RU2682105C1 - Способ маскирования структуры сети связи - Google Patents

Способ маскирования структуры сети связи Download PDF

Info

Publication number
RU2682105C1
RU2682105C1 RU2018112925A RU2018112925A RU2682105C1 RU 2682105 C1 RU2682105 C1 RU 2682105C1 RU 2018112925 A RU2018112925 A RU 2018112925A RU 2018112925 A RU2018112925 A RU 2018112925A RU 2682105 C1 RU2682105 C1 RU 2682105C1
Authority
RU
Russia
Prior art keywords
masking
network
communication
message
subscribers
Prior art date
Application number
RU2018112925A
Other languages
English (en)
Inventor
Данил Викторович Зайцев
Олег Евгеньевич Зуев
Александр Владимирович Крупенин
Роман Викторович Максимов
Виктор Викторович Починок
Сергей Равильевич Шарифуллин
Роман Сергеевич Шерстобитов
Original Assignee
федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации filed Critical федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации
Priority to RU2018112925A priority Critical patent/RU2682105C1/ru
Application granted granted Critical
Publication of RU2682105C1 publication Critical patent/RU2682105C1/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Изобретение относится к области информкоммуникаций и, более конкретно, к маскированию структуры сети связи для повышения скрытности связи, своевременности доставки пакетов сообщений принимающим абонентам и снижения перегрузки абонентов сети маскирующими сообщениями в распределенных сетях связи, построенных на основе сети передачи данных общего пользования типа «Internet». Технический результат – снижение вероятности перегрузки абонентов сети обработкой маскирующих сообщений за счет динамического изменения длины пакетов MTU маскирующих сообщений с целью уменьшения времени ожидания в очереди пакетов сообщений у передающего абонента, а также улучшение показателя своевременности доставки пакетов сообщений принимающему абоненту за счет выбора для каждого маскирующего маршрута связи узлов-терминаторов маскирующих сообщений. Для этого, в частности, улучшение показателя своевременности доставки пакетов сообщений принимающему абоненту исключает потерю фрагментов пакетов сообщений и необходимость их повторной передачи, приводящей к компрометации результатов маскирования структуры сети связи и ухудшению скрытности связи. 6 з.п. ф-лы, 20 ил.

Description

Изобретение относится к области инфокоммуникаций, а именно к обеспечению информационной безопасности цифровых систем связи, и, в частности, заявленный способ маскирования структуры сети связи предназначен для использования в распределенных сетях связи, построенных на основе сети связи общего пользования (например, Интернет).
Известен способ обеспечения корректировки маршрутов к абонентам сети, реализованный в «Способе корректировки маршрутов в сети передачи данных» по патенту РФ №2220190 МПК H04L 12/28, опубл. 10.10.1998 г.
Способ заключается в том, что поиск маршрутов доставки сообщений к абоненту осуществляется по сетевому адресу узла коммутации его текущей привязки. Выбор маршрутов к абоненту осуществляется на узлах коммутации по служебному корректирующему сообщению, содержащему сетевые адреса абонента, узла коммутации и код признака корректировки «запись», «стирание».
Недостатком данного способа является отсутствие адаптации к изменениям структуры сети связи. Это вызвано тем, что корректировка осуществляется децентрализовано и охватывает не всю сеть связи, а ее отдельные локальные участки. Отсутствие параметров выбора маршрутов к абоненту приводит к низкому качеству выбора.
Известен также способ обеспечения безопасности информации, циркулирующей в распределенной телекоммуникационной системе при передаче ее по каналам связи общего пользования, реализованный в «Распределенной телекоммуникационной системе для передачи разделенных данных, предназначенной для их раздельной передачи и приема» по патенту US №6912252 МПК H04L 12/56; H04L 12/28, опубл. 08.11.2001 г.
Способ заключается в выполнении следующих действий: исходные данные у отправителя разделяют на N частей. Далее из их комбинаций формируют группы промежуточных данных. Затем передают промежуточные данные независимо по N каналам связи. У получателя принимают группы промежуточных данных, пришедших по N каналам связи, и восстанавливают первоначальные данные.
Недостатком данного способа является относительно низкая скрытность связи и увеличение вероятности идентификации корреспондирующих субъектов в результате увеличения числа каналов связи между корреспондентами. Наличие транзитных узлов сети и каналов связи разных типов, обладающих низким уровнем безопасности, увеличивает потребность в ассортименте средств связи и создает предпосылки для перехвата злоумышленниками информационного обмена абонентов сети.
Известен также «Способ выбора целесообразным образом используемого маршрута в маршрутизаторе для равномерного распределения в коммутационной сети» по заявке на изобретение РФ №2004111798 МПК H04L 1/00, опубл. 10.05.2005 г.
Способ учитывает критерии качества маршрутов и информацию о структуре сети связи, включающую адреса узлов сети и наличие связи между ними. Для целевого адреса сети выбирают один маршрут, в соответствии с предварительно заданными критериями качества маршрутов, и передают по выбранному маршруту сообщения.
Недостатком указанного способа является относительно низкая скрытность связи при использовании выбранного маршрута информационного обмена абонентов в сети связи. Наличие транзитных узлов сети, обладающих низким уровнем безопасности, создает предпосылки для перехвата злоумышленниками информационного обмена абонентов сети и реконструкции трафика распределенной сети в некоторой точке сети Интернет.
Известен также «Способе выбора безопасного маршрута в сети связи» по патенту РФ №2331158 МПК H04L 12/28, опубл. 10.08.2008 г.
Способ обеспечивает повышение скрытности связи за счет задания информации о структуре сети связи, исходных данных об узлах и абонентах сети, расчета комплексных показателей безопасности узлов сети, и на основе этих данных управления маршрутами информационного обмена абонентов в сети связи и выбора наиболее безопасного маршрута.
Недостатком указанного способа является низкая скрытность связи абонентов сети, обусловленная возможностью идентификации пакетов сообщений относительно конкретных пользователей сети и, следовательно, вскрытие структуры распределенной сети связи, в случае компрометации выбранного безопасного маршрута связи абонентов.
Наиболее близким аналогом (прототипом) по своей технической сущности к заявленному способу является «Способ маскирования структуры сети связи» по патенту РФ №2645292 МПК H04L 12/28, опубл. 19.02.2018 г.
Ближайший аналог обеспечивает повышение скрытности связи и затруднение идентификации абонентов сети несанкционированными абонентами за счет непрерывного изменения идентификаторов абонентов сети в передаваемых пакетах сообщений, передачи пакетов сообщений по всем допустимым маршрутам связи и передачи маскирующих сообщений по маскирующим маршрутам связи.
Недостатками указанного прототипа являются относительно высокая вероятность перегрузки абонентов сети обработкой маскирующих сообщений, обусловленная возможностью образования очередей пакетов сообщений у передающего абонента, занятого обработкой и передачей в сеть связи маскирующих сообщений, и ухудшение показателя своевременности доставки пакетов сообщений принимающему абоненту, что может привести к потере фрагментов пакетов сообщений, вызванной истечением предельно допустимого времени их пребывания на маршруте связи. Повторная передача потерянных пакетов сообщений приводит к дополнительной нагрузке на сеть связи и абонентов, а повторная передача потерянных маскирующих пакетов сообщений может привести к компрометации результатов маскирования структуры сети связи.
Здесь и далее под термином «компрометация результатов маскирования структуры сети связи» понимают событие, связанное с искажением пропорции маскирующих и конструктивных пакетов сообщений, что приводит к ухудшению скрытности связи.
Целью заявленного изобретения является разработка способа маскирования структуры сети связи, обеспечивающего снижение вероятности перегрузки абонентов сети обработкой маскирующих сообщений за счет динамического изменения длины пакетов маскирующих сообщений для уменьшения времени ожидания в очереди пакетов сообщений у передающего абонента, и улучшение показателя своевременности доставки пакетов сообщений принимающему абоненту за счет выбора для каждого маскирующего маршрута связи узлов-терминаторов маскирующих сообщений. Улучшение показателя своевременности доставки пакетов сообщений принимающему абоненту исключит потерю фрагментов пакетов сообщений и необходимость их повторной передачи, приводящей к компрометации результатов маскирования структуры сети связи и ухудшению скрытности связи.
Здесь и далее под термином «узел-терминатор маскирующего сообщения» понимают узел сети, принадлежащий маскирующему маршруту связи, который прекращает дальнейшую передачу пакетов маскирующих сообщений, если длина фрагмента сообщения больше принятого на узле-терминаторе значения MTU. MTU - это максимально возможная длина дейтаграммы, которую та или иная технология может поместить в поле данных своей единицы передачи [Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: учебник для вузов. - СПб.: Питер, 2003.- 864 с.: ил.]. Передача между узлами сети пакетов сообщений с длиной, большей MTU, без фрагментации невозможна. Значение MTU определяется стандартом соответствующего протокола, но может быть переопределено автоматически для определенного потока.
Указанный технический результат достигается тем, что в известном способе маскирования структуры сети связи, заключающемся в том, что для сети связи, содержащей совокупность из X узлов сети, имеющих адреса IPX предварительно задают исходные данные, содержащие информацию о структуре сети связи, включающую структурный {IP} и идентификационный {ID} массивы, адрес сервера безопасности IPСБ, идентификаторы ID а и адреса IP а абонентов, подключенных к сети связи. Задают для каждого x-го узла сети, где x=1, 2, …, X, совокупность Y параметров безопасности и их значения bxy, где y=1, 2, …, Y. Задают допустимое значение
Figure 00000001
среднего показателя безопасности маршрута. Затем вычисляют комплексный показатель безопасности
Figure 00000002
для каждого x-го узла сети.
Формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве {IP} адреса узлов сети IPУС и адреса абонентов IP а сети, а также информацию о наличии связи между узлами и абонентами сети.
В идентификационном массиве {ID} запоминают идентификаторы ID а , IDСБ и соответствующие им адреса IP а , IPСБ абонентов сети и сервера безопасности.
После этого формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети, где i=1, 2, …, j=1, 2, …, и i≠j, в виде Nij деревьев графа сети связи. Каждое n-ое, где n=1, 2, …, Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети.
Для каждого из Nij возможных маршрутов связи вычисляют средний показатель безопасности маршрута
Figure 00000003
как среднее арифметическое комплексных показателей безопасности
Figure 00000004
узлов сети, входящих в n-ый маршрут связи.
В качестве безопасного маршрута связи
Figure 00000005
выбирают маршрут с наибольшим значением его среднего показателя безопасности
Figure 00000006
.
Выбранный безопасный маршрут запоминают и сравнивают значения средних показателей безопасности маршрутов
Figure 00000007
с предварительно заданным допустимым значением
Figure 00000008
. После этого запоминают допустимые маршруты
Figure 00000009
со значениями средних показателей безопасности
Figure 00000010
и формируют Mij пар дополнительных идентификаторов для абонентов сети
Figure 00000011
, где
Figure 00000012
. Запоминают маскирующие маршруты
Figure 00000013
со значениями средних показателей безопасности
Figure 00000014
и формируют Fij пар маскирующих идентификаторов для абонентов сети
Figure 00000015
, где
Figure 00000016
.
Формируют совокупность L возможных допустимых маршрутов связи между каждой парой идентификаторов абонентов сети, где L=Mij+1 и запоминают сформированные L маршрутов.
Формируют совокупность G маскирующих маршрутов связи между каждой парой идентификаторов абонентов сети, где G=Fij+1, запоминают сформированные G маршрутов.
Формируют сообщения, включающие информацию о запомненных допустимых L и маскирующих G маршрутах связи.
Затем формируют сообщения, включающие запомненные маршруты
Figure 00000017
между i-м и всеми j-ми абонентами, идентификаторы
Figure 00000018
и адреса
Figure 00000019
всех j-х абонентов.
Отправляют сформированные сообщения о безопасных маршрутах всем i-м абонентам сети. Для передачи сообщений между абонентами по безопасному маршруту по идентификатору абонента-получателя сообщения ID а выбирают его адрес IP а и безопасный маршрут
Figure 00000020
.
Отправляют сформированные сообщения о допустимых L и маскирующих G маршрутах связи всем i-м абонентам сети. Принимают их всеми i-ми абонентами сети. Затем назначают Mij пар дополнительных адресов
Figure 00000021
и Fij пар маскирующих адресов
Figure 00000022
абонентам сети в соответствии с управляющей информацией, содержащейся в принятых сообщениях. После этого формируют маскирующие сообщения, содержащие маскирующую информацию.
Фрагментируют исходящее сообщение на L фрагментов и передают фрагменты сообщения по L возможным допустимым маршрутам связи, а сформированные маскирующие сообщения передают по G маскирующим маршрутам связи.
При подключении нового абонента к сети связи, формируют сообщение, содержащее адрес узла сети IPУС подключения нового абонента, его идентификатор
Figure 00000023
и адрес
Figure 00000024
. После этого отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах.
Затем в сервере безопасности выбирают безопасные, допустимые L и маскирующие G маршруты связи между новым абонентом и всеми j-ми абонентами и запоминают их. После этого формируют сообщения, включающие информацию о запомненных безопасных, допустимых L и маскирующих G маршрутах связи, и отправляют эти сообщения всем абонентам сети.
В исходные данные дополнительно задают массив памяти
Figure 00000025
для хранения вычисленных значений максимально возможной длины MTU пакета сообщений, который может быть передан без фрагментации узлами сети, принадлежащими маскирующему маршруту
Figure 00000026
.
После запоминания маскирующих маршрутов
Figure 00000027
со значениями средних показателей безопасности
Figure 00000028
вычисляют значения MTU каждого узла сети, принадлежащего маскирующему маршруту
Figure 00000029
и запоминают их в массиве памяти
Figure 00000030
.
После запоминания сформированных G маскирующих маршрутов связи выбирают для каждого маскирующего маршрута связи G узел-терминатор маскирующего сообщения GT и запоминают его. Затем считывают из массива памяти
Figure 00000031
значение MTU узла-терминатора маскирующего сообщения GT и запоминают его.
После формирования сообщений, включающих информацию о запомненных допустимых L и маскирующих G маршрутах связи формируют сообщение, включающее значение MTU узла-терминатора маскирующего сообщения GT.
Затем, после приема всеми i-ми абонентами сети сообщений о допустимых L и маскирующих G маршрутах связи отправляют сформированные сообщения о значении MTU узла-терминатора маскирующего сообщения GT всем i-м абонентам сети и принимают их абонентами сети.
А после формирования маскирующих сообщений, содержащих маскирующую информацию, фрагментируют маскирующие сообщения на g фрагментов. Затем сравнивают длину каждого g-го фрагмента с принятым значением MTU узла-терминатора маскирующего сообщения GT.
В случае, если длина g-го фрагмента больше принятого значения MTU узла-терминатора маскирующего сообщения GT, то запрещают фрагментацию IP-пакета сообщений при его передаче по сети связи и переходят к передаче сформированных маскирующих сообщений по G маскирующим маршрутам связи.
В противном случае, то есть если длина g-го фрагмента меньше или равна принятому значению MTU узла-терминатора маскирующего сообщения GT, то дефрагментируют маскирующее сообщение.
При подключении нового абонента к сети связи и после запоминания выбранных в сервере безопасности допустимых L и маскирующих G маршрутов связи между новым абонентом и всеми j-ми абонентами, вычисляют значения MTU каждого узла сети, принадлежащего маскирующему маршруту связи между новым абонентом и всеми j-ми абонентами, запоминают их в массиве памяти
Figure 00000032
. После чего выбирают для каждого маскирующего маршрута G узел-терминатор маскирующего сообщения GT и запоминают его. Затем считывают из массива памяти
Figure 00000033
значение MTU узла-терминатора маскирующего сообщения GT и запоминают его.
А после формирования сообщений, включающих информацию о запомненных безопасных, допустимых L и маскирующих G маршрутах связи, формируют сообщение, включающее информацию о значении MTU узла-терминатора маскирующего сообщения GT.
Затем, после отправки сообщений, включающих информацию о запомненных безопасных, допустимых L и маскирующих G маршрутах связи, отправляют сформированные сообщения о значении MTU узла-терминатора маскирующего сообщения GT всем абонентам сети.
Для вычисления значения MTU каждого узла сети, принадлежащего маскирующему маршруту, применяют процедуру Path MTU Discovery.
Для вычисления значения MTU каждого узла сети, принадлежащего маскирующему маршруту, применяют процедуру установления связи с каждым узлом сети, для чего отправляют каждому узлу сети TCP-пакеты сообщений с установленным флагом SYN служебного поля FLAGS в заголовке TCP-пакета сообщений, принимают ответный пакет сообщений, содержащий сегмент Maximum Segment Size поля опций заголовка TCP-пакета сообщений, считывают его значение и добавляют к этому значению значение длины заголовка IP-пакета сообщений.
В качестве узла-терминатора маскирующего сообщения GT выбирают узел сети, принадлежащий маскирующему маршруту связи, который прекращает дальнейшую передачу пакетов маскирующих сообщений, если длина g-го фрагмента сообщения больше принятого на узле-терминаторе значения MTU.
При сравнении длины g-го фрагмента сообщения с принятым значением MTU узла-терминатора маскирующего сообщения GT учитывают длину служебной части пакета сообщения, добавляемую при передаче адресату к каждому пакету сообщений.
Для дефрагментации маскирующих сообщений объединяют между собой два или более фрагмента маскирующих сообщений.
Для запрещения фрагментации IP-пакета сообщений при его передаче по сети связи устанавливают в единицу значение флага DF «не фрагментировать» в заголовке IP-пакета сообщений.
Благодаря новой совокупности существенных признаков обеспечивается снижение вероятности перегрузки абонентов сети обработкой маскирующих сообщений за счет динамического изменения длины пакетов маскирующих сообщений для уменьшения времени ожидания в очереди пакетов сообщений у передающего абонента, и улучшение показателя своевременности доставки пакетов сообщений принимающему абоненту за счет выбора для каждого маскирующего маршрута связи узлов-терминаторов маскирующих сообщений. Улучшение показателя своевременности доставки пакетов сообщений принимающему абоненту исключит потерю фрагментов пакетов сообщений и необходимость их повторной передачи, приводящей к компрометации результатов маскирования структуры сети связи и ухудшению скрытности связи.
Заявленные объекты изобретения поясняются чертежами, на которых показаны:
фиг. 1 - пример структуры распределенной сети связи, иллюстрирующий реконструкцию структуры сети связи нарушителем;
фиг. 2 - структуры пакета сообщений и его IP-заголовка;
фиг. 3 - исходные данные для иллюстрации порядка расчетов;
фиг. 4 - блок-схема последовательности действий, реализующих заявленный способ маскирования структуры сети связи;
фиг. 5 - представление массивов исходных данных;
фиг. 6 - таблицы расчета комплексных показателей узлов и средних показателей безопасности маршрутов связи;
фиг. 7 - выбор допустимых и маскирующих маршрутов связи;
фиг. 8 - иллюстрация принципа маскирования структуры сети связи;
фиг. 9 - иллюстрация схем связи абонентов и сервера безопасности по трем допустимым маршрутам;
фиг. 10 - итоговая схема связи абонентов, включающая допустимые и маскирующие маршруты, а также узел-терминатор.
Заявленный способ реализуют следующим образом. В общем случае распределенные сети связи (фиг. 1а) строят для соединения абонентов сети 1 посредством сети связи общего пользования (например, Интернет), представляющей собой совокупность физических линий (каналов) связи 2, соединяющих собой X узлов сети 3 в единую инфраструктуру.
Различные серверы цифровых систем связи могут быть доступны или выделенной совокупности абонентов, как, например, сервер безопасности 4, или представлять собой общедоступные серверы 5 сети связи общего пользования (например, Интернет 6).
Целесообразно рассматривать случаи, когда количество узлов сети X больше двух. Все элементы инфраструктуры определяются идентификаторами, в качестве которых в наиболее распространенном семействе протоколов TCP/IP используют сетевые адреса (IP-адреса). При необходимости распределенной обработки информации и (или) ее передачи абоненты осуществляют подключение к сети связи общего пользования.
Множества адресов абонентов, подключенных к сети связи, и адресов узлов сети не пересекаются. Например, при использовании абонентами сервиса электронной почты схема связи абонентов включает в себя абонентов 1 Абi и Абj (фиг. 1б), сервер 5 электронной почты и каналы связи между ними 2. Абоненты 1 Абi и Абj и сервер 5 электронной почты используют уникальные IP-адреса.
При передаче пакетов сообщений по сетям связи общего пользования к абонентам сети, узлам сети и линиям (каналам) связи предъявляют требования информационной безопасности, характеризующие допустимые значения показателей безопасности элементов сети связи.
В случае (фиг. 1а) компрометации безопасного маршрута связи абонентов и получения нарушителем 7 несанкционированного доступа к элементам сети связи 2 и (или) 3 схема связи абонентов становится доступной нарушителю. Здесь и далее под термином «компрометация безопасного маршрута связи абонентов» понимают событие, связанное с получением кем-либо несанкционированного доступа к элементам безопасного маршрута связи - точкам подключения абонентов к сети связи, транзитным узлам и линиям связи.
Доступность схемы связи абонентов нарушителю обуславливается низкой скрытностью абонентов сети, использующих открытые IP-адреса, и возможностью идентификации по ним пакетов сообщений относительно конкретных пользователей сети и (или) узлов связи.
Например, на фиг. 1в, пользователи User №1 и User №2 (см. фиг. 1б) сгруппированы нарушителем в абонента Абi 1 по признаку использования ими одного IP-адреса, так как они подключены к сети связи общего пользования через один маршрутизатор (см. фиг. 1а). Структуры пакета сообщений и его IP-заголовка известны и представлены на фиг. 2. Использование абонентами для подключения к сети связи общего пользования одного маршрутизатора демаскирует их принадлежность к одному узлу связи. В то же время нарушитель наблюдает именно двух пользователей, сгруппированных в абонента Абi 1, так как между абонентами Абi и Абj кроме линии прямой связи существует альтернативный канал связи (показан на фиг. 1в пунктирной линией), включающий сервер электронной почты 5, что демаскируется полями «From» и «То» заголовка сообщения электронной почты, передаваемого абонентами. Структура служебных полей заголовка сообщения электронной почты известна и описана в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://tools.ietf.org/html/rfc822).
В подобных описанному на фиг. 1 случаях считают, что нарушитель реконструирует (вскрывает) структуру сети связи и может осуществлять деструктивные воздействия на все ее элементы, а сама структура сети связи обладает низкой скрытностью связи.
Реконструкция структуры сети связи происходит вследствие известности (открытости) структуры пакетов сообщений, где адреса отправителя и получателя демаскируют абонентов сети.
Для маскирования структуры сети связи необходимо обеспечивать индивидуальную скрытность абонентов, управлять маршрутами информационного обмена абонентов в сети связи общего пользования и передавать маскирующие сообщения для введения в заблуждение злоумышленников относительно структуры сети связи. Передача маскирующих сообщений может осуществляться между абонентами Абi и Абj, а также между специально подключенными к сети связи общего пользования ложными абонентами Абƒ, с помощью которых добиваются искажения структуры сети связи при ее реконструкции злоумышленником. Возможен также вариант организации маскирующего обмена между абонентами Абi или Абj и ложными абонентами Абƒ 8, как это показано на фиг. 1б пунктирными линиями.
Структура сети связи общего пользования динамична и содержит большое количество узлов, поэтому задачи оценивания показателей безопасности, формирования маршрутов и обслуживания запросов абонентов о безопасных маршрутах связи возлагают на выделенный сервер безопасности. Количество серверов безопасности зависит от размера сети связи и может быть задано, например, в соотношении 1 сервер на 7…10 корреспондирующих абонентов.
Рассмотрим вариант структуры распределенной сети связи (фиг. 3) представляющей собой совокупность из 5 узлов сети 3, сервера безопасности 4 и абонентов сети 1, объединенных физическими линиями связи 2.
На фиг. 4 представлена блок-схема последовательности действий, реализующих заявленный способ маскирования структуры сети связи, в которой приняты следующие обозначения:
СБ - сервер безопасности;
{IP} - структурный массив;
IPСБ - сетевой адрес сервера безопасности;
IPУС - сетевой адрес узла связи;
IPа - сетевой адрес абонента;
Figure 00000024
- сетевой адрес нового абонента;
{ID} - идентификационный массив;
IDа - идентификатор абонента;
ICСБ - идентификатор сервера безопасности;
Figure 00000023
- идентификатор нового абонента;
Figure 00000034
- дополнительный идентификатор абонента;
Figure 00000035
- маскирующий идентификатор абонента;
Х - число узлов сети связи;
Y - число учитываемых параметров безопасности узлов сети;
bxy - значение y-го параметра безопасности x-го узла сети, где x=1, 2, …, X, y=1, 2, …, Y;
Figure 00000036
- комплексный показатель безопасности каждого x-го узла сети;
Figure 00000037
- средний показатель безопасности маршрута связи между i-м и j-м абонентами сети;
Figure 00000038
- допустимое значение среднего показателя безопасности маршрута связи между i-м и j-м абонентами сети;
Nij - количество деревьев графа сети связи, соответствующее совокупности возможных маршрутов связи между i-м и j-м абонентами сети, где i=1, 2, …, j=1, 2, …, и i≠j;
Figure 00000039
- безопасный маршрут связи между i-м и j-м абонентами сети;
Figure 00000040
- количество допустимых маршрутов между i-м и j-м абонентами сети;
Figure 00000041
- количество маскирующих маршрутов между i-м и j-м абонентами сети;
Figure 00000042
- массив памяти для хранения вычисленных значений максимально возможной длины MTU пакета сообщений, который может быть передан без фрагментации узлами сети, принадлежащими маскирующему маршруту
Figure 00000043
;
Mij - количество пар дополнительных идентификаторов для i-го и j-го абонентов сети;
Fij - количество пар маскирующих идентификаторов для z-го и j-го абонентов сети;
L - количество возможных допустимых маршрутов связи между каждой парой идентификаторов абонентов сети;
G - количество маскирующих маршрутов связи между каждой парой идентификаторов абонентов сети;
GT - узел-терминатор маскирующего сообщения.
На начальном этапе в сервере безопасности (на фиг. 4 - СБ) задают исходные данные (бл. 1 на фиг. 4), включающие структурный {IP} и идентификационный {ID} массивы, адрес сервера безопасности IPСБ, идентификаторы IDa и адреса IPа абонентов, подключенных к сети связи, массив памяти
Figure 00000044
для хранения вычисленных значений максимально возможной длины MTU пакета сообщений, который может быть передан без фрагментации узлами сети, принадлежащими маскирующему маршруту
Figure 00000045
. Для каждого х-го узла сети, где х=1, 2, …, X, задают Y≥2 параметров безопасности и их значения bxy, где y=1, 2, …, Y. Задают допустимое значение
Figure 00000046
среднего показателя безопасности маршрута. Перечисленные исходные данные представлены таблицами на фиг. 5.
Структурный массив {IP} - массив для хранения адреса сервера безопасности IPСБ, адресов узлов IPУС и абонентов IPа сети, а также информации о наличии связи между ними (фиг. 5а), которая характеризуется только двумя значениями, «1» - наличие связи и «0» - ее отсутствие.
Идентификационный массив {ID} - массив для хранения идентификаторов сервера безопасности IDСБ, абонентов IDa сети связи и соответствующих им адресов абонентов сети IPа и сервера безопасности IPСБ (фиг. 5б).
Параметры безопасности узлов сети определяют, например, в соответствии с ГОСТ Р ИСО/МЭК 15408-2002 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». Значения bx1 параметра y=1 безопасности узлов сети определяют, например, по характеристикам производителей оборудования узлов сети, информацию о которых можно получить из физических адресов узлов сети. Физические адреса узлов сети представляют в виде шестнадцатеричной записи, например 00:10:5a:3F:D4:E1, где первые три значения определяют производителя (00:01:е3 - Siemens, 00:10:5а - 3Com, 00:03:ba - Sun).
Например, для УС1 (x=1 на фиг. 5а) физический адрес которого 00:01:e3:3F:D4:E1, первые три значения определяют производителя Siemens, что соответствует значению параметра безопасности b11=0,3. Аналогично определяются значения bx1 параметра y=1 безопасности узлов сети УС2-УС5, а так же значения bxy всех заданных Y≥2 параметров безопасности (фиг. 5а).
В качестве остальных параметров безопасности узла сети можно рассматривать тип его оборудования, версию установленного на нем программного обеспечения, принадлежность узла государственной или частной организации и другие известные сведения.
Для каждого х-го узла сети по значениям bxy его параметров безопасности вычисляют комплексный показатель безопасности
Figure 00000047
(бл. 2 на фиг. 4). Рассчитанные показатели представлены в таблице (фиг. 5г).
Комплексный показатель безопасности
Figure 00000048
для каждого x-го узла сети вычисляют путем суммирования
Figure 00000049
, или перемножения
Figure 00000050
, или как среднее арифметическое значение
Figure 00000051
его параметров безопасности bxy.
Принципиально способ вычисления
Figure 00000052
не влияет на результат выбора безопасного маршрута. Например, значения вычисленных комплексных показателей безопасности
Figure 00000053
для каждого x-го узла рассматриваемого варианта сети связи (фиг. 3) перечисленными способами при заданных значениях параметров безопасности bxy узлов приведены в таблице (фиг. 6а).
Кроме этого возможен утилитарный подход к определению комплексных показателей безопасности
Figure 00000054
для каждого x-го узла сети, когда их задают бинарно-опасный узел, либо безопасный узел, в последнем случае полагая, что его безопасность доказана, но количественные значения показателей безопасности недоступны лицам, принимающим решение на выбор маршрута.
Далее формируют матрицу смежности вершин графа сети (бл. 3 на фиг. 4), для чего запоминают в структурном массиве (фиг. 5а) адреса узлов сети IPУС и адреса абонентов IPа сети, а также информацию о наличии связи между узлами и абонентами сети.
Способы формирования матриц смежности вершин графа известны (см., например, Басакер Р., Саати Т. Конечные графы и сети. - М.: Наука, 1973, 368 с.). Для рассматриваемого графа сети связи матрица смежности вершин имеет вид:
Figure 00000055
После этого в идентификационном массиве (фиг. 5б) запоминают идентификаторы IDa, IDСБ и соответствующие им адреса IPа, IPСБ абонентов сети и сервера безопасности.
Формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети (бл. 4 на фиг. 4), где i=1, 2, …, j=1, 2, …, и i≠j, в виде Nij деревьев графа сети связи. Каждое n-ое, где n=1, 2, …, Nij, дерево графа состоит из zn вершин, соответствующих количеству узлов сети. Порядок формирования деревьев графа известен и описан (см., например, Кристофидес Н. Теория графов: Алгоритмический подход. Пер. с англ. - М.: Мир, 1978, 432 с.).
Общее число Nij деревьев графа сети связи между i-м и j-м абонентами сети может быть определено различными методами. В заявленном способе общее число Nij деревьев графа находят с использованием матрицы смежности по формуле:
Figure 00000056
, где Bo=М×K - преобразованная матрица смежности вершин графа сети связи, а М=Mp-1, K - соответственно число строк и столбцов матрицы, Mp - число строк исходной матрицы смежности, равное общему количеству узлов сети связи;
Figure 00000057
- транспонированная матрица к Bo. Удаляя одну строку матрицы В, получают матрицу Bo, а затем транспонированную к ней матрицу
Figure 00000058
. Порядок получения транспонированной матрицы известен и описан (см., например, Г. Корн, Т. Корн. Справочник по математике для научных работников и инженеров. - М.: Наука, 1977 г.).
Построение маршрутов связи между абонентами на основе деревьев графа сети связи обеспечивает нахождение всех возможных маршрутов связи и их незамкнутость, т.е. исключает неприемлемые для передачи сообщений замкнутые маршруты. Таким образом, проведя расчеты, получаем общее число Nij деревьев графа сети связи между i-м и j-м абонентами сети, равное 5.
Для обоснования и объективного выбора безопасного, допустимых и маскирующих маршрутов связи из совокупности Nij=5 возможных маршрутов связи между i-м и j-м абонентами сети вычисляют средние показатели безопасности
Figure 00000059
(бл. 5 на фиг. 4) как среднее арифметическое комплексных показателей безопасности
Figure 00000060
узлов сети, входящих в n-ый маршрут связи
Figure 00000061
(см. фиг. 6б и фиг. 7).
Используя результаты, полученные при вычислении комплексных показателей безопасности узлов сети разными способами (фиг. 6а), вычислены средние показатели безопасности
Figure 00000062
маршрутов связи сформированных между i-м и j-м абонентами сети (фиг. 7). Результаты сведены в таблицу (фиг. 6б). В качестве безопасного маршрута выбирают (бл. 6 на фиг. 4) и запоминают (бл. 7 на фиг. 4) маршрут n=1, так как его средние показатели безопасности, вне зависимости от способа вычисления, максимальны.
Далее сравнивают значения средних показателей безопасности маршрутов
Figure 00000063
с предварительно заданным допустимым значением
Figure 00000064
(бл. 8 на фиг. 4). Те маршруты, значения средних показателей безопасности которых удовлетворяют условию
Figure 00000065
, запоминают как допустимые маршруты
Figure 00000066
(бл. 9 на фиг. 4).
Пусть, например, задано значение
Figure 00000067
. Из полученных результатов, приведенных на фиг. 6 и 7 следует, что первый, второй и третий маршруты n=1, 2, 3 имеют значения среднего показателя безопасности
Figure 00000068
удовлетворяющие этому требованию, и они выделены полужирным шрифтом. При анализе полученных расчетов средних показателей безопасности маршрутов выявлено что, способ вычисления
Figure 00000069
не влияет на результат выбора безопасного маршрута. Таким образом и формируют множество допустимых маршрутов между всеми абонентами сети.
Далее формируют (бл. 10 на фиг. 4) Mij пар дополнительных идентификаторов для абонентов сети
Figure 00000070
, где
Figure 00000071
, формируют совокупность возможных допустимых маршрутов связи L между каждой парой идентификаторов абонентов сети, где L=Mij+1 и запоминают сформированные L маршрутов (бл. 11 и 12 на фиг. 4).
В том случае, если по результатам сравнения комплексных показателей безопасности маршрутов
Figure 00000072
с предварительно заданным допустимым значением
Figure 00000073
выявляют те маршруты, что удовлетворяют условию
Figure 00000074
, то такие маршруты запоминают как маскирующие
Figure 00000075
маршруты (бл. 13 на фиг. 4). При заданном
Figure 00000076
, из полученных результатов, приведенных на фиг. 6 и 7 следует, что четвертый и пятый маршруты n=4, 5 имеют значения среднего показателя безопасности, удовлетворяющие условию
Figure 00000077
. Их запоминают как маскирующие
Figure 00000078
, и используют для последующей передачи по ним маскирующих (ложных) сообщений и введения нарушителей в заблуждение относительно структуры сети связи.
После запоминания маскирующих маршрутов
Figure 00000079
со значениями средних показателей безопасности
Figure 00000080
вычисляют (бл. 14 на фиг. 4) значения MTU каждого узла сети, принадлежащего маскирующему маршруту
Figure 00000081
и запоминают их в массиве памяти
Figure 00000082
(бл. 15 на фиг. 4). В каждом канале сети связи (определяют по передающему интерфейсу узла сети - маршрутизатора) есть максимальный размер передаваемого блока данных (MTU, Maximum Transfer Unit). Каждый сегмент передаваемых данных должен помещаться (см., например, Танненбаум Э., Уэзеролл Д. Компьютерные сети. - 5-е изд. - СПб.: Питер, 2017. - 960 с., на стр. 590) в MTU, чтобы он мог передаваться в одном пакете, не разделенном на фрагменты.
Для вычисления значения MTU каждого узла сети, принадлежащего маскирующему маршруту, применяют процедуру Path MTU Discovery, как это описано, например, в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://tools.ietf.org/html/rfc1191). Другим вариантом вычисления значения MTU каждого узла сети, принадлежащего маскирующему маршруту, является применение процедуры установления связи с каждым узлом сети, для чего отправляют каждому узлу сети TCP-пакеты сообщений с установленным флагом SYN служебного поля FLAGS в заголовке TCP-пакета сообщений (см., например, https://tools.ietf.org/html/rfc4413). После этого принимают ответный пакет сообщений, содержащий сегмент Maximum Segment Size поля опций заголовка TCP-пакета сообщений, считывают его значение и добавляют к этому значению значение длины заголовка IP-пакета сообщений. В качестве значения сегмента Maximum Segment Size абонент записывает максимально допустимую длину данных, которые он готов принять, и для фрагмента маскирующих сообщений абонент устанавливает это значение относительно малым так, чтобы оно было меньше любого MTU на протяжении маскирующего маршрута между отправляющей и принимающей стороной.
Для передачи маскирующих (ложных) сообщений и введения нарушителей в заблуждение относительно структуры сети связи (бл. 16 на фиг. 4) формируют Fij пар дополнительных идентификаторов для абонентов сети
Figure 00000083
, где
Figure 00000084
, формируют совокупность возможных маскирующих маршрутов связи G между каждой парой идентификаторов абонентов сети, где G=Fij+1 (бл. 17 на фиг. 4) и запоминают сформированные G маршрутов (бл. 18 на фиг. 4).
После запоминания сформированных G маскирующих маршрутов связи выбирают (бл. 19 на фиг. 4) для каждого маскирующего маршрута связи G узел-терминатор маскирующего сообщения GT и запоминают его (бл. 20 на фиг. 4).
Выбор узла-терминатора маскирующего сообщения GT необходим для того, чтобы улучшить показатель своевременности доставки пакетов сообщений принимающему абоненту. Этого достигают тем, что пакеты маскирующих сообщений не будут доставляться принимающему абоненту (если он не является ложным - см. Абƒ 8 фиг. 1б), а будут уничтожаться на узле-терминаторе. Например, для структуры, показанной на фиг. 1а, если пакеты маскирующих сообщений передают между абонентами Абj и Абi по маскирующему маршруту через узлы сети УС3, УС4 и УС1, то нарушитель перехватит анализаторами протоколов 7 пакеты маскирующих сообщений из УС4 и канала (линии) связи между УС3 и УС4, а пакеты маскирующих сообщений будут уничтожены на выбранном в качестве узла-терминатора УС1. В результате принимающий абонент Абi не будет перегружен маскирующими сообщениями, и показатель своевременности доставки ему конструктивных (не маскирующих) сообщений будет улучшен.
В том случае, если принимающий абонент является ложным, то в качестве узла-терминатора маскирующего сообщения GT выбирают принимающего абонента.
Затем считывают (бл. 21 на фиг. 4) из массива памяти
Figure 00000085
значение MTU узла-терминатора маскирующего сообщения GT и запоминают его (бл. 22 на фиг. 4).
В качестве узла-терминатора маскирующего сообщения GT выбирают узел сети, принадлежащий маскирующему маршруту связи, который прекращает дальнейшую передачу пакетов маскирующих сообщений, если длина g-го фрагмента сообщения больше принятого на узле-терминаторе значения MTU. При сравнении длины g-го фрагмента сообщения с принятым значением MTU узла-терминатора маскирующего сообщения GT учитывают длину служебной части пакета сообщения, добавляемую при передаче адресату к каждому пакету сообщений.
Далее формируют сообщения, включающие запомненные L допустимых, G маскирующих маршрутов и значение MTU узла-терминатора маскирующего сообщения GT между i-м и всеми j-ми абонентами (бл. 23 на фиг. 4). Формируют сообщения, включающие запомненные безопасные маршруты
Figure 00000086
между i-м и всеми j-ми абонентами, идентификаторы
Figure 00000087
и адреса
Figure 00000088
всех j-x абонентов (бл. 24 на фиг. 4), отправляют сформированные сообщения всем i-м абонентам сети (бл. 25 и 27 на фиг. 4) и принимают их абонентами сети (бл. 28 на фиг. 4). Для передачи сообщений между абонентами по безопасному маршруту по идентификатору абонента-получателя сообщения ID a выбирают (бл. 26 на фиг. 4) его адрес IP а и безопасный маршрут
Figure 00000089
.
Таким образом, каждого абонента сети уведомляют о безопасных, допустимых и маскирующих маршрутах ко всем остальным абонентам, а также о значениях MTU, которые необходимо устанавливать для маскирующих сообщений, чтобы они уничтожались на выбранном узле терминаторе каждого маскирующего маршрута.
Затем после отправки сформированных сообщений всем i-м абонентам сети, и приема сообщений абонентами сети, назначают Mij пар дополнительных адресов
Figure 00000090
и Fij пар маскирующих адресов
Figure 00000091
абонентам сети в соответствии с управляющей информацией, содержащейся в принятых сообщениях (бл. 29 на фиг. 4). Каждую пару этих дополнительных адресов используют для организации связи между абонентами по L допустимым и G маскирующим маршрутам, непрерывно изменяя идентификаторы (IP-адреса) абонентов сети в передаваемых пакетах сообщений. Таким образом, вместо одной пары корреспондентов, нарушитель, скомпрометировавший маршрут связи, будет «наблюдать» (L+G) корреспондирующих пар, что существенно затруднит возможность идентификации пакетов сообщений относительно абонентов сети связи и, как следствие, повысит скрытность связи, маскируя структуру сети связи.
На фиг. 8 представлен изложенный принцип маскирования структуры сети связи (сведения об узлах связи сети Интернет опущены). Исходная структура связи абонентов является полносвязной и состоит из трех абонентов и трех каналов связи между ними (фиг. 8a).
Пусть, например, совокупность L возможных допустимых маршрутов связи между каждой парой идентификаторов абонентов сети представлена в виде таблицы данных о допустимых маршрутах (фиг. 8б). Реализация способа маскирования приводит к тому, что анализ связности структуры сети связи покажет 12 абонентов и 6 каналов связи между ними (фиг. 8в), а приведенную на фиг. 8 структуру нарушитель определит, как «бессвязную».
Известные протоколы маршрутизации (routing protocols), такие как RIP, OSPF, NLSP, BGP предназначены для передачи пользовательской информации и обеспечивают в способе маршрутизации от источника (source specified routing) обмен информацией по заданному маршруту (см., например, Олифер В.Г. и Олифер Н.А. «Компьютерные сети. Принципы, технологии, протоколы.», уч. для Вузов, 5-е изд.; - СПб.: Питер, 2015). Таким образом, у абонентов имеется возможность передачи сообщений именно по заданному маршруту.
Исходящее сообщение фрагментируют на L фрагментов (бл. 36 на фиг. 4), при этом количество фрагментов выбирают в количестве, не превышающем сумму исходной и дополнительных пар идентификаторов для i-го и j-го абонентов сети, то есть L=Mij+1, и передают фрагменты сообщения по L возможным допустимым маршрутам связи (бл. 37 на фиг. 4).
Для формирования маскирующих сообщений (бл. 30 на фиг. 4) генерируют ложные исходные пакеты данных, в информационную часть которых записывают случайную или произвольную цифровую последовательность (случайную последовательность сигналов логический «0» и логическая «1»).
После формирования маскирующих сообщений, содержащих маскирующую информацию, фрагментируют (бл. 31 на фиг. 4) маскирующие сообщения на g фрагментов. Фрагментация маскирующих сообщений необходима для уменьшения среднего времени нахождения в очереди конструктивных (немаскирующих) пакетов, имеющих больший приоритет при отправке в сеть. Однако фрагментированные маскирующие сообщения могут иметь длину меньшую, чем MTU узла-терминатора. Для устранения этого противоречия необходимо сравнивать (бл. 32 на фиг. 4) длину каждого g-го фрагмента с принятым значением MTU узла-терминатора маскирующего сообщения GT. Сравнение необходимо для того, чтобы определить, будет ли уничтожен пакет маскирующего сообщения на узле-терминаторе. При сравнении длины g-го фрагмента сообщения с принятым значением MTU узла-терминатора маскирующего сообщения GT учитывают длину служебной части пакета сообщения, добавляемую при передаче адресату к каждому пакету сообщений. И в случае, если длина g-го фрагмента больше принятого значения MTU узла-терминатора маскирующего сообщения GT, то запрещают фрагментацию IP-пакета сообщений (бл. 33 на фиг. 4) при его передаче по сети связи. Для запрещения фрагментации IP-пакета сообщений при его передаче по сети связи устанавливают в единицу значение флага DF (Do not Fragment) «не фрагментировать» в заголовке IP-пакета сообщений. Установка этого флага в единицу означает запрет фрагментации (см., например, https://tools.ietf.org/html/rfc791) на узле-терминаторе, что приводит к запрету ретрансляции пакета сообщений дальше узла-терминатора. Затем передают сформированные маскирующие сообщения по G маскирующим маршрутам связи (бл. 35 на фиг. 4).
В противном случае, то есть если длина g-го фрагмента меньше или равна принятому значению MTU узла-терминатора маскирующего сообщения GT, то дефрагментируют маскирующее сообщение (бл. 34 на фиг. 4), для чего объединяют между собой два или более фрагмента маскирующих сообщений. Таким образом, за счет динамического изменения длины пакетов маскирующих сообщений, достигают уменьшения среднего времени ожидания в очереди пакетов сообщений у передающего абонента.
При подключении нового абонента к сети связи (на фиг. 3 - Аб н) формируют у него сообщение, содержащее адрес узла сети УС 4 IPУ4 к которому он подключен, его идентификатор
Figure 00000092
и адрес
Figure 00000093
(бл. 38 и 39 на фиг. 4). Отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах (бл. 40 и 41 на фиг. 4), дополняя (обновляя) таким образом информацию о структуре сети связи и абонентах сети.
Далее действия повторяют, начиная с бл. 4 на фиг. 4. Таким образом до нового абонента сети доводят сообщения о безопасном, допустимых L и маскирующих G маршрутах ко всем абонентам сети, а остальных абонентов уведомляют о безопасном, допустимых L и маскирующих G маршрутах к новому абоненту.
На фиг. 9 представлена иллюстрация схем связи абонентов и сервера безопасности по трем допустимым маршрутам n=1, 2, 3, выбранным с помощью описанного способа.
На фиг. 10 представлена итоговая схема связи абонентов 1 Аб i и Аб j. Маскирующие маршруты 5 выделены пунктирной линией n=4, 5. Допустимые маршруты 2 показаны сплошной линией. Наиболее вероятное нахождение нарушителя и компрометация маршрута связи - на маршрутах со средним показателем безопасности ниже допустимого значения
Figure 00000094
.
Вычисление комплексных показатели безопасности
Figure 00000095
узлов и средних показателей безопасности маршрутов
Figure 00000096
дают основание для объективного выбора безопасных, допустимых и маскирующих маршрутов связи между абонентами сети. В результате расчетов и маскирования структуры сети связи достигают исключение транзитных узлов сети, обладающих низким уровнем безопасности, который указывает на высокую вероятность несанкционированного перехвата передаваемых абонентами сообщений на маршруте, включающем, например, УС4, УС5. При передаче пакетов маскирующих сообщений между ложным Абƒ 8 абонентом и абонентом Абj по маскирующему маршруту №5 (n=5 на фиг. 7), в качестве узла-терминатора выбирают, например УС3, учитывая MTU канала связи между УС3 и Абj.
Выбранные допустимые маршруты связи между i-м и j-м абонентами проходят через транзитные узлы сети, обладающие максимально высокими уровнями безопасности, что снижает вероятность перехвата злоумышленниками информационного обмена абонентов сети.
Таким образом, в рассмотренном способе за счет динамического изменения длины пакетов маскирующих сообщений для уменьшения времени ожидания в очереди пакетов сообщений у передающего абонента, а также счет выбора для каждого маскирующего маршрута связи узлов-терминаторов маскирующих сообщений для улучшения показателя своевременности доставки пакетов сообщений принимающему абоненту достигают цели заявленного изобретения. Улучшение показателя своевременности доставки пакетов сообщений принимающему абоненту исключит потерю фрагментов пакетов сообщений и необходимость их повторной передачи, приводящей к компрометации результатов маскирования структуры сети связи и ухудшению скрытности связи.

Claims (7)

1. Способ маскирования структуры сети связи, заключающийся в том, что для сети связи, содержащей совокупность из X узлов сети, имеющих адреса IPX, предварительно задают исходные данные, содержащие информацию о структуре сети связи, включающую структурный {IP} и идентификационный {ID} массивы, адрес сервера безопасности IРСБ, идентификаторы IDa и адреса IPa абонентов, подключенных к сети связи, задают для каждого х-го узла сети, где x=1, 2, …, X, совокупность Y параметров безопасности и их значения bxy, где y=1, 2, …, Y, допустимое значение
Figure 00000097
среднего показателя безопасности маршрута, вычисляют комплексный показатель безопасности k для каждого х-го узла сети, формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве {IP} адреса узлов сети IPУC и адреса абонентов IPa сети, а так же информацию о наличии связи между узлами и абонентами сети, а в идентификационном массиве {ID} запоминают идентификаторы IDa, IDСБ и соответствующие им адреса IPa, IРСБ абонентов сети и сервера безопасности, после чего формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети, где i=1, 2, …, j=1, 2,…, и i≠j, в виде Nij деревьев графа сети связи, причем каждое n-е, где n - 1, 2, …, Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети, затем для каждого из Nij возможных маршрутов связи вычисляют средний показатель безопасности маршрута
Figure 00000098
как среднее арифметическое комплексных показателей безопасности
Figure 00000099
узлов сети, входящих в n-й маршрут связи, а в качестве безопасного маршрута связи
Figure 00000100
выбирают маршрут с наибольшим значением его среднего показателя безопасности
Figure 00000101
, выбранный безопасный маршрут запоминают, сравнивают значения средних показателей безопасности маршрутов
Figure 00000102
с предварительно заданным допустимым значением
Figure 00000103
, запоминают допустимые маршруты
Figure 00000104
со значениями средних показателей безопасности
Figure 00000105
, формируют Mij пар дополнительных идентификаторов для абонентов сети
Figure 00000106
, где
Figure 00000107
, запоминают маскирующие маршруты
Figure 00000108
со значениями средних показателей безопасности
Figure 00000109
, формируют Fij пар маскирующих идентификаторов для абонентов сети
Figure 00000110
, где
Figure 00000111
, формируют совокупность L возможных допустимых маршрутов связи между каждой парой идентификаторов абонентов сети, где L=Mij+1, и запоминают сформированные L маршрутов, формируют совокупность G маскирующих маршрутов связи между каждой парой идентификаторов абонентов сети, где G=Fij+1, запоминают сформированные G маршрутов, формируют сообщения, включающие информацию о запомненных допустимых L и маскирующих G маршрутах связи, затем формируют сообщения, включающие запомненные маршруты
Figure 00000112
между i-м и всеми j-ми абонентами, идентификаторы IDaj и адреса IPaj всех j-х абонентов, отправляют сформированные сообщения о безопасных маршрутах всем i-м абонентам сети, а для передачи сообщений между абонентами по безопасному маршруту по идентификатору абонента-получателя сообщения IDa выбирают его адрес IPa и безопасный маршрут
Figure 00000113
, отправляют сформированные сообщения о допустимых L и маскирующих G маршрутах связи всем i-м абонентам сети, принимают их всеми i-ми абонентами сети, назначают Mij пар дополнительных адресов
Figure 00000114
и Fij пар маскирующих адресов
Figure 00000115
абонентам сети в соответствии с управляющей информацией, содержащейся в принятых сообщениях, формируют маскирующие сообщения, содержащие маскирующую информацию, фрагментируют исходящее сообщение на L фрагментов и передают фрагменты сообщения по L возможным допустимым маршрутам связи, а сформированные маскирующие сообщения передают по G маскирующим маршрутам связи, и при подключении нового абонента к сети связи формируют сообщение, содержащее адрес узла сети IРУС подключения нового абонента, его идентификатор IDан и адрес IРан, после чего отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах, затем в сервере безопасности выбирают безопасные, допустимые L и маскирующие G маршруты связи между новым абонентом и всеми j-ми абонентами и запоминают их, после чего формируют сообщения, включающие информацию о запомненных безопасных, допустимых L и маскирующих G маршрутах связи, и отправляют эти сообщения всем абонентам сети, отличающийся тем, что дополнительно в исходные данные задают массив памяти
Figure 00000116
для хранения вычисленных значений максимально возможной длины MTU пакета сообщений, который может быть передан без фрагментации узлами сети, принадлежащими маскирующему маршруту
Figure 00000117
, и после запоминания маскирующих маршрутов
Figure 00000118
со значениями средних показателей безопасности
Figure 00000119
вычисляют значения MTU каждого узла сети, принадлежащего маскирующему маршруту
Figure 00000120
, и запоминают их в массиве памяти
Figure 00000121
, а после запоминания сформированных G маскирующих маршрутов связи выбирают для каждого маскирующего маршрута связи G узел-терминатор маскирующего сообщения G и запоминают его, считывают из массива памяти
Figure 00000122
значение MTU узла-терминатора маскирующего сообщения GT и запоминают его, и после формирования сообщений, включающих информацию о запомненных допустимых L и маскирующих G маршрутах связи, формируют сообщение, включающее значение MTU узла-терминатора маскирующего сообщения GT, затем после приема всеми i-ми абонентами сети сообщений о допустимых L и маскирующих G маршрутах связи отправляют сформированные сообщения о значении MTU узла-терминатора маскирующего сообщения GT всем i-м абонентам сети, принимают их абонентами сети и после формирования маскирующих сообщений, содержащих маскирующую информацию, фрагментируют маскирующие сообщения на g фрагментов, сравнивают длину каждого g-го фрагмента с принятым значением MTU узла-терминатора маскирующего сообщения GT, и в случае, если длина g-го фрагмента больше принятого значения MTU узла-терминатора маскирующего сообщения GT, то запрещают фрагментацию IP-пакета сообщений при его передаче по сети связи и переходят к передаче сформированных маскирующих сообщений по G маскирующим маршрутам связи, а в противном случае, то есть если длина g-го фрагмента меньше или равна принятому значению MTU узла-терминатора маскирующего сообщения GT, то дефрагментируют маскирующее сообщение, а при подключении нового абонента к сети связи и после запоминания выбранных в сервере безопасности допустимых L и маскирующих G маршрутов связи между новым абонентом и всеми j-ми абонентами вычисляют значения MTU каждого узла сети, принадлежащего маскирующему маршруту связи между новым абонентом и всеми j-ми абонентами, запоминают их в массиве памяти
Figure 00000123
, выбирают для каждого маскирующего маршрута G узел-терминатор маскирующего сообщения GT и запоминают его, считывают из массива памяти
Figure 00000124
значение MTU узла-терминатора маскирующего сообщения GT и запоминают его, и после формирования сообщений, включающих информацию о запомненных безопасных, допустимых L и маскирующих G маршрутах связи, формируют сообщение, включающее информацию о значении MTU узла-терминатора маскирующего сообщения GT, и после отправки сообщений, включающих информацию о запомненных безопасных, допустимых L и маскирующих G маршрутах связи, отправляют сформированные сообщения о значении MTU узла-терминатора маскирующего сообщения GT всем абонентам сети.
2. Способ по п. 1, отличающийся тем, что для вычисления значения MTU каждого узла сети, принадлежащего маскирующему маршруту, применяют процедуру Path MTU Discovery.
3. Способ по п. 1, отличающийся тем, что для вычисления значения MTU каждого узла сети, принадлежащего маскирующему маршруту, применяют процедуру установления связи с каждым узлом сети, для чего отправляют каждому узлу сети TCP-пакеты сообщений с установленным флагом SYN служебного поля FLAGS в заголовке ТСР-пакета сообщений, принимают ответный пакет сообщений, содержащий сегмент Maximum Segment Size поля опций заголовка TCP-пакета сообщений, считывают его значение и добавляют к этому значению значение длины заголовка IP-пакета сообщений.
4. Способ по п. 1, отличающийся тем, что в качестве узла-терминатора маскирующего сообщения GT выбирают узел сети, принадлежащий маскирующему маршруту связи, который прекращает дальнейшую передачу пакетов маскирующих сообщений, если длина g-го фрагмента сообщения больше принятого на узле-терминаторе значения MTU.
5. Способ по п. 1, отличающийся тем, что при сравнении длины g-го фрагмента сообщения с принятым значением MTU узла-терминатора маскирующего сообщения G учитывают длину служебной части пакета сообщения, добавляемую при передаче адресату к каждому пакету сообщений.
6. Способ по п. 1, отличающийся тем, что для дефрагментации маскирующих сообщений объединяют между собой два или более фрагмента маскирующих сообщений.
7. Способ по п. 1, отличающийся тем, что для запрещения фрагментации IP-пакета сообщений при его передаче по сети связи устанавливают в единицу значение флага DF «не фрагментировать» в заголовке IP-пакета сообщений.
RU2018112925A 2018-04-09 2018-04-09 Способ маскирования структуры сети связи RU2682105C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2018112925A RU2682105C1 (ru) 2018-04-09 2018-04-09 Способ маскирования структуры сети связи

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2018112925A RU2682105C1 (ru) 2018-04-09 2018-04-09 Способ маскирования структуры сети связи

Publications (1)

Publication Number Publication Date
RU2682105C1 true RU2682105C1 (ru) 2019-03-14

Family

ID=65805741

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2018112925A RU2682105C1 (ru) 2018-04-09 2018-04-09 Способ маскирования структуры сети связи

Country Status (1)

Country Link
RU (1) RU2682105C1 (ru)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2739151C1 (ru) * 2020-03-24 2020-12-21 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ маскирования структуры сети связи
RU2759152C1 (ru) * 2021-01-28 2021-11-09 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ маскирования структуры сети связи
CN114786174A (zh) * 2022-03-09 2022-07-22 西安电子科技大学 面向物联网隐蔽传输系统的信息年龄最小化方法及系统
RU2793104C1 (ru) * 2022-12-07 2023-03-29 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ маскирования структуры сети связи

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020133576A1 (en) * 2001-03-09 2002-09-19 Koymans Ronald Leo Christiaan System with a server for verifying new components
US9088856B2 (en) * 2003-03-13 2015-07-21 777388 Ontario Limited Networked sound masking system with centralized sound masking generation
US9092962B1 (en) * 2010-04-16 2015-07-28 Kontek Industries, Inc. Diversity networks and methods for secure communications
RU2622842C1 (ru) * 2016-05-23 2017-06-20 федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Способ маскирования структуры сети связи
RU2645292C2 (ru) * 2016-06-21 2018-02-19 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ маскирования структуры сети связи

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020133576A1 (en) * 2001-03-09 2002-09-19 Koymans Ronald Leo Christiaan System with a server for verifying new components
US9088856B2 (en) * 2003-03-13 2015-07-21 777388 Ontario Limited Networked sound masking system with centralized sound masking generation
US9092962B1 (en) * 2010-04-16 2015-07-28 Kontek Industries, Inc. Diversity networks and methods for secure communications
RU2622842C1 (ru) * 2016-05-23 2017-06-20 федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Способ маскирования структуры сети связи
RU2645292C2 (ru) * 2016-06-21 2018-02-19 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ маскирования структуры сети связи

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2739151C1 (ru) * 2020-03-24 2020-12-21 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ маскирования структуры сети связи
RU2759152C1 (ru) * 2021-01-28 2021-11-09 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ маскирования структуры сети связи
CN114786174A (zh) * 2022-03-09 2022-07-22 西安电子科技大学 面向物联网隐蔽传输系统的信息年龄最小化方法及系统
RU2793104C1 (ru) * 2022-12-07 2023-03-29 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ маскирования структуры сети связи
RU2794532C1 (ru) * 2023-01-11 2023-04-20 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ маскирования структуры сети связи

Similar Documents

Publication Publication Date Title
Ghali et al. Needle in a haystack: Mitigating content poisoning in named-data networking
RU2682105C1 (ru) Способ маскирования структуры сети связи
US6731599B1 (en) Automatic load sharing-trunking
US7873695B2 (en) Managing connections and messages at a server by associating different actions for both different senders and different recipients
US7206814B2 (en) Method and system for categorizing and processing e-mails
US7849142B2 (en) Managing connections, messages, and directory harvest attacks at a server
CN100413290C (zh) 设置边界网关协议路由选择通知功能的方法
US20070162587A1 (en) Source reputation information system with router-level filtering of electronic messages
US20060130147A1 (en) Method and system for detecting and stopping illegitimate communication attempts on the internet
RU2331158C1 (ru) Способ выбора безопасного маршрута в сети связи (варианты)
US11005736B2 (en) Determining traceability of network traffic over a communications network
US9935861B2 (en) Method, system and apparatus for detecting instant message spam
US7200105B1 (en) Systems and methods for point of ingress traceback of a network attack
RU2645292C2 (ru) Способ маскирования структуры сети связи
CN102143041B (zh) 一种网络流量分担的方法、装置及系统
US9049140B2 (en) Backbone network with policy driven routing
RU2622842C1 (ru) Способ маскирования структуры сети связи
RU2739151C1 (ru) Способ маскирования структуры сети связи
EP1161059B1 (en) Method and device for translating telecommunication network IP addresses by a leaky-controlled memory
RU2586840C1 (ru) Способ обработки дейтаграмм сетевого трафика для скрытия корреспондирующих пар абонентов информационно-телекоммуникационных систем
RU2794532C1 (ru) Способ маскирования структуры сети связи
CN114710321B (zh) 一种提高低时延匿名通信系统匿名性的方法
RU2793104C1 (ru) Способ маскирования структуры сети связи
RU2759152C1 (ru) Способ маскирования структуры сети связи
Hillmann et al. Modeling the location selection of mirror servers in content delivery networks