RU2645292C2 - Способ маскирования структуры сети связи - Google Patents

Способ маскирования структуры сети связи Download PDF

Info

Publication number
RU2645292C2
RU2645292C2 RU2016124953A RU2016124953A RU2645292C2 RU 2645292 C2 RU2645292 C2 RU 2645292C2 RU 2016124953 A RU2016124953 A RU 2016124953A RU 2016124953 A RU2016124953 A RU 2016124953A RU 2645292 C2 RU2645292 C2 RU 2645292C2
Authority
RU
Russia
Prior art keywords
network
communication
subscribers
routes
masking
Prior art date
Application number
RU2016124953A
Other languages
English (en)
Other versions
RU2016124953A (ru
Inventor
Борис Владимирович Голуб
Василий Александрович Краснов
Николай Юрьевич Лыков
Роман Викторович Максимов
Original Assignee
федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации filed Critical федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации
Priority to RU2016124953A priority Critical patent/RU2645292C2/ru
Publication of RU2016124953A publication Critical patent/RU2016124953A/ru
Application granted granted Critical
Publication of RU2645292C2 publication Critical patent/RU2645292C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)

Abstract

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении безопасности передачи данных. В способе предварительно задают информацию о структуре сети связи, исходные данные об узлах и абонентах сети, допустимого значения комплексного показателя безопасности маршрута, и вычисляют комплексные показатели безопасности узлов сети, формируют матрицу смежности вершин графа сети и совокупность возможных маршрутов связи между абонентами сети в виде деревьев графа, используя полученные результаты, осуществляют выбор наиболее безопасных, допустимых и маскирующих маршрутов в сети связи из совокупности всех возможных маршрутов связи между абонентами и доведение маршрутов до абонентов сети, при непрерывном изменении идентификаторов абонентов сети в передаваемых пакетах сообщений. 3 з.п. ф-лы, 10 ил.

Description

Изобретение относится к области инфокоммуникаций, а именно к обеспечению информационной безопасности цифровых систем связи, и, в частности, заявленный способ маскирования структуры сети связи предназначен для использования в распределенных сетях связи, построенных на основе сети связи общего пользования (например, Интернет).
Известен способ обеспечения корректировки маршрутов к абонентам сети, реализованный в «Способе корректировки маршрутов в сети передачи данных» по патенту РФ №2220190, МПК H04L 12/28, опубл. 10.10.1998 г.
Способ заключается в том, что поиск маршрутов доставки сообщений к абоненту осуществляется по сетевому адресу узла коммутации его текущей привязки. Выбор маршрутов к абоненту осуществляется на узлах коммутации по служебному корректирующему сообщению, содержащему сетевые адреса абонента, узла коммутации и код признака корректировки «запись», «стирание».
Недостатком данного способа является отсутствие адаптации к изменениям структуры сети связи. Это вызвано тем, что корректировка осуществляется децентрализовано и охватывает не всю сеть связи, а ее отдельные локальные участки. Отсутствие параметров выбора маршрутов к абоненту приводит к низкому качеству выбора.
Известен также способ обеспечения безопасности информации, циркулирующей в распределенной телекоммуникационной системе при передаче ее по каналам связи общего пользования, реализованный в «Распределенной телекоммуникационной системе для передачи разделенных данных, предназначенной для их раздельной передачи и приема» по патенту US №6912252, МПК H04L 12/56; H04L 12/28, опубл. 08.11.2001 г.
Способ заключается в выполнении следующих действий: исходные данные у отправителя разделяют на N частей. Далее из их комбинаций формируют группы промежуточных данных. Затем передают промежуточные данные независимо по N каналам связи. У получателя принимают группы промежуточных данных, пришедших по N каналам связи, и восстанавливают первоначальные данные.
Недостатком данного способа является относительно низкая скрытность связи и увеличение вероятности идентификации корреспондирующих субъектов в результате увеличения числа каналов связи между корреспондентами. Наличие транзитных узлов сети и каналов связи разных типов, обладающих низким уровнем безопасности, увеличивает потребность в ассортименте средств связи и создает предпосылки для перехвата злоумышленниками информационного обмена абонентов сети.
Известен также «Способ выбора целесообразным образом используемого маршрута в маршрутизаторе для равномерного распределения в коммутационной сети» по заявке на изобретение РФ №2004111798, МПК H04L 1/00, опубл. 10.05.2005 г.
Способ учитывает критерии качества маршрутов и информацию о структуре сети связи, включающую адреса узлов сети и наличие связи между ними. Для целевого адреса сети выбирают один маршрут, в соответствии с предварительно заданными критериями качества маршрутов, и передают по выбранному маршруту сообщения.
Недостатком указанного способа является относительно низкая скрытность связи при использовании выбранного маршрута информационного обмена абонентов в сети связи. Наличие транзитных узлов сети, обладающих низким уровнем безопасности, создает предпосылки для перехвата злоумышленниками информационного обмена абонентов сети и реконструкции трафика распределенной сети в некоторой точке сети Интернет.
Наиболее близким аналогом (прототипом) по своей технической сущности к заявленному способу является способ маскирования структуры сети связи, реализованной в «Способе выбора безопасного маршрута в сети связи» по патенту РФ №2331158, МПК H04L 12/28, опубл. 10.08.2008 г.
Ближайший аналог обеспечивает повышение скрытности связи за счет задания информации о структуре сети связи, исходных данных об узлах и абонентах сети, расчета комплексных показателей безопасности узлов сети, и на основе этих данных управления маршрутами информационного обмена абонентов в сети связи и выбора наиболее безопасного маршрута.
Недостатком указанного прототипа является низкая скрытность связи абонентов сети, обусловленная возможностью идентификации пакетов сообщений относительно конкретных пользователей сети и, следовательно, вскрытие структуры распределенной сети связи, в случае компрометации выбранного безопасного маршрута связи абонентов.
Здесь и далее под термином «компрометация безопасного маршрута связи абонентов» понимают событие, связанное с получением кем-либо несанкционированного доступа к элементам безопасного маршрута связи - точкам подключения абонентов к сети связи, транзитным узлам и линиям связи.
Целью заявленного изобретения является разработка способа маскирования структуры сети связи, обеспечивающего повышение скрытности связи и затруднение идентификации абонентов сети несанкционированными абонентами за счет непрерывного изменения идентификаторов абонентов сети в передаваемых пакетах сообщений, передачи пакетов сообщений по всем допустимым маршрутам связи и передачи маскирующих сообщений по маскирующим маршрутам связи.
Указанный технический результат достигается тем, что в известном способе маскирования структуры сети связи, заключающемся в том, что для сети связи, содержащей совокупность из X узлов сети, имеющих адреса IРХ, предварительно задают исходные данные, содержащие информацию о структуре сети связи, включающую структурный и идентификационный массивы, адрес сервера безопасности IPСБ, идентификаторы ID a и адреса IР а абонентов, подключенных к сети связи. Задают для каждого х-го узла сети, где х=1, 2, …, X, совокупность Y параметров безопасности и их значения bxy, где y=1, 2, …, Y. Затем вычисляют комплексный показатель безопасности
Figure 00000001
для каждого х-го узла сети.
Формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IРУС и адреса абонентов IР а сети, а также информацию о наличии связи между узлами и абонентами сети.
В идентификационном массиве запоминают идентификаторы ID а , IDСБ и соответствующие им адреса IР а , IРСБ абонентов сети и сервера безопасности.
После этого формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети, где i=1, 2, …, j=1, 2, … и i≠j, в виде Nij деревьев графа сети связи. Каждое n-е, где n=1, 2, …, Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети.
Для каждого из Nij возможных маршрутов связи вычисляют средний показатель безопасности маршрута
Figure 00000002
как среднее арифметическое комплексных показателей безопасности
Figure 00000003
узлов сети, входящих в n-й маршрут связи.
В качестве безопасного маршрута связи
Figure 00000004
выбирают маршрут с наибольшим значением его среднего показателя безопасности
Figure 00000005
.
Выбранный безопасный маршрут запоминают и формируют сообщения, включающие запомненные безопасные маршруты
Figure 00000006
между i-м и всеми j-ми абонентами, идентификаторы ID a j и адреса IP a j всех j-x абонентов.
Отправляют сформированные сообщения всем i-м абонентам сети. Для передачи сообщений между абонентами по безопасному маршруту по идентификатору абонента-получателя сообщения ID а выбирают его адрес IРа и безопасный маршрут
Figure 00000007
.
При подключении нового абонента к сети связи формируют сообщение, содержащее адрес узла сети IРУС подключения нового абонента, его идентификатор ID а н и адрес IР а н. Сформированное сообщение отправляют на сервер безопасности, где его запоминают в структурном и идентификационном массивах. Затем в сервере безопасности выбирают безопасные маршруты связи между новым абонентом и всеми j-ми абонентами и запоминают их. После чего формируют сообщения, включающие информацию о запомненных безопасных маршрутах связи, и отправляют их всем абонентам сети.
В исходные данные дополнительно задают допустимое значение
Figure 00000008
среднего показателя безопасности маршрута.
После запоминания выбранного безопасного маршрута сравнивают значения средних показателей безопасности маршрутов
Figure 00000009
с предварительно заданным допустимым значением
Figure 00000010
.
Запоминают допустимые маршруты
Figure 00000011
со значениями средних показателей безопасности
Figure 00000012
. Формируют
Figure 00000013
пар дополнительных идентификаторов для абонентов сети
Figure 00000014
, где
Figure 00000015
.
Запоминают маскирующие маршруты
Figure 00000016
со значениями средних показателей безопасности
Figure 00000017
. Формируют Fij пар маскирующих идентификаторов для абонентов сети
Figure 00000018
, где
Figure 00000019
.
Формируют совокупность L возможных допустимых маршрутов связи между каждой парой идентификаторов абонентов сети, где L=Мij+1 и запоминают сформированные L маршрутов.
Формируют совокупность G маскирующих маршрутов связи между каждой парой идентификаторов абонентов сети, где G=Fij+1 и запоминают сформированные G маршрутов.
Формируют сообщения, включающие информацию о запомненных допустимых L и маскирующих G маршрутах связи.
После выбора по идентификатору ID а абонента-получателя сообщения его адреса IР а и безопасного маршрута
Figure 00000020
отправляют сформированные сообщения о допустимых L и маскирующих G маршрутах связи всем i-м абонентам сети. Принимают их абонентами сети.
Назначают Мij пар дополнительных адресов
Figure 00000021
и Fij пар маскирующих адресов
Figure 00000022
абонентам сети в соответствии с управляющей информацией, содержащейся в принятых сообщениях.
Формируют маскирующие сообщения, содержащие маскирующую информацию. Фрагментируют исходящее сообщение на L фрагментов и передают фрагменты сообщения по L возможным допустимым маршрутам связи. Сформированные маскирующие сообщения передают по G маскирующим маршрутам связи.
После выбора в сервере безопасности и запоминания безопасных маршрутов связи между новым абонентом и всеми j-ми абонентами выбирают в сервере безопасности допустимые L и маскирующие G маршруты связи между новым абонентом и всеми j-ми абонентами. Запоминают их.
Затем после формирования сообщений, включающих информацию о запомненных безопасных маршрутах связи, и отправки этих сообщений всем абонентам сети формируют сообщения, включающие информацию о запомненных допустимых L и маскирующих G маршрутах связи и отправляют эти сообщения всем абонентам сети.
Комплексный показатель безопасности
Figure 00000001
для каждого х-го узла сети вычисляют путем суммирования, или перемножения, или как среднее арифметическое значение его параметров безопасности bху.
Число Nij деревьев графа сети связи между i-м и j-м абонентами сети вычисляют по формуле
Figure 00000023
,
где Вo=М×K - преобразованная матрица смежности вершин графа сети связи, а М=Мр-1, K - соответственно число строк и столбцов матрицы, Мр - число строк исходной матрицы смежности; равное общему количеству узлов сети связи;
Figure 00000024
- транспонированная матрица к Вo.
Для формирования маскирующих сообщений генерируют ложные исходные пакеты данных, в информационную часть которых записывают случайную или произвольную цифровую последовательность.
Благодаря новой совокупности существенных признаков обеспечивается повышение скрытности связи и затруднение идентификации абонентов сети несанкционированными абонентами за счет непрерывного изменения идентификаторов абонентов сети в передаваемых пакетах сообщений, передачи пакетов сообщений по всем допустимым маршрутам связи и передачи маскирующих сообщений по маскирующим маршрутам связи.
Заявленные объекты изобретения поясняются чертежами, на которых показаны:
фиг. 1 - пример структуры распределенной сети связи, иллюстрирующий реконструкцию структуры сети связи нарушителем;
фиг. 2 - структуры пакета сообщений и его IР-заголовка;
фиг. 3 - исходные данные для иллюстрации порядка расчетов;
фиг. 4 - блок-схема последовательности действий, реализующих заявленный способ маскирования структуры сети связи;
фиг. 5 - представление массивов исходных данных;
фиг. 6 - таблицы расчета комплексных показателей узлов и средних показателей безопасности маршрутов связи;
фиг. 7 - выбор допустимых и маскирующих маршрутов связи;
фиг. 8 - иллюстрация принципа маскирования структуры сети связи;
фиг. 9 - иллюстрация схем связи абонентов и сервера безопасности по трем допустимым маршрутам;
фиг. 10 - итоговая схема связи абонентов, включающая допустимые и маскирующие маршруты.
Заявленный способ реализуют следующим образом. В общем случае распределенные сети связи (фиг. 1а) строят для соединения абонентов сети 1 посредством сети связи общего пользования (например, Интернет), представляющей собой совокупность физических линий (каналов) связи 2, соединяющих собой X узлов сети 3 в единую инфраструктуру.
Различные серверы цифровых систем связи могут быть доступны или выделенной совокупности абонентов как, например, сервер безопасности 4, или представлять собой общедоступные серверы 5 сети связи общего пользования (например, Интернет 6).
Целесообразно рассматривать случаи, когда количество узлов сети X больше двух. Все элементы инфраструктуры определяются идентификаторами, в качестве которых в наиболее распространенном семействе протоколов TCP/IP используют сетевые адреса (IР-адреса). При необходимости распределенной обработки информации и(или) ее передачи абоненты осуществляют подключение к сети связи.
Множества адресов абонентов, подключенных к сети связи, и адресов узлов сети не пересекаются. Например, при использовании абонентами сервиса электронной почты схема связи абонентов включает в себя абонентов 1 Абi и Абj (фиг. 1б), сервер 5 электронной почты и каналы связи между ними 2. Абоненты 1 Аб2 и Абj и сервер 5 электронной почты используют уникальные IP-адреса.
При передаче пакетов сообщений по сетям связи общего пользования к абонентам сети, узлам сети и линиям (каналам) связи предъявляют требования информационной безопасности, характеризующие допустимые значения показателей безопасности элементов сети связи.
В случае (фиг. 1a) компрометации безопасного маршрута связи абонентов и получения нарушителем 7 несанкционированного доступа к элементам сети связи 2 и(или) 3 схема связи абонентов становится доступной нарушителю.
Доступность схемы связи абонентов нарушителю обуславливается низкой скрытностью абонентов сети, использующих открытые IР-адреса, и возможностью идентификации по ним пакетов сообщений относительно конкретных пользователей сети и(или) узлов связи.
Например, на фиг. 1в, пользователи User №1 и User №2 (см. фиг. 1б) сгруппированы нарушителем в абонента Абi 1 по признаку использования ими одного IP-адреса, так как они подключены к сети связи общего пользования через один маршрутизатор (см. фиг. 1а). Структуры пакета сообщений и его IР-заголовка известны и представлены на фиг. 2. Использование абонентами для подключения к сети связи общего пользования одного маршрутизатора демаскирует их принадлежность к одному узлу связи. В то же время нарушитель наблюдает именно двух пользователей, сгруппированных в абонента Абi 1, так как между абонентами Абi и Абj, кроме линии прямой связи, существует альтернативный канал связи (показан на фиг. 1в пунктирной линией), включающий сервер электронной почты 5, что демаскируется полями «From» и «То» заголовка сообщения электронной почты, передаваемого абонентами. Структура служебных полей заголовка сообщения электронной почты известна и описана в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://tools.ietf.org/html/rfc822).
В подобных описанному на фиг. 1 случаях считают, что нарушитель реконструирует (вскрывает) структуру сети связи и может осуществлять деструктивные воздействия на все ее элементы, а сама структура сети связи обладает низкой скрытностью связи.
Реконструкция структуры сети связи происходит вследствие известности (открытости) структуры пакетов сообщений, где адреса отправителя и получателя демаскируют абонентов сети.
Для маскирования структуры сети связи необходимо обеспечивать индивидуальную скрытность абонентов, управлять маршрутами информационного обмена абонентов в сети связи общего пользования и передавать маскирующие сообщения для введения в заблуждение злоумышленников относительно структуры сети связи. Структура сети связи общего пользования динамична и содержит большое количество узлов, поэтому задачи оценивания показателей безопасности, формирования маршрутов и обслуживания запросов абонентов о безопасных маршрутах связи возлагают на выделенный сервер безопасности. Количество серверов безопасности зависит от размера сети связи и может быть задано, например, в соотношении 1 сервер на 7…10 корреспондирующих абонентов.
Рассмотрим вариант структуры распределенной сети связи (фиг. 3), представляющей собой совокупность из 5 узлов сети 3, сервера безопасности 4 и абонентов сети 1, объединенных физическими линиями связи 2.
На фиг. 4 представлена блок-схема последовательности действий, реализующих заявленный способ маскирования структуры сети связи, в которой приняты следующие обозначения:
{IP} - структурный массив
{ID} - идентификационный массив
СБ - сервер безопасности
IPСБ - сетевой адрес сервера безопасности
ID а - идентификатор абонента
IP а - сетевой адрес абонента
Х- число узлов сети связи
Y - число учитываемых параметров безопасности узлов сети
bху - значение у-го параметра безопасности х-го узла сети, где х=1, 2, …, X, у=1, 2, …, Y
Figure 00000001
- комплексный показатель безопасности каждого х-го узла сети
IPУС - сетевой адрес узла связи
IDСБ - идентификатор сервера безопасности
Nij - количество деревьев графа сети связи, соответствующее совокупности возможных маршрутов связи между i-м и j-м абонентами сети, где i=1, 2, …, j=1, 2, … и i≠j
Figure 00000025
- средний показатель безопасности маршрута связи между i-м и j-м абонентами сети
Figure 00000026
- безопасный маршрут связи между i-м и j-м абонентами сети
ID а н - идентификатор нового абонента
а н - сетевой адрес нового абонента
Figure 00000027
- допустимое значение среднего показателя безопасности маршрута между i-м и j-м абонентами сети
Figure 00000011
- количество допустимых маршрутов между i-м и j-м абонентами сети;
Figure 00000028
- количество маскирующих маршрутов между i-м и j-м абонентами сети
Мij - количество пар дополнительных идентификаторов для i-го и j-го абонентов сети
Fij - количество пар маскирующих идентификаторов для i-го и j-го абонентов сети
Figure 00000029
- дополнительный идентификатор абонента
Figure 00000030
- маскирующий идентификатор абонента
L - количество возможных допустимых маршрутов связи между каждой парой идентификаторов абонентов сети
G - количество маскирующих маршрутов связи между каждой парой идентификаторов абонентов сети.
На начальном этапе в сервере безопасности (на фиг. 4 - СБ) задают исходные данные (бл. 1 на фиг. 4), включающие структурный {IP} и идентификационный {ID} массивы, адрес сервера безопасности IРСБ, идентификаторы ID а и адреса IР а абонентов, подключенных к сети связи. Для каждого х-го узла сети, где х=1, 2, …, X, задают Y≥2 параметров безопасности и их значения bxy, где y=1, 2, …, Y. Перечисленные исходные данные представлены таблицами на фиг. 5.
Структурный массив {IP} - массив для хранения адреса сервера безопасности IРСБ, адресов узлов IРУС и абонентов IР а сети, а также информации о наличии связи между ними (фиг. 5а), которая характеризуется только двумя значениями, «1» - наличие связи и «0» - ее отсутствие.
Идентификационный массив {ID} - массив для хранения идентификаторов сервера безопасности IDСБ, абонентов ID а сети связи и соответствующих им адресов абонентов сети IР а и сервера безопасности IРСБ (фиг. 5б).
Параметры безопасности узлов сети определяют, например, в соответствии с ГОСТ Р ИСО/МЭК 15408-2002 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». Значения bх1 параметра у=1 безопасности узлов сети определяют, например, по характеристикам производителей оборудования узлов сети, информацию о которых можно получить из физических адресов узлов сети. Физические адреса узлов сети представляют в виде шестнадцатеричной записи, например 00:10:5a:3F:D4:E1, где первые три значения определяют производителя (00:01:е3 - Siemens, 00:10:5а - 3Com, 00:03:ba - Sun).
Например, для УС1 (х=1 на фиг. 5а) физический адрес которого 00:01:e3:3F:D4:E1, первые три значения определяют производителя Siemens, что соответствует значению параметра безопасности b11=0,3. Аналогично определяются значения bх1 параметра у=1 безопасности узлов сети УС2-УС5, а так же значения bxy всех заданных Y≥2 параметров безопасности (фиг. 5а).
В качестве остальных параметров безопасности узла сети можно рассматривать тип его оборудования, версию установленного на нем программного обеспечения, принадлежность узла государственной или частной организации и другие известные сведения.
Для каждого х-го узла сети по значениям bxy его параметров безопасности вычисляют комплексный показатель безопасности
Figure 00000001
(бл. 2 на фиг. 4). Рассчитанные показатели представлены в таблице (фиг. 5г).
Комплексный показатель безопасности
Figure 00000001
для каждого х-го узла сети вычисляют путем суммирования
Figure 00000031
, или перемножения
Figure 00000032
, или как среднее арифметическое значение
Figure 00000033
его параметров безопасности bxy.
Принципиально способ вычисления
Figure 00000001
не влияет на результат выбора безопасного маршрута. Например, значения вычисленных комплексных показателей безопасности
Figure 00000034
для каждого х-го узла рассматриваемого варианта сети связи (фиг. 3) перечисленными способами при заданных значениях параметров безопасности bxy узлов приведены в таблице (фиг. 6а).
Далее формируют матрицу смежности вершин графа сети (бл. 3 на фиг. 4), для чего запоминают в структурном массиве (фиг. 5а) адреса узлов сети IPУC и адреса абонентов IР а сети, а также информацию о наличии связи между узлами и абонентами сети.
Способы формирования матриц смежности вершин графа известны (см., например, Басакер Р., Саати Т. Конечные графы и сети. - М.: Наука, 1973, 368 с.). Для рассматриваемого графа сети связи матрица смежности вершин имеет вид:
Figure 00000035
После этого в идентификационном массиве (фиг. 5б) запоминают идентификаторы ID а , IDСБ и соответствующие им адреса IР a , IРСБ абонентов сети и сервера безопасности.
Формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети (бл. 4 на фиг. 4), где i=1, 2, …, j=1, 2, … и i≠j, в виде Nij, деревьев графа сети связи. Каждое n-е, где n=1, 2,..., Nij, дерево графа состоит из zn вершин, соответствующих количеству узлов сети. Порядок формирования деревьев графа известен и описан (см., например, Кристофидес Н. Теория графов: Алгоритмический подход. Пер. с англ. - М.: Мир, 1978, 432 с.).
Общее число Nij деревьев графа сети связи между i-м и j-м абонентами сети может быть определено различными методами. В заявленном способе общее число Nij деревьев графа находят с использованием матрицы смежности.
Удаляя одну строку матрицы B, получают матрицу Вo, а затем транспонированную к ней матрицу
Figure 00000036
. Порядок получения транспонированной матрицы известен и описан (см., например, Г. Корн, Т. Корн. Справочник по математике для научных работников и инженеров. - М.: Наука, 1977 г.).
Построение маршрутов связи между абонентами на основе деревьев графа сети связи обеспечивает нахождение всех возможных маршрутов связи и их незамкнутость, т.е. исключает неприемлемые для передачи сообщений замкнутые маршруты. Таким образом, проведя расчеты, получаем общее число Nij деревьев графа сети связи между i-м и j-м абонентами сети, равное 5.
Для обоснования и объективного выбора безопасного, допустимых и маскирующих маршрутов связи из совокупности Nij=5 возможных маршрутов связи между i-м и j-м абонентами сети вычисляют средние показатели безопасности
Figure 00000037
(бл. 5 на фиг. 4) как среднее арифметическое комплексных показателей безопасности
Figure 00000038
узлов сети, входящих в n-й маршрут связи
Figure 00000039
(см. фиг. 6б и 7).
Используя результаты, полученные при вычислении комплексных показателей безопасности узлов сети разными способами (фиг. 6а), вычислены средние показатели безопасности
Figure 00000040
маршрутов связи сформированных между i-м и j-м абонентами сети (фиг. 7). Результаты сведены в таблицу (фиг. 6б). В качестве безопасного маршрута выбирают и запоминают маршрут n=1, так как его средние показатели безопасности, вне зависимости от способа вычисления, максимальны.
Далее сравнивают значения средних показателей безопасности маршрутов
Figure 00000041
с предварительно заданным допустимым значением
Figure 00000042
(бл. 8 на фиг. 4). Те маршруты, значения средних показателей безопасности которых удовлетворяют условию
Figure 00000043
, запоминают как допустимые маршруты
Figure 00000044
(бл. 9 на фиг. 4).
Пусть, например, задано значение
Figure 00000045
. Из полученных результатов, приведенных на фиг. 7 следует, что первый, второй и третий маршруты n=1, 2, 3 имеют значения среднего показателя безопасности
Figure 00000046
удовлетворяющие этому требованию, и они выделены полужирным шрифтом. При анализе полученных расчетов средних показателей безопасности маршрутов выявлено, что способ вычисления
Figure 00000047
не влияет на результат выбора безопасного маршрута. Таким образом, формируют множество допустимых маршрутов между всеми абонентами сети.
Далее формируют Мij пар дополнительных идентификаторов для абонентов сети
Figure 00000048
, где
Figure 00000049
, формируют совокупность возможных допустимых маршрутов связи L между каждой парой идентификаторов абонентов сети, где L=Мij+1 и запоминают сформированные L маршрутов (бл. 11, 12 и 13 на фиг. 4).
В том случае, если по результатам сравнения комплексных показателей безопасности маршрутов
Figure 00000050
с предварительно заданным допустимым значением
Figure 00000051
выявляют те маршруты, что удовлетворяют условию
Figure 00000052
, то такие маршруты запоминают как маскирующие
Figure 00000053
маршруты (бл. 14 на фиг. 4). При заданном
Figure 00000054
, из полученных результатов, приведенных на фиг. 7 следует, что четвертый и пятый маршруты n=4, 5 имеют значения среднего показателя безопасности, удовлетворяющие условию
Figure 00000055
. Их запоминают как маскирующие
Figure 00000056
, и используют для передачи по ним маскирующих (ложных) сообщений и введения нарушителей в заблуждение относительно структуры сети связи.
Для этого (бл. 15 на фиг. 4) формируют Fij пар дополнительных идентификаторов для абонентов сети
Figure 00000057
, где
Figure 00000058
, формируют совокупность возможных маскирующих маршрутов связи G между каждой парой идентификаторов абонентов сети, где G=Fij+1 (бл. 16 на фиг. 4), и запоминают сформированные G маршрутов (бл. 17 на фиг. 4).
Далее формируют сообщения, включающие запомненные L допустимых и G маскирующих маршрутов между i-м и всеми j-ми абонентами (бл. 18 на фиг. 4), сообщения, включающие запомненные безопасные маршруты
Figure 00000059
между i-м и всеми j-ми абонентами, идентификаторы ID a j и адреса IP a j всех j-х абонентов (бл. 19 на фиг. 4), отправляют сформированные сообщения о безопасных маршрутах всем i-м абонентам сети (бл. 20 на фиг. 4).
Для передачи сообщений между абонентами по безопасному маршруту (бл. 21 на фиг. 4) по идентификатору абонента-получателя сообщения IDа выбирают его адрес IР а и безопасный маршрут
Figure 00000060
.
Отправляют сообщения, включающие запомненные L допустимых и G маскирующих маршрутов между i-м и всеми j-ми абонентами (бл. 22 на фиг. 4). Принимают абонентами сообщения, содержащие информацию о безопасных, допустимых и маскирующих маршрутах, а также об идентификаторах и адресах абонентов (бл. 23 на фиг. 4). Таким образом, каждого абонента сети уведомляют о безопасных, допустимых и маскирующих маршрутах ко всем остальным абонентам.
Затем после отправки сформированных сообщений всем i-м абонентам сети и приема сообщений абонентами сети, назначают Мij пар дополнительных адресов
Figure 00000061
и Fij пар маскирующих адресов
Figure 00000062
абонентам сети в соответствии с управляющей информацией, содержащейся в принятых сообщениях (бл. 24 на фиг. 4). Каждую пару этих дополнительных адресов используют для организации связи между абонентами по L допустимым и G маскирующим маршрутам, непрерывно изменяя идентификаторы (IР-адреса) абонентов сети в передаваемых пакетах сообщений. Таким образом, вместо одной пары корреспондентов нарушитель, скомпрометировавший маршрут связи, будет «наблюдать» (L+G) корреспондирующих пар, что существенно затруднит возможность идентификации пакетов сообщений относительно абонентов сети связи и, как следствие, повысит скрытность связи, маскируя структуру сети связи.
На фиг. 8 представлен изложенный принцип маскирования структуры сети связи (сведения об узлах связи сети Интернет опущены). Исходная структура связи абонентов является полносвязной и состоит из трех абонентов и трех каналов связи между ними (фиг. 8a).
Пусть, например, совокупность L возможных допустимых маршрутов связи между каждой парой идентификаторов абонентов сети представлена в виде таблицы данных о допустимых маршрутах (фиг. 8б). Реализация способа маскирования приводит к тому, что анализ связности структуры сети связи покажет 12 абонентов и 6 каналов связи между ними (фиг. 8в), а приведенную на фиг. 8 структуру нарушитель определит, как «бессвязную».
Известные протоколы маршрутизации (routing protocols), такие как RIP, OSPF, NLSP, BGP предназначены для передачи пользовательской информации и обеспечивают в способе маршрутизации от источника (source specified routing) обмен информацией по заданному маршруту (см., например, Олифер В.Г. и Олифер Н.А. «Компьютерные сети. Принципы, технологии, протоколы», уч. для Вузов, 5-е изд.; - СПб.: Питер, 2015). Таким образом, у абонентов имеется возможность передачи сообщений именно по заданному маршруту.
Для формирования маскирующих сообщений (бл. 25 на фиг. 4) генерируют ложные исходные пакеты данных, в информационную часть которых записывают случайную или произвольную цифровую последовательность (случайную последовательность сигналов логический «0» и логическая «1»). Сформированные маскирующие сообщения передают по G маскирующим маршрутам связи (бл. 26 на фиг. 4).
Исходящее сообщение фрагментируют на L фрагментов, при этом количество фрагментов выбирают в количестве, не превышающем сумму исходной и дополнительных пар идентификаторов для i-го и j-го абонентов сети, то есть L=Мij+1, и передают фрагменты сообщения по L возможным допустимым маршрутам связи (бл. 27, 28 на фиг. 4).
При подключении нового абонента (на фиг. 3 - Аб н) к сети связи формируют у него сообщение, содержащее адрес узла сети УС 4 IРУ4, к которому он подключен, его идентификатор ID а н и адрес IР а н (бл. 29 и 30 на фиг. 4). Отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах (бл. 31 и 32 на фиг. 4), дополняя (обновляя) таким образом информацию о структуре сети связи и абонентах сети.
Далее действия повторяют, начиная с бл. 4 на фиг. 4. Таким образом, до нового абонента сети доводят сообщения о безопасном, допустимых L и маскирующих G маршрутах ко всем абонентам сети, а остальных абонентов уведомляют о безопасных, допустимых L и маскирующих G маршрутах к новому абоненту.
На фиг. 9 представлена иллюстрация схем связи абонентов и сервера безопасности по трем допустимым маршрутам n=1, 2, 3, выбранным с помощью описанного способа.
На фиг. 10 представлена итоговая схема связи абонентов 1 Аб i и Аб j. Маскирующие маршруты 5 выделены пунктирной линией n=4, 5. Допустимые маршруты 2 показаны сплошной линией. Наиболее вероятное нахождение нарушителя и компрометация маршрута связи - на маршрутах со средним показателем безопасности ниже допустимого значения
Figure 00000063
.
Вычисление комплексных показатели безопасности
Figure 00000064
узлов и средних показателей безопасности маршрутов
Figure 00000065
дают основание для объективного выбора безопасных, допустимых и маскирующих маршрутов связи между абонентами сети. В результате расчетов и маскирования структуры сети связи достигают исключение транзитных узлов сети, обладающих низким уровнем безопасности, который указывает на высокую вероятность несанкционированного перехвата передаваемых абонентами сообщений. Выбранные допустимые маршруты связи между i-м и j-м абонентами проходят через транзитные узлы сети, обладающие максимально высокими уровнями безопасности, что снижает вероятность перехвата злоумышленниками информационного обмена абонентов сети.
Таким образом, в рассмотренном способе за счет непрерывного изменения идентификаторов абонентов сети в передаваемых пакетах сообщений, передачи пакетов сообщений по всем допустимым маршрутам связи и передачи маскирующих сообщений по маскирующим маршрутам связи обеспечивается достижение сформулированного технического результата - повышение скрытности связи и затруднение идентификации абонентов сети несанкционированными абонентами.

Claims (6)

1. Способ маскирования структуры сети связи, заключающийся в том, что для сети связи, содержащей совокупность из X узлов сети, имеющих адреса IPX предварительно задают исходные данные, содержащие информацию о структуре сети связи, включающую структурный и идентификационный массивы, адрес сервера безопасности IРСБ, идентификаторы IDа и адреса IРа абонентов, подключенных к сети связи, задают для каждого х-го узла сети, где х=1, 2, …, Х, совокупность Y параметров безопасности и их значения bxy, где y=1, 2,..., Y, вычисляют комплексный показатель безопасности кхΣ для каждого х-го узла сети, формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IРУС и адреса абонентов IРа сети, а также информацию о наличии связи между узлами и абонентами сети, а в идентификационном массиве запоминают идентификаторы IDa, IDСБ и соответствующие им адреса IРа, IРСБ абонентов сети и сервера безопасности, после чего формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети, где i=1, 2, …, j=1, 2, … и i≠j, в виде Nij деревьев графа сети связи, причем каждое n-е, где n=1, 2, …, Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети, затем для каждого из Nij возможных маршрутов связи вычисляют средний показатель безопасности маршрута
Figure 00000066
как среднее арифметическое комплексных показателей безопасности
Figure 00000067
узлов сети, входящих в n-й маршрут связи, а в качестве безопасного маршрута связи
Figure 00000068
выбирают маршрут с наибольшим значением его среднего показателя безопасности
Figure 00000069
, выбранный безопасный маршрут запоминают и формируют сообщения, включающие запомненные маршруты
Figure 00000070
между i-м и всеми j-ми абонентами, идентификаторы IDaj и адреса IPaj всех j-х абонентов, отправляют сформированные сообщения о безопасных маршрутах всем i-м абонентам сети, а для передачи сообщений между абонентами по безопасному маршруту по идентификатору абонента-получателя сообщения IDа выбирают его адрес IРа и безопасный маршрут
Figure 00000071
, причем при подключении нового абонента к сети связи, формируют сообщение, содержащее адрес узла сети IРУС подключения нового абонента, его идентификатор IDан и адрес IРан, после чего отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах, затем в сервере безопасности выбирают безопасные маршруты связи между новым абонентом и всеми j-ми абонентами и запоминают их, после чего формируют сообщения, включающие информацию о запомненных безопасных маршрутах связи, и отправляют их всем абонентам сети, отличающийся тем, что дополнительно в исходные данные задают допустимое значение
Figure 00000072
среднего показателя безопасности маршрута, после запоминания выбранного безопасного маршрута сравнивают значения средних показателей безопасности маршрутов
Figure 00000073
с предварительно заданным допустимым значением
Figure 00000074
, запоминают допустимые маршруты
Figure 00000075
со значениями средних показателей безопасности
Figure 00000076
, формируют Мij пар дополнительных идентификаторов для абонентов сети
Figure 00000077
, где
Figure 00000078
, запоминают маскирующие маршруты
Figure 00000079
со значениями средних показателей безопасности
Figure 00000080
, формируют Fij пар маскирующих идентификаторов для абонентов сети
Figure 00000081
, где
Figure 00000082
формируют совокупность L возможных допустимых маршрутов связи между каждой парой идентификаторов абонентов сети, где L=Мij+1, и запоминают сформированные L маршрутов, формируют совокупность G маскирующих маршрутов связи между каждой парой идентификаторов абонентов сети, где G=Fij+1, запоминают сформированные G маршрутов, формируют сообщения, включающие информацию о запомненных допустимых L и маскирующих G маршрутах связи, затем после выбора по идентификатору IDа абонента-получателя сообщения его адреса IРа и безопасного маршрута
Figure 00000083
отправляют сформированные сообщения о допустимых L и маскирующих G маршрутах связи всем i-м абонентам сети, принимают их абонентами сети, назначают Мij пар дополнительных адресов
Figure 00000084
и Fij пар маскирующих адресов
Figure 00000085
абонентам сети в соответствии с управляющей информацией, содержащейся в принятых сообщениях, формируют маскирующие сообщения, содержащие маскирующую информацию, фрагментируют исходящее сообщение на L фрагментов и передают фрагменты сообщения по L возможным допустимым маршрутам связи, а сформированные маскирующие сообщения передают по G маскирующим маршрутам связи, а после выбора в сервере безопасности и запоминания безопасных маршрутов связи между новым абонентом и всеми j-ми абонентами выбирают в сервере безопасности допустимые L и маскирующие G маршруты связи между новым абонентом и всеми j-ми абонентами, запоминают их, затем после формирования сообщений, включающих информацию о запомненных безопасных маршрутах связи и отправки этих сообщений всем абонентам сети, формируют сообщения, включающие информацию о запомненных допустимых L и маскирующих G маршрутах связи и отправляют эти сообщения всем абонентам сети.
2. Способ по п. 1, отличающийся тем, что комплексный показатель безопасности k для каждого x-го узла сети вычисляют путем суммирования, или перемножения, или как среднее арифметическое значение его параметров безопасности bху.
3. Способ по п. 1, отличающийся тем, что число Nij деревьев графа сети связи между i-м и j-м абонентами сети вычисляют по формуле
Figure 00000086
,
где Вo=М×К - преобразованная матрица смежности вершин графа сети связи, а М=Мр-1, К - соответственно число строк и столбцов матрицы, Мр - число строк исходной матрицы смежности; равное общему количеству узлов сети связи;
Figure 00000087
- транспонированная матрица к Вo.
4. Способ по п. 1, отличающийся тем, что для формирования маскирующих сообщений генерируют ложные исходные пакеты данных, в информационную часть которых записывают случайную или произвольную цифровую последовательность.
RU2016124953A 2016-06-21 2016-06-21 Способ маскирования структуры сети связи RU2645292C2 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2016124953A RU2645292C2 (ru) 2016-06-21 2016-06-21 Способ маскирования структуры сети связи

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2016124953A RU2645292C2 (ru) 2016-06-21 2016-06-21 Способ маскирования структуры сети связи

Publications (2)

Publication Number Publication Date
RU2016124953A RU2016124953A (ru) 2017-12-26
RU2645292C2 true RU2645292C2 (ru) 2018-02-19

Family

ID=60762846

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2016124953A RU2645292C2 (ru) 2016-06-21 2016-06-21 Способ маскирования структуры сети связи

Country Status (1)

Country Link
RU (1) RU2645292C2 (ru)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2682105C1 (ru) * 2018-04-09 2019-03-14 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ маскирования структуры сети связи
RU2739151C1 (ru) * 2020-03-24 2020-12-21 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ маскирования структуры сети связи
RU2759152C1 (ru) * 2021-01-28 2021-11-09 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ маскирования структуры сети связи
RU2793104C1 (ru) * 2022-12-07 2023-03-29 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ маскирования структуры сети связи

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2120190C1 (ru) * 1997-06-02 1998-10-10 Военная академия связи Способ корректировки маршрутов в сети передачи данных
RU2004111798A (ru) * 2001-09-20 2005-05-10 Сименс Акциенгезелльшафт (DE) Способ выбора целесообразным образом используемого маршрута в маршрутизаторе для равномерного распределения в коммуникационной сети
US6912252B2 (en) * 2000-05-08 2005-06-28 Mitsubishi Heavy Industries, Ltd. Distributed communicating system, distributed communication data, distributed transmitting means and distributed receiving means
RU2331158C1 (ru) * 2007-01-31 2008-08-10 Военная академия связи Способ выбора безопасного маршрута в сети связи (варианты)

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2120190C1 (ru) * 1997-06-02 1998-10-10 Военная академия связи Способ корректировки маршрутов в сети передачи данных
US6912252B2 (en) * 2000-05-08 2005-06-28 Mitsubishi Heavy Industries, Ltd. Distributed communicating system, distributed communication data, distributed transmitting means and distributed receiving means
RU2004111798A (ru) * 2001-09-20 2005-05-10 Сименс Акциенгезелльшафт (DE) Способ выбора целесообразным образом используемого маршрута в маршрутизаторе для равномерного распределения в коммуникационной сети
RU2331158C1 (ru) * 2007-01-31 2008-08-10 Военная академия связи Способ выбора безопасного маршрута в сети связи (варианты)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2682105C1 (ru) * 2018-04-09 2019-03-14 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ маскирования структуры сети связи
RU2739151C1 (ru) * 2020-03-24 2020-12-21 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ маскирования структуры сети связи
RU2759152C1 (ru) * 2021-01-28 2021-11-09 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ маскирования структуры сети связи
RU2793104C1 (ru) * 2022-12-07 2023-03-29 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ маскирования структуры сети связи

Also Published As

Publication number Publication date
RU2016124953A (ru) 2017-12-26

Similar Documents

Publication Publication Date Title
Roos et al. Settling payments fast and private: Efficient decentralized routing for path-based transactions
Poongodi et al. Detection and Prevention system towards the truth of convergence on decision using Aumann agreement theorem
Kedogan et al. Limits of anonymity in open environments
RU2331158C1 (ru) Способ выбора безопасного маршрута в сети связи (варианты)
CN107360146B (zh) 一种接受保证的隐私保护空间众包任务分配系统及方法
RU2645292C2 (ru) Способ маскирования структуры сети связи
RU2622842C1 (ru) Способ маскирования структуры сети связи
US20160255056A1 (en) Apparatus and method for messaging security and reliability
Khalili-Shoja et al. Secret common randomness from routing metadata in ad hoc networks
CN101272244A (zh) 一种无线自组织网络密钥更新和撤销方法
RU2682105C1 (ru) Способ маскирования структуры сети связи
Feld et al. Traversing Bitcoin's P2P network: insights into the structure of a decentralised currency
Gilad Metadata-private communication for the 99%
Alston et al. Neutralizing interest flooding attacks in named data networks using cryptographic route tokens
RU2715285C1 (ru) Способ повышения устойчивости защищенного соединения между элементами системы корпоративного управления с помощью инфотелекоммуникационных ресурсов, находящихся под управлением двух и более операторов связи
CN108712391A (zh) 一种内容中心网络下应对命名攻击和时间分析攻击的方法
RU2739151C1 (ru) Способ маскирования структуры сети связи
CN108768853B (zh) 基于域名路由器的分布式混合域名系统及方法
RU2586840C1 (ru) Способ обработки дейтаграмм сетевого трафика для скрытия корреспондирующих пар абонентов информационно-телекоммуникационных систем
Baumeister et al. Using randomized routing to counter routing table insertion attack on Freenet
CN115941168A (zh) 一种防窃听数据传输方法及系统
Schomp et al. Partitioning the internet using anycast catchments
Zhang et al. Collusion-resistant query anonymization for location-based services
RU2759152C1 (ru) Способ маскирования структуры сети связи
CN107395348B (zh) 一种密钥分组散乱管理的方法及装置

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20190622