RU2684495C1 - Способ предотвращения повторного использования пакетов цифровых данных в сетевой системе передачи данных - Google Patents

Способ предотвращения повторного использования пакетов цифровых данных в сетевой системе передачи данных Download PDF

Info

Publication number
RU2684495C1
RU2684495C1 RU2018113078A RU2018113078A RU2684495C1 RU 2684495 C1 RU2684495 C1 RU 2684495C1 RU 2018113078 A RU2018113078 A RU 2018113078A RU 2018113078 A RU2018113078 A RU 2018113078A RU 2684495 C1 RU2684495 C1 RU 2684495C1
Authority
RU
Russia
Prior art keywords
packet
received packet
received
data
packets
Prior art date
Application number
RU2018113078A
Other languages
English (en)
Inventor
Илья Анатольевич Паршин
Леонид Анатольевич Тычина
Original Assignee
Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" filed Critical Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы"
Priority to RU2018113078A priority Critical patent/RU2684495C1/ru
Application granted granted Critical
Publication of RU2684495C1 publication Critical patent/RU2684495C1/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/64Hybrid switching systems
    • H04L12/6418Hybrid transport
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/324Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the data link layer [OSI layer 2], e.g. HDLC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Изобретение относится к обеспечению безопасности в сетях передачи данных. Технический результат – предотвращение повторного приема пакетов цифровых данных в сетевой системе передачи данных. Способ предотвращения повторного использования пакетов цифровых данных в сетевой системе передачи данных, в котором получают в выбранном шлюзе полезные данные для каждого отправляемого пакета, формируют метаданные для каждого отправляемого пакета, причем метаданные включают номер пакета, время отправки пакета данных, данные для проверки целостности метаданных, отправляют пакет из выбранного шлюза через сеть передачи данных, устанавливают на компьютере, принимающем сообщения, допустимую величину промежутка времени рассогласования, формируют в памяти компьютера, принимающего сообщения, области для хранения времени отправки и номера последнего принятого пакета, списка номеров ранее принятых пакетов данных от каждого отправителя, принимают пакет, включающий полезные данные и метаданные, проверяют целостность метаданных принятого пакета, используя данные для проверки целостности метаданных, проводят проверку на повтор принятого пакета, принимают пакет, включающий полезные данные и метаданные, проверяют целостность метаданных принятого пакета, используя данные для проверки целостности метаданных, проводят проверку на повтор принятого пакета, при этом если время отправки принятого пакета выходит за пределы промежутка времени рассогласования, то отклоняют пакет, если время отправки пакета находится в пределах промежутка времени рассогласования, то принимают пакет. 3 ил., 1 табл.

Description

Область техники, к которой относится изобретение
Предполагаемое изобретение относится к способам обеспечения безопасности в сетях передачи данных и, в частности, к способам предотвращения повторного использования пакетов цифровых данных при передаче в сетях передачи данных.
Уровень техники
В сети передачи данных с использованием цифровых пакетов данных, например, по протоколу IP, могут использоваться различные протоколы для обеспечения безопасности IP сетей, например протокол IPsec [RFC 4302 - Идентификационный заголовок IP, 2005, материал по адресу http://rfc2.ru/4302.rfc; RFC 4303 - Инкапсуляция защищенных данных IP (ESP), материал по адресу http://rfc2.ru/4303.rfc].
В протоколе IPsec предусмотрен способ предотвращения повторного использования (Anti-replay) пакетов цифровых данных в процессе установленного соединения между компьютерами в сети. Этот способ включает использование автоматической нумерации передаваемых пакетов после установления соединения, включения номера передаваемого пакета в стандартный заголовок пакета и учета номеров принятых пакетов.
При приеме очередного пакета в компьютере, принимающем сообщения, происходит процедура поиска номера принятого пакета в списке ранее принятых пакетов, и, если пакет был ранее принят, то он отклоняется. Если же пакет не был ранее принят, то его номер вносится в список, и пакет принимается и обрабатывается.
При приеме зашифрованных пакетов применяются предварительно операции расшифрования и контроля целостности.
Недостатками способа являются:
1) необходимость протокола согласования счетчиков и, как следствие, необходимость двухсторонней фиксации факта создания соединения;
2) необходимость синхронизации обращений к счетчику порядковых номеров на стороне отправителя при наличии нескольких потоков исполнения (что замедляет обработку передаваемой информации);
3) появление коллизий номеров пакетов при наличии нескольких отправителей-шлюзов.
Известен также способ предотвращения повторного использования пакетов цифровых данных в сетевой системе передачи данных (патент США №9137139, приоритет от 18.12.2009 г.), причем система включает
Figure 00000001
компьютеры или шлюзы безопасности, отправляющие сообщения в виде последовательности пакетов цифровых данных через сеть передачи данных, и
Figure 00000001
компьютер или шлюз безопасности, принимающий сообщения и связанные с другими компьютерами и шлюзами безопасности через сеть передачи данных;
способ, заключающийся в том, что
Figure 00000001
формируют полезные данные для каждого отправляемого пакета;
Figure 00000001
формируют метаданные для каждого отправляемого пакета, причем метаданные включают
Figure 00000002
время отправки пакета данных (временную метку, pseudo-time stamp),
Figure 00000002
номер отправителя и порядковый номер пакета (порядковые номера ведутся каждым отправителем независимо) или номер отправителя и порядковый номер пакета, в роли которого выступает временная метка;
Figure 00000001
формируют пакет, включающий полезные данные и метаданные;
Figure 00000001
шифруют пакет вместе с метаданными;
Figure 00000001
отправляют пакет через сеть передачи данных;
Figure 00000001
устанавливают на компьютере, принимающем сообщения, допустимую величину промежутка времени рассогласования;
Figure 00000001
формируют в памяти компьютера области для хранения
Figure 00000002
времени отправки последнего принятого пакета;
Figure 00000002
списка порядковых номеров последних принятых пакетов - по одному элементу для каждого отправителя;
Figure 00000002
списка списков порядковых номеров ранее принятых пакетов - по одному списку на каждого отправителя;
Figure 00000001
принимают пакет, включающий полезные данные и метаданные;
Figure 00000001
расшифровывают пакет вместе с метаданными, включая время отправки пакета данных;
Figure 00000001
проверяют целостность метаданных принятого пакета, используя данные для проверки целостности метаданных;
Figure 00000001
проводят проверку на повтор принятого пакета, выполняя следующие действия
Figure 00000002
если время отправки принятого пакета выходит за пределы промежутка времени рассогласования, то отклоняют пакет;
Figure 00000002
если время отправки пакета находится в пределах промежутка времени рассогласования и номер пакета не является меткой времени, то
Figure 00000003
если время отправки принятого пакета больше времени отправки последнего принятого пакета, то заменяют время отправки последнего принятого пакета на время отправки принятого пакета;
Figure 00000003
если порядковый номер принятого пакета меньше любого из номеров ранее принятых от соответствующего отправителя пакетов, то отклоняют пакет;
Figure 00000003
если пакет с порядковым номером, соответствующим порядковому номеру принятого пакета, уже принимался от соответствующего отправителя, то отклоняют пакет;
Figure 00000003
если порядковый номер принятого пакета больше меньшего из номеров ранее принятых от соответствующего отправителя пакетов и меньше наибольшего, то помечают, что, от соответствующего отправителя получен пакет с данным порядковым номером;
Figure 00000003
если порядковый номер принятого пакета больше любого из номеров ранее принятых от соответствующего отправителя пакетов, то порядковый номер принятого пакета запоминается как номер последнего принятого от соответствующего отправителя пакета и заносится в список номеров принятых пакетов, а сам список укорачивается;
Figure 00000002
принимают пакет для последующей обработки.
Для формирования времени отправки пакета данных в компьютере, отправляющем сообщения, могут использоваться встроенные (локальные) часы или значения, полученные от внешнего сервера.
Для контроля времени отправки пакета данных в компьютере, принимающем сообщения, предусмотрено использование встроенных (локальных) часов.
Описанный способ принимается за прототип.
Однако, известный способ не позволяет вести обработку отправляемых пакетов на максимальной для данного оборудования скорости, кроме того, компьютер или шлюз безопасности, получающий пакеты, должен иметь сведения о количестве отправляющих пакеты шлюзов безопасности и вести для каждого из них отдельный учет принятых пакетов, что является недостатками известного способа.
Раскрытие изобретения
Техническим результатом является предотвращение (устранение возможности) повторного приема пакетов.
Дополнительным техническим результатом является:
1) отсутствие необходимости двухсторонней фиксации факта создания соединения;
2) отсутствие необходимости передавать получателю пакетов информации о количестве реальных отправителей;
3) отсутствие необходимости ведения нескольких счетчиков для одного потока информации на стороне принимающего компьютера;
4) обработка отправляемых пакетов на максимальной для отправляющего оборудования скорости.
Для этого предлагается способ, реализуемый с помощью системы, включающей
Figure 00000001
несколько шлюзов безопасности, выполненных с возможностью формировать пакеты и имеющие нескольких процессорных блоков, причем каждый процессорный блок имеет отдельный счетчик отправленных пакетов;
Figure 00000001
компьютер, принимающие сообщения и связанный с другими компьютерами через сеть передачи данных;
способ, заключающийся в том, что
Figure 00000001
получают в выбранном шлюзе полезные данные для каждого отправляемого пакета;
Figure 00000001
формируют метаданные для каждого отправляемого пакета, причем метаданные включают
Figure 00000002
номер пакета, вычисляемый по формуле
Figure 00000004
где CP - значение счетчика отправляемых пакетов, независимо используемого данным процессором выбранного шлюза безопасности
NS - количество двоичных разрядов, требуемое для хранения номера процессора в выбранном шлюзе безопасности,
NG - количество двоичных разрядов, требуемое для хранения номера шлюза безопасности,
NT - номер процессора выбранного шлюза безопасности, формирующего данный пакет,
NA - номер шлюза безопасности, формирующего данный пакет, причем
NS=[log2NV],
где NV - общее количество процессоров в данном шлюзе безопасности, осуществляющем защиту трафика,
[х] - операция, возвращающая наименьшее целое число, большее или равное указанному числу х;
NG=[log2NB],
где NB - общее количество шлюзов безопасности, осуществляющих защиту трафика;
Figure 00000002
время отправки пакета данных;
Figure 00000002
данные для проверки целостности метаданных;
Figure 00000001
отправляют пакет из выбранного шлюза через сеть передачи данных;
Figure 00000001
устанавливают на компьютере, принимающем сообщения, допустимую величину промежутка времени рассогласования;
Figure 00000001
формируют в памяти компьютера принимающего сообщения, области для хранения следующих данных от каждого отправителя:
Figure 00000002
времени отправки последнего принятого пакета,
Figure 00000002
номера последнего принятого пакета,
Figure 00000002
списка номеров ранее принятых пакетов;
Figure 00000001
принимают пакет, включающий полезные данные и метаданные;
Figure 00000001
проверяют целостность метаданных принятого пакета, используя данные для проверки целостности метаданных;
Figure 00000001
проводят проверку на повтор принятого пакета, выполняя следующие действия с использованием хранимых в памяти данных для данного отправителя:
Figure 00000002
времени отправки последнего принятого пакета,
Figure 00000002
номера последнего принятого пакета,
Figure 00000002
списка номеров ранее принятых пакетов;
Figure 00000001
принимают пакет, включающий полезные данные и метаданные;
Figure 00000001
проверяют целостность метаданных принятого пакета, используя данные для проверки целостности метаданных;
Figure 00000001
проводят проверку на повтор принятого пакета, выполняя следующие действия
Figure 00000002
если время отправки принятого пакета выходит за пределы промежутка времени рассогласования, то отклоняют пакет;
о если время отправки пакета находится в пределах промежутка времени рассогласования, то
Figure 00000005
если время отправки принятого пакета больше времени отправки последнего принятого пакета, то
Figure 00000006
заменяют время отправки последнего принятого пакета на время отправки принятого пакета;
Figure 00000006
заменяют номер последнего принятого пакета на номер принятого пакета;
Figure 00000006
заносят номер принятого пакета в список номеров ранее принятых пакетов;
Figure 00000006
принимают пакет;
Figure 00000005
если время отправки принятого пакета не превышает времени отправки последнего принятого пакета, то
Figure 00000006
если номер последнего принятого пакета меньше номера принятого пакета, то
Figure 00000007
заменяют номер последнего принятого пакета на номер принятого пакета;
Figure 00000007
заносят номер принятого пакета в список номеров ранее принятых пакетов;
Figure 00000007
принимают пакет;
Figure 00000006
если номер последнего принятого пакета больше или равен номеру принятого пакета, то
Figure 00000007
проводят поиск номера принятого пакета в списке номеров ранее принятых пакетов;
Figure 00000007
если номер принятого пакета найден в списке номеров ранее принятых пакетов, то отклоняют принятый пакет;
Figure 00000007
если номер принятого пакета не найден в списке номеров ранее принятых пакетов, то
Figure 00000008
заносят номер принятого пакета в список номеров ранее принятых пакетов;
Figure 00000009
принимают принятый пакет.
В отличие от прототипа, где для изменения счетчика каждый процессор должен дождаться своей очереди (так как в случае нерегулируемого изменения счетчика в сеть будут отправлены пакеты с одинаковыми номерами), что приводит к паузам в обработке пакетов, в предлагаемом решении каждый процессор ведет свой собственный счетчик, не задерживая другие процессоры, что устраняет паузы, вызванные ожиданием своей очереди изменить значение счетчика, и повышает скорость обработки пакетов, тем самым обеспечивая максимальную скорость обработки пакетов.
Структура сформированного пакета приведена на фиг. 1.
Процесс проверки на повтор принятого пакета поясняется схемой, приведенной на фиг. 2.
Использование метки времени для синхронизации номеров пакетов позволяет не фиксировать начальный номер, а считать первым номером пакета таковой, полученный после получения большей метки времени.
Дополнительно, в отличие от прототипа, где получатель должен вести несколько счетчиков номеров пакетов для каждого из потоков данных, маршрутизируемых через несколько независимо генерирующих номера пакетов шлюзов безопасности, для того, чтобы избежать коллизий номеров пакетов (и последующего отбрасывания пакетов с совпадающими номерами), получателю нет необходимости вести несколько счетчиков на один поток данных, так как номер шлюза участвует, согласно формуле (1), в формировании номера пакета, да и количество шлюзов безопасности, процессоров может меняться без нотификации получателя.
Необходимо отметить, что предложенный способ работоспособен и при наличии единственного шлюза безопасности, отправляющего пакеты, в этом случае, согласно (1), номер шлюза безопасности не участвует в формировании номера пакета, но процессоры этого шлюза продолжают формировать номера отправляемых пакетов без уменьшения производительности.
Краткое описание чертежей
На фиг. 1 показана структура пакета с номером NU, включающий номер подготовившего его шлюза безопасности и процессора.
На фиг. 2 показана схема, поясняющая процесс проверки на повтор принятого пакета.
В схеме использованы следующие обозначения:
Т - текущее время;
Δ - величина промежутка времени рассогласования;
TR - время отправки принятого пакета;
NR - номер принятого пакета;
TL - время последнего принятого пакета;
NL - номер последнего принятого пакета.
На фиг. 3 показана структура пакета, сформированного третьим процессором второго шлюза.
Осуществление изобретения
Рассмотрим пример реализации предложенного способа в сети для компьютерной системы, включающей шлюзы безопасности, отправляющие сообщения в виде последовательности пакетов цифровых данных через сеть передачи данных, и компьютеры, принимающие сообщения и связанные со шлюзами безопасности через сеть передачи данных.
В качестве программного обеспечения (ПО), обеспечивающего выполнение действий предложенного способа, могут быть использованы специально разработанные (доработанные) программы или функции в составе стандартного сетевого ПО.
Шлюзы-компьютеры в сети могут работать под управлением операционной системы (ОС) общего назначения, например, Microsoft Windows 10, и должны иметь несколько процессоров (процессорных блоков), каждый из которых получает свой номер. Например, в случае наличия в сети двух шлюзов, каждый из которых включает по восемь процессоров, номер каждого пакета, сформированного третьим процессором второго шлюза, показан на фиг. 3, при этом CP - значение счетчика отправляемых пакетов, независимо используемого третьим процессором второго шлюза безопасности.
Обмен между отправляющим пакеты шлюзом и получателем может быть организован с помощью UDP протокола, где формат тела UDP дейтаграммы имеет следующий вид (табл. 1).
Figure 00000010
В дейтаграмме используются следующие параметры.
Номер пакета - 64 разрядное число, формируемое процессорами в соответствии с формулой 1 и фиг. 1.
Время отправки - время, закодированное в 64 разрядное число, например Unix время.
Имитовставка - данные для проверки целостности, например, в соответствии с ГОСТ 28147-89. Контроль целостности может осуществляться как для всего пакет (с полем «Имитовставка» равным 0), так и только для метаданных (номер, время отправки).
Полезные данные - это данные, для которых применяется механизм предотвращения повторов.
Для непосредственного использования предложенного способа на компьютеры в сети загружают соответствующие программные модули с предварительно заданным и введенным значением А (величина промежутка времени рассогласования), общим количеством и номерами шлюзов, также программные модули каждого шлюза выделяют области памяти для хранения счетчика номеров пакетов, отправляемых данным шлюзом (далее - «счетчик шлюза»), и счетчиков номеров пакетов, отправляемых каждым из процессоров данного шлюза (далее - «счетчик процессора»).
Величина промежутка времени рассогласования определяется, исходя из желаемого времени восстановления связи между отправляющим пакеты шлюзом и получателем, и допустимой разности показания локальных часов на отправляющем пакеты шлюзе и получателе. Для большинства случаев приемлемым будет Δ=5 минут.
Программный модуль инициализирует область памяти для счетчика номеров пакетов на отправку. Для каждого отправителя, от которого будут приниматься пакеты, маршрутизируемые через шлюзы безопасности, подготавливается область памяти для хранения времени отправки последнего принятого пакета, номера последнего принятого пакета, списка номеров ранее принятых пакетов. Список номеров ранее принятых пакетов можно организовать в виде битового массива, например, так, как это описано в описании протокола IPsec (rfc 4303, раздел А2).
Затем каждый процессор шлюза формирует пакеты, каждый из которых включает: полезные данные, номер пакета, время отправки, имитовставку. В поле «Номер пакета» сохраняется модифицированное в соответствии с (1) значение счетчика номеров пакетов на отправку, затем значение счетчика увеличивается на единицу. Поле «Время отправки» содержит значение времени на момент отправки. Поле «Имитовставка» содержит значение имитовставки, рассчитанное по ГОСТ 28147-89 для метаданных (номер, время отправки).
После отправки значительного количества пакетов каждый процессор синхронизирует свой счетчик со счетчиком шлюза по следующему правилу:
Figure 00000001
если значение счетчика шлюза больше значения счетчика процессора, то надо заменить значение счетчика процессора значением счетчика шлюза;
Figure 00000001
если же значение счетчика процессора больше значения счетчика шлюза, то надо заменить значение счетчика шлюза значением счетчика процессора.
Программный модуль приемника принимает пакет, проверяет целостность метаданных с помощь имитовставки. Если значение имитовставки, рассчитанное в компьютере-приемнике, не совпадает с содержащимся в пакете значением, то пакет отклоняется. Если значение имитовставки совпало, то выполняется проверка на повтор.
Проверка на повтор принятого пакета, состоит из следующих действий:
Figure 00000002
если время отправки принятого пакета выходит за пределы промежутка времени рассогласования, то отклоняют пакет;
Figure 00000002
если время отправки пакета находится в пределах промежутка времени рассогласования, то
Figure 00000005
сравнивают время отправки принятого пакета с временем отправки последнего принятого пакета;
Figure 00000005
если время отправки принятого пакета больше времени отправки последнего принятого пакета, то
Figure 00000002
заменяют время отправки последнего принятого пакета на время отправки принятого пакета;
Figure 00000005
если номер принятого пакета NU меньше (сравнение производится по правилам арифметики, без учета сложной структуры поля) любого из номеров ранее принятых от соответствующего отправителя пакетов, то отклоняют пакет;
Figure 00000005
если пакет с номером, соответствующим номеру принятого пакета, уже принимался от соответствующего отправителя, то отклоняют пакет;
Figure 00000011
если номер принятого пакета больше меньшего из номеров ранее принятых от соответствующего отправителя пакетов и меньше наибольшего, то
Figure 00000012
помечают, что от соответствующего отправителя получен пакет с данным номером;
Figure 00000011
если номер принятого пакета больше любого из номеров ранее принятых от соответствующего отправителя пакетов, то
Figure 00000002
номер принятого пакета запоминается как номер последнего принятого от соответствующего отправителя пакета и заносится в список номеров принятых пакетов, а сам список укорачивается;
Figure 00000011
принимают пакет.
В результате за счет контроля времени отправки и номера пакета устраняется возможность повторного принятия пакета, а также достигается дополнительный технический результат:
Figure 00000001
необходимость двухсторонней фиксации факта создания соединения отсутствует, так как синхронизация номеров пакетов осуществляется с использованием времени отправки пакета;
Figure 00000001
необходимость передавать получателю пакетов информации о количестве реальных шлюзов безопасности отсутствует, так как в номера пакетов формируются таким образом, чтобы множества номеров, назначаемых этим шлюзам, не пересекались, согласно (1);
Figure 00000001
необходимость ведения нескольких счетчиков для одного потока информации на стороне принимающего устройства также отсутствует вследствие разделения множеств формируемых шлюзами безопасности номеров пакетов, согласно (1);
Figure 00000001
пакеты на стороне шлюза безопасности формируются на максимальной для оборудования скорости, так как у каждого процессора есть собственный счетчик отправляемых пакетов, и процессорам нет необходимости конкурировать за доступ к единому счетчику.
Причем технический результат достигаются и при наличии единственного, включающего в себя несколько процессоров шлюза, отправляющего пакеты.
Необходимо отметить, что возможны и другие варианты реализации предложенного способа, отличающиеся от описанного выше и зависящие от личных предпочтений при программировании отдельных действий и функций.

Claims (49)

  1. Способ предотвращения повторного использования пакетов цифровых данных в сетевой системе передачи данных, причем система содержит
  2. несколько шлюзов безопасности, выполненных с возможностью формировать пакеты и имеющих нескольких процессорных блоков, причем каждый процессорный блок имеет отдельный счетчик отправленных пакетов;
  3. компьютер, принимающий сообщения и связанный с другими компьютерами через сеть передачи данных;
  4. способ, заключающийся в том, что
  5. получают в выбранном шлюзе полезные данные для каждого отправляемого пакета;
  6. формируют метаданные для каждого отправляемого пакета, причем метаданные включают
  7. номер пакета, вычисляемый по формуле
  8. Figure 00000013
  9. где CP - значение счетчика отправляемых пакетов, независимо используемого данным процессором выбранного шлюза безопасности,
  10. NS - количество двоичных разрядов, требуемое для хранения номера процессора в выбранном шлюзе безопасности,
  11. NG - количество двоичных разрядов, требуемое для хранения номера шлюза безопасности,
  12. NT - номер процессора выбранного шлюза безопасности, формирующего данный пакет,
  13. NA - номер шлюза безопасности, формирующего данный пакет,
  14. причем
  15. Figure 00000014
  16. где NV - общее количество процессоров в данном шлюзе безопасности, осуществляющем защиту трафика,
  17. Figure 00000015
    - операция, возвращающая наименьшее целое число, большее или равное указанному числу х;
  18. Figure 00000016
  19. где NB - общее количество шлюзов безопасности, осуществляющих защиту трафика;
  20. время отправки пакета данных;
  21. данные для проверки целостности метаданных;
  22. отправляют пакет из выбранного шлюза через сеть передачи данных;
  23. устанавливают на компьютере, принимающем сообщения, допустимую величину промежутка времени рассогласования;
  24. формируют в памяти компьютера, принимающего сообщения, области для хранения следующих данных от каждого отправителя:
  25. времени отправки последнего принятого пакета,
  26. номера последнего принятого пакета,
  27. списка номеров ранее принятых пакетов;
  28. принимают пакет, включающий полезные данные и метаданные;
  29. проверяют целостность метаданных принятого пакета, используя данные для проверки целостности метаданных;
  30. проводят проверку на повтор принятого пакета, выполняя следующие действия с использованием хранимых в памяти данных для данного отправителя:
  31. если время отправки принятого пакета выходит за пределы промежутка времени рассогласования, то отклоняют пакет;
  32. если время отправки пакета находится в пределах промежутка времени рассогласования, то:
  33. если время отправки принятого пакета больше времени отправки последнего принятого пакета, то
  34. заменяют время отправки последнего принятого пакета на время отправки принятого пакета;
  35. заменяют номер последнего принятого пакета на номер принятого пакета;
  36. заносят номер принятого пакета в список номеров ранее принятых пакетов;
  37. принимают пакет;
  38. если время отправки принятого пакета не превышает времени отправки последнего принятого пакета, то:
  39. если номер последнего принятого пакета меньше номера принятого пакета, то
  40. заменяют номер последнего принятого пакета на номер принятого пакета;
  41. заносят номер принятого пакета в список номеров ранее принятых пакетов;
  42. принимают пакет;
  43. если номер последнего принятого пакета больше или равен номеру принятого пакета, то
  44. проводят поиск номера принятого пакета в списке номеров ранее принятых пакетов;
  45. если номер принятого пакета найден в списке номеров ранее принятых пакетов, то
  46. отклоняют принятый пакет;
  47. если номер принятого пакета не найден в списке номеров ранее принятых пакетов, то
  48. заносят номер принятого пакета в список номеров ранее принятых пакетов;
  49. принимают принятый пакет.
RU2018113078A 2018-04-11 2018-04-11 Способ предотвращения повторного использования пакетов цифровых данных в сетевой системе передачи данных RU2684495C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2018113078A RU2684495C1 (ru) 2018-04-11 2018-04-11 Способ предотвращения повторного использования пакетов цифровых данных в сетевой системе передачи данных

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2018113078A RU2684495C1 (ru) 2018-04-11 2018-04-11 Способ предотвращения повторного использования пакетов цифровых данных в сетевой системе передачи данных

Publications (1)

Publication Number Publication Date
RU2684495C1 true RU2684495C1 (ru) 2019-04-09

Family

ID=66090103

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2018113078A RU2684495C1 (ru) 2018-04-11 2018-04-11 Способ предотвращения повторного использования пакетов цифровых данных в сетевой системе передачи данных

Country Status (1)

Country Link
RU (1) RU2684495C1 (ru)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070083923A1 (en) * 2005-10-12 2007-04-12 Cisco Technology, Inc. Strong anti-replay protection for IP traffic sent point to point or multi-cast to large groups
US20100165839A1 (en) * 2008-12-29 2010-07-01 Motorola, Inc. Anti-replay method for unicast and multicast ipsec
RU2535172C2 (ru) * 2013-02-26 2014-12-10 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ предотвращения повторного использования пакетов цифровых данных в сетевой системе передачи данных
US9137139B2 (en) * 2009-12-18 2015-09-15 Cisco Technology, Inc. Sender-specific counter-based anti-replay for multicast traffic

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070083923A1 (en) * 2005-10-12 2007-04-12 Cisco Technology, Inc. Strong anti-replay protection for IP traffic sent point to point or multi-cast to large groups
US20100165839A1 (en) * 2008-12-29 2010-07-01 Motorola, Inc. Anti-replay method for unicast and multicast ipsec
US9137139B2 (en) * 2009-12-18 2015-09-15 Cisco Technology, Inc. Sender-specific counter-based anti-replay for multicast traffic
RU2535172C2 (ru) * 2013-02-26 2014-12-10 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ предотвращения повторного использования пакетов цифровых данных в сетевой системе передачи данных

Similar Documents

Publication Publication Date Title
RU2535172C2 (ru) Способ предотвращения повторного использования пакетов цифровых данных в сетевой системе передачи данных
US9882666B2 (en) Time synchronization for network testing equipment
US8572382B2 (en) Out-of band authentication method and system for communication over a data network
US8918644B2 (en) Imparting real-time priority-based network communications in an encrypted communication session
US9491144B2 (en) Methods and apparatus for denial of service resistant policing of packets
US8234491B2 (en) Packet-based and pseudo-packet based cryptographic communications systems and methods
CN108293057B (zh) 用于通信信令的数据压缩
EP2087766B1 (en) Composed message authentication code
KR102306496B1 (ko) 시간이 정확한 이벤트 스트림들을 생성하는 시스템 및 방법
Mazurczyk et al. Evaluation of steganographic methods for oversized IP packets
US20130103940A1 (en) Methods, systems, and computer readable media for performing encapsulating security payload (esp) rehashing
WO2017148419A1 (zh) 数据传输方法及服务器
Yuan et al. Assuring string pattern matching in outsourced middleboxes
RU2684495C1 (ru) Способ предотвращения повторного использования пакетов цифровых данных в сетевой системе передачи данных
Treytl et al. Securing IEEE 1588 by IPsec tunnels-an analysis
US20090070871A1 (en) Communication system and method
CN114826748B (zh) 基于rtp、udp及ip协议的音视频流数据加密方法和装置
US20170201493A1 (en) System and method for secure and anonymous communication in a network
US11711809B2 (en) System and method for providing an enhanced acknowledgement frame
Treytl et al. Secure tunneling of high-precision clock synchronization protocols and other time-stamped data
CN110120956A (zh) 基于虚拟防火墙的报文处理方法和装置
RU2686005C1 (ru) Способ обеспечения передачи зашифрованных данных в цифровой системе передачи данных (варианты)
EP1455472A1 (en) Timing control for packet streams
WO2024074085A1 (zh) 数据传输方法、电子设备、传屏器及存储介质
US8539608B1 (en) Integrity checking at high data rates