RU2622842C1 - Method for masking the structure of telecommunication network - Google Patents

Method for masking the structure of telecommunication network Download PDF

Info

Publication number
RU2622842C1
RU2622842C1 RU2016119915A RU2016119915A RU2622842C1 RU 2622842 C1 RU2622842 C1 RU 2622842C1 RU 2016119915 A RU2016119915 A RU 2016119915A RU 2016119915 A RU2016119915 A RU 2016119915A RU 2622842 C1 RU2622842 C1 RU 2622842C1
Authority
RU
Russia
Prior art keywords
network
subscribers
communication
routes
security
Prior art date
Application number
RU2016119915A
Other languages
Russian (ru)
Inventor
Борис Владимирович Голуб
Алина Васильевна Горячая
Дмитрий Анатольевич Кожевников
Николай Юрьевич Лыков
Роман Викторович Максимов
Сергей Сергеевич Тихонов
Original Assignee
федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации filed Critical федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации
Priority to RU2016119915A priority Critical patent/RU2622842C1/en
Application granted granted Critical
Publication of RU2622842C1 publication Critical patent/RU2622842C1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L15/00Apparatus or local circuits for transmitting or receiving dot-and-dash codes, e.g. Morse code
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

FIELD: radio engineering, communication.
SUBSTANCE: method of masking the structure of telecommunication network comprises steps of presetting information about the structure of telecommunication network, initial data on nodes and subscribers of network, acceptable value of integrated route safety indicator, and calculating complex network security indicators of network nodes. The matrix of contiguity of network graph vertices and the set of possible communication routes between the network subscribers in form of graph trees are formed. Using the obtained results, the safest permissible routes in the telecommunication network from the set of all possible communication routes between subscribers is selected and safe routes to the network subscribers with continuous change in the identities of the network subscribers in the transmitted message packets is brought.
EFFECT: increase the communication security and the difficulty to identify the network subscribers by unauthorized subscribers by continuous change in the identities of network subscribers in the transmitted message packets and the transmission of message packets over all valid communication routes.
3 cl, 9 dwg

Description

Изобретение относится к области инфокоммуникаций, а именно к обеспечению информационной безопасности цифровых систем связи, и, в частности, заявленный способ маскирования структуры сети связи предназначен для использования в распределенных сетях связи, построенных на основе сети связи общего пользования (например, Интернет).The invention relates to the field of information communications, and in particular to ensuring information security of digital communication systems, and, in particular, the claimed method of masking the structure of a communication network is intended for use in distributed communication networks built on the basis of a public communication network (for example, the Internet).

Известен способ обеспечения корректировки маршрутов к абонентам сети, реализованный в «Способе корректировки маршрутов в сети передачи данных» по патенту РФ №2220190, МПК H04L 12/28, опубл. 10.10.1998 г.There is a method of providing adjustment of routes to network subscribers, implemented in the "Method of adjusting routes in the data network" according to the patent of the Russian Federation No. 2220190, IPC H04L 12/28, publ. 10/10/1998

Способ заключается в том, что поиск маршрутов доставки сообщений к абоненту осуществляется по сетевому адресу узла коммутации его текущей привязки. Выбор маршрутов к абоненту осуществляется на узлах коммутации по служебному корректирующему сообщению, содержащему сетевые адреса абонента, узла коммутации и код признака корректировки «запись», «стирание».The method consists in the fact that the search for routes for delivering messages to the subscriber is carried out at the network address of the switching node of its current binding. The choice of routes to the subscriber is carried out on the switching nodes by the service corrective message containing the network addresses of the subscriber, the switching node and the code of the sign of adjustment “record”, “erase”.

Недостатком данного способа является отсутствие адаптации к изменениям структуры сети связи. Это вызвано тем, что корректировка осуществляется децентрализованно и охватывает не всю сеть связи, а ее отдельные локальные участки. Отсутствие параметров выбора маршрутов к абоненту приводит к низкому качеству выбора.The disadvantage of this method is the lack of adaptation to changes in the structure of the communication network. This is because the adjustment is decentralized and does not cover the entire communication network, but its individual local sections. The lack of options for selecting routes to the subscriber leads to poor quality selection.

Известен также способ обеспечения безопасности информации, циркулирующей в распределенной телекоммуникационной системе при передаче ее по каналам связи общего пользования, реализованный в «Распределенной телекоммуникационной системе для передачи разделенных данных, предназначенной для их раздельной передачи и приема» по патенту US №6912252, МПК H04L 12/56; H04L 12/28, опубл. 08.11.2001 г.There is also a method of ensuring the security of information circulating in a distributed telecommunication system when transmitting it over public communication channels, implemented in the "Distributed telecommunication system for transmitting shared data intended for their separate transmission and reception" according to US patent No. 6912252, IPC H04L 12 / 56; H04L 12/28, publ. 11/08/2001 g.

Способ заключается в выполнении следующих действий: исходные данные у отправителя разделяют на N частей. Далее из их комбинаций формируют группы промежуточных данных. Затем передают промежуточные данные независимо по N каналам связи. У получателя принимают группы промежуточных данных, пришедших по N каналам связи, и восстанавливают первоначальные данные.The method consists in the following actions: the source data from the sender is divided into N parts. Further, from their combinations, intermediate data groups are formed. Then, intermediate data is transmitted independently over N communication channels. The recipient receives groups of intermediate data arriving via N communication channels and restores the original data.

Недостатком данного способа является относительно низкая скрытность связи и увеличение вероятности идентификации корреспондирующих субъектов в результате увеличения числа каналов связи между корреспондентами. Наличие транзитных узлов сети и каналов связи разных типов, обладающих низким уровнем безопасности, увеличивает потребность в ассортименте средств связи и создает предпосылки для перехвата злоумышленниками информационного обмена абонентов сети.The disadvantage of this method is the relatively low secrecy of communication and an increase in the likelihood of identification of corresponding entities as a result of an increase in the number of communication channels between correspondents. The presence of transit network nodes and communication channels of various types with a low level of security increases the need for an assortment of communication tools and creates the prerequisites for cybercriminals to intercept the information exchange of network subscribers.

Известен также «Способ выбора целесообразным образом используемого маршрута в маршрутизаторе для равномерного распределения в коммутационной сети» по заявке на изобретение РФ №2004111798, МПК H04L 1/00, опубл. 10.05.2005 г.Also known is the "Method of choosing the expediently used route in the router for uniform distribution in the switching network" according to the application for the invention of the Russian Federation No. 2004111798, IPC H04L 1/00, publ. 05/10/2005

Способ учитывает критерии качества маршрутов и информацию о структуре сети связи, включающую адреса узлов сети и наличие связи между ними. Для целевого адреса сети выбирают один маршрут в соответствии с предварительно заданными критериями качества маршрутов и передают по выбранному маршруту сообщения.The method takes into account the criteria of the quality of routes and information about the structure of the communication network, including the addresses of the network nodes and the presence of communication between them. For the target network address, one route is selected in accordance with the predefined criteria for the quality of routes and messages are sent along the selected route.

Недостатком указанного способа-прототипа является относительно низкая скрытность связи при использовании выбранного маршрута информационного обмена абонентов в сети связи. Наличие транзитных узлов сети, обладающих низким уровнем безопасности, создает предпосылки для перехвата злоумышленниками информационного обмена абонентов сети и реконструкции трафика распределенной сети в некоторой точке сети Интернет.The disadvantage of this prototype method is the relatively low secrecy of communication when using the selected route of information exchange of subscribers in the communication network. The presence of transit network nodes with a low level of security creates the prerequisites for cybercriminals to intercept the information exchange of network subscribers and reconstruct the traffic of a distributed network at some point on the Internet.

Наиболее близким аналогом (прототипом) по своей технической сущности к заявленному способу является способ маскирования структуры сети связи, реализованной в «Способе выбора безопасного маршрута в сети связи» по патенту РФ №2331158, МПК H04L 12/28, опубл. 10.08.2008 г.The closest analogue (prototype) in its technical essence to the claimed method is a method for masking the structure of a communication network implemented in the "Method for choosing a safe route in a communication network" according to RF patent No. 2311158, IPC H04L 12/28, publ. 08/10/2008

Ближайший аналог обеспечивает повышение скрытности связи за счет задания информации о структуре сети связи, исходных данных об узлах и абонентах сети, расчета комплексных показателей безопасности узлов сети и на основе этих данных управления маршрутами информационного обмена абонентов в сети связи и выбора наиболее безопасного маршрута.The closest analogue provides increased communication secrecy by setting information on the structure of the communication network, initial data on the nodes and subscribers of the network, calculating complex indicators of the safety of network nodes and, based on this data, managing the routes of information exchange of subscribers in the communication network and choosing the most secure route.

Недостатком указанного прототипа является низкая скрытность абонентов сети, обусловленная возможностью идентификации пакетов сообщений относительно конкретных пользователей сети и, следовательно, вскрытие структуры распределенной сети связи в случае компрометации выбранного безопасного маршрута связи абонентов.The disadvantage of this prototype is the low secrecy of network subscribers, due to the possibility of identifying message packets regarding specific network users and, therefore, opening the structure of a distributed communication network in case of compromise of the selected safe communication route of subscribers.

Здесь и далее под термином «компрометация безопасного маршрута связи абонентов» понимают событие, связанное с получением кем-либо несанкционированного доступа к элементам безопасного маршрута связи - точкам подключения абонентов к сети связи, транзитным узлам и линиям связи.Hereinafter, the term “compromise of a safe communication route of subscribers” means an event related to someone gaining unauthorized access to elements of a secure communication route — points of connecting subscribers to a communication network, transit nodes and communication lines.

Целью заявленного изобретения является разработка способа маскирования структуры сети связи, обеспечивающего повышение скрытности связи и затруднение идентификации абонентов сети несанкционированными абонентами за счет непрерывного изменения идентификаторов абонентов сети в передаваемых пакетах сообщений и передачи пакетов сообщений по всем допустимым маршрутам связи.The aim of the claimed invention is to develop a method for masking the structure of the communication network, which provides increased communication secrecy and the difficulty of identifying network subscribers by unauthorized subscribers by continuously changing the identifiers of network subscribers in transmitted message packets and transmitting message packets on all valid communication routes.

Указанный технический результат достигается тем, что в известном способе маскирования структуры сети связи, заключающемся в том, что для сети связи, содержащей совокупность из X узлов сети, имеющих адреса IPX, предварительно задают исходные данные, содержащие информацию о структуре сети связи, включающую структурный и идентификационный массивы, адрес сервера безопасности IPСБ, идентификаторы IDа и адреса IPа абонентов, подключенных к сети связи. Задают для каждого х-го узла сети, где x=1, 2, …, X, совокупность Y параметров безопасности и их значения bxy, где y=1, 2, …, Y. Затем вычисляют комплексный показатель безопасности k для каждого x-го узла сети.Said technical result is achieved by that in the known masking communication network structure method, consists in the fact that for a communication network comprising a plurality of X network nodes having IP X address, setting an initial data containing information about the structure of a communication network comprising a structural and identification arrays security server IP address of the security Council, and the identifiers ID and IP addresses and subscribers connected to the communication network. For each x-th node of the network, where x = 1, 2, ..., X is set, the set Y of security parameters and their values b xy , where y = 1, 2, ..., Y. Then, a complex safety indicator k xΣ is calculated for each x-th host.

Формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IPУС и адреса абонентов IPа сети, а также информацию о наличии связи между узлами и абонентами сети.Form a network connectivity matrix of vertices of the graph, which is stored in the structural array subscriber network node addresses and IP addresses of IP CSS and networks, and information of a link between the nodes and the subscribers of the network.

В идентификационном массиве запоминают идентификаторы IDа, IDСБ и соответствующие им адреса IPа, IPСБ абонентов сети и сервера безопасности.The identifiers ID a , SB ID and the corresponding IP a , IP SB addresses of the network subscribers and the security server are stored in the identification array.

После этого формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети, где i=1, 2, …, j=1, 2, …, и i≠j, в виде Nij деревьев графа сети связи. Каждое n-ое, где n=1, 2, …, Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети.After that, a set of possible communication routes is formed between the ith and jth subscribers of the network, where i = 1, 2, ..., j = 1, 2, ..., and i ≠ j, in the form of N ij trees of the communication network graph. Each n-th, where n = 1, 2, ..., N ij , the graph tree consists of z n vertices corresponding to the number of network nodes belonging to it.

Для каждого из Nij возможных маршрутов связи вычисляют средние показатели безопасности

Figure 00000001
как среднее арифметическое комплексных показателей безопасности
Figure 00000002
узлов сети, входящих в n-й маршрут связи. Формируют сообщения, включающие запомненные маршруты
Figure 00000003
между i-м и всеми j-ми абонентами, идентификаторы IDaj и адреса IPaj всех j-x абонентов, отправляют сформированные сообщения всем i-м абонентам сети, а для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения IDa выбирают его адрес IPa и безопасный маршрут
Figure 00000004
. При подключении нового абонента к сети связи формируют сообщение, содержащее адрес узла сети IPУС подключения нового абонента, его идентификатор IDан и адрес IPан. Сформированное сообщение отправляют на сервер безопасности, где его запоминают в структурном и идентификационном массивах. Затем в сервере безопасности выбирают безопасные маршруты связи между новым абонентом и всеми j-ми абонентами и запоминают их. После чего формируют сообщения, включающие информацию о запомненных безопасных маршрутах связи, и отправляют их всем абонентам сети.For each of the N ij possible communication routes, the average security values are calculated
Figure 00000001
as the arithmetic mean of complex safety indicators
Figure 00000002
network nodes included in the nth communication route. Generate messages including remembered routes
Figure 00000003
between the i-th and all j-th subscribers, the identifiers ID aj and IP aj addresses of all jx subscribers send the generated messages to all the i-th network subscribers, and to transfer messages between the subscribers by the identifier of the recipient of the message ID a, select its IP address a and safe route
Figure 00000004
. When connecting a new subscriber to the communication network is formed message containing IP address of the network node CSS connecting a new subscriber, his identifier ID and an IP address of an. The generated message is sent to the security server, where it is stored in the structural and identification arrays. Then, in the security server, secure communication routes between the new subscriber and all j-th subscribers are selected and stored. Then they generate messages that include information about stored secure communication routes, and send them to all network subscribers.

В исходные данные дополнительно задают допустимое значение

Figure 00000005
комплексного показателя безопасности маршрута. После вычисления для каждого из Nij возможных маршрутов связи комплексных показателей безопасности маршрутов
Figure 00000006
, как средних показателей безопасности маршрутов
Figure 00000007
, сравнивают значения комплексных показателей безопасности маршрутов
Figure 00000008
с предварительно заданным допустимым значением
Figure 00000009
. Запоминают допустимые маршруты
Figure 00000010
со значениями комплексных показателей безопасности
Figure 00000011
.The input data additionally sets a valid value
Figure 00000005
a comprehensive indicator of route safety. After calculating for each of the N ij possible communication routes, complex route safety metrics
Figure 00000006
as average route safety
Figure 00000007
, compare the values of complex route safety metrics
Figure 00000008
with predefined valid value
Figure 00000009
. Remember valid routes
Figure 00000010
with complex safety metrics
Figure 00000011
.

Формируют Mij пар дополнительных идентификаторов для абонентов сети

Figure 00000012
, где
Figure 00000013
.Form M ij pairs of additional identifiers for network subscribers
Figure 00000012
where
Figure 00000013
.

Формируют совокупность L возможных допустимых маршрутов связи между каждой парой идентификаторов абонентов сети, где L=Mij+1, и запоминают сформированные L маршруты.A set of L possible valid communication routes is formed between each pair of identifiers of network subscribers, where L = M ij +1, and the generated L routes are stored.

После отправки сформированных сообщений всем i-м абонентам сети принимают их абонентами сети и назначают Mij пар дополнительных идентификаторов

Figure 00000014
абонентам сети в соответствии с управляющей информацией, содержащейся в принятых сообщениях.After sending the generated messages to all i-th network subscribers, they are received by their network subscribers and M ij pairs of additional identifiers are assigned
Figure 00000014
subscribers of the network in accordance with the control information contained in the received messages.

Фрагментируют исходящее сообщение на L фрагментов. При этом количество фрагментов выбирают равным количеству пар идентификаторов: (L=Mij+1) и передают фрагменты сообщения по L возможным допустимым маршрутам связи.Fragment the outgoing message into L fragments. In this case, the number of fragments is chosen equal to the number of pairs of identifiers: (L = M ij +1) and message fragments are transmitted along L possible valid communication routes.

Благодаря новой совокупности существенных признаков обеспечивается маскирование структуры сети связи, а за счет непрерывного изменения идентификаторов абонентов сети в передаваемых пакетах сообщений и передачи пакетов сообщений по всем допустимым маршрутам связи существенно снижаются потери при компрометации безопасных маршрутов связи абонентов и, следовательно, повышается скрытность связи при обеспечении информационной безопасности цифровых систем связи.Thanks to the new set of essential features, masking of the communication network structure is ensured, and due to the continuous change of the network subscriber identifiers in the transmitted message packets and transmission of message packets along all valid communication routes, losses during compromise of the subscribers' secure communication routes are significantly reduced and, therefore, communication secrecy is increased while ensuring information security of digital communication systems.

Заявленные объекты изобретения поясняются чертежами, на которых показаны:The claimed objects of the invention are illustrated by drawings, which show:

фиг. 1 - пример структуры распределенной сети связи;FIG. 1 is an example of a structure of a distributed communication network;

фиг. 2 - структуры пакета сообщений и его IP-заголовка;FIG. 2 - structure of the message packet and its IP header;

фиг. 3 - исходные данные для иллюстрации порядка расчетов;FIG. 3 - source data to illustrate the calculation procedure;

фиг. 4 - блок-схема последовательности действий, реализующих заявленный способ маскирования структуры сети связи;FIG. 4 is a block diagram of a sequence of actions that implement the claimed method of masking the structure of a communication network;

фиг. 5 - матрица доступа и массивы соответствия;FIG. 5 - access matrix and matching arrays;

фиг. 6 - выбор допустимых маршрутов связи;FIG. 6 - selection of valid communication routes;

фиг. 7 - таблицы расчета средних показателей безопасности маршрутов и выбора допустимых маршрутов;FIG. 7 - tables for calculating average route safety indicators and selecting valid routes;

фиг. 8 - иллюстрация схем связи абонентов и сервера безопасности по допустимым маршрутам;FIG. 8 is an illustration of communication schemes of subscribers and the security server along valid routes;

фиг. 9 - рисунок, представляющий результаты маскирования структуры сети связи.FIG. 9 is a drawing showing masking results of a communication network structure.

Заявленный способ реализуют следующим образом. В общем случае распределенные сети связи (фиг. 1а) строят для соединения абонентов сети 1 посредством сети связи общего пользования (например, Интернет), представляющей собой совокупность физических линий (каналов) связи 2, соединяющих собой X узлов сети 3 в единую инфраструктуру. Различные серверы цифровых систем связи могут быть доступны из выделенной совокупности абонентов, как, например, сервер безопасности 4, или представлять собой общедоступные серверы 5 сети связи общего пользования (например, Интернет 6).The claimed method is implemented as follows. In the general case, distributed communication networks (Fig. 1a) are built to connect subscribers of network 1 through a public communication network (for example, the Internet), which is a set of physical communication lines (channels) 2 connecting X nodes of network 3 into a single infrastructure. Various servers of digital communication systems can be accessed from a dedicated set of subscribers, such as a security server 4, or can be public servers 5 of a public communication network (for example, the Internet 6).

Целесообразно рассматривать случаи, когда количество узлов сети X больше или равно двум. Все элементы инфраструктуры определяются идентификаторами, в качестве которых в наиболее распространенном семействе протоколов TCP/IP используют сетевые адреса (IP-адреса). При необходимости распределенной обработки информации и (или) ее передачи абоненты осуществляют подключение к сети связи.It is advisable to consider cases when the number of network nodes X is greater than or equal to two. All infrastructure elements are identified by identifiers, which are used in the most common TCP / IP protocol family by network addresses (IP addresses). If necessary, distributed processing of information and (or) its transmission, subscribers connect to the communication network.

Множества адресов абонентов, подключенных к сети связи, и адресов узлов сети не пересекаются. Например, при использовании абонентами сервиса электронной почты схема связи абонентов включает в себя абонентов 1 Абi и Абj (фиг. 1б), сервер 5 электронной почты и каналы связи между ними 2. Абоненты 1 Абi и Абj и сервер 5 электронной почты используют уникальные IP-адреса.Many addresses of subscribers connected to the communication network and addresses of network nodes do not intersect. For example, when using email service by subscribers, the communication scheme of subscribers includes subscribers 1 Ab i and Abj (Fig. 1b), email server 5 and communication channels between them 2. Subscribers 1 Ab i and Abj and email server 5 use unique IP addresses

При передаче пакетов сообщений по сетям связи общего пользования к абонентам сети, узлам сети и линиям (каналам) связи предъявляют требования информационной безопасности, характеризующие допустимые значения показателей безопасности элементов сети связи.When transmitting message packets over public communication networks, network subscribers, network nodes and communication lines (channels) are subject to information security requirements that characterize the acceptable values of security indicators for communication network elements.

В случае получения нарушителем несанкционированного доступа к элементам сети связи (фиг. 1а) схема связи абонентов становится доступной нарушителю.If the intruder receives unauthorized access to the elements of the communication network (Fig. 1a), the communication scheme of the subscribers becomes available to the violator.

Доступность схемы связи абонентов нарушителю обуславливается низкой скрытностью абонентов сети, использующих открытые IP-адреса, и возможностью идентификации по ним пакетов сообщений относительно конкретных пользователей сети и (или) узлов связи.The availability of the subscriber’s communication scheme to the intruder is determined by the low secrecy of network subscribers using open IP addresses and the possibility of identifying message packets from them regarding specific network users and (or) communication nodes.

Например, на фиг. 1в, пользователи User №1 и User №2 сгруппированы нарушителем в абонента Абi 1 по признаку использования ими одного IP-адреса, так как они подключены к сети связи общего пользования через один маршрутизатор (см. фиг. 1а). Структуры пакета сообщений и его IP-заголовка известны и представлены на фиг. 2. Использование абонентами для подключения к сети связи общего пользования одного маршрутизатора демаскирует их принадлежность к одному узлу связи. В то же время нарушитель наблюдает именно двух пользователей, сгруппированных в абонента Абi 1, так как между абонентами Абi и Абj кроме линии прямой связи существует альтернативный канал связи (показан на фиг. 1в пунктирной линией), включающий сервер электронной почты 5, что демаскируется полями «From» и «To» заголовка сообщения электронной почты, передаваемого абонентами. Структура служебных полей заголовка сообщения электронной почты известна и описана в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://tools.ietf.org/html/rfc822).For example, in FIG. 1c, users User No. 1 and User No. 2 are grouped by the intruder into subscriber Ab i 1 based on their use of one IP address, since they are connected to the public communication network through one router (see Fig. 1a). The structures of the message packet and its IP header are known and shown in FIG. 2. The use by subscribers of one router to connect to a public communication network unmasks their belonging to one communication node. At the same time, the intruder observes exactly two users grouped into the subscriber Ab i 1, since between the subscribers Ab i and Abj, in addition to the direct communication line, there is an alternative communication channel (shown in dashed line in Fig. 1c), including the email server 5, which it is unmasked by the “From” and “To” fields of the email header sent by subscribers. The structure of the service fields of the email header is known and described in the technical specifications (RFC, Request for Comments) of the Internet (see, for example, https://tools.ietf.org/html/rfc822).

В подобных описанному на фиг. 1 случаях считают, что нарушитель реконструирует (вскрывает) структуру сети связи и может осуществлять деструктивные воздействия на все ее элементы.Similar to that described in FIG. In 1 cases, it is believed that the intruder reconstructs (opens) the structure of the communication network and can carry out destructive effects on all its elements.

Реконструкция структуры сети связи происходит вследствие известности (открытости) структуры пакетов сообщений, где адреса отправителя и получателя демаскируют абонентов сети.The reconstruction of the communication network structure occurs due to the fame (openness) of the message packet structure, where the addresses of the sender and receiver unmask the network subscribers.

Для маскирования структуры сети связи необходимо обеспечивать индивидуальную скрытность абонентов и управлять маршрутами информационного обмена абонентов в сети связи общего пользования. Структура сети связи общего пользования динамична и содержит большое количество узлов, поэтому задачи оценивания показателей безопасности, формирования маршрутов и обслуживания запросов абонентов о безопасных маршрутах связи возлагают на выделенный сервер безопасности. Количество серверов безопасности зависит от размера сети связи и может быть задано, например, в соотношении 1 сервер на 7…10 корреспондирующих абонентов.To mask the structure of the communication network, it is necessary to provide individual stealth of subscribers and manage the routes of information exchange of subscribers in the public communication network. The structure of the public communication network is dynamic and contains a large number of nodes, therefore, the tasks of evaluating security indicators, forming routes and servicing subscribers' requests for safe communication routes are assigned to a dedicated security server. The number of security servers depends on the size of the communication network and can be set, for example, in the ratio of 1 server to 7 ... 10 corresponding subscribers.

Рассмотрим вариант структуры распределенной сети связи (фиг. 3), представляющей собой совокупность из 5 узлов сети 1, сервера безопасности 2 и абонентов сети 3, объединенных физическими линиями связи 4.Let us consider a variant of the structure of a distributed communication network (Fig. 3), which is a combination of 5 nodes of network 1, security server 2, and subscribers of network 3 connected by physical communication lines 4.

На фиг. 4 представлена блок-схема последовательности действий, реализующих заявленный способ маскирования структуры сети связи, в которой приняты следующие обозначения:In FIG. 4 presents a block diagram of a sequence of actions that implement the claimed method of masking the structure of the communication network, in which the following notation:

{IP} - структурный массив;{IP} - structural array;

{ID} - идентификационный массив;{ID} - identification array;

IPСБ - сетевой адрес сервера безопасности;IP SB - network address of the security server;

IDa - идентификатор абонента;ID a - subscriber identifier;

IPа - сетевой адрес абонента;IP a - network address of the subscriber;

Y - число учитываемых параметров безопасности узлов сети;Y is the number of considered host security parameters;

bxy - значение y-го параметра безопасности x-го узла сети, где x=1, 2, …, X, y=1, 2, …, Y;b xy is the value of the y-th security parameter of the x-th network node, where x = 1, 2, ..., X, y = 1, 2, ..., Y;

k - комплексный показатель безопасности каждого x-го узла сети;k is a comprehensive security measure for each x-th network node;

Nij - количество деревьев графа сети связи, соответствующее совокупности возможных маршрутов связи между i-м и j-м абонентами сети, где i=1, 2, …, j=1, 2, …, и i≠j;N ij is the number of trees in the graph of the communication network corresponding to the set of possible communication routes between the i-th and j-th subscribers of the network, where i = 1, 2, ..., j = 1, 2, ..., and i ≠ j;

Figure 00000015
- средний показатель безопасности маршрута связи между i-м и j-м абонентами сети;
Figure 00000015
- the average indicator of the security of the communication route between the i-th and j-th network subscribers;

Figure 00000016
- безопасный маршрут связи между i-м и j-м абонентами сети;
Figure 00000016
- a secure communication route between the i-th and j-th network subscribers;

zn - количество вершин n-ого дерева графа, где n=1, 2, …, Nij, соответствующее количеству принадлежащих ему узлов сети;z n is the number of vertices of the nth tree of the graph, where n = 1, 2, ..., N ij , corresponding to the number of network nodes belonging to it;

СБ - сервер безопасности.SB - Security Server.

На начальном этапе в сервере безопасности (на фиг. 4 - СБ) задают исходные данные (бл. 1 на фиг. 4), включающие структурный {IP} и идентификационный {ID} массивы, адрес сервера безопасности IPСБ, идентификаторы IDa и адреса IPa абонентов, подключенных к сети связи, а также для каждого x-го узла сети, где x=1, 2, …, X, Y≥2 параметров безопасности и их значения bxy, где y=1, 2, …, Y, которые сведены в таблицу (фиг. 5в). Структурный массив {IP} - массив для хранения адреса сервера безопасности IPСБ, адресов узлов IPУС и абонентов IPa сети, а также информации о наличии связи между ними (фиг. 5а), которая характеризуется только двумя значениями, "1" - наличие связи и "0" - ее отсутствие. Идентификационный массив {ID} - массив для хранения идентификаторов сервера безопасности IDСБ, абонентов IDa сети связи и соответствующих им адресов абонентов сети IPa и сервера безопасности IPСБ (фиг. 5б). Параметры безопасности узлов сети определяют, например, в соответствии с ГОСТ Р ИСО/МЭК 15408-2002 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».At the initial stage, in the security server (in Fig. 4 - SB) initial data is set (bl. 1 in Fig. 4), including structural {IP} and identification {ID} arrays, address of the security server IP SB , IDs a and addresses IP a subscribers connected to the communication network, as well as for each x-th network node, where x = 1, 2, ..., X, Y≥2 security parameters and their values b xy , where y = 1, 2, ..., Y, which are summarized in the table (Fig. 5B). Structural array {IP} - array to store the security server address IP SC, IP node addresses CSS and subscriber IP a network, and information of a link between them (Figure 5a.) Having only two values, "1" - the presence of communication and "0" - its absence. Identification array {ID} is an array for storing the identifiers of the security server ID SB , subscribers ID a of the communication network and the corresponding addresses of subscribers of the network IP a and the security server IP SB (Fig. 5b). The security parameters of network nodes are determined, for example, in accordance with GOST R ISO / IEC 15408-2002 “Methods and means of ensuring security. Information Technology Security Assessment Criteria. ”

Значения bx1 параметра y=1 безопасности узлов сети определяют, например, по характеристикам производителей оборудования узлов сети, информацию о которых можно получить из физических адресов узлов сети. Физические адреса узлов сети представляют в виде шестнадцатеричной записи, например 00:10:5a:3F:D4:E1, где первые три значения определяют производителя (00:01:е3 - Siemens, 00:10:5а - 3Com, 00:03:ba - Sun).Values b x1 of the parameter y = 1 of the security of the network nodes are determined, for example, by the characteristics of the equipment manufacturers of the network nodes, information about which can be obtained from the physical addresses of the network nodes. The physical addresses of network nodes are represented in hexadecimal notation, for example 00: 10: 5a: 3F: D4: E1, where the first three values determine the manufacturer (00: 01: е3 - Siemens, 00: 10: 5a - 3Com, 00:03: ba - Sun).

Например, для УС1 (x=1 на фиг. 5а) физический адрес которого 00:01:e3:3F:D4:E1, первые три значения определяют производителя Siemens, что соответствует значению параметра безопасности b11=0,3. Аналогично определяются значения bx1 параметра y=1 безопасности узлов сети УС2-УС5, а также значения bxy всех заданных Y≥2 параметров безопасности (фиг. 5а).For example, for US1 (x = 1 in Fig. 5a) whose physical address is 00: 01: e3: 3F: D4: E1, the first three values determine the manufacturer Siemens, which corresponds to the value of the security parameter b 11 = 0.3. Similarly, the values b x1 of the parameter y = 1 of the security of the network nodes US2-US5 are determined, as well as the values of b xy of all the given Y≥2 security parameters (Fig. 5a).

В качестве остальных параметров безопасности узла сети можно рассматривать тип его оборудования, версию установленного на нем программного обеспечения, принадлежность узла государственной или частной организации и другие известные сведения.As the other security parameters of the network node, one can consider the type of equipment, the version of the software installed on it, the ownership of the node of a state or private organization, and other known information.

Для каждого x-го узла сети по значениям bxy его параметров безопасности вычисляют комплексный показатель безопасности k (бл. 2 на фиг. 4). Рассчитанные показатели представлены в таблице (фиг. 5г).For each x-th node of the network, the complex safety factor k xΣ is calculated from the values of b xy of its security parameters ( block 2 in Fig. 4). The calculated indicators are presented in the table (Fig. 5g).

Комплексный показатель безопасности k для каждого x-го узла сети вычисляют путем суммирования

Figure 00000017
, или перемножения
Figure 00000018
, или как среднее арифметическое значение
Figure 00000019
его параметров безопасности bxy.The complex safety indicator k for each xth network node is calculated by summing
Figure 00000017
, or multiplication
Figure 00000018
, or as the arithmetic mean
Figure 00000019
its security settings b xy .

Принципиально способ вычисления k не влияет на результат выбора безопасного маршрута. Например, значения вычисленных комплексных показателей безопасности k для каждого x-го узла рассматриваемого варианта сети связи (фиг. 3) перечисленными способами при заданных значениях параметров безопасности bxy узлов приведены в таблице (фиг. 7а).Fundamentally, the method of calculating k does not affect the result of choosing a safe route. For example, the values of the calculated complex security indicators k for each x-th node of the considered variant of the communication network (Fig. 3) by the listed methods for the given values of the security parameters b xy nodes are shown in the table (Fig. 7a).

Далее формируют матрицу смежности вершин графа сети (бл. 3 на фиг. 4), для чего запоминают в структурном массиве (фиг. 5а) адреса узлов сети IPУС и адреса абонентов IPa сети, а также информацию о наличии связи между узлами и абонентами сети.Further formed adjacency matrix network of vertices (bl. 3 in FIG. 4), which is stored in the structural array (FIG. 5a) addresses network nodes IP CSS and addresses of subscribers IP a network and information about a link between the nodes and subscribers network.

Способы формирования матриц смежности вершин графа известны (см., например, Конечные графы и сети. Басакер Р., Саати Т., М, 1973, 368 с.). Для рассматриваемого графа сети связи матрица смежности вершин имеет вид:Methods of generating adjacency matrices of graph vertices are known (see, for example, Finite graphs and networks. Basaker R., Saati T., M, 1973, 368 pp.). For the considered graph of the communication network, the adjacency matrix of the vertices has the form:

Figure 00000020
Figure 00000020

После этого в идентификационном массиве (фиг. 5б) запоминают идентификаторы IDa, IDСБ и соответствующие им адреса IPa, IPСБ абонентов сети и сервера безопасности.After that, the identifiers ID a , SB ID and the corresponding IP a , IP SB addresses of network subscribers and the security server are stored in the identification array (Fig. 5b).

Формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети (бл. 4 на фиг. 4), где i=1, 2, …, j=1, 2, …, и i≠j, в виде Nij деревьев графа сети связи. Каждое n-ое, где n=1, 2, …, Nij, дерево графа состоит из zn вершин, соответствующих количеству узлов сети. Порядок формирования деревьев графа известен и описан, см., например, Кристофидес Н. Теория графов: Алгоритмический подход. Пер. с англ. - М.: Мир, 1978. - 432 с.A set of possible communication routes is formed between the ith and jth subscribers of the network (bl. 4 in Fig. 4), where i = 1, 2, ..., j = 1, 2, ..., and i ≠ j, in the form N ij trees graph communication network. Each n-th, where n = 1, 2, ..., N ij , the graph tree consists of z n vertices corresponding to the number of network nodes. The order of formation of graph trees is known and described; see, for example, Christofides N. Graph Theory: Algorithmic Approach. Per. from English - M .: Mir, 1978.- 432 p.

Общее число Nij деревьев графа сети связи между i-м и j-м абонентами сети может быть определено различными методами. В заявленном способе общее число Nij деревьев графа находят с использованием матрицы смежности.The total number N ij trees of the graph of the communication network between the i-th and j-th subscribers of the network can be determined by various methods. In the claimed method, the total number N ij of graph trees is found using the adjacency matrix.

Удаляя одну строку матрицы B, получают матрицу Bо, а затем транспонированную к ней матрицу

Figure 00000021
. Порядок получения транспонированной матрицы известен и описан (см., например, Г. Корн, Т. Корн. Справочник по математике для научных работников и инженеров. - М.: Наука, 1977 г.).Removing one row of the matrix B, we obtain the matrix B о , and then the matrix transposed to it
Figure 00000021
. The procedure for obtaining a transposed matrix is known and described (see, for example, G. Korn, T. Korn. Handbook of mathematics for scientists and engineers. - M .: Nauka, 1977).

Построение маршрутов связи между абонентами на основе деревьев графа сети связи обеспечивает нахождение всех возможных маршрутов связи и их незамкнутость, т.е. исключает неприемлемые для передачи сообщений замкнутые маршруты. Таким образом, проведя расчеты получаем общее число Nij деревьев графа сети связи между i-м и j-м абонентами сети равное 5.The construction of communication routes between subscribers based on the trees of the graph of the communication network ensures the finding of all possible communication routes and their openness, i.e. eliminates closed routes unacceptable for messaging. Thus, after calculations, we obtain the total number N ij of trees of the graph of the communication network between the i-th and j-th subscribers of the network equal to 5.

Для обоснования и объективного выбора безопасного маршрута связи из совокупности Nij=5 возможных маршрутов связи между i-м и j-м абонентами сети вычисляют средние показатели безопасности

Figure 00000022
(бл. 5 на фиг. 4) как среднее арифметическое комплексных показателей безопасности
Figure 00000023
узлов сети, входящих в n-й маршрут связи
Figure 00000024
.To justify and objectively choose a safe communication route from the set N ij = 5 possible communication routes between the i-th and j-th network subscribers, average safety indicators are calculated
Figure 00000022
(bl. 5 in Fig. 4) as the arithmetic mean of complex safety indicators
Figure 00000023
network nodes included in the nth communication route
Figure 00000024
.

Используя результаты, полученные при вычислении комплексных показателей безопасности узлов сети разными способами (фиг. 7а), вычислены средние показатели безопасности

Figure 00000025
маршрутов связи, сформированных между i-м и j-м абонентами сети (фиг. 6а). Результаты сведены в таблицу (фиг. 7б).Using the results obtained when calculating the complex indicators of the security of network nodes in different ways (Fig. 7a), average safety indicators are calculated
Figure 00000025
communication routes formed between the i-th and j-th network subscribers (Fig. 6a). The results are tabulated (Fig. 7b).

Далее сравнивают значения комплексных показателей безопасности маршрутов

Figure 00000026
с предварительно заданным допустимым значением
Figure 00000027
(бл. 6 на фиг. 4). Если значения комплексных показателей безопасности маршрутов удовлетворяют условию:
Figure 00000028
, то запоминают допустимые маршруты
Figure 00000029
(бл. 7 на фиг. 4). При сравнении могут быть найдены несколько маршрутов с равными средними показателями безопасности, при этом при передаче сообщений приоритет отдается самому короткому маршруту с наименьшим количеством входящих в него узлов zn.Next, the values of the comprehensive route safety metrics are compared.
Figure 00000026
with predefined valid value
Figure 00000027
(bl. 6 in Fig. 4). If the values of the complex route safety metrics satisfy the condition:
Figure 00000028
then remember the valid routes
Figure 00000029
(bl. 7 in Fig. 4). When comparing, several routes with equal average safety indices can be found, while when sending messages, priority is given to the shortest route with the least number of nodes z n included in it.

При заданном

Figure 00000030
из полученных результатов, приведенных на фиг. 6а следует, что первый, второй и третий маршруты n=1, 2, 3 имеют значения среднего показателя безопасности,
Figure 00000031
удовлетворяющие этому требованию и они выделены полужирным шрифтом. При анализе полученных расчетов средних показателей безопасности маршрутов выявлено, что способ вычисления k не влияет на результат выбора безопасного маршрута. Таким образом, формируют множество допустимых маршрутов между всеми абонентами сети.Given
Figure 00000030
from the results shown in FIG. 6a it follows that the first, second and third routes n = 1, 2, 3 have values of an average safety indicator,
Figure 00000031
satisfying this requirement and they are in bold. When analyzing the obtained calculations of average route safety indicators, it was revealed that the method of calculating k does not affect the result of choosing a safe route. Thus, many valid routes are formed between all network subscribers.

Далее формируют Mij пар дополнительных идентификаторов для абонентов сети

Figure 00000032
, где
Figure 00000033
, формируют совокупность возможных допустимых маршрутов связи L между каждой парой идентификаторов абонентов сети, где L=Mij+1, и запоминают сформированные L маршруты (бл. 8, 9, 10 на фиг. 4).Then form M ij pairs of additional identifiers for network subscribers
Figure 00000032
where
Figure 00000033
form a set of possible valid communication routes L between each pair of identifiers of network subscribers, where L = M ij +1, and remember the generated L routes (blocs 8, 9, 10 in Fig. 4).

Далее формируют сообщения, включающие запомненные L допустимые маршруты между i-м и всеми j-ми абонентами, идентификаторы IDaj и адреса IPaj всех j-х абонентов (бл. 11 на фиг. 4). После этого отправляют сформированные сообщения всем i-м абонентам сети (бл. 12 на фиг. 4). Таким образом, каждого абонента сети уведомляют о допустимых маршрутах ко всем остальным абонентам.Next, messages are generated that include the stored L valid routes between the i-th and all j-th subscribers, identifiers ID aj and IP aj addresses of all j-th subscribers (block 11 in Fig. 4). After that, the generated messages are sent to all i-th network subscribers (bl. 12 in Fig. 4). Thus, each subscriber of the network is notified of the valid routes to all other subscribers.

Для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения IDa выбирают его адрес IPa и допустимый маршрут

Figure 00000034
к нему, после чего передают сообщение абоненту-получателю по заданному маршруту. Известные протоколы маршрутизации (routing protocols), такие как RIP, OSPF, NLSP, BGP, предназначены для передачи пользовательской информации и обеспечивают в способе маршрутизации от источника (source specified routing) обмен информацией по заданному маршруту (см., например, Олифер В.Г. и Олифер Н.А. «Компьютерные сети. Принципы, технологии, протоколы», уч. для Вузов, 5-е изд. - СПб.: Питер, 2016). Таким образом, у абонентов имеется возможность передачи сообщений именно по заданному безопасному маршруту.To send messages between subscribers using the ID of the recipient of the message ID a, select his IP address a and a valid route
Figure 00000034
to him, after which they transmit the message to the subscriber-recipient along the specified route. Known routing protocols, such as RIP, OSPF, NLSP, BGP, are designed to transmit user information and provide a way to route from the source (source specified routing) exchange of information on a given route (see, for example, Olifer V.G. . and Olifer N.A. “Computer Networks. Principles, Technologies, Protocols”, studies for Universities, 5th ed. - St. Petersburg: Peter, 2016). Thus, subscribers have the opportunity to send messages exactly on a given safe route.

Затем после отправки сформированных сообщений всем i-м абонентам сети принимают их абонентами сети, назначают Mij пар дополнительных идентификаторов

Figure 00000035
абонентам сети в соответствии с управляющей информацией, содержащейся в принятых сообщениях (бл. 13, 14 на фиг. 4). Далее фрагментируют исходящее сообщение на L фрагментов, при этом количество фрагментов выбирают равным количеству пар идентификаторов: (L=Mij+1) и передают фрагменты сообщения по L возможным допустимым маршрутам связи (бл. 15, 16 на фиг. 4).Then, after sending the generated messages to all i-th network subscribers, they are received by their network subscribers, M ij pairs of additional identifiers are assigned
Figure 00000035
subscribers of the network in accordance with the control information contained in the received messages (bl. 13, 14 in Fig. 4). Next, the outgoing message is fragmented into L fragments, while the number of fragments is chosen equal to the number of identifier pairs: (L = M ij +1) and message fragments are transmitted along L possible valid communication routes (blocks 15, 16 in Fig. 4).

При подключении нового абонента (на фиг. 3 - Аб н) к сети связи формируют у него сообщение, содержащее адрес узла сети УС 4 IPУ4 к которому он подключен, его идентификатор IDан и адрес IPан (бл. 17 и 18 на фиг. 4). Отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах (бл. 19 и 20 на фиг. 4), дополняя (обновляя) таким образом, информацию о структуре сети связи и абонентах сети.When a new subscriber is connected (in Fig. 3 - Ab n) to the communication network, they form a message with the address of the network node US 4 IP U4 to which he is connected, his ID ID en and IP en address (Blocks 17 and 18 in FIG. . four). The generated message is sent to the security server, where it is stored in the structural and identification arrays (blocks 19 and 20 in Fig. 4), thus supplementing (updating) information on the structure of the communication network and the network subscribers.

В сервере безопасности аналогично описанному выше способу выбирают безопасные маршруты связи

Figure 00000036
между новым абонентом и всеми j-ми абонентами и запоминают их (бл. 21 и 22 на фиг. 4). Формируют сообщение, включающее информацию о запомненных безопасных маршрутах связи ко всем j-ым абонентам сети и отправляют его новому абоненту. Формируют сообщения, включающие информацию о запомненных безопасных маршрутах связи от каждого j-ого абонента сети к новому абоненту, и отправляют их j-ым абонентам сети (бл. 23, 24 на фиг. 4). Таким образом, нового абонента сети уведомляют о безопасных маршрутах ко всем абонентам сети, а остальных абонентов уведомляют о безопасных маршрутах к новому абоненту.In the security server, similar to the method described above, secure communication routes are selected
Figure 00000036
between the new subscriber and all j-th subscribers and remember them (bl. 21 and 22 in Fig. 4). A message is generated that includes information about the stored secure communication routes to all j-th subscribers of the network and sent to a new subscriber. Messages are generated that include information on stored secure communication routes from each j-th network subscriber to a new subscriber, and sent to the j-th network subscribers (blocks 23, 24 in Fig. 4). Thus, the new network subscriber is notified of safe routes to all subscribers of the network, and the remaining subscribers are notified of safe routes to the new subscriber.

На фиг. 8 представлена иллюстрация схем связи абонентов и сервера безопасности по трем допустимым маршрутам, выбранным с помощью описанного способа. Структура реальной сети связи общего пользования динамична и содержит огромное количество узлов, поэтому задачи оценивания показателей безопасности, формирования маршрутов и обслуживания запросов абонентов о безопасных маршрутах связи возлагают на выделенный сервер или несколько серверов безопасности.In FIG. 8 is an illustration of communication schemes of subscribers and a security server along three valid routes selected using the described method. The structure of a real public communication network is dynamic and contains a huge number of nodes, therefore the tasks of evaluating security indicators, forming routes and servicing subscribers' requests for safe communication routes are assigned to a dedicated server or several security servers.

Рисунок, представляющий результаты маскирования структуры сети связи представлен на фиг. 9. В случае когда при анализе связности обнаруживается 3 абонента и 3 канала связи между ними (фиг. 9а), структуру можно определить как «полносвязную».A drawing representing the masking results of the communication network structure is shown in FIG. 9. In the case when, in the analysis of connectivity, 3 subscribers and 3 communication channels between them are detected (Fig. 9a), the structure can be defined as “fully connected”.

Совокупность L возможных допустимых маршрутов связи между каждой парой идентификаторов абонентов сети представлена в виде таблицы данных о допустимых маршрутах (фиг. 9б).The set L of possible valid communication routes between each pair of identifiers of network subscribers is presented in the form of a table of data on valid routes (Fig. 9b).

В случае когда анализ связности структуры сети связи показывает, например, 12 абонентов и 6 каналов связи между ними (фиг. 9в), структуру определяют как «бессвязная».In the case when the analysis of the connectivity of the structure of the communication network shows, for example, 12 subscribers and 6 communication channels between them (Fig. 9c), the structure is defined as “incoherent”.

Вычисляемые комплексные показатели безопасности

Figure 00000037
узлов, входящих в сформированные маршруты связи, дают основание для объективной оценки выбранных допустимых и безопасных маршрутов связи между абонентами сети и позволяют учитывать необходимые и достаточные условия для выбора допустимого и безопасного маршрута в сети связи. Из проведенных расчетов комплексных показателей безопасности
Figure 00000038
узлов сети с учетом их параметров безопасности bxy и моделирования заявленного алгоритма действий маскирования структуры сети связи, достигается исключение транзитных узлов сети, обладающих низким уровнем безопасности, который указывает на высокую вероятность несанкционированного перехвата передаваемых абонентами сообщений. Выбранные маршруты связи между i-м и j-м абонентами проходят через транзитные узлы сети, обладающие максимально высокими уровнями безопасности, что снижает вероятность перехвата злоумышленниками информационного обмена абонентов сети.Computed Comprehensive Security Indicators
Figure 00000037
nodes included in the formed communication routes provide the basis for an objective assessment of the selected acceptable and safe communication routes between network subscribers and allow you to take into account the necessary and sufficient conditions for choosing an acceptable and safe route in the communication network. From the calculations of complex safety indicators
Figure 00000038
network nodes taking into account their security parameters b xy and modeling the claimed algorithm for masking the communication network structure, exclusion of transit network nodes having a low level of security, which indicates a high probability of unauthorized interception of messages transmitted by subscribers. The selected communication routes between the i-th and j-th subscribers pass through the transit nodes of the network with the highest security levels, which reduces the likelihood of cybercriminals intercepting the information exchange of network subscribers.

Таким образом, в рассмотренном способе путем задания информации о структуре сети связи, исходных данных об узлах и абонентах сети, и расчета комплексных показателей безопасности узлов сети, осуществляется выбор допустимых и безопасных маршрутов в сети связи из совокупности всех возможных маршрутов связи между абонентами и доведение допустимых и безопасного маршрута до абонентов сети, что обеспечивает достижение сформулированного технического результата - повышение скрытности связи и затруднение идентификации абонентов сети несанкционированными абонентами за счет непрерывного изменения идентификаторов абонентов сети в передаваемых пакетах сообщений и передачи пакетов сообщений по всем допустимым маршрутам связи.Thus, in the considered method, by setting information about the structure of the communication network, initial data on the nodes and subscribers of the network, and calculating complex indicators of the security of the nodes of the network, the selection of acceptable and safe routes in the communication network is made from the totality of all possible communication routes between subscribers and bringing acceptable and a safe route to network subscribers, which ensures the achievement of the formulated technical result - increased communication secrecy and the difficulty of identifying non-network subscribers onirovannymi subscribers due to the continuous changes in the network subscriber identifier in the transmitted message packets and transmitting message packets for all valid routes of communication.

Claims (5)

1. Способ маскирования структуры сети связи, заключающийся в том, что для сети связи, содержащей совокупность из X узлов сети, имеющих адреса IPX, предварительно задают исходные данные, содержащие информацию о структуре сети связи, включающую структурный и идентификационный массивы, адрес сервера безопасности IPСБ, идентификаторы ID a и адреса IP a абонентов, подключенных к сети связи, задают для каждого х-го узла сети, где х=1, 2, …, Х, совокупность Y параметров безопасности и их значения bxy, где y=1, 2, …, Y, вычисляют комплексный показатель безопасности kx∑ для каждого х-го узла сети, формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IPУС и адреса абонентов IP a сети, а также информацию о наличии связи между узлами и абонентами сети, а в идентификационном массиве запоминают идентификаторы ID a , IDСБ и соответствующие им адреса IP a , IPСБ абонентов сети и сервера безопасности, после чего формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети, где i=1, 2, …, j=1, 2,…, и i≠j, в виде Nij деревьев графа сети связи, причем каждое n-ое, где n=1, 2, …, Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети, затем для каждого из Nij возможных маршрутов связи вычисляют средние показатели безопасности
Figure 00000039
как среднее арифметическое комплексных показателей безопасности
Figure 00000040
узлов сети, входящих в n-й маршрут связи, и формируют сообщения, включающие запомненные маршруты
Figure 00000041
между i-м и всеми j-ми абонентами, идентификаторы ID a j и адреса IP a j всех j-x абонентов, отправляют сформированные сообщения всем i-м абонентам сети, а для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения ID a выбирают его адрес IP a и безопасный маршрут
Figure 00000042
, причем при подключении нового абонента к сети связи формируют сообщение, содержащее адрес узла сети IPУС подключения нового абонента, его идентификатор ID а н и адрес IP а н, после чего отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах, затем в сервере безопасности выбирают безопасные маршруты связи между новым абонентом и всеми j-ми абонентами и запоминают их, после чего формируют сообщения, включающие информацию о запомненных безопасных маршрутах связи, и отправляют их всем абонентам сети, отличающийся тем, что дополнительно в исходные данные задают допустимое значение
Figure 00000043
комплексного показателя безопасности маршрута, после вычисления для каждого из Nij возможных маршрутов связи комплексных показателей безопасности маршрутов
Figure 00000044
, как средних показателей безопасности маршрутов
Figure 00000045
, сравнивают значения комплексных показателей безопасности маршрутов
Figure 00000046
с предварительно заданным допустимым значением
Figure 00000047
, запоминают допустимые маршруты
Figure 00000048
со значениями комплексных показателей безопасности
Figure 00000049
, формируют Mij пар дополнительных идентификаторов для абонентов сети
Figure 00000050
, где
Figure 00000051
, формируют совокупность L возможных допустимых маршрутов связи между каждой парой идентификаторов абонентов сети, где L=Mij+1, и запоминают сформированные L маршруты, затем отправляют сформированные сообщения всем i-м абонентам сети, принимают их абонентами сети, назначают Mij пар дополнительных идентификаторов
Figure 00000052
абонентам сети в соответствии с управляющей информацией, содержащейся в принятых сообщениях, фрагментируют исходящее сообщение на L фрагментов, при этом количество фрагментов выбирают равным количеству пар идентификаторов: (L=Mij+1) и передают фрагменты сообщения по L возможным допустимым маршрутам связи.
1. A method for masking the communication network structure, comprising the steps that a communication network comprising a plurality of network nodes X having IP X address, setting an initial data containing information about the structure of a communication network comprising the identification and structural arrays, address security server IP SB , identifiers ID a and IP a addresses of subscribers connected to the communication network are set for each x-th network node, where x = 1, 2, ..., X, the set Y of security parameters and their values b xy , where y = 1, 2, ..., Y, calculate the complex indicator safely STI k for every xth network node adjacency matrix forming a network graph vertices, which are stored in the structural array network node addresses and IP addresses of subscribers CSS IP a network, and information of a link between the nodes and the subscribers of the network, and the identifiers ID a , SB ID and the corresponding IP a , IP SB addresses of the network subscribers and the security server are stored in the identification array, after which they form the set of possible communication routes between the i-th and j-th network subscribers, where i = 1, 2, ..., j = 1, 2, ..., and i ≠ j, in the form of N ij trees of the graph of the communication network, each e n-th, where n = 1, 2, ..., N ij , the graph tree consists of z n vertices corresponding to the number of network nodes belonging to it, then for each of the N ij possible communication routes average safety indices are calculated
Figure 00000039
as the arithmetic mean of complex safety indicators
Figure 00000040
network nodes included in the nth communication route, and form messages including stored routes
Figure 00000041
between the i-th and all j-th subscribers, the identifiers ID a j and the IP a j addresses of all jx subscribers send the generated messages to all the i-th network subscribers, and to send messages between the subscribers by the identifier of the recipient of the message ID a, select it IP a and secure route
Figure 00000042
, Wherein when a new subscriber to the communication network is formed message containing the address of the node IP CSS connect a new subscriber, his identifier ID and n and address IP MR then sends the generated message to the security server, where it is stored in the structural and identification arrays , then, in the security server, select secure communication routes between the new subscriber and all j-subscribers and store them, after which they generate messages that include information about the stored safe communication routes, and send t them to all network subscribers, characterized in that in addition to the initial data set an acceptable value
Figure 00000043
a comprehensive route safety indicator, after calculating for each of the N ij possible communication routes, the complex route safety indicators
Figure 00000044
as average route safety
Figure 00000045
, compare the values of complex route safety metrics
Figure 00000046
with predefined valid value
Figure 00000047
remember valid routes
Figure 00000048
with complex safety metrics
Figure 00000049
form M ij pairs of additional identifiers for network subscribers
Figure 00000050
where
Figure 00000051
form a set of L possible permissible communication routes between each pair of identifiers of network subscribers, where L = M ij +1, and remember the generated L routes, then send the generated messages to all i-th network subscribers, receive them by network subscribers, assign M ij pairs of additional identifiers
Figure 00000052
subscribers of the network, in accordance with the control information contained in the received messages, fragment the outgoing message into L fragments, while the number of fragments is chosen equal to the number of pairs of identifiers: (L = M ij +1) and message fragments are transmitted along L possible valid communication routes.
2. Способ по п. 1, отличающийся тем, что комплексный показатель безопасности kx∑ для каждого х-го узла сети вычисляют путем суммирования, или перемножения, или как среднее арифметическое значение его параметров безопасности bxy.2. The method according to p. 1, characterized in that the complex security indicator k x∑ for each x-th network node is calculated by summing, or multiplying, or as the arithmetic average of its security parameters b xy . 3. Способ по п. 1, отличающийся тем, что число Nij деревьев графа сети связи между i-м и j-м абонентами сети вычисляют по формуле:3. The method according to p. 1, characterized in that the number N ij of trees of the graph of the communication network between the i-th and j-th subscribers of the network is calculated by the formula:
Figure 00000053
Figure 00000053
где Во=M×K - преобразованная матрица смежности вершин графа сети связи, а М=Мр-1, K - соответственно число строк и столбцов матрицы, Мр - число строк исходной матрицы смежности, равное общему количеству узлов сети связи;
Figure 00000054
- транспонированная матрица к Bo.
where B o = M × K is the transformed adjacency matrix of the vertices of the graph of the communication network, and M = M p -1, K is the number of rows and columns of the matrix, M p is the number of rows of the original adjacency matrix, equal to the total number of nodes in the communication network;
Figure 00000054
is the transposed matrix to B o .
RU2016119915A 2016-05-23 2016-05-23 Method for masking the structure of telecommunication network RU2622842C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2016119915A RU2622842C1 (en) 2016-05-23 2016-05-23 Method for masking the structure of telecommunication network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2016119915A RU2622842C1 (en) 2016-05-23 2016-05-23 Method for masking the structure of telecommunication network

Publications (1)

Publication Number Publication Date
RU2622842C1 true RU2622842C1 (en) 2017-06-20

Family

ID=59068564

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2016119915A RU2622842C1 (en) 2016-05-23 2016-05-23 Method for masking the structure of telecommunication network

Country Status (1)

Country Link
RU (1) RU2622842C1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2682105C1 (en) * 2018-04-09 2019-03-14 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Communication network structure masking method
RU2739151C1 (en) * 2020-03-24 2020-12-21 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Method for masking structure of communication network
RU2759152C1 (en) * 2021-01-28 2021-11-09 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Method for masking structure of communication network
RU2793104C1 (en) * 2022-12-07 2023-03-29 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Method for communication network structure masking

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003026228A1 (en) * 2001-09-20 2003-03-27 Siemens Aktiengesellschaft Method for selecting useful routes in a router for even traffic distribution in a communication network
US20030093689A1 (en) * 2001-11-15 2003-05-15 Aladdin Knowledge Systems Ltd. Security router
US20040059807A1 (en) * 2002-09-16 2004-03-25 Finisar Corporation Network analysis topology detection
RU2331158C1 (en) * 2007-01-31 2008-08-10 Военная академия связи Method of evasive routing in communication networks (variants)
RU2408928C1 (en) * 2009-08-03 2011-01-10 Государственное образовательное учреждение высшего профессионального образования "Военная академия связи имени С.М. Буденного" Министерства обороны Российской Федерации Method for comparative assessment of information computer network

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003026228A1 (en) * 2001-09-20 2003-03-27 Siemens Aktiengesellschaft Method for selecting useful routes in a router for even traffic distribution in a communication network
US20030093689A1 (en) * 2001-11-15 2003-05-15 Aladdin Knowledge Systems Ltd. Security router
US20040059807A1 (en) * 2002-09-16 2004-03-25 Finisar Corporation Network analysis topology detection
RU2331158C1 (en) * 2007-01-31 2008-08-10 Военная академия связи Method of evasive routing in communication networks (variants)
RU2408928C1 (en) * 2009-08-03 2011-01-10 Государственное образовательное учреждение высшего профессионального образования "Военная академия связи имени С.М. Буденного" Министерства обороны Российской Федерации Method for comparative assessment of information computer network

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2682105C1 (en) * 2018-04-09 2019-03-14 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Communication network structure masking method
RU2739151C1 (en) * 2020-03-24 2020-12-21 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Method for masking structure of communication network
RU2759152C1 (en) * 2021-01-28 2021-11-09 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Method for masking structure of communication network
RU2793104C1 (en) * 2022-12-07 2023-03-29 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Method for communication network structure masking

Similar Documents

Publication Publication Date Title
RU2331158C1 (en) Method of evasive routing in communication networks (variants)
US8547851B1 (en) System and method for reporting traffic information for a network
CN104580551B (en) A kind of networking data center systems and method
RU2622842C1 (en) Method for masking the structure of telecommunication network
RU2645292C2 (en) Method for masking structure of telecommunication network
RU2682105C1 (en) Communication network structure masking method
Johnson et al. Avoiding the man on the wire: Improving Tor's security with trust-aware path selection
KR20190012928A (en) Load balancing apparatus and method
Traudt et al. Flashflow: A secure speed test for tor
CN113542077B (en) Openstack encrypted link management method and system
US9722874B2 (en) Inference-based network route control
RU2739151C1 (en) Method for masking structure of communication network
RU2715285C1 (en) Method of increasing stability of a secure connection between elements of a corporate management system using information and communication resources, which are controlled by two or more communication operators
Soualah et al. A novel virtual network embedding scheme based on Gomory-Hu tree within cloud's backbone
Ahmad et al. Studying the effect of internet exchange points on internet link delays
Markowski Algorithms for deadline-driven dynamic multicast scheduling problem in elastic optical networks
EP2920699A1 (en) Predictive caching in a distributed communication system
Baumeister et al. Using randomized routing to counter routing table insertion attack on Freenet
CN114827031B (en) Routing table security query method based on secure multiparty calculation
EP4231589A1 (en) Method and system for network topology obfuscation
RU2759152C1 (en) Method for masking structure of communication network
CN115225613A (en) IPv6 address information determination method, device, equipment and medium
Dahbi et al. Secured distributed discovery services in the EPCglobal network
RU2794532C1 (en) Method for communication network structure masking
RU2793104C1 (en) Method for communication network structure masking

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20180524