28147-89, encrypts the contents of the data field of the received data packet and forms a simulation insert for the part of the data packet that is unchanged during transmission; block 17 adds a simulation insert to the transmitted data packet; block 19 adjusts the header of the data packet and generates the converted data packet, block 21 transmits the converted data packet to router 5 of the allocated protected fragment 6 of the packet-switched public data network, from where the converted data packet arrives at the subscriber security rover 10 of user 4. Block 24 of the subscriber security server 10 receives and allocates the converted data packet at the network level, block 26, in accordance with the encryption key obtained from block 14 and the decryption algorithm, for example, according to GOST 28147-89, decrypts the received converted data packet and checks the correctness of the received simulation insert, and block 28, with the correct value of the simulation insert, issues the received data packet without the simulation insert to user 4. When fixing the wrong value, they Iterative insertion in the received data packet the data packet is erased. Block 30

регистрирует входящие пакеты данных с отметкой пакетов данных, принятых с неправильным значением имитационной вставки, блок 32 формирует и передает сообщение о принятом пакете данных с неправильным значением имитационной вставки в блок 34 центра управления безопасностью 8, блок 35 которого совместно с центром 7 управления сетью и другими организационными структурами принимает рещение о локализации несанкционированных воздействий и ликвидации их последствий.registers incoming data packets with the mark of data packets received with the wrong value of the simulation insert, block 32 generates and transmits a message about the received data packet with the wrong value of the simulation insert to block 34 of the security control center 8, block 35 of which together with the center 7 of the network control and others Organizational structures decide on the localization of unauthorized influences and the elimination of their consequences.

Показанная на фиг. 2 схема системы защитыShown in FIG. 2 circuit protection system

tjnpou,cece и-х переЭдчц BJtjnpou, cece and re-edtschts BJ

. пакетов данных в выделенном защищаемом фрагменте сети передачи данных общего пользования с коммутацией пакетов от несанкционированных воздействий работает аналогичным образом.. data packets in a dedicated protected fragment of a public data network with packet switching from unauthorized influences works in a similar way.

Предлагаемая система защиты. , пакетовThe proposed protection system. , packages

(/ роцесс.€ оереЭаУб/у даннюс выделенном защищаемом фрагменте сети передачи(/ process. € ёреЭаУб / у given the selected protected fragment of the transmission network

данных общего пользования с коммутацией пакетов от несанкционированного воздействий при установке абонентских серверов безопасности на выходе терминала пользователя в начале линий связи пользователя с выделенным защищаемым фрагментом сети передачи данных общего пользования с коммутацией пакетов включает в контур защиты и линии связи пользователя, т.е. расщиряется область защиты выделенного защищаемого фрагмента сети передачи данных общего пользования с коммутацией пакетов, при этом абонентские серверы безопасности должны устанавливаться по желанию пользователей выделенного защищаемого фрагмента сети передачи данных общего пользования с коммутацией пакетов на охраняемой территории пользователей.public data with packet switching from unauthorized influences when installing subscriber security servers at the output of the user terminal at the beginning of the user's communication lines with a highlighted protected fragment of the public switched packet data network includes the user and communication lines in the protection circuit, i.e. the protection area of the selected protected fragment of the public data transmission network with packet switching is expanded, while the subscriber security servers should be installed at the request of users of the selected protected fragment of the public data transmission network with packet switching in the protected territory of users.

Claims (1)

Система защиты пакетов данных в процессе их передачи в выделенном защищаемом фрагменте сети передачи данных общего пользования с коммутацией пакетов, реализующей протокол IP, от несанкционированных воздействий, включающая линии связи пользователей, выделенный защищаемый фрагмент сети передачи данных общего пользования с коммутацией пакетов, реализующей протокол IP, содержащий маршрутизаторы, центр управления сетью и линии связи, их связывающие, отличающаяся тем, что она дополнительно содержит включенный в центр управления сетью центр управления безопасностью и связанные с ним абонентские серверы безопасности, установленные либо на выходе терминала пользователя в начале линии связи пользователя, связывающий абонентский сервер безопасности с портом маршрутизатора выделенного защищаемого фрагмента сети передачи данных общего пользования с коммутацией пакетов, либо на входе в порт маршрутизатора в конце линии связи пользователя, связывающей абонентский сервер безопасности с терминалом пользователя, при этом каждый абонентский сервер безопасности содержит блок приема и выделения на сетевом уровне из принятого пакета данных содержимого поля данных, блок получения из центра управления безопасностью и хранения ключей шифрования для каждой пары взаимодействующих абонентских серверов безопасности, блок шифрования содержимого поля данных принятого от пользователя пакета данных и формирования для неизменяемой в процессе передачи части пакета данных имитационной вставки, блок добавления имитационной вставки к зашифрованному пакету данных, блок коррекции заголовка пакета данных и формирования преобразованного пакета данных, блок передачи преобразованного пакета данных, блок приема и выделения на сетевом уровне преобразованного пакета данных, блок расшифрования принятого преобразованного пакета данных и проверки правильности принятого значения имитационной вставки, блок выдачи расшифрованного пакета данных пользователю, блок регистрации входящих пакетов данных с отметкой пакетов данных, принятых с неправильным значением имитационной вставки, блок формирования и передачи сообщения о принятом пакете с неправильным значением имитационной вставки в центр управления безопасностью, который содержит блок формирования и распределения по абонентским серверам безопасности ключей шифрования, блок приема сообщений о пакетах данных, принятых с неправильным значением имитационной вставки, блок принятия решений по локализации несанкционированных воздействий и ликвидации последствий несанкционированных воздействий и блок взаимодействия с центром управления сетью передачи данных общего пользования с коммутацией пакетов, при этом абонентский сервер безопасности, установленный в начале линии связи пользователя, связывающей абонентский сервер безопасности с маршрутизатором выделенного защищаемого фрагмента сети передачи данных общего пользования с коммутацией пакетов, с одной стороны связан с терминалом пользователя, а с другой стороны связан с линией связи пользователя, а абонентский сервер безопасности, установленный в конце линии связи пользователя, связывающей его с терминалом пользователя, связан с одной стороны с этой линией связи пользователя, а с другой стороны с портом доступа маршрутизатора выделенного защищаемого фрагмента сети передачи данных общего пользования с коммутацией пакетов, реализующей протокол IP.
Figure 00000001
A system for protecting data packets during transmission in a dedicated protected fragment of a public switched data network with IP switching protocol, from unauthorized influences, including user lines, a dedicated protected fragment of a public switched data network with IP switching, comprising routers, a network control center and communication lines connecting them, characterized in that it further comprises a center included in the network control center security management and related subscriber security servers installed either at the output of the user terminal at the beginning of the user's communication line connecting the subscriber security server to the router port of the allocated protected fragment of the public data network with packet switching, or at the entrance to the router port at the end of the line a user linking the subscriber security server to the user terminal, wherein each subscriber security server contains a block volume and selection at the network level from the received data packet of the contents of the data field, a block for receiving from the security control center and storing encryption keys for each pair of interacting subscriber security servers, a block for encrypting the contents of the data field of the data packet received from the user and generating for the part that is unchanged during transmission data package of a simulation insert, a block for adding a simulation insert to an encrypted data packet, a block for correcting a header of a data packet and generating a pre a data packet transformed, a transformed data packet transmission unit, a transformed data packet reception and isolation unit at a network level, a decrypted received data packet decryption unit and a validation of a received value of a simulation insert, a decrypted data packet output unit to a user, an incoming data packet registration unit with packet marking data received with the wrong value of the simulation insert, the block forming and transmitting messages about the received packet with the wrong value an imitation insert to the security control center, which contains a block for generating and distributing encryption keys to subscriber security servers, a block for receiving messages about data packets received with an incorrect imitation inset, a decision block for localizing unauthorized influences and eliminating the consequences of unauthorized influences, and an interaction unit with a packet switched public data network control center, wherein the subscriber security server, established at the beginning of the user’s communication line connecting the subscriber security server with the router of the selected protected fragment of the public data network with packet switching, on the one hand connected to the user terminal, and on the other hand connected to the user’s communication line, and the subscriber security server installed in the end of the user's communication line connecting it with the user terminal is connected on the one hand with this user communication line, and on the other hand with the access port mash protected fragment selected public data packet network implementing the IP protocol.
Figure 00000001
RU2000126636/20U 2000-10-25 2000-10-25 PROTECTION SYSTEM FOR DATA PACKAGES DURING THE TRANSFER OF THE PROTECTED PROTECTED FRAGMENT OF THE GENERAL USE DATA TRANSMISSION NETWORK WITH THE COMMUNICATION OF PACKAGES IMPLEMENTING ONLINE INTERNET PROTOCOL RU16963U1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2000126636/20U RU16963U1 (en) 2000-10-25 2000-10-25 PROTECTION SYSTEM FOR DATA PACKAGES DURING THE TRANSFER OF THE PROTECTED PROTECTED FRAGMENT OF THE GENERAL USE DATA TRANSMISSION NETWORK WITH THE COMMUNICATION OF PACKAGES IMPLEMENTING ONLINE INTERNET PROTOCOL

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2000126636/20U RU16963U1 (en) 2000-10-25 2000-10-25 PROTECTION SYSTEM FOR DATA PACKAGES DURING THE TRANSFER OF THE PROTECTED PROTECTED FRAGMENT OF THE GENERAL USE DATA TRANSMISSION NETWORK WITH THE COMMUNICATION OF PACKAGES IMPLEMENTING ONLINE INTERNET PROTOCOL

Publications (1)

Publication Number Publication Date
RU16963U1 true RU16963U1 (en) 2001-02-27

Family

ID=35868896

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2000126636/20U RU16963U1 (en) 2000-10-25 2000-10-25 PROTECTION SYSTEM FOR DATA PACKAGES DURING THE TRANSFER OF THE PROTECTED PROTECTED FRAGMENT OF THE GENERAL USE DATA TRANSMISSION NETWORK WITH THE COMMUNICATION OF PACKAGES IMPLEMENTING ONLINE INTERNET PROTOCOL

Country Status (1)

Country Link
RU (1) RU16963U1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2477005C2 (en) * 2010-12-10 2013-02-27 Оксана Владимировна Ермоленко Three-layered multiring structure of data transfer network

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2477005C2 (en) * 2010-12-10 2013-02-27 Оксана Владимировна Ермоленко Three-layered multiring structure of data transfer network

Similar Documents

Publication Publication Date Title
CN106357396B (en) Digital signature method and system and quantum key card
Voydock et al. Security mechanisms in high-level network protocols
JP5432999B2 (en) Encryption key distribution system
US7734913B2 (en) Content transmission control device, content distribution device and content receiving device
CN101667916B (en) Method of identifying user identity by digital certificate based on separating mapping network
CN102724041B (en) Steganography-based key transmission and key updating method
US20080279381A1 (en) Secure messaging
CN106411525A (en) Message authentication method and system
CN102036242A (en) Access authentication method and system in mobile communication network
CN100580652C (en) Method and device for fiber-optical channel public transmission secret protection
Hwang et al. Two attacks on Neuman—Stubblebine authentication protocols
KR20030019344A (en) Confidential data communication method
RU2201036C2 (en) Protected radio network for burst data transmission
CN106936833A (en) A kind of content center network method for secret protection based on Hybrid Encryption and anonymous group
CN108964895B (en) User-to-User identity authentication system and method based on group key pool and improved Kerberos
CN107155113A (en) The method and server of a kind of protection barrage information
CN102413463B (en) Wireless media access layer authentication and key agreement method for filling variable sequence length
Kent Encryption-based protection for interactive user/computer communication
RU16963U1 (en) PROTECTION SYSTEM FOR DATA PACKAGES DURING THE TRANSFER OF THE PROTECTED PROTECTED FRAGMENT OF THE GENERAL USE DATA TRANSMISSION NETWORK WITH THE COMMUNICATION OF PACKAGES IMPLEMENTING ONLINE INTERNET PROTOCOL
KR101690093B1 (en) Controlled security domains
CN100414875C (en) Method of information integrity protection in multicast/broadcast
Prabhu et al. Security in computer networks and distributed systems
RU16961U1 (en) SYSTEM OF PROTECTION OF DATA PACKAGES DURING THE TRANSFER OF THESE DIVIDED PROTECTED FRAGMENT OF THE GENERAL USE DATA TRANSFER NETWORK WITH THE COMMUNICATION OF PACKAGES IMPLEMENTING THE IP PROTOCOL FROM THE RESPONSE
RU16960U1 (en) DATA PACKAGE PROTECTION SYSTEM IN THE PROCESS OF THEIR TRANSFER IN THE ALLOCATED PROTECTED FRAGMENT OF THE GENERAL USE DATA TRANSFER WITH COMMUTATION OF PACKAGES FROM UNAUTHORIZED INFLUENCE
RU16962U1 (en) DATA PACKAGE PROTECTION SYSTEM IN THE PROCESS OF THEIR TRANSFER IN THE ALLOCATED PROTECTED FRAGMENT OF THE GENERAL USE DATA TRANSFER WITH COMMUTATION OF PACKAGES FROM UNAUTHORIZED INFLUENCE

Legal Events

Date Code Title Description
ND1K Extending utility model patent duration
MM1K Utility model has become invalid (non-payment of fees)

Effective date: 20081026