RU2586840C1 - Method of processing network traffic datagrams for hiding corresponding pairs of subscribers of information-telecommunication systems - Google Patents

Method of processing network traffic datagrams for hiding corresponding pairs of subscribers of information-telecommunication systems Download PDF

Info

Publication number
RU2586840C1
RU2586840C1 RU2014150201/08A RU2014150201A RU2586840C1 RU 2586840 C1 RU2586840 C1 RU 2586840C1 RU 2014150201/08 A RU2014150201/08 A RU 2014150201/08A RU 2014150201 A RU2014150201 A RU 2014150201A RU 2586840 C1 RU2586840 C1 RU 2586840C1
Authority
RU
Russia
Prior art keywords
datagram
addresses
trusted
network
address
Prior art date
Application number
RU2014150201/08A
Other languages
Russian (ru)
Inventor
Павел Владимирович Закалкин
Юрий Иванович Стародубцев
Елена Валерьевна Сухорукова
Дмитрий Юрьевич Яблоков
Геннадий Юрьевич Стародубцев
Original Assignee
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования "Санкт-Петербургский государственный торгово-экономический университет"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования "Санкт-Петербургский государственный торгово-экономический университет" filed Critical Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования "Санкт-Петербургский государственный торгово-экономический университет"
Priority to RU2014150201/08A priority Critical patent/RU2586840C1/en
Application granted granted Critical
Publication of RU2586840C1 publication Critical patent/RU2586840C1/en

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

FIELD: information technology.
SUBSTANCE: method provides forming of multiple trusted assemblies on rights of individual clients of communication operator, which is divided into r subsets, in the list of addresses the following data is registered: composition subsets for each of the corresponding pairs in the direction of transmission, a list of authorised IP addresses for each of the trusted nodes and subscribers of corresponding pairs. On the trusted units a traffic is generated, after extraction in the formed datagram of addresses of sender SA and recipient SB from a list of addresses one of number of authorised units allocated for this pair is selected, one of permitted IP addresses of sender and one of permitted IP address of the selected trusted node, the T number of intermediate trusted nodes is determining determined on a route of datagram transfer; IP address of the source and IP address of network datagram destination are selected as IP addresses of sender and the selected trusted node, the “option” field network datagram is populated with number of trusted intermediate nodes on a route of datagram transmission, after receiving a network datagram on a trusted node is checked the specified value T in the “option” field if T=0, then from a list of addresses one of the permitted IP addresses of the recipient and trusted node is selected, IP-address of the source and destination IP address are recorded into field “Source IP-address” and “Destination IP address” for network datagram; IP address selected for trusted node and recipient are transmitted over a communication channel as formed datagram.
EFFECT: high level of protection against unauthorised access at data exchange in a network.
3 cl, 4 dwg

Description

Изобретение относится к области способов и устройств защиты информации в компьютерных системах и сетях и может быть использовано для повышения защищенности элементов территориально распределенной структуры макропредприятий, например, таких как крупные холдинги, производственные объединения, комбинаты, тресты, синдикаты, концерны, транснациональные корпорации и т.д., при обмене данными посредством сети связи общего пользования.The invention relates to the field of methods and devices for protecting information in computer systems and networks and can be used to increase the security of the elements of a geographically distributed structure of macro enterprises, for example, such as large holdings, production associations, combines, trusts, syndicates, concerns, transnational corporations, etc. etc., when exchanging data through a public communications network.

Распределенные системы характеризуются тем, что к ним применим такой вид атак, как «удаленные атаки», поскольку их компоненты используют открытые каналы передачи данных и нарушитель может не только проводить пассивное «прослушивание» передаваемой информации, но и модифицировать, задерживать, дублировать, удалять передаваемые сообщения, неправомочно использовать их реквизиты, т.е. осуществлять активное воздействие. [Шаньгин В.Ф. Защита компьютерной информации. Эффективные методы и средства. - М.: ДМК Пресс, 2010. - 544 с., стр. 50-62, Васильков А.В., Васильков А.А., Васильков И.А. Информационные системы и их безопасность. - М.: Форум, 2010. - 528 с, стр. 26].Distributed systems are characterized by the fact that such attacks as “remote attacks” are applicable to them, since their components use open data transmission channels and the intruder can not only passively “listen” to the transmitted information, but also modify, delay, duplicate, delete the transmitted messages, it is unauthorized to use their details, i.e. carry out an active impact. [Shangin V.F. Protection of computer information. Effective methods and tools. - M.: DMK Press, 2010. - 544 p., Pp. 50-62, Vasilkov A.V., Vasilkov A.A., Vasilkov I.A. Information systems and their security. - M .: Forum, 2010. - 528 s, p. 26].

Любой атаке предшествует стадия предварительного информирования (рекогносцировки), которая направлена на сбор информации, необходимой для выбора методов и средств дальнейшей реализации атаки. Одним из основных способов сбора информации является анализ сетевого трафика посредством перехвата передаваемых пакетов данных. Для этого нарушитель может использовать специальные программные анализаторы трафика, при помощи которых можно определить существующие информационные потоки, схему адресации узлов, типы используемых сетевых сервисов и др. [Сердюк В.А. Организация и технология защиты информации. Обнаружение и предотвращение информационных атак в автоматизированных системах предприятий. - М.: Гос. Ун-т - Высшая школа экономики, 2011. - 572 с., стр. 52-63].Any attack is preceded by a stage of preliminary informing (reconnaissance), which is aimed at collecting information necessary for choosing methods and means of further implementation of the attack. One of the main ways of collecting information is to analyze network traffic by intercepting transmitted data packets. For this, the intruder can use special software traffic analyzers, with which you can determine the existing information flows, the addressing scheme of the nodes, the types of network services used, etc. [Serdyuk V.A. Organization and technology of information security. Detection and prevention of information attacks in automated systems of enterprises. - M .: State. University - Higher School of Economics, 2011. - 572 p., Pp. 52-63].

Заявленное техническое решение расширяет арсенал средств и способов и устройств защиты информации в компьютерных системах и сетях этапе предварительного информирования (рекогносцировки) путем предотвращения (существенного затруднения) определения существующих информационных потоков между элементами распределенной системы, выявления ее структуры, что позволит повысить защищенность элементов от удаленных атак.The claimed technical solution expands the arsenal of means and methods of protecting information in computer systems and networks by the stage of preliminary informing (reconnaissance) by preventing (significant difficulty) determining existing information flows between elements of a distributed system, identifying its structure, which will increase the security of elements from remote attacks .

Известен способ организации локальной компьютерной сети и межсетевого экрана по патенту РФ №2214623, кл. G06F 15/163, 15/173, опубликованный 20.10.2003, заключающийся в том, что защита внутренней сети обеспечивается с помощью межсетевого экрана, представляющего собой комплекс аппаратных и программных средств, содержащий, по меньшей мере, два сетевых интерфейса для обмена двунаправленными потоками сетевых пакетов между сетевыми интерфейсами межсетевого экрана и осуществляющий фильтрацию транслируемых сетевых пакетов в соответствии с заданными правилами фильтрации. При этом межсетевой экран исключен из числа абонентов сети путем такой настройки программы управления межсетевого экрана, при которой эта программа использует для приема и передачи пакетов сетевые интерфейсы межсетевого экрана без назначения им логических адресов, скрывает информацию об их физических адресах, а задание правил фильтрации осуществляется с помощью отдельного интерфейса управления, не имеющего связи с сетевыми интерфейсами межсетевого экрана.A known method of organizing a local computer network and firewall according to the patent of the Russian Federation No. 2214623, class. G06F 15/163, 15/173, published on 10/20/2003, namely, that the internal network is protected using a firewall, which is a set of hardware and software tools containing at least two network interfaces for exchanging bi-directional network flows packets between the network interfaces of the firewall and filtering the broadcast network packets in accordance with the specified filtering rules. In this case, the firewall is excluded from the number of network subscribers by setting up the firewall control program in which this program uses the network interfaces of the firewall to receive and transmit packets without assigning logical addresses to them, hides information about their physical addresses, and filtering rules are set using Using a separate management interface that is not connected to the network interfaces of the firewall.

Однако способ имеет недостатки, заключающиеся в возможности посылки сетевых дейтаграмм с подложным адресом отправителя сетевой дейтаграммы, а также возможности беспрепятственного перехвата и модификации содержимого сетевых дейтаграмм.However, the method has drawbacks in the possibility of sending network datagrams with a fake address of the sender of the network datagram, as well as the possibility of unimpeded interception and modification of the contents of network datagrams.

Известен способ обработки дейтаграмм сетевого трафика для разграничения доступа к информационно-вычислительным ресурсам компьютерных сетей по патенту РФ №2314562, кл. G06F 21/22, опубликованный 10.01.2008 г., бюл. №1. Способ заключается в следующих действиях: для защиты вычислительных сетей используют шлюз-компьютер с межсетевым экраном, межсетевой экран проверяет сетевые дейтаграммы в соответствии с заданным оператором списком правил доступа в компьютерную сеть, записывает в дейтаграммах пометки, соответствующие правилам доступа, затем осуществляет прозрачную ретрансляцию корректных дейтаграмм, а на стороне получателя пропускает или блокирует сетевые дейтаграммы в соответствии с указанными внутри пометками.A known method of processing datagrams of network traffic to delimit access to information and computing resources of computer networks according to the patent of the Russian Federation No. 2314562, class G06F 21/22, published January 10, 2008, bull. No. 1. The method consists in the following actions: to protect computer networks, a gateway computer with a firewall is used, the firewall checks the network datagrams in accordance with the operator’s list of access rules to the computer network, writes notes in the datagram that correspond to the access rules, then transparently relay the correct datagrams , and on the recipient side it passes or blocks network datagrams in accordance with the notes indicated inside.

Недостатком способа является низкая достоверность обнаружения подлога компьютерных адресов отправителя и получателя сетевых дейтаграмм, обусловленная выполнением соответствующих действий по обнаружению подмены только в локальной защищенной сети, при этом не учитывается возможность подмены во внешней сети и соответственно возможность несанкционированного проникновения в защищаемую информационно-вычислительную сеть.The disadvantage of this method is the low reliability of detection of forgery of computer addresses of the sender and recipient of network datagrams, due to the implementation of appropriate actions to detect spoofing only in a local secure network, while not taking into account the possibility of spoofing in an external network and, accordingly, the possibility of unauthorized entry into a protected information and computer network.

Известен способ обработки дейтаграмм сетевого трафика для защиты информационно-вычислительных сетей (первый вариант) по патенту RU №2472217, МПК G06F 21/22, опубликованный 10.01.2013 г., бюл. №1. Способ заключается в следующем: для защиты вычислительных сетей используют шлюз-компьютер с межсетевым экраном, установленный на каналах связи защищаемой сети с другими сетями, формируют у пользователя криптографический ключ К и передают его на шлюз-компьютеры доверенных узлов, при обнаружении сетевой дейтаграммы выделяют адрес отправителя SA, адрес получателя SB, формируют маршрут передачи mj сетевой дейтаграммы Pi по внешней сети между защищаемыми компьютерными сетями в виде последовательности адресов доверенных узлов S1, S2, … SVj, затем записывают маршрут mj в поле «Опции» сетевой дейтаграммы. Формируют сетевую дейтаграмму с адресом получателя SB и адресом ближайшего к нему доверенного узла SVj в соответствии с маршрутом передачи mj сетевой дейтаграммы Pi. Шифруют сетевую дейтаграмму с использованием криптографического ключа К и повторяют действия, начиная с формирования сетевой дейтаграммы и ее шифрования до формирования сетевой дейтаграммы с адресом S1 первого доверенного узла и адресом отправителя SA. Передают по каналу связи внешней сети сформированную безопасную сетевую дейтаграмму D, которую принимают на следующем доверенном узле. Дешифруют сетевую дейтаграмму с использованием криптографического ключа К и записывают в память шлюз-компьютера значения поля «Опции» полученного пакета. Формируют новое значение поля «Опции» с учетом адреса очередного пройденного доверенного узла, которое записывают в поле «Опции» передаваемого пакета. Причем действия передачи, приема, дешифрования сетевой дейтаграммы, а также формирования и записи значений поля «Опции» повторяют на каждом доверенном узле маршрута mj. Значения, заданные в поле «Опции», сравнивают со значениями маршрута передачи безопасной сетевой дейтаграммы, определенными на узле получателя, и в случае несовпадения маршрута передачи принимают решение на блокирование сетевой дейтаграммы.A known method of processing datagrams of network traffic to protect information and computer networks (the first option) according to patent RU No. 2472217, IPC G06F 21/22, published January 10, 2013, bull. No. 1. The method consists in the following: for the protection of computer networks, a gateway computer with a firewall installed on the communication channels of the protected network with other networks is used, a cryptographic key K is generated from the user and transmitted to the gateway computers of trusted nodes, when the network datagram is detected, the sender address is allocated SA, the recipient address SB, form the transmission route mj of the network datagram Pi over the external network between the protected computer networks as a sequence of addresses of trusted nodes S1, S2, ... SVj, then Write the route m j in the Options field of the network datagram. A network datagram is formed with the address of the recipient SB and the address of the nearest trusted node SVj in accordance with the transmission path m j of the network datagram Pi. The network datagram is encrypted using the cryptographic key K and the steps are repeated, starting from the formation of the network datagram and its encryption to the formation of the network datagram with the address S1 of the first trusted node and the sender address of SA. The generated secure network datagram D, which is received at the next trusted node, is transmitted over the communication channel of the external network. The network datagram is decrypted using the cryptographic key K and the values of the “Options” field of the received packet are written into the memory of the gateway computer. A new value of the "Options" field is formed taking into account the address of the next trusted node passed, which is recorded in the "Options" field of the transmitted packet. Moreover, the actions of transmitting, receiving, decrypting the network datagram, as well as generating and writing the values of the Options field, are repeated on each trusted node of the route m j . The values specified in the Options field are compared with the values of the transmission route of the secure network datagram defined on the recipient node, and in case of a mismatch in the transmission route, they decide to block the network datagram.

Наиболее близким по технической сущности к предлагаемому способу является способ обработки дейтаграмм сетевого трафика для защиты информационно-вычислительных сетей (второй вариант) по патенту RU №2472217, МПК G06F 21/22, опубликованный 10.01.2013 г., бюл. №1.Closest to the technical nature of the proposed method is a method of processing datagram network traffic to protect information and computer networks (second option) according to patent RU No. 2472217, IPC G06F 21/22, published January 10, 2013, bull. No. 1.

Способ заключается в следующих действиях:The method consists in the following actions:

используют шлюз-компьютер с межсетевым экраном, установленный на каналах связи защищаемой сети с другими сетями;use a gateway computer with a firewall installed on the communication channels of the protected network with other networks;

формируют у пользователя криптографический ключ К,form a cryptographic key K for the user,

передают его на шлюз-компьютеры доверенных узлов,transmit it to the gateway computers of trusted nodes,

формируют массив M=(m1, m2, … mj, … mM) для каждого доверенного узла маршрутов передачи сетевых дейтаграмм по внешней сети между защищенными компьютерными сетями в виде последовательности доверенных узлов на пути передачи сетевой дейтаграммы mj=(S1, S2, … Sr, … SVj), где Vj - номер последнего доверенного узла на mj, маршруте, на пути передачи сетевой дейтаграммы;form an array M = (m 1 , m 2 , ... m j , ... m M ) for each trusted node of the transmission routes of network datagrams over an external network between secure computer networks in the form of a sequence of trusted nodes on the transmission path of a network datagram m j = (S1, S2, ... Sr, ... SVj), where Vj is the number of the last trusted node on m j , the route, on the transmission path of the network datagram;

формируют список адресов S1, S2, S3 … доверенных узлов;form a list of addresses S1, S2, S3 ... trusted nodes;

запоминают в нем сформированные маршруты для всех доверенных адресов получателей и отправителей;remember it formed routes for all trusted addresses of recipients and senders;

выделяют в сформированной дейтаграмме адреса отправителя SA и получателя SB;in the generated datagram, the addresses of the sender SA and recipient SB are allocated;

выбирают один из возможных маршрутов mj,choose one of the possible routes m j ,

считывают из массива М значение первого доверенного узла на маршруте передачи сетевой дейтаграммы, соответствующие значениям адреса отправителя SA, адреса получателя SB и выбранному номеру маршрута j;reading from the array M the value of the first trusted node on the transmission route of the network datagram corresponding to the values of the sender address SA, recipient address SB and the selected route number j;

записывают в поле «Опции» сетевой дейтаграммы Pi адрес отправителя SA, адрес получателя SB и выбранный номер маршрута j;write in the “Options” field of the network datagram Pi the address of the sender SA, the address of the recipient SB and the selected route number j;

формируют сетевую дейтаграмму с адресом первого доверенного узла получателя и адресом отправителя SA;form a network datagram with the address of the first trusted node of the recipient and the address of the sender SA;

шифруют сетевую дейтаграмму с использованием сформированного криптографического ключа К;encrypting the network datagram using the generated cryptographic key K;

передают по каналу связи внешней сети сформированную безопасную сетевую дейтаграмму D;transmit the generated secure network datagram D through the communication channel of the external network;

принимают безопасную сетевую дейтаграмму D на очередном доверенном узле;accept a secure network datagram D at the next trusted node;

дешифруют сетевую дейтаграмму с использованием криптографического ключа К записывают в память шлюз-компьютера значения поля «Опции» полученного пакета;the network datagram is decrypted using the cryptographic key K; the values of the "Options" field of the received packet are written into the memory of the gateway computer;

считывают из массива М значение следующего доверенного узла Sr на маршруте mj передачи сетевой дейтаграммы, соответствующего значениям адреса отправителя SA, адреса получателя SB и заданному номеру маршрута j, имеющимся в поле «Опции»;reading from the array M the value of the next trusted node Sr on the transmission route m j of the network datagram corresponding to the values of the sender address SA, recipient address SB, and the specified route number j in the "Options"field;

формируют новое значение поля «Опции» с учетом адреса пройденного доверенного узла, которое записывают в поле «Опции» передаваемого пакета;form a new value for the "Options" field, taking into account the address of the trusted node passed, which is recorded in the "Options" field of the transmitted packet;

формируют безопасную сетевую дейтаграмму с адресом получателя Sr и адресом отправителя Sr-1;form a secure network datagram with the recipient address Sr and the sender address S r-1 ;

повторяют действия, начиная с передачи, приема безопасной сетевой дейтаграммы и ее дешифрования с использованием криптографического ключа К до передачи по каналу связи сетевой дейтаграммы со сформированными адресами получателя SB и отправителя SVj;repeat the steps from transmitting, receiving a secure network datagram and decrypting it using a cryptographic key K to transmitting the network datagram with the generated addresses of the recipient SB and the sender SVj through the communication channel;

значения, заданные в поле «Опции», сравнивают со значениями маршрута передачи безопасной сетевой дейтаграммы, определенными на узле получателя;the values specified in the "Options" field are compared with the values of the transmission route of the secure network datagram defined on the receiver's node;

в случае несовпадения маршрута передачи принимают решение на блокирование сетевой дейтаграммы.in case of a mismatch in the transmission route, they decide to block the network datagram.

Недостатками вышеперечисленных способов являются:The disadvantages of the above methods are:

высокая техническая сложность доверенных узлов (доверенные узлы выполняют как функции маршрутизации, так и криптографические функции),high technical complexity of trusted nodes (trusted nodes perform both routing and cryptographic functions),

высокая вычислительная нагрузка на доверенные узлы (производятся дешифрование и обработка каждой дейтаграммы на каждом доверенном узле по маршруту передачи),high computational load on trusted nodes (decryption and processing of each datagram on each trusted node along the transmission route are performed),

высокая вычислительная нагрузка на оконечные узлы (при формировании сетевой дейтаграммы инкапсуляция и шифрование каждого пакета проводятся j раз, где j - количество доверенных узлов на маршруте передачи),high computational load on the end nodes (during the formation of the network datagram, encapsulation and encryption of each packet are performed j times, where j is the number of trusted nodes on the transmission route),

большая длина безопасной сетевой дейтаграммы (за счет включения j заголовков, где j - количество доверенных узлов на маршруте передачи), что увеличивает нагрузку на сеть,a large length of a secure network datagram (due to the inclusion of j headers, where j is the number of trusted nodes on the transmission route), which increases the load on the network,

узкая применимость вследствие наложения ограничений поля «Опции». [RFC 791 - Протокол IP (Internet Protocol). Электронный ресурс. URL: http://rfc2.ru/791.rfc. Дата обращения 01.10.2014 г.],narrow applicability due to restrictions on the Options field. [RFC 791 - IP Protocol. Electronic resource. URL: http://rfc2.ru/791.rfc. Date of appeal 01.10.2014],

высокая вероятность компрометации ключа (один и тот же ключ К передается на все доверенные узлы).high probability of compromising the key (the same key K is transmitted to all trusted nodes).

Техническим результатом заявленного способа является устранение недостатков прототипа с сохранением его достоинств, а также расширение функциональных возможностей за счет скрытия корреспондирующих пар абонентов, обеспечивающего предотвращение (существенное затруднение) определения существующих информационных потоков между элементами распределенной системы, выявление ее структуры, что позволит повысить их защищенность от удаленных атак.The technical result of the claimed method is to eliminate the disadvantages of the prototype while maintaining its advantages, as well as expanding the functionality by hiding the corresponding pairs of subscribers, preventing (significant difficulty) determining the existing information flows between the elements of a distributed system, identifying its structure, which will increase their protection from remote attacks.

В заявленном изобретении поставленная цель достигается тем, что в известном способе для защиты вычислительных сетей используют шлюз-компьютер с межсетевым экраном, установленный на каналах связи защищаемой сети с другими сетями, формируют список адресов S1, S2, S3 … доверенных узлов, выделяют в сформированной дейтаграмме адреса отправителя SA и получателя SB, формируют сетевую дейтаграмму с адресом первого доверенного узла получателя и адресом отправителя SA, передают по каналу связи внешней сети сформированную безопасную сетевую дейтаграмму D, принимают безопасную сетевую дейтаграмму D на очередном доверенном узле, записывают в память шлюз-компьютера значения поля «Опции» полученной дейтаграммы, формируют новое значение поля «Опции», формируют безопасную сетевую дейтаграмму, дополнительно формируют множество доверенных узлов {М} на правах индивидуальных клиентов оператора связи, по случайному закону разбивают множество {M} на r подмножеств {Mr′}, запоминают состав полученных подмножеств, по случайному закону образом выбирают по одному из них для каждого из направлений передачи, в списке адресов запоминают состав подмножеств {Mr′} (условные номера доверенных узлов) для каждой из корреспондирующих пар в заданном направлении передачи, перечень разрешенных IP-адресов для каждого из доверенных узлов и абонентов корреспондирующих пар, на доверенных узлах генерируют трафик, характерный для оконечных пользователей данного сегмента сети, после выделения в сформированной дейтаграмме адреса отправителя SA и получателя SB из списка адресов по случайному закону выбирают один из номеров доверенных узлов, выделенных для данной корреспондирующей пары в заданном направлении передачи, один из разрешенных IP-адресов отправителя и один из разрешенных IP-адресов выбранного доверенного узла, по случайному закону определяют количество Т промежуточных доверенных узлов на маршруте передачи дейтаграммы, записывают в поле «IP-адрес источника» и «IP-адрес назначения» сетевой дейтаграммы выбранные IP-адреса отправителя SA и выбранного доверенного узла, записывают в поле «Опции» сетевой дейтаграммы количество промежуточных доверенных узлов на маршруте передачи дейтаграммы, после приема сетевой дейтаграммы на доверенном узле проверяют значение количества Т промежуточных доверенных узлов на маршруте передачи дейтаграммы в поле «Опции», если Т=0, то из списка адресов по случайному закону выбирают один из разрешенных IP-адресов получателя и доверенного узла, записывают в поле «IP-адрес источника» и «IP-адрес назначения» сетевой дейтаграммы выбранные IP-адреса доверенного узла и получателя SB и передают по каналу связи сформированную дейтаграмму, если T≠0, то уменьшают значение T на 1, из списка адресов по случайному закону выбирают один из номеров доверенных узлов этого же подмножества, один из разрешенных IP-адресов выбранного доверенного узла (для заполнения поля «IP-адрес назначения» сетевой дейтаграммы) и один из своих разрешенных IP-адресов (для заполнения поля «IP-адрес источника» сетевой дейтаграммы), формируют новое значение поля «Опции» с учетом вычисленного количества Т промежуточных доверенных узлов на маршруте передачи дейтаграммы, формируют безопасную сетевую дейтаграмму с выбранными IP-адресами доверенных узлов, повторяют действия, начиная с передачи, приема безопасной сетевой дейтаграммы, проверки значения Т, выбора доверенных узлов, формирования новых IP-адресов до тех пор, пока значение Т не станет равным 0. Новая совокупность существенных признаков позволяет достичь указанного технического результата за счет отсутствия в заголовке пакетов одновременно адреса отправителя и получателя и случайной передачей пакетов между доверенными узлами информационно-телекоммуникационной системы, что позволяет предупредить (существенно затруднить) определение существующих информационных потоков между элементами распределенной системы, выявление ее структуры.In the claimed invention, the goal is achieved by the fact that in the known method for protecting computer networks using a gateway computer with a firewall installed on the communication channels of the protected network with other networks, form a list of addresses S1, S2, S3 ... trusted nodes, highlighted in the generated datagram addresses of the sender SA and recipient SB, form a network datagram with the address of the first trusted node of the recipient and the address of the sender SA, transmit the generated secure network datagram via the external network channel mu D, receive a secure network datagram D on the next trusted node, write the values of the Options field of the received datagram to the gateway computer memory, form a new value for the Options field, form a secure network datagram, and additionally form a lot of trusted nodes {M} on the right individual customers of a telecom operator, randomly divide the set {M} into r subsets {M r ′}, remember the composition of the resulting subsets, randomly select one of them for each direction broadcasts, in the address list, remember the composition of the subsets {M r ′} (conditional numbers of trusted nodes) for each of the corresponding pairs in a given direction of transmission, a list of allowed IP addresses for each of the trusted nodes and subscribers of the corresponding pairs, generate traffic on the trusted nodes, typical for end users of this network segment, after highlighting in the generated datagram the addresses of the sender SA and recipient SB from the list of addresses randomly select one of the numbers of trusted nodes allocated For this correspondent pair in a given direction of transmission, one of the allowed IP addresses of the sender and one of the allowed IP addresses of the selected trusted node, randomly determine the number T of intermediate trusted nodes on the transmission route of the datagram, write in the "IP address of the source" field and the “destination IP address” of the network datagram, the selected IP addresses of the sender of the SA and the selected trusted node record in the “Options” field of the network datagram the number of intermediate trusted nodes on the action transfer route After receiving a network datagram on a trusted host, the value of the number T of intermediate trusted nodes on the datagram’s transmission route is checked in the Options field, if T = 0, then one of the allowed IP addresses of the recipient and trusted host is randomly selected from the address list, write in the field “Source IP Address” and “Destination IP Address” of the network datagram the selected IP addresses of the trusted node and recipient SB and transmit the generated datagram through the communication channel, if T ≠ 0, then reduce the value of T by 1 from the list of addresses after one of the allowed IP addresses of the selected trusted node (to fill in the “Destination IP address” field of the network datagram) and one of its allowed IP addresses (to fill in the “IP address” field) source ”of the network datagram), form a new value for the“ Options ”field, taking into account the calculated number T of intermediate trusted nodes on the data transfer route of the datagram, form a secure network datagram with the selected IP addresses of trusted nodes, repeat the action starting with transmitting, receiving a secure network datagram, checking the T value, selecting trusted nodes, generating new IP addresses until the T value becomes 0. A new set of essential features allows us to achieve the indicated technical result due to the absence in the header packets at the same time the address of the sender and receiver and the random transmission of packets between trusted nodes of the information and telecommunication system, which allows to prevent (significantly complicate) the definition of general information flows between elements of a distributed system, revealing its structure.

Заявленный способ поясняется чертежами, на которых:The claimed method is illustrated by drawings, in which:

на фиг. 1 - схема, поясняющая построение рассматриваемой сети;in FIG. 1 is a diagram explaining the construction of the network in question;

на фиг. 2 - блок-схема алгоритма обработки дейтаграмм сетевого трафика для скрытия корреспондирующих пар абонентов информационно-телекоммуникационных систем;in FIG. 2 is a flowchart of a network traffic datagram processing algorithm for hiding the corresponding pairs of subscribers of information and telecommunication systems;

на фиг. 3 - вариант списка адресов для корреспондирующей пары SA-SB;in FIG. 3 is a variant of the address list for the corresponding pair SA-SB;

на фиг. 4 - формат заголовка IP-пакета (версии IPν4).in FIG. 4 - IP packet header format (IPν4 version).

Реализация заявленного способа поясняется следующим образом.The implementation of the claimed method is illustrated as follows.

В качестве сети передачи данных общего пользования (фиг. 1) рассматривается совокупность узлов и каналов электросвязи, специально созданная для организации связей между определенными точками с целью обеспечения передачи данных между ними [Правила присоединения сетей электросвязи и их взаимодействия (утв. постановлением Правительства РФ от 28 марта 2005 г. N 161). Электронный ресурс. URL: http://base.garant.ru/188008. Дата обращения 02.10.2014 г.].As a public data transmission network (Fig. 1), we consider a set of telecommunication nodes and channels specially created for organizing communications between certain points in order to ensure data transmission between them [Rules for connecting telecommunication networks and their interaction (approved by the decree of the Government of the Russian Federation of 28 March 2005 N 161). Electronic resource. URL: http://base.garant.ru/188008. Date of appeal 02.10.2014].

Под узлом связи понимается составная часть сетей связи, предназначенная для объединения и распределения потоков сообщений [Большой энциклопедический словарь / Гл. ред. А.М. Прохоров. Изд. 2-е, перераб. и доп. М.; Изд-во «Большая Российская Энциклопедия, Научное издательство, 2000. - 1456 с.].A communication node is an integral part of communication networks intended for combining and distributing message flows [Big Encyclopedic Dictionary / Ch. ed. A.M. Prokhorov. Ed. 2nd, rev. and add. M .; Publishing house "Big Russian Encyclopedia, Scientific Publishing House, 2000. - 1456 p.].

Для реализации предлагаемого способа формируют множество доверенных узлов {М}, выступающих в виде индивидуальных клиентов оператора связи (блок 2, фиг. 2), на которых генерируют трафик, характерный для оконечных пользователей данного сегмента сети. Количество оконечных пользователей значительно превышает количество узлов электросвязи, что уменьшает вероятность нахождения доверенного узла злоумышленником [Вентцель Е.С. Теория вероятностей. - М.: КНОРУС, 2010 г. - 664 с., стр. 27-28]:To implement the proposed method, a plurality of trusted nodes {M} are formed, which act as individual clients of the telecommunications operator (block 2, Fig. 2), on which traffic is generated that is typical for end users of a given network segment. The number of end users significantly exceeds the number of telecommunication nodes, which reduces the likelihood of a trusted node being found by an attacker [E. Wentzel Probability theory. - M .: KNORUS, 2010 - 664 p., Pp. 27-28]:

Figure 00000001
Figure 00000001

где Рнду - вероятность нахождения доверенного узла злоумышленником,where R nd - the probability of finding a trusted site by an attacker,

Nду - количество доверенных узлов,N du - the number of trusted nodes,

N - общее количество оконечных пользователей в сети:N is the total number of terminal users in the network:

Figure 00000002
Figure 00000002

где Noп - количество оконечных пользователей в сети.where N op - the number of terminal users in the network.

В целях возможности имитации работы оконечных пользователей сети предварительно собирают среднестатистические данные о типе, объеме и суточной интенсивности трафика пользователей сегмента сети, в котором предполагается функционирование доверенного узла.In order to simulate the work of end users of the network, average statistical data on the type, volume and daily intensity of the traffic of users of the network segment in which the operation of the trusted node is supposed to be pre-collected.

Далее множество доверенных узлов {М} разбивают на r непересекающихся подмножеств {Mr} (бл. 3 фиг. 2) любым способом, причемNext, the set of trusted nodes {M} is divided into r disjoint subsets {M r } (bl. 3 of Fig. 2) in any way, and

Figure 00000003
Figure 00000003

где Nкп - количество корреспондирующих пар абонентов, так как для каждого направления передачи (от абонента SA к абоненту SB (SA-SB) и от абонента SB к абоненту SA (SB-SA)) по случайному закону выбирается свое подмножество доверенных узлов.where N kp is the number of corresponding pairs of subscribers, since for each direction of transmission (from subscriber SA to subscriber SB (SA-SB) and from subscriber SB to subscriber SA (SB-SA)), a random subset of trusted nodes is selected.

Разбиение множества - подразделение множества {М} на части (подмножества), при котором каждый элемент попадает в какую-то из частей и никакие две части не имеют общих элементов [Шоке Г.Н. Геометрия. - М.: «Мир», 1970 г. - 242 с., стр. 232].Partitioning a set is the division of the set {M} into parts (subsets), in which each element falls into some of the parts and no two parts have common elements [G. Choquet Geometry. - M.: “World”, 1970 - 242 p., P. 232].

При этом число таких разбиений определяется следующим отношением (числа Стирлинга второго рода):Moreover, the number of such partitions is determined by the following relation (Stirling numbers of the second kind):

Figure 00000004
Figure 00000004

где S(n, m) - число разбиений множества из n элементов на m непересекающихся подмножеств [Сигал И.Х., Иванова А.П. Введение в дискретное программирование: модели и вычислительные алгоритмы. - М.: ФИЗМАТЛИТ, 2003. - 240 с., стр. 37]. Количество элементов при таком разбиении в полученных подмножествах может быть разным.where S (n, m) is the number of partitions of the set of n elements into m disjoint subsets [Sigal I.Kh., Ivanova A.P. Introduction to discrete programming: models and computational algorithms. - M .: FIZMATLIT, 2003. - 240 p., P. 37]. The number of elements with such a partition in the resulting subsets can be different.

Число N(Mk(А)) всех k-элементных подмножеств множества А из n элементов определяется следующим отношением [Семенов А.С. Четыре лекции по комбинаторике: методические указания. - Ульяновск: УлГТУ, 2005. - 20 с., стр. 10]:The number N (M k (A)) of all k-element subsets of A from n elements is determined by the following relation [A. Semenov Four lectures on combinatorics: guidelines. - Ulyanovsk: UlSTU, 2005. - 20 p., P. 10]:

Figure 00000005
Figure 00000005

Количество элементов при таком разбиении во всех полученных подмножествах одинаково.The number of elements with such a partition in all the resulting subsets is the same.

Запоминают состав полученных подмножеств, по случайному закону выбирают одно из них (блоки 3, 4 фиг. 2) для каждого из направлений передачи (от абонента SA к абоненту SB (SA-SB) и от абонента SB к абоненту SA (SB-SA)).The composition of the subsets obtained is stored, one of them is randomly selected (blocks 3, 4 of Fig. 2) for each of the transmission directions (from subscriber SA to subscriber SB (SA-SB) and from subscriber SB to subscriber SA (SB-SA) )

На фиг. 1 показана корреспондирующая пара абонентов SA, SB. Выбранное ей подмножество доверенных узлов в направлении передачи SA-SB выделено серым цветом. Это доверенные узлы M1, M3, М9, М12. Выбранное подмножество доверенных узлов в направлении передачи SB-SA выделено черным цветом. Это доверенные узлы М4, М6, М7, М10.In FIG. 1 shows an offset pair of subscribers SA, SB. The selected subset of trusted nodes in the SA-SB transmission direction is grayed out. These are the trusted nodes M1, M3, M9, M12. The selected subset of trusted nodes in the SB-SA transmission direction is highlighted in black. These are the trusted nodes M4, M6, M7, M10.

Каждому абоненту корреспондирующих пар и доверенным узлам назначается i IP-адресов.Each subscriber of corresponding pairs and trusted nodes are assigned i IP-addresses.

Таким образом, формируют список адресов (фиг. 3), в котором для каждой из корреспондирующих пар запоминают:Thus, an address list is formed (FIG. 3), in which for each of the corresponding pairs the following is stored:

- состав случайно выбранного подмножества (условные номера доверенных узлов) для каждого направления передачи,- the composition of a randomly selected subset (conditional numbers of trusted nodes) for each direction of transmission,

- перечень разрешенных IP-адресов для абонентов корреспондирующих пар и доверенных узлов.- a list of allowed IP addresses for subscribers of corresponding pairs and trusted nodes.

При передаче дейтаграммы от абонента SA корреспондирующей пары к абоненту SB на шлюз-компьютере, установленном на канале связи защищаемой сети с другими сетями, выделяют адрес отправителя SA и адрес получателя SB (блок 7 фиг. 2) сетевой дейтаграммы Pi, где i=1, 2, 3, …When transmitting the datagram from the subscriber SA to the subscriber pair SB on the gateway computer installed on the communication channel of the protected network with other networks, the sender address SA and the recipient address SB (block 7 of Fig. 2) of the network datagram Pi are allocated, where i = 1, 2, 3, ...

При передаче пакетов по сети промежуточные маршрутизаторы осуществляют их маршрутизацию по адресной информации (фиг. 4), имеющейся в заголовке пакета [правила представления заголовка пакета определяется ГОСТ Р ИСО/МЭК 7498-1-99. «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель», стр. 13].When packets are transmitted over the network, intermediate routers route them according to the address information (Fig. 4) available in the packet header [the rules for presenting the packet header are determined by GOST R ISO / IEC 7498-1-99. "Information technology. Interconnection of open systems. The basic reference model. Part 1. The basic model ”, p. 13].

Из списка адресов по случайному закону выбирают один из номеров доверенных узлов, выделенных для данной корреспондирующей пары в данном направлении передачи, один из разрешенных IP-адресов отправителя и один из разрешенных IP-адресов выбранного доверенного узла. Записывают в поле «IP-адрес источника» и «IP-адрес назначения» сетевой дейтаграммы выбранные IP-адреса отправителя SA и выбранного доверенного узла (бл. 8, 10 фиг. 2).From the list of addresses, according to random law, one of the numbers of trusted nodes allocated for a given corresponding pair in this direction of transmission is selected, one of the allowed IP addresses of the sender and one of the allowed IP addresses of the selected trusted node. Record in the field “Source IP Address” and “Destination IP Address” of the network datagram the selected IP addresses of the sender SA and the selected trusted node (Blocks 8, 10 of FIG. 2).

По случайному закону определяют количество Т промежуточных доверенных узлов на маршруте передачи дейтаграммы. Причем значение Т не должно превышать количества элементов в подмножестве, закрепленном за данной корреспондирующей парой. Записывают данное значение в поле «Опции» сетевой дейтаграммы (бл. 9, 10 фиг. 2).According to a random law, the number T of intermediate trusted nodes on the transmission route of the datagram is determined. Moreover, the value of T should not exceed the number of elements in the subset assigned to this offset pair. Write this value in the "Options" field of the network datagram (bl. 9, 10 of Fig. 2).

Поле «Опции» является необязательным и имеет переменную длину (фиг. 4).The "Options" field is optional and has a variable length (Fig. 4).

Поддержка опций должна реализоваться во всех модулях IP (узлах и маршрутизаторах) [RFC 791, Internet Protocol, 1981, сентябрь, стр. 14-22].Option support should be implemented in all IP modules (nodes and routers) [RFC 791, Internet Protocol, 1981, September, pp. 14-22].

Передают по каналу связи внешней сети сформированную сетевую дейтаграмму D (бл. 12 фиг. 2), принимают сетевую дейтаграмму D на очередном доверенном узле (бл. 13 фиг. 2).The generated network datagram D is transmitted via the external network communication channel (bl. 12 of Fig. 2), the network datagram D is received at the next trusted node (bl. 13 of Fig. 2).

Записывают в память значения поля «Опции» полученной дейтаграммы. Проверяют значение количества T промежуточных доверенных узлов на маршруте передачи дейтаграммы, (бл. 14, 15 фиг. 2).The values of the "Options" field of the received datagram are written into memory. Check the value of the number T of intermediate trusted nodes on the transmission route of the datagram, (bl. 14, 15 of Fig. 2).

Если значение Т равно 0, то из списка адресов по случайному закону выбирают один из разрешенных IP-адресов доверенного узла и получателя, которые записывают в поле «IP-адрес источника» и «IP-адрес назначения» SB (бл. 16, 17 фиг. 2) и передают по каналу связи сформированную дейтаграмму.If the value of T is 0, then one of the allowed IP addresses of the trusted node and the recipient is selected from the list of addresses according to a random law, which are written in the field “Source IP Address” and “Destination IP Address” SB (blocks 16, 17 of FIG. . 2) and transmit the formed datagram through the communication channel.

Если значение Т не равно 0, то уменьшают его на единицу. Полученное значение записывают в поле «Опции» формируемой сетевой дейтаграммы.If the value of T is not equal to 0, then reduce it by one. The obtained value is recorded in the "Options" field of the generated network datagram.

Далее из списка адресов по случайному закону выбирают один из номеров доверенных узлов этого же подмножества, один из разрешенных IP-адресов выбранного доверенного узла (для заполнения поля «IP-адрес назначения» сетевой дейтаграммы) и один из своих разрешенных IP-адресов (для заполнения поля «IP-адрес источника» сетевой дейтаграммы). Формируют сетевую дейтаграмму с выбранными ZP-адресами доверенных узлов.Next, from a list of addresses, according to random law, one of the trusted node numbers of the same subset is selected, one of the allowed IP addresses of the selected trusted node (to fill in the “Destination IP address” field of the network datagram) and one of its allowed IP addresses (to fill field "Source IP Address" of the network datagram). Form a network datagram with the selected ZP addresses of trusted nodes.

Повторяют действия, начиная с передачи, приема сетевой дейтаграммы, проверки значения T, выбора доверенных узлов, формирования новых IP-адресов до тех пор, пока значение T не станет равным 0.The steps are repeated, starting from transmitting, receiving a network datagram, checking the value of T, selecting trusted nodes, generating new IP addresses until the value of T becomes 0.

Таким образом, за счет отсутствия в заголовке пакетов одновременно адреса отправителя и получателя и случайной передачи пакетов между доверенными узлами обеспечивается предотвращение (существенное затруднение) определения существующих информационных потоков между элементами распределенной системы, выявления ее структуры, что позволит повысить их защищенность от удаленных атак. Технический результат достигнут.Thus, due to the absence in the packet header of both the sender and receiver addresses and the random transmission of packets between trusted nodes, it is possible to prevent (significant difficulty) the determination of existing information flows between elements of a distributed system and the identification of its structure, which will increase their protection against remote attacks. The technical result is achieved.

Claims (3)

1. Способ обработки дейтаграмм сетевого трафика для скрытия корреспондирующих пар абонентов информационно-телекоммуникационных систем, заключающийся в том, что используют шлюз-компьютер с межсетевым экраном, установленный на каналах связи защищаемой сети с другими сетями, формируют список адресов S1, S2, S3 … доверенных узлов, выделяют в сформированной дейтаграмме адреса отправителя SA и получателя SB, формируют сетевую дейтаграмму с адресом первого доверенного узла получателя и адресом отправителя SA, передают по каналу связи внешней сети сформированную безопасную сетевую дейтаграмму D, принимают безопасную сетевую дейтаграмму D на очередном доверенном узле, записывают в память шлюз-компьютера значения поля «Опции» полученной дейтаграммы, формируют новое значение поля «Опции», формируют безопасную сетевую дейтаграмму, отличающийся тем, что формируют множество доверенных узлов {М} на правах индивидуальных клиентов оператора связи, по случайному закону разбивают множество {М} на r подмножеств {Mr′}, запоминают состав полученных подмножеств, по случайному закону выбирают по одному из них для каждого из направлений передачи, в списке адресов запоминают состав подмножеств {Mr′} (условные номера доверенных узлов) для каждой из корреспондирующих пар в заданном направлении передачи, перечень разрешенных IP-адресов для каждого из доверенных узлов и абонентов корреспондирующих пар, на доверенных узлах генерируют трафик, характерный для оконечных пользователей данного сегмента сети, после выделения в сформированной дейтаграмме адреса отправителя SA и получателя SB из списка адресов по случайному закону выбирают один из номеров доверенных узлов, выделенных для данной корреспондирующей пары в заданном направлении передачи, один из разрешенных IP-адресов отправителя и один из разрешенных IP-адресов выбранного доверенного узла, по случайному закону определяют количество Т промежуточных доверенных узлов на маршруте передачи дейтаграммы, записывают в поле «IP-адрес источника» и «IP-адрес назначения» сетевой дейтаграммы выбранные IP-адреса отправителя SA и выбранного доверенного узла, записывают в поле «Опции» сетевой дейтаграммы количество промежуточных доверенных узлов на
маршруте передачи дейтаграммы, после приема сетевой дейтаграммы на доверенном узле проверяют значение количества Т промежуточных доверенных узлов на маршруте передачи дейтаграммы в поле «Опции», если T=0, то из списка адресов по случайному закону выбирают один из разрешенных IP-адресов получателя и доверенного узла, записывают в поле «IP-адрес источника» и «IP-адрес назначения» сетевой дейтаграммы выбранные IP-адреса доверенного узла и получателя SB и передают по каналу связи сформированную дейтаграмму, если T≠0, то уменьшают значение T на 1, из списка адресов по случайному закону выбирают один из номеров доверенных узлов этого же подмножества, один из разрешенных IP-адресов выбранного доверенного узла (для заполнения поля «IP-адрес назначения» сетевой дейтаграммы) и один из своих разрешенных IP-адресов (для заполнения поля «IP-адрес источника» сетевой дейтаграммы), формируют новое значение поля «Опции» с учетом вычисленного количества Т промежуточных доверенных узлов на маршруте передачи дейтаграммы, формируют безопасную сетевую дейтаграмму с выбранными IP-адресами доверенных узлов, повторяют действия, начиная с передачи, приема безопасной сетевой дейтаграммы, проверки значения Т, выбора доверенных узлов, формирования новых IP-адресов до тех пор, пока значение Т не станет равным 0.1. A method of processing datagrams of network traffic to hide the corresponding pairs of subscribers of information and telecommunication systems, which consists in using a gateway computer with a firewall installed on the communication channels of the protected network with other networks, forming a list of addresses S1, S2, S3 ... trusted nodes, allocate the addresses of the sender SA and recipient SB in the generated datagram, form the network datagram with the address of the first trusted node of the recipient and the address of the sender SA, transmit via the external network communication channel formed a secure network datagram D, receive a secure network datagram D on the next trusted node, write the values of the "Options" field of the received datagram to the gateway computer memory, form a new value for the "Options" field, form a secure network datagram, characterized in that it forms a lot of trusted nodes {M} on the rights of individual clients operator, randomly divide the set {M} to {M r '} r subsets, storing obtained composition subsets randomly selected n one of them for each of the transmission directions in the address list stored composition subsets {M r '} (conventional numbers of trusted nodes) for each of corresponding pairs in a predetermined transfer direction, a list of permitted IP-addresses for each of the trusted nodes and the subscribers of corresponding pairs , the trusted nodes generate traffic that is typical for end users of a given network segment, after selecting in the generated datagram the addresses of the sender SA and recipient SB from a list of addresses, according to a random law, select one of the numbers of trusted nodes allocated for this corresponding pair in a given direction of transmission, one of the allowed IP addresses of the sender and one of the allowed IP addresses of the selected trusted node, randomly determine the number T of intermediate trusted nodes on the transmission route of the datagram, write to field “source IP address” and “destination IP address” of the network datagram, the selected IP addresses of the sender SA and the selected trusted node are recorded in the “Options” field of the network datagram, the number of intermediate x trusted nodes on
the datagram’s transmission route, after receiving the network datagram on a trusted node, check the value of the number T of intermediate trusted nodes on the datagram’s transmission route in the “Options” field, if T = 0, then randomly select one of the allowed recipient and trusted IP addresses from the list of addresses node, write in the field “Source IP address” and “Destination IP address” of the network datagram the selected IP addresses of the trusted node and recipient SB and transmit the generated datagram through the communication channel, if T ≠ 0, then reduce the value of T by 1, and randomly select one of the trusted node numbers of the same subset, one of the allowed IP addresses of the selected trusted node (to fill in the “Destination IP address” field of the network datagram) and one of its allowed IP addresses (to fill in the “ The source IP address of the network datagram), form a new value for the Options field, taking into account the calculated number T of intermediate trusted nodes on the datagram's transmission route, form a secure network datagram with the selected trusted IP addresses evil, repeat the steps, starting with sending, receiving a secure network datagram, checking the value of T, selecting trusted nodes, generating new IP addresses until the value of T becomes 0. 2. Способ по п.1, отличающийся тем, что множество {М} разбивается на r подмножеств {Mr′} по случайному закону через интервалы времени ΔTi.2. The method according to claim 1, characterized in that the set {M} is divided into r subsets {M r ′} according to a random law at time intervals ΔT i . 3. Способ по п.1, отличающийся тем, что списки разрешенных адресов для доверенных узлов и абонентов корреспондирующей пары изменяются через интервалы времени ΔTk. 3. The method according to claim 1, characterized in that the lists of allowed addresses for trusted nodes and subscribers of the corresponding pair are changed at time intervals ΔT k .
RU2014150201/08A 2014-12-10 2014-12-10 Method of processing network traffic datagrams for hiding corresponding pairs of subscribers of information-telecommunication systems RU2586840C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2014150201/08A RU2586840C1 (en) 2014-12-10 2014-12-10 Method of processing network traffic datagrams for hiding corresponding pairs of subscribers of information-telecommunication systems

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2014150201/08A RU2586840C1 (en) 2014-12-10 2014-12-10 Method of processing network traffic datagrams for hiding corresponding pairs of subscribers of information-telecommunication systems

Publications (1)

Publication Number Publication Date
RU2586840C1 true RU2586840C1 (en) 2016-06-10

Family

ID=56115668

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2014150201/08A RU2586840C1 (en) 2014-12-10 2014-12-10 Method of processing network traffic datagrams for hiding corresponding pairs of subscribers of information-telecommunication systems

Country Status (1)

Country Link
RU (1) RU2586840C1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111669317A (en) * 2020-05-29 2020-09-15 深圳市风云实业有限公司 Cross-domain secure communication transmission system and method based on hidden network routing
CN112422511A (en) * 2020-10-23 2021-02-26 青岛大学 Reliable network steganography method based on IP source address
RU2763261C1 (en) * 2020-11-25 2021-12-28 Юрий Иванович Стародубцев Method for processing network traffic datagrams to hide corresponding pairs of subscribers of information and telecommunication systems

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2214623C2 (en) * 2000-12-29 2003-10-20 Купреенко Сергей Витальевич Computer network with internet screen and internet screen
RU2314562C1 (en) * 2006-03-21 2008-01-10 Федеральное государственное научное учреждение Научно-исследовательский институт "СПЕЦВУЗАВТОМАТИКА" Method for processing network traffic datagrams for delimiting access to informational and computing resources of computer networks
EP2007104A1 (en) * 2007-06-21 2008-12-24 Nokia Siemens Networks S.p.A. Method for increasing the interface data traffic throughput within an umts radio access network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2214623C2 (en) * 2000-12-29 2003-10-20 Купреенко Сергей Витальевич Computer network with internet screen and internet screen
RU2314562C1 (en) * 2006-03-21 2008-01-10 Федеральное государственное научное учреждение Научно-исследовательский институт "СПЕЦВУЗАВТОМАТИКА" Method for processing network traffic datagrams for delimiting access to informational and computing resources of computer networks
EP2007104A1 (en) * 2007-06-21 2008-12-24 Nokia Siemens Networks S.p.A. Method for increasing the interface data traffic throughput within an umts radio access network

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111669317A (en) * 2020-05-29 2020-09-15 深圳市风云实业有限公司 Cross-domain secure communication transmission system and method based on hidden network routing
CN112422511A (en) * 2020-10-23 2021-02-26 青岛大学 Reliable network steganography method based on IP source address
CN112422511B (en) * 2020-10-23 2022-05-06 青岛大学 Reliable network steganography method based on IP source address
RU2763261C1 (en) * 2020-11-25 2021-12-28 Юрий Иванович Стародубцев Method for processing network traffic datagrams to hide corresponding pairs of subscribers of information and telecommunication systems

Similar Documents

Publication Publication Date Title
Kedogan et al. Limits of anonymity in open environments
Goher et al. Covert channel detection: A survey based analysis
Zhao et al. SDN-based double hopping communication against sniffer attack
RU2496136C1 (en) Method for interaction of terminal client device with server over internet with high level of security from ddos attack and system for realising said method
RU2690749C1 (en) Method of protecting computer networks
RU2586840C1 (en) Method of processing network traffic datagrams for hiding corresponding pairs of subscribers of information-telecommunication systems
Boussada et al. A survey on privacy: Terminology, mechanisms and attacks
CN107070927A (en) A kind of saltus step concealed communication method encrypted based on DNA
Balaji et al. SIPTAN: Securing inimitable and plundering track for ad hoc network
Aghaei-Foroushani et al. IP traceback through (authenticated) deterministic flow marking: an empirical evaluation
Dakhane et al. Active warden for TCP sequence number base covert channel
Alston et al. Neutralizing interest flooding attacks in named data networks using cryptographic route tokens
Kim et al. Network forensic evidence acquisition (NFEA) with packet marking
Sunitha et al. Key Observation to Prevent IP Spoofing in DDoS Attack on Cloud Environment
Han et al. DAAD: DNS amplification attack defender in SDN
RU2472217C1 (en) Method of processing network traffic datagrams for protecting information computer systems (versions)
Kim et al. Network forensic evidence generation and verification scheme (NFEGVS)
Balyk et al. A survey of modern IP traceback methodologies
Murugesan et al. Review on ipv6 security vulnerability issues and mitigation methods
Edekar et al. Capacity boost with data security in network protocol covert channel
Daniels Reference models for the concealment and observation of origin identity in store-and-forward networks
RU2686023C1 (en) Method of protecting computer networks
Arjuman et al. Lightweight secure router discovery mechanism to overcome dos attack in ipv6 network
RU2763261C1 (en) Method for processing network traffic datagrams to hide corresponding pairs of subscribers of information and telecommunication systems
RU2680038C1 (en) Method of computer networks protection

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20161211