RU2739151C1 - Method for masking structure of communication network - Google Patents
Method for masking structure of communication network Download PDFInfo
- Publication number
- RU2739151C1 RU2739151C1 RU2020112143A RU2020112143A RU2739151C1 RU 2739151 C1 RU2739151 C1 RU 2739151C1 RU 2020112143 A RU2020112143 A RU 2020112143A RU 2020112143 A RU2020112143 A RU 2020112143A RU 2739151 C1 RU2739151 C1 RU 2739151C1
- Authority
- RU
- Russia
- Prior art keywords
- masking
- communication
- messages
- value
- route
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
Изобретение относится к области инфокоммуникаций, а именно к обеспечению информационной безопасности цифровых систем связи, и, в частности, заявленный способ маскирования структуры сети связи предназначен для использования в распределенных сетях связи, построенных на основе сети связи общего пользования (например, Интернет).The invention relates to the field of infocommunications, namely to ensuring information security of digital communication systems, and, in particular, the claimed method for masking the structure of a communication network is intended for use in distributed communication networks based on a public communication network (for example, the Internet).
Известен способ обеспечения корректировки маршрутов к абонентам сети, реализованный в «Способе корректировки маршрутов в сети передачи данных» по патенту РФ №2220190 МПК H04L 12/28, опубл. 10.10.1998 г.A known method of ensuring the correction of routes to network subscribers, implemented in the "Method of correcting routes in the data transmission network" by RF patent No. 2220190 IPC
Способ заключается в том, что поиск маршрутов доставки сообщений к абоненту осуществляется по сетевому адресу узла коммутации его текущей привязки. Выбор маршрутов к абоненту осуществляется на узлах коммутации по служебному корректирующему сообщению, содержащему сетевые адреса абонента, узла коммутации и код признака корректировки «запись», «стирание».The method consists in the fact that the search for routes of message delivery to the subscriber is carried out according to the network address of the switching node of its current binding. The choice of routes to the subscriber is carried out at the switching nodes according to the service correcting message containing the network addresses of the subscriber, the switching node and the correction attribute code "write", "erase".
Недостатком данного способа является отсутствие адаптации к изменениям структуры сети связи. Это вызвано тем, что корректировка осуществляется децентрализовано и охватывает не всю сеть связи, а ее отдельные локальные участки. Отсутствие параметров выбора маршрутов к абоненту приводит к низкому качеству выбора.The disadvantage of this method is the lack of adaptation to changes in the structure of the communication network. This is due to the fact that the adjustment is carried out in a decentralized manner and does not cover the entire communication network, but its individual local sections. The absence of parameters for choosing routes to the subscriber leads to a low quality of choice.
Известен также способ обеспечения безопасности информации, циркулирующей в распределенной телекоммуникационной системе при передаче ее по каналам связи общего пользования, реализованный в «Распределенной телекоммуникационной системе для передачи разделенных данных, предназначенной для их раздельной передачи и приема» по патенту US №6912252 МПК H04L 12/56; H04L 12/28, опубл. 08.11.2001 г.There is also known a method of ensuring the security of information circulating in a distributed telecommunications system when transmitting it through public communication channels, implemented in the "Distributed telecommunication system for the transmission of divided data, intended for their separate transmission and reception" by US patent No. 6912252 IPC
Способ заключается в выполнении следующих действий: исходные данные у отправителя разделяют на N частей. Далее из их комбинаций формируют группы промежуточных данных. Затем передают промежуточные данные независимо по N каналам связи. У получателя принимают группы промежуточных данных, пришедших по N каналам связи, и восстанавливают первоначальные данные.The method consists in performing the following actions: the original data from the sender is divided into N parts. Further, from their combinations, groups of intermediate data are formed. Then intermediate data is transmitted independently over N communication channels. Groups of intermediate data arriving via N communication channels are received from the recipient and the original data is restored.
Недостатком данного способа является относительно низкая скрытность связи и увеличение вероятности идентификации корреспондирующих субъектов в результате увеличения числа каналов связи между корреспондентами. Наличие транзитных узлов сети и каналов связи разных типов, обладающих низким уровнем безопасности, увеличивает потребность в ассортименте средств связи и создает предпосылки для перехвата злоумышленниками информационного обмена абонентов сети.The disadvantage of this method is the relatively low secrecy of communication and an increase in the likelihood of identifying the correspondent subjects as a result of the increase in the number of communication channels between correspondents. The presence of transit nodes of the network and communication channels of various types with a low level of security increases the need for an assortment of communication facilities and creates prerequisites for the interception of information exchange of network subscribers by malefactors.
Известен также «Способ выбора целесообразным образом используемого маршрута в маршрутизаторе для равномерного распределения в коммутационной сети» по заявке на изобретение РФ №2004111798 МПК H04L 1/00, опубл. 10.05.2005 г.It is also known "A method for choosing an expediently used route in a router for uniform distribution in a switching network" according to the application for invention of the Russian Federation No. 2004111798 IPC
Способ учитывает критерии качества маршрутов и информацию о структуре сети связи, включающую адреса узлов сети и наличие связи между ними. Для целевого адреса сети выбирают один маршрут, в соответствии с предварительно заданными критериями качества маршрутов, и передают по выбранному маршруту сообщения.The method takes into account the criteria for the quality of routes and information about the structure of the communication network, including the addresses of network nodes and the presence of communication between them. For the target network address, one route is selected in accordance with predetermined criteria for the quality of routes, and messages are transmitted along the selected route.
Недостатком указанного способа является относительно низкая скрытность связи при использовании выбранного маршрута информационного обмена абонентов в сети связи. Наличие транзитных узлов сети, обладающих низким уровнем безопасности, создает предпосылки для перехвата злоумышленниками информационного обмена абонентов сети и реконструкции трафика распределенной сети в некоторой точке сети Интернет.The disadvantage of this method is the relatively low secrecy of communication when using the selected route of information exchange of subscribers in the communication network. The presence of transit nodes of the network with a low level of security creates prerequisites for the interception of information exchange of network subscribers by attackers and reconstruction of distributed network traffic at some point on the Internet.
Известен также «Способ выбора безопасного маршрута в сети связи» по патенту РФ №2331158 МПК H04L 12/28, опубл. 10.08.2008 г.There is also known "A method for choosing a safe route in a communication network" by RF patent No. 2331158 IPC
Способ обеспечивает повышение скрытности связи за счет задания информации о структуре сети связи, исходных данных об узлах и абонентах сети, расчета комплексных показателей безопасности узлов сети, и на основе этих данных управления маршрутами информационного обмена абонентов в сети связи и выбора наиболее безопасного маршрута.The method provides for an increase in the secrecy of communication by specifying information about the structure of the communication network, initial data about the nodes and subscribers of the network, calculating the integrated security indicators of the network nodes, and on the basis of these data control the routes of information exchange of subscribers in the communication network and choosing the most secure route.
Недостатком указанного способа является низкая скрытность связи абонентов сети, обусловленная возможностью идентификации пакетов сообщений относительно конкретных пользователей сети и, следовательно, вскрытие структуры распределенной сети связи, в случае компрометации выбранного безопасного маршрута связи абонентов.The disadvantage of this method is the low secrecy of the communication of network subscribers, due to the possibility of identifying message packets with respect to specific network users and, therefore, opening the structure of the distributed communication network, in case of compromise of the selected secure communication route of subscribers.
Известен также «Способ маскирования структуры сети связи» по патенту РФ №2645292 МПК H04L 12/28, опубл. 19.02.2018 г.There is also known "A method for masking the structure of a communication network" by RF patent No. 2645292 IPC
Способ обеспечивает повышение скрытности связи и затруднение идентификации абонентов сети несанкционированными абонентами за счет непрерывного изменения идентификаторов абонентов сети в передаваемых пакетах сообщений, передачи пакетов сообщений по всем допустимым маршрутам связи и передачи маскирующих сообщений по маскирующим маршрутам связи.The method provides for increased secrecy of communication and difficulty in identifying network subscribers by unauthorized subscribers due to continuous change of identifiers of network subscribers in transmitted message packets, transmission of message packets along all admissible communication routes and transmission of masking messages along masking communication routes.
Недостатками указанного способа являются относительно высокая вероятность перегрузки абонентов сети обработкой маскирующих сообщений, обусловленная возможностью образования очередей пакетов сообщений у передающего абонента, занятого обработкой и передачей в сеть связи маскирующих сообщений, и ухудшение показателя своевременности доставки пакетов сообщений принимающему абоненту, что может привести к потере фрагментов пакетов сообщений, вызванной истечением предельно допустимого времени их пребывания на маршруте связи. Повторная передача потерянных пакетов сообщений приводит к дополнительной нагрузке на сеть связи и абонентов, а повторная передача потерянных маскирующих пакетов сообщений может привести к компрометации результатов маскирования структуры сети связи.The disadvantages of this method are the relatively high probability of overloading network subscribers with processing masking messages, due to the possibility of generating queues of message packets at the transmitting subscriber, busy with processing and transmitting masking messages to the communication network, and a deterioration in the timeliness of delivery of message packets to the receiving subscriber, which can lead to the loss of fragments message packets caused by the expiration of the maximum permissible time of their stay on the communication route. Retransmission of lost message packets leads to additional load on the communication network and subscribers, and retransmission of lost masking message packets can compromise the results of masking the structure of the communication network.
Наиболее близким аналогом (прототипом) по своей технической сущности к заявленному способу является «Способ маскирования структуры сети связи» по патенту РФ №2682105 МПК H04L 12/28, опубл. 14.03.2019 г.The closest analogue (prototype) in its technical essence to the claimed method is "Method of masking the structure of a communication network" according to RF patent No. 2682105 IPC
Ближайший аналог обеспечивает повышение скрытности связи и затруднение идентификации структуры сети связи несанкционированными абонентами, а также устраняет ряд недостатков аналогов за счет динамического изменения длины пакетов маскирующих сообщений и выбора для каждого маскирующего маршрута связи узлов-терминаторов маскирующих сообщений. В прототипе достигают уменьшения времени ожидания в очереди пакетов сообщений у передающего абонента, а также улучшения показателя своевременности доставки пакетов сообщений принимающему абоненту.The closest analogue increases the secrecy of communication and makes it difficult to identify the structure of the communication network by unauthorized subscribers, and also eliminates a number of disadvantages of the analogs by dynamically changing the length of masking message packets and selecting masking messages for each masking route of communication of terminator nodes. In the prototype, a decrease in the waiting time in the queue of message packets at the transmitting subscriber is achieved, as well as an improvement in the indicator of the timeliness of delivery of message packets to the receiving subscriber.
Недостатками указанного прототипа является высокая вероятность ухудшения показателя своевременности доставки пакетов сообщений принимающему абоненту при высокой интенсивности пакетов маскирующих сообщений в случаях сбоев (отказов) терминации пакетов маскирующих сообщений на узле-терминаторе, которые могут быть вызваны влиянием случайных и преднамеренных помех, и относительно низкая достоверность выбора узлов-терминаторов маскирующих сообщений, обусловленная отсутствием адаптации маскирующего маршрута связи к изменению структуры и параметров сети связи.The disadvantages of this prototype are the high probability of deterioration of the indicator of the timeliness of delivery of message packets to the receiving subscriber with a high intensity of packets of masking messages in cases of failures (refusals) of termination of packets of masking messages at the terminator node, which can be caused by the influence of random and deliberate interference, and a relatively low reliability of the choice nodes-terminators of masking messages, due to the lack of adaptation of the masking communication route to changes in the structure and parameters of the communication network.
Целью заявленного изобретения является разработка способа маскирования структуры сети связи, обеспечивающего снижение вероятности ухудшения показателя своевременности доставки пакетов сообщений принимающему абоненту при высокой интенсивности пакетов маскирующих сообщений за счет мониторинга сбоев (отказов) терминации пакетов маскирующих сообщений на узле-терминаторе, и повышение достоверности выбора узлов-терминаторов маскирующих сообщений за счет адаптации параметров маскирующего маршрута связи к изменению структуры и параметров сети связи.The aim of the claimed invention is to develop a method for masking the structure of a communication network, which reduces the likelihood of deterioration of the indicator of the timeliness of delivery of message packets to the receiving subscriber with a high intensity of packets of masking messages by monitoring failures (failures) of termination of packets of masking messages at the terminator node, terminators of masking messages by adapting the parameters of the masking communication route to changes in the structure and parameters of the communication network.
Указанный технический результат достигается тем, что в известном способе маскирования структуры сети связи, заключающемся в том, что для сети связи, содержащей совокупность из X узлов сети, имеющих адреса IPX предварительно задают исходные данные, содержащие информацию о структуре сети связи, включающую структурный массив [IP], адрес сервера безопасности IРСБ и адреса абонентов IPa, подключенных к сети связи. Задают для каждого х-го узла сети, где х=1,2,…, X, совокупность Y параметров безопасности и их значения bxy, где y=1,2,…,Y. Задают допустимое значение среднего показателя безопасности маршрута, массив памяти для хранения вычисленных значений максимально возможной длины MTU пакета сообщений, который может быть передан без фрагментации узлами сети связи, принадлежащими маскирующему маршруту связи Затем вычисляют комплексный показатель безопасности для каждого х-го узла сети связи.The specified technical result is achieved by the fact that in the known method of masking the structure of the communication network, which consists in the fact that for a communication network containing a set of X network nodes having IP X addresses, initial data is pre-set containing information about the structure of the communication network, including a structural array [IP], the address of the security server IP SB and the addresses of IP a subscribers connected to the communication network. For each x-th node of the network, where x = 1,2, ..., X, set Y of security parameters and their values b xy , where y = 1,2, ..., Y. Set a valid value average route safety, memory array for storing the calculated values of the maximum possible MTU length of a message packet that can be transmitted without fragmentation by the communication network nodes belonging to the masking communication route Then a comprehensive safety index is calculated for each x-th node of the communication network.
Формируют матрицу смежности вершин графа сети связи, для чего запоминают в структурном массиве [IP] адреса узлов сети связи IPУС и адреса абонентов сети связи IPa сети, а также информацию о наличии связи между узлами и абонентами сети связи.Adjacency matrix form vertices of a communication network, which is stored in the structural array [IP] network communication node addresses and IP addresses CSS subscribers IP a communication network, and information of a link between the nodes and the subscribers of the communication network.
После этого формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети, где i=1, 2,…, у=1, 2,…, и i≠j в виде Nij деревьев графа сети связи. Каждое n-ое, где n=1,2,…, Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети связи.After that, a set of possible communication routes between the i-th and j-th network subscribers is formed, where i = 1, 2,…, y = 1, 2,…, and i ≠ j in the form of N ij trees of the communication network graph. Each n-th, where n = 1,2, ..., N ij , the graph tree consists of z n vertices, corresponding to the number of nodes in the communication network belonging to it.
Для каждого из Nij возможных маршрутов связи вычисляют средний показатель безопасности маршрута как среднее арифметическое комплексных показателей безопасности узлов сети, входящих в n-ый маршрут связи.For each of the N ij possible communication routes, the average route safety index is calculated as the arithmetic mean of complex safety indicators network nodes included in the n-th communication route.
Сравнивают значения средних показателей безопасности маршрутов с предварительно заданным допустимым значением Comparison of the mean values of route safety with a predefined allowable value
По результатам сравнения, если формируют допустимые маршруты связи и запоминают их. В противном случае, то есть если то формируют маскирующие маршруты связи и запоминают их.According to the comparison results, if form valid communication routes and remember them. Otherwise, that is, if then form masking communication routes and remember them.
Вычисляют значения MTU каждого узла сети связи, принадлежащего маскирующему маршруту связи и запоминают их в массиве памяти Calculate MTU values of each communication network node belonging to the masking communication route and store them in a memory array
После вычисления значений MTU каждого узла сети связи, принадлежащего маскирующему маршруту связи выбирают для каждого маскирующего маршрута связи узел-терминатор GT IP-пакетов маскирующих сообщений и запоминают его. Затем считывают из массива памяти значение MTU узла-терминатора GT IP-пакетов маскирующих сообщений и запоминают его.After calculating the MTU values of each communication network node belonging to the masking communication route for each masking communication route, a terminator node G T of IP packets of masking messages is selected and stored. Then read from the memory array the MTU value of the terminator node G T of the IP packets of masking messages and store it.
Затем формируют сообщения, включающие информацию о запомненных маскирующих маршрутах связи и значениях MTU узлов-терминаторов GT IP-пакетов маскирующих сообщений, отправляют сформированные сообщения о запомненных маскирующих маршрутах связи , значениях MTU узлов-терминаторов GT IP-пакетов маскирующих сообщений и принимают их i-ми абонентами сети связи.Then, messages are generated, including information about the stored masking communication routes and MTU values of terminator nodes G T of IP packets of masking messages, send generated messages about stored masking communication routes , the MTU values of the terminator nodes G T of the IP packets of masking messages and are received by the i-th subscribers of the communication network.
После формируют маскирующие сообщения, содержащие маскирующую информацию, фрагментируют маскирующие сообщения на F фрагментов. Затем сравнивают длину Lf каждого f-го фрагмента с принятым значением MTU узла-терминатора GT IP-пакетов маскирующих сообщений.After that, masking messages are formed containing masking information, the masking messages are fragmented into F fragments. Then the length L f of each f-th fragment is compared with the received MTU value of the terminator node G T of the IP packets of the masking messages.
В случае, если длина Lf f-го фрагмента меньше или равна принятого значения MTU узла-терминатора GT IP-пакетов маскирующих сообщений, то дефрагментируют маскирующие сообщения до значений длины Lf фрагментов большей принятого значения MTU узла-терминатора.If the length L f f-th fragment is less than or equal to the received MTU value of the terminator node G T of the IP packets of masking messages, then the masking messages are defragmented to values of the length L f fragments greater than the received MTU value of the terminator node.
В противном случае, то есть если длина Lf f-го фрагмента больше принятого значения MTU узла-терминатора GT IP-пакетов маскирующих сообщений, то запрещают фрагментацию IP-пакета маскирующих сообщений при его передаче по сети связи. Затем сформированные маскирующие сообщения передают по маскирующим маршрутам связи Otherwise, that is, if the length L f f-th fragment is greater than the received MTU value of the terminator node G T of the IP packets of masking messages, then the fragmentation of the IP packet of masking messages is prohibited during its transmission over the communication network. Then the generated masking messages are transmitted along masking communication routes
В исходные данные дополнительно задают массив памяти для хранения вычисленных значений длины каждого маскирующего маршрута связи , массив памяти для хранения значения интенсивности маскирующих сообщений, направленных отправителем получателю для каждого маскирующего маршрута связи , массив памяти для хранения значения интенсивности маскирующих сообщений, не терминированных на узле-терминаторе и полученных принимающим абонентом для каждого маскирующего маршрута связи , массив памяти для хранения результатов вычисления коэффициента результативности терминации маскирующих сообщений для каждого маскирующего маршрута связи , значение допустимого коэффициента результативности терминации маскирующих сообщений и массив памяти [Tij] для хранения текущего значения астрономического времени и значения времени окончания передачи маскирующих сообщений для каждого маскирующего маршрута связи . После запоминания маскирующих маршрутов связи , вычисляют длину каждого маскирующего маршрута связи и запоминают значение длины каждого маскирующего маршрута связи в массиве памяти . После запрета фрагментации IP-пакета маскирующих сообщений при его передаче по сети связи, запоминают в массиве памяти [Tij] текущее значение Ттек астрономического времени и значение времени окончания передачи маскирующих сообщений для каждого маскирующего маршрута связи . Затем, после передачи сформированных маскирующих сообщений по маскирующим маршрутам связи , вычисляют значение интенсивности IP-пакетов маскирующих сообщений, направленных i-м отправителем j-му получателю для каждого маскирующего маршрута связи , запоминают значение интенсивности IP-пакетов маскирующих сообщений в массиве памяти The source data is additionally set to a memory array for storing computed length values each masking communication route , memory array to store the intensity value masking messages directed by the sender to the recipient for each masking communication route , memory array to store the intensity value masking messages not terminated at the terminator node and received by the receiving subscriber for each masking communication route , memory array for storing the results of calculating the termination performance coefficient masking messages for each masking communication route , the value of the permissible coefficient of effectiveness of termination masking messages and a memory array [T ij ] for storing the current astronomical time value and the end time value transmission of masking messages for each masking communication route ... After memorizing masking communication routes , calculate the length each masking communication route and store the length value each masking communication route in the memory array ... After the prohibition of the fragmentation of the IP packet of masking messages during its transmission over the communication network, the current value of T tech astronomical time and the end time value are stored in the memory array [T ij ] transmission of masking messages for each masking communication route ... Then, after the transmission of the generated masking messages along masking communication routes , calculate the value of the intensity IP packets of masking messages sent by the i-th sender to the j-th recipient for each masking communication route , store the intensity value IP packet masking messages in memory array
Вычисляют значение интенсивности IP-пакетов маскирующих сообщений, не терминированных на узле-терминаторе и полученных принимающим абонентом для каждого маскирующего маршрута связи , далее запоминают значение интенсивности IP-пакетов маскирующих сообщений в массиве памяти . После этого вычисляют значение коэффициента результативности терминации IP-пакетов маскирующих сообщений для каждого маскирующего маршрута связи и запоминают значение коэффициента результативности терминации IP-пакетов маскирующих сообщений в массиве памяти . Далее сравнивают значения коэффициента результативности терминации IP-пакетов маскирующих сообщений со значением допустимого коэффициента результативности терминации IP-пакетов маскирующих сообщений.Calculate the intensity value IP packets of masking messages not terminated at the terminator node and received by the receiving subscriber for each masking communication route , then the value of the intensity is stored IP packet masking messages in memory array ... After that, the value of the termination efficiency coefficient is calculated IP packets of masking messages for each masking communication route and remember the value of the coefficient of performance termination of IP packets of masking messages in the memory array ... Next, the values of the performance coefficient are compared termination of IP packets of masking messages with the value of the admissible performance factor termination of IP packets of masking messages.
В случае, если считывают значение длины маскирующего маршрута связи из массива памяти уменьшают значение длины на единицу. Далее формируют сообщение, включающее информацию об уменьшенном на единицу значении длины маскирующего маршрута связи . Отправляют сервером безопасности сформированное сообщение i-му абоненту сети связи и принимают сообщение i-м абонентом сети связи. Устанавливают i-м абонентом сети связи в служебном поле «Time То Live» заголовка IP-пакета маскирующих сообщений, передаваемых от отправителя, значение, равное уменьшенному на единицу значению длины маскирующего маршрута связи переходят к передаче маскирующих сообщений по маскирующим маршрутам связи If read the length value communication masking route from memory array decrease the length value per unit. Next, a message is formed, including information about the length value reduced by one communication masking route ... The generated message is sent by the security server to the i-th subscriber of the communication network and the message is received by the i-th subscriber of the communication network. Set by the i-th subscriber of the communication network in the "Time To Live" service field of the header of the IP packet of masking messages transmitted from the sender, a value equal to the length value reduced by one communication masking route move on to transmission of masking messages along masking communication routes
В противном случае, то есть если переходят к передаче маскирующих сообщений по маскирующим маршрутам связи.Otherwise, that is, if pass to the transmission of masking messages along masking communication routes.
Далее сравнивают в массиве памяти [Tij] текущее значение Ттек астрономического времени и значение времени окончания передачи маскирующих сообщений для каждого маскирующего маршрута связи Next, compare in the memory array [T ij ] the current value of T tech astronomical time and the value of the end time transmission of masking messages for each masking communication route
При выполнении условия формируют отчет, содержащий информацию о значении коэффициента результативности терминации IP-пакетов маскирующих сообщений для каждого маскирующего маршрута связи . Противном случае, то есть если изменяют исходные данные, содержащие информацию о структуре сети связи.If the condition is met generate a report containing information on the value of the termination performance coefficient IP packets of masking messages for each masking communication route ... Otherwise, that is, if change the original data containing information about the structure of the communication network.
Для вычисления длины каждого маскирующего маршрута суммируют количество узлов сети связи между i-м и j-м абонентами. Значение коэффициента результативности терминации IP-пакетов маскирующих сообщений для каждого маскирующего маршрута связи вычисляют по формуле To calculate the length each cloaking route summarize the number of communication network nodes between the i-th and j-th subscribers. Termination efficiency coefficient value IP packets of masking messages for each masking communication route calculated by the formula
Благодаря новой совокупности существенных признаков обеспечивается снижение вероятности ухудшения показателя своевременности доставки пакетов сообщений принимающему абоненту при высокой интенсивности пакетов маскирующих сообщений за счет мониторинга сбоев (отказов) терминации пакетов маскирующих сообщений на узле-терминаторе, и повышение достоверности выбора узлов-терминаторов маскирующих сообщений за счет адаптации параметров маскирующего маршрута связи к изменению структуры и параметров сети связи.Thanks to the new set of essential features, it is possible to reduce the likelihood of deterioration of the indicator of the timeliness of delivery of message packets to the receiving subscriber at a high intensity of masking message packets by monitoring failures (failures) of termination of masking message packets at the terminator node, and increasing the reliability of the choice of masking message terminator nodes through adaptation parameters of the masking communication route to change the structure and parameters of the communication network.
Заявленные объекты изобретения поясняются чертежами, на которых показаны:The claimed objects of the invention are illustrated by drawings, which show:
фиг. 1 - пример структуры распределенной сети связи, иллюстрирующий реконструкцию структуры сети связи нарушителем;fig. 1 is an example of the structure of a distributed communication network, illustrating the reconstruction of the structure of a communication network by an intruder;
фиг. 2 - структуры пакета сообщений и его IP-заголовка;fig. 2 - the structure of the message packet and its IP-header;
фиг. 3 - исходные данные для иллюстрации порядка расчетов;fig. 3 - initial data to illustrate the order of calculations;
фиг. 4 - блок-схема последовательности действий, реализующих заявленный способ маскирования структуры сети связи;fig. 4 is a flowchart of a sequence of actions that implement the claimed method for masking the structure of a communication network;
фиг. 5 - представление массивов исходных данных;fig. 5 - presentation of arrays of initial data;
фиг. 6 - таблицы расчета комплексных показателей безопасности узлов сети связи и средних показателей безопасности маршрутов связи;fig. 6 - tables for calculating the integrated safety indicators of communication network nodes and average safety indicators of communication routes;
фиг. 7 - выбор допустимых и маскирующих маршрутов связи;fig. 7 - selection of admissible and masking communication routes;
фиг. 8 - иллюстрация схем связи абонентов и сервера безопасности по трем допустимым маршрутам;fig. 8 is an illustration of communication schemes between subscribers and a security server along three valid routes;
фиг. 9 - итоговая схема связи абонентов, включающая допустимые и маскирующие маршруты, а также узел-терминатор;fig. 9 - the final scheme of subscriber communication, including admissible and masking routes, as well as a terminator node;
фиг. 10 - оценка результативности сформулированного технического результата.fig. 10 - evaluation of the effectiveness of the formulated technical result.
Заявленный способ реализуют следующим образом. В общем случае распределенные сети связи (фиг. 1a) строят для соединения абонентов сети 1 посредством сети связи общего пользования (например, Интернет), представляющей собой совокупность физических линий (каналов) связи 2, соединяющих собой X узлов сети 3 в единую инфраструктуру.The claimed method is implemented as follows. In the general case, distributed communication networks (Fig. 1a) are built to connect subscribers of
Различные серверы цифровых систем связи могут быть доступны или выделенной совокупности абонентов, как, например, сервер безопасности 4, или представлять собой общедоступные серверы 5 сети связи общего пользования (например, Интернет 6).Various servers of digital communication systems can be available either to a dedicated set of subscribers, such as a
Целесообразно рассматривать случаи, когда количество узлов сети X больше двух. Все элементы инфраструктуры определяются идентификаторами, в качестве которых в наиболее распространенном семействе протоколов TCP/IP используют сетевые адреса (ZP-адреса). При необходимости распределенной обработки информации и (или) ее передачи абоненты осуществляют подключение к сети связи общего пользования.It is advisable to consider cases when the number of network nodes X is more than two. All infrastructure elements are identified by identifiers, which are used as network addresses (ZP addresses) in the most common family of TCP / IP protocols. If necessary, distributed information processing and (or) its transmission, subscribers connect to the public communications network.
Множества адресов абонентов, подключенных к сети связи, и адресов узлов сети не пересекаются. Например, при использовании абонентами сервиса электронной почты схема связи абонентов включает в себя абонентов 1 Абi и Абj (фиг. 1б), сервер 5 электронной почты и каналы связи между ними 2. Абоненты 1 Абi и Абj и сервер 5 электронной почты используют уникальные IP-адреса.The sets of addresses of subscribers connected to the communication network and addresses of network nodes do not intersect. For example, when subscribers use an e-mail service, the subscriber communication scheme includes
При передаче пакетов сообщений по сетям связи общего пользования к абонентам сети, узлам сети и линиям (каналам) связи предъявляют требования информационной безопасности, характеризующие допустимые значения показателей безопасности элементов сети связи.When transmitting message packets over public communication networks to network subscribers, network nodes and communication lines (channels), information security requirements are imposed, characterizing the permissible values of the safety indicators of communication network elements.
В случае (фиг. 1a) компрометации безопасного маршрута связи абонентов и получения нарушителем 7 несанкционированного доступа к элементам сети связи 2 и (или) 3 схема связи абонентов становится доступной нарушителю. Здесь и далее под термином «компрометация безопасного маршрута связи абонентов» понимают событие, связанное с получением кем-либо несанкционированного доступа к элементам безопасного маршрута связи - точкам подключения абонентов к сети связи, транзитным узлам и линиям связи.In the case (Fig. 1a) compromise of the safe communication route of subscribers and the
Доступность схемы связи абонентов нарушителю обуславливается низкой скрытностью абонентов сети, использующих открытые IP-адреса, и возможностью идентификации по ним пакетов сообщений относительно конкретных пользователей сети и (или) узлов связи.The availability of the subscriber communication scheme to the intruder is due to the low secrecy of network subscribers using public IP addresses, and the possibility of identifying message packets with respect to specific network users and (or) communication nodes.
Например, на фиг. 1в, пользователи User №1 и User №2 (см. фиг. 1б) сгруппированы нарушителем в абонента Абi 1 по признаку использования ими одного IP-адреса, так как они подключены к сети связи общего пользования через один маршрутизатор (см. фиг. 1a). Структуры пакета сообщений и его IP-заголовка известны и представлены на фиг. 2. Использование абонентами для подключения к сети связи общего пользования одного маршрутизатора демаскирует их принадлежность к одному узлу связи. В то же время нарушитель наблюдает именно двух пользователей, сгруппированных в абонента Абi 1, так как между абонентами Абi и Абj кроме линии прямой связи существует альтернативный канал связи (показан на фиг. 1в пунктирной линией), включающий сервер электронной почты 5, что демаскируется полями «From» и «То» заголовка сообщения электронной почты, передаваемого абонентами. Структура служебных полей заголовка сообщения электронной почты известна и описана в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://tools.ietf.org/html/rfc822).For example, in FIG. 1c,
В подобных описанному на фиг. 1 случаях считают, что нарушитель реконструирует (вскрывает) структуру сети связи и может осуществлять деструктивные воздействия на все ее элементы, а сама структура сети связи обладает низкой скрытностью связи.Similar to that described in FIG. In 1 cases, it is believed that the intruder reconstructs (reveals) the structure of the communication network and can carry out destructive effects on all its elements, and the structure of the communication network itself has low secrecy of communication.
Реконструкция структуры сети связи происходит вследствие известности (открытости) структуры пакетов сообщений, где адреса отправителя и получателя демаскируют абонентов сети.Reconstruction of the structure of the communication network occurs due to the publicity (openness) of the structure of message packets, where the addresses of the sender and recipient unmask network subscribers.
Для маскирования структуры сети связи необходимо обеспечивать индивидуальную скрытность абонентов, управлять маршрутами информационного обмена абонентов в сети связи общего пользования и передавать маскирующие сообщения для введения в заблуждение злоумышленников относительно структуры сети связи. Передача маскирующих сообщений может осуществляться между абонентами Абi и Абj, а также между специально подключенными к сети связи общего пользования ложными абонентами Абf, с помощью которых добиваются искажения структуры сети связи при ее реконструкции злоумышленником. Возможен также вариант организации маскирующего обмена между абонентами Абi или Абj и ложными абонентами Абf 8, как это показано на фиг. 1б пунктирными линиями.To mask the structure of the communication network, it is necessary to ensure the individual secrecy of subscribers, to control the routes of information exchange of subscribers in the public communication network and to transmit masking messages to mislead the attackers about the structure of the communication network. The transmission of masking messages can be carried out between subscribers Ab i and Abj, as well as between fake subscribers Abf specially connected to the public communication network, with the help of which the structure of the communication network is distorted when it is reconstructed by an intruder. It is also possible to organize a masking exchange between subscribers Ab i or Abj and
Структура сети связи общего пользования динамична и содержит большое количество узлов, поэтому задачи оценивания показателей безопасности, формирования маршрутов и обслуживания запросов абонентов о безопасных маршрутах связи возлагают на выделенный сервер безопасности. Количество серверов безопасности зависит от размера сети связи и может быть задано, например, в соотношении 1 сервер на 7.. 10 корреспондирующих абонентов.The structure of the public communication network is dynamic and contains a large number of nodes, therefore, the tasks of evaluating security indicators, forming routes and servicing subscribers' requests for safe communication routes are assigned to a dedicated security server. The number of security servers depends on the size of the communication network and can be set, for example, in the ratio of 1 server to 7 .. 10 corresponding subscribers.
Рассмотрим вариант структуры распределенной сети связи (фиг. 3) представляющей собой совокупность из 5 узлов сети 3, сервера безопасности 4 и абонентов сети 1, объединенных физическими линиями связи 2.Consider a variant of the structure of a distributed communication network (Fig. 3), which is a combination of 5
На фиг. 4 представлена блок-схема последовательности действий, реализующих заявленный способ маскирования структуры сети связи, в которой приняты следующие обозначения:FIG. 4 shows a block diagram of a sequence of actions that implement the claimed method of masking the structure of a communication network, in which the following designations are adopted:
СБ - сервер безопасности;SB - security server;
[IP] - структурный массив;[IP] - structural array;
- массив памяти для хранения значения интенсивности IP-пакетов маскирующих сообщений, направленных отправителем получателю для каждого маскирующего маршрута связи - memory array for storing intensity values IP packets of masking messages directed by the sender to the receiver for each masking communication route
- массив памяти для хранения значения интенсивности IP-пакетов маскирующих сообщений, не терминированных на узле-терминаторе и полученных принимающим абонентом для каждого маскирующего маршрута связи ; - memory array for storing intensity values IP packets of masking messages not terminated at the terminator node and received by the receiving subscriber for each masking communication route ;
- массив памяти для хранения значения коэффициента результативности терминации IP-пакетов маскирующих сообщений маскирующего маршрута связи ; - an array of memory for storing the value of the performance coefficient termination of IP packets masking messages masking communication route ;
- массив памяти для хранения вычисленных значений максимально возможной длины MTU IP-пакета сообщений, который может быть передан без фрагментации узлами сети связи; - an array of memory for storing the calculated values of the maximum possible MTU length of the IP-packet of messages, which can be transmitted without fragmentation by the nodes of the communication network;
- массив памяти для хранения вычисленных значений длины каждого маскирующего маршрута связи ; - memory array for storing calculated length values each masking communication route ;
[Tij] - массив памяти для хранения текущего значения астрономического времени и значения времени окончания передачи маскирующих сообщений для каждого маскирующего маршрута связи ;[T ij ] - memory array for storing the current astronomical time value and the end time value transmission of masking messages for each masking communication route ;
Х - число узлов сети связи;X is the number of nodes in the communication network;
Y - число учитываемых параметров безопасности узлов сети; bxy - значение у-го параметра безопасности х-го узла сети, где х=1,2,…,X, у=1,2,…,Y;Y is the number of taken into account security parameters of network nodes; b xy is the value of the y-th security parameter of the x-th network node, where x = 1,2,…, X, y = 1,2,…, Y;
- комплексный показатель безопасности каждого х-го узла сети; - a comprehensive indicator of the safety of each x-th node of the network;
- средний показатель безопасности маршрута связи между i-м и j-м абонентами сети; is the average safety indicator of the communication route between the i-th and j-th network subscribers;
- допустимое значение среднего показателя безопасности маршрута связи между i-м и j-м абонентами сети; - admissible value of the average indicator of the safety of the communication route between the i-th and j-th network subscribers;
Nij - количество деревьев графа сети связи, соответствующее совокупности возможных маршрутов связи между i-м и j-м абонентами сети, где i=1, 2,…, j=1, 2,…, и i≠j;N ij is the number of trees in the communication network graph corresponding to the set of possible communication routes between the i-th and j-th network subscribers, where i = 1, 2,…, j = 1, 2,…, and i ≠ j;
- количество допустимых маршрутов между i-м и j-м абонентами сети; - the number of admissible routes between the i-th and j-th network subscribers;
- количество маскирующих маршрутов между i-м и j-м абонентами сети; - the number of masking routes between the i-th and j-th network subscribers;
Lf - длина f-го фрагмента маскирующего сообщения;L f is the length of the f-th fragment of the masking message;
- длина маскирующего маршрута связи ; - the length of the masking communication route ;
- значение коэффициента результативности терминации IP-пакетов маскирующих сообщений маскирующего маршрута связи ; is the value of the efficiency factor for the termination of IP packets of masking messages of the masking communication route ;
- значение допустимого коэффициента результативности терминации IP-пакетов маскирующих сообщений маскирующего маршрута связи ; is the value of the permissible coefficient of effectiveness of the termination of IP packets of masking messages of the masking communication route ;
GT - узел-терминатор IP-пакетов маскирующих сообщений.G T - node-terminator of IP packets of masking messages.
На начальном этапе в сервере безопасности задают исходные данные (бл. 1 на фиг. 4), включающие структурный массив [IP], адрес сервера безопасности IРСБ и адреса абонентов IPa, подключенных к сети связи, массив памяти для хранения вычисленных значений максимально возможной длины MTU IP-пакета сообщений, который может быть передан без фрагментации узлами сети связи, принадлежащими маскирующему маршруту связи , массив памяти для хранения значения интенсивности IP-пакетов маскирующих сообщений, направленных отправителем получателю для каждого маскирующего маршрута связи , массив памяти для хранения значения интенсивности IP-пакетов маскирующих сообщений, не терминированных на узле-терминаторе и полученных принимающим абонентом для каждого маскирующего маршрута связи , массив памяти для хранения значения коэффициента результативности терминации IP-пакетов маскирующих сообщений маскирующего маршрута связи , массив памятидля хранения вычисленных значений длины каждого маскирующего маршрута связи , массив памяти [Tij] для хранения текущего значения Ттек астрономического времени и значения времени окончания передачи маскирующих сообщений для каждого маскирующего маршрута связи .At the initial stage, the initial data is set in the security server (
Для каждого х-го узла сети, где х=1,2,…,Х, задают Y≥2 параметров безопасности и их значения bxy, где y=1,2,…,Y. Задают допустимое значение среднего показателя безопасности маршрута. Перечисленные исходные данные представлены таблицами на фиг. 5.For each x-th node of the network, where x = 1,2, ..., X, set Y≥2 security parameters and their values b xy , where y = 1,2, ..., Y. Set a valid value average route safety. The listed raw data are presented in the tables in FIG. 5.
Структурный массив [IP] - массив для хранения адреса сервера безопасности IРСБ, адресов узлов IPУС и абонентов IPa сети, а также информации о наличии связи между ними (фиг. 5а), которая характеризуется только двумя значениями, «1» - наличие связи и «0» - ее отсутствие.Structural array [IP] - array to store the security server address Sa IP, IP CSS node addresses and subscriber IP a network, and information of a link between them (Figure 5a.) Having only two values, "1" - the presence of connection and "0" - its absence.
Параметры безопасности узлов сети определяют, например, в соответствии с ГОСТРИСО/МЭК 15408-2002 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». Значения bx1 параметра у=1 безопасности узлов сети определяют, например, по характеристикам производителей оборудования узлов сети, информацию о которых можно получить из физических адресов узлов сети. Физические адреса узлов сети представляют в виде шестнадцатеричной записи, например 00:10:5a:3F:D4:E1, где первые три значения определяют производителя (00:01:е3-Siemens, 00:10:5а - 3Com, 00:03:ba-Sun).Security parameters of network nodes are determined, for example, in accordance with GOSTRISO / IEC 15408-2002 "Methods and means of ensuring security. Information Technology Security Assessment Criteria ". The values b x1 of the parameter y = 1 of the security of the network nodes are determined, for example, by the characteristics of the equipment manufacturers of the network nodes, information about which can be obtained from the physical addresses of the network nodes. The physical addresses of the hosts are represented in hexadecimal notation, for example 00: 10: 5a: 3F: D4: E1, where the first three values determine the manufacturer (00: 01: e3-Siemens, 00: 10: 5a - 3Com, 00:03: ba-Sun).
Альтернативным способом определения параметров безопасности узлов является получение данных по разведке злоумышленника от соответствующих подразделений.An alternative way to determine the security parameters of the nodes is to obtain intelligence data from the attacker from the appropriate units.
Например, для УС 1 (х=1 на фиг. 5а) физический адрес которого 00:01:e3:3F:D4:E1, первые три значения определяют производителя Siemens, что соответствует значению параметра безопасности b11=0,3. Аналогично определяются значения bxy параметра у=1 безопасности узлов сети УС2-УС5, а так же значения bxy всех заданных Y≥2 параметров безопасности (фиг. 5б).For example, for DC 1 (x = 1 in Fig. 5a) whose physical address is 00: 01: e3: 3F: D4: E1, the first three values determine the manufacturer Siemens, which corresponds to the value of the security parameter b 11 = 0.3. Similarly, the values b xy of the parameter y = 1 of the security of the nodes of the US2-US5 network are determined, as well as the values b xy of all given Y≥2 security parameters (Fig. 5b).
В качестве остальных параметров безопасности узла сети можно рассматривать тип его оборудования, версию установленного на нем программного обеспечения, принадлежность узла государственной или частной организации и другие известные сведения.The other security parameters of a host can be considered the type of its equipment, the version of the software installed on it, whether the host belongs to a public or private organization, and other known information.
Для каждого х-го узла сети по значениям bxy его параметров безопасности вычисляют комплексный показатель безопасности (бл. 2 на фиг. 4). Рассчитанные показатели представлены в таблице (фиг. 5в).For each x-th node of the network, according to the values b xy of its security parameters, a complex security indicator is calculated (block 2 in Fig. 4). The calculated indicators are presented in the table (Fig. 5c).
Комплексный показатель безопасности для каждого х-го узла сети вычисляют путем суммирования , или перемножения , или как среднее арифметическое значение его параметров безопасности bxy.Comprehensive safety indicator for each x-th network node is calculated by summing , or multiplication , or as the arithmetic mean its security parameters b xy .
Принципиально способ вычисления не влияет на результат выбора безопасного маршрута. Например, значения вычисленных комплексных показателей безопасности для каждого х-го узла рассматриваемого варианта сети связи (фиг. 3) перечисленными способами при заданных значениях параметров безопасности bxy узлов приведены в таблице (фиг. 6а).Basically a way of calculating does not affect the result of choosing a safe route. For example, the values of the calculated integrated safety indicators for each x-th node of the considered version of the communication network (Fig. 3) by the listed methods for the given values of the security parameters b xy of the nodes are given in the table (Fig. 6a).
Кроме этого возможен утилитарный подход к определению комплексных показателей безопасности для каждого х-го узла сети, когда их задают бинарно - опасный узел, либо безопасный узел, в последнем случае полагая, что его безопасность доказана, но количественные значения показателей безопасности недоступны лицам, принимающим решение на выбор маршрута.In addition, a utilitarian approach to the determination of complex safety indicators is possible. for each x-th node of the network, when they are assigned a binary dangerous node, or a safe node, in the latter case, assuming that its safety has been proven, but the quantitative values of safety indicators are not available to persons who make decisions on choosing a route.
Далее формируют матрицу смежности вершин графа сети (бл. 3 на фиг. 4), для чего запоминают в структурном массиве (фиг. 5а) адреса узлов сети IРУС и адреса абонентов IPa сети, а также информацию о наличии связи между узлами и абонентами сети.Further formed adjacency matrix vertices network graph (bl. 3 in FIG. 4), which is stored in the structural array (FIG. 5a) addresses network nodes IP CSS and addresses of subscribers IP a network, and information of a link between the nodes and subscribers networks.
Способы формирования матриц смежности вершин графа известны (см., например, Басакер Р., Саати Т. Конечные графы и сети. - М.: Наука, 1973, 368 с.). Для рассматриваемого графа сети связи матрица смежности вершин имеет вид:Methods for forming the adjacency matrices of the vertices of a graph are known (see, for example, Basaker R., Saati T. Finite graphs and networks. - M .: Nauka, 1973, 368 pp.). For the considered communication network graph, the vertex adjacency matrix has the form:
Формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети (бл. 4 на фиг. 4), где i=1, 2,…, j=1,2,…, и i≠j, в виде Nij деревьев графа сети связи. Каждое n-ое, где n=1,2,…, Nij, дерево графа состоит из zn вершин, соответствующих количеству узлов сети. Порядок формирования деревьев графа известен и описан (см., например, Кристофидес Н. Теория графов: Алгоритмический подход. Пер. с англ. - М.: Мир, 1978, 432 с.).A set of possible communication routes between the i-th and j-th network subscribers is formed (
Общее число Nij деревьев графа сети связи между i-м и j-м абонентами сети может быть определено различными методами. В заявленном способе общее число Nij деревьев графа находят с использованием матрицы смежности по формуле: где Bo=М×Н - преобразованная матрица смежности вершин графа сети связи, а М=Мр - 1, Н - соответственно число строк и столбцов матрицы, Мр - число строк исходной матрицы смежности, равное общему количеству узлов сети связи; - транспонированная матрица к Bo. Удаляя одну строку матрицы В, получают матрицу Bo, а затем транспонированную к ней матрицу . Порядок получения транспонированной матрицы известен и описан (см., например, Г. Корн, Т. Корн. Справочник по математике для научных работников и инженеров. - М.: Наука, 1977 г.).The total number N ij of trees of the communication network graph between the i-th and j-th network subscribers can be determined by various methods. In the claimed method, the total number N ij of the trees of the graph is found using the adjacency matrix by the formula: where B o = M × H is the transformed adjacency matrix of the vertices of the communication network graph, and M = M p - 1, N is the number of rows and columns of the matrix, respectively, M p is the number of rows of the original adjacency matrix, equal to the total number of nodes in the communication network; is the transposed matrix to B o . Removing one row of the matrix B, one obtains the matrix B o , and then the matrix transposed to it ... The procedure for obtaining a transposed matrix is known and described (see, for example, G. Korn, T. Korn. Handbook of mathematics for scientists and engineers. - M .: Nauka, 1977).
Построение маршрутов связи между абонентами на основе деревьев графа сети связи обеспечивает нахождение всех возможных маршрутов связи и их незамкнутость, т.е. исключает неприемлемые для передачи сообщений замкнутые маршруты. Таким образом, проведя расчеты, получаем общее число Nij деревьев графа сети связи между i-м и j-м абонентами сети, равное 5.The construction of communication routes between subscribers based on the trees of the communication network graph ensures that all possible communication routes are found and that they are not closed, i.e. excludes closed routes unacceptable for message transmission. Thus, after performing the calculations, we obtain the total number N ij of trees in the communication network graph between the i-th and j-th network subscribers, equal to 5.
Для обоснования и объективного выбора допустимых и маскирующих маршрутов связи из совокупности Nij=5 возможных маршрутов связи между i-м и j-м абонентами сети вычисляют средние показатели безопасности (бл. 5 на фиг. 4) как среднее арифметическое комплексных показателей безопасности узлов сети, входящих в n-ый маршрут связи (см. фиг. 6б и фиг. 7).To substantiate and objectively select admissible and masking communication routes from the set of N ij = 5 possible communication routes between the i-th and j-th network subscribers, the average safety indicators are calculated (block 5 in Fig. 4) as the arithmetic mean of complex safety indicators network nodes included in the n-th communication route (see Fig. 6b and Fig. 7).
Используя результаты, полученные при вычислении комплексных показателей безопасности узлов сети разными способами (фиг.6а), вычислены средние показатели безопасности маршрутов связи сформированных между i-м и j-м абонентами сети (фиг. 7). Результаты сведены в таблицу (фиг.6б).Using the results obtained when calculating the integrated safety indicators of network nodes in different ways (Fig.6a), the average safety indicators were calculated communication routes formed between the i-th and j-th network subscribers (Fig. 7). The results are tabulated (Fig.6b).
Далее сравнивают значения средних показателей безопасности маршрутов с предварительно заданным допустимым значением (бл. 6 на фиг. 4). Те маршруты, значения средних показателей безопасности которых удовлетворяют условию , запоминают как допустимые маршруты (бл. 7 на фиг. 4).Next, the values of the average safety indicators of routes are compared with a predefined allowable value (
Пусть, например, задано значение Из полученных результатов, приведенных на фиг. 6 и 7 следует, что первый, второй и третий маршруты n=1,2,3 имеют значения среднего показателя безопасности удовлетворяющие этому требованию, и они выделены полужирным шрифтом. При анализе полученных расчетов средних показателей безопасности маршрутов выявлено что, способ вычисления не влияет на результат выбора безопасного маршрута. Таким образом и формируют множество допустимых маршрутов между всеми абонентами сети.For example, let the value From the results obtained, shown in FIG. 6 and 7 it follows that the first, second and third routes n = 1,2,3 have the values of the average safety index satisfying this requirement, and they are in bold. When analyzing the obtained calculations of the average safety indicators of routes, it was revealed that the calculation method does not affect the result of choosing a safe route. Thus, they form a set of valid routes between all network subscribers.
В том случае, если по результатам сравнения комплексных показателей безопасности маршрутов с предварительно заданным допустимым значением выявляют те маршруты, что удовлетворяют условию , то такие маршруты запоминают как маскирующие маршруты (бл. 8 на фиг. 4). При заданном из полученныхIn the event that, based on the results of comparing complex indicators of route safety with a predefined allowable value identify routes that satisfy the condition , then such routes are remembered as masking routes (
результатов, приведенных на фиг. 6 и 7 следует, что четвертый и пятый маршруты n=4,5 имеют значения среднего показателя безопасности, удовлетворяющие условию . Их запоминают как маскирующие , и используют для последующей передачи по ним маскирующих (ложных) сообщений и введения нарушителей в заблуждение относительно структуры сети связи.the results shown in FIG. 6 and 7 it follows that the fourth and fifth routes n = 4.5 have values of the average safety index that satisfy the condition ... They are remembered as disguises , and are used for the subsequent transmission of masking (false) messages and misleading the offenders regarding the structure of the communication network.
В том случае, если по результатам сравнения комплексных показателей безопасности маршрутов с предварительно заданным допустимым значением маршруты, что удовлетворяют условию не выявлены, то для выбора маскирующих маршрутов необходимо снизить требования к допустимому значению среднего показателя безопасности маршрута связи между i-м и j-м абонентами сети.In the event that, based on the results of comparing complex indicators of route safety with a predefined allowable value routes that satisfy the condition are not identified, then for the choice of masking routes it is necessary to reduce the requirements for the admissible value of the average safety indicator of the communication route between the i-th and j-th network subscribers.
Известные протоколы маршрутизации (routing protocols), такие как RIP, OSPF, NLSP, BGP предназначены для передачи пользовательской информации с маршрутизацией от источника (source specified routing) и обеспечивают в способе обмен информацией по заданному маршруту (см., например, Олифер В.Г. и Олифер Н.А. «Компьютерные сети. Принципы, технологии, протоколы.», уч. для Вузов, 5-е изд.; - СПб.: Питер, 2015). Таким образом, у абонентов имеется возможность передачи сообщений именно по заданному маршруту.Well-known routing protocols, such as RIP, OSPF, NLSP, BGP, are designed to transfer user information with source specified routing and provide a way to exchange information along a given route (see, for example, Olifer V.G. and Olifer N.A. "Computer networks. Principles, technologies, protocols.", study for universities, 5th ed .; - SPb .: Peter, 2015). Thus, subscribers have the ability to send messages exactly along a given route.
Вычисляют длину каждого маскирующего маршрута посредством суммирования количества узлов сети связи между i-м и j-м абонентами и запоминают вычисленные значения в массиве памяти (бл. 9 на фиг. 4).Calculate the length each cloaking route by summing the number of communication network nodes between the i-th and j-th subscribers and store the calculated values in the memory array (
После вычисления длины каждого маскирующего маршрута вычисляют (бл. 10 на фиг. 4) значения MTU каждого узла сети, принадлежащего маскирующему маршруту и запоминают их в массиве памяти (бл. 11 на фиг. 4). В каждом канале сети связи (определяют по передающему интерфейсу узла сети - маршрутизатора) есть максимальный размер передаваемого блока данных (MTU, Maximum Transmission Unit). MTU - это максимально возможная длина дейтаграммы, которую та или иная технология может поместить в поле данных своей единицы передачи [Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: учебник для вузов. - СПб.: Питер, 2003. - 864 с.: ил.]. Передача между узлами сети пакетов сообщений с длиной, большей MTU, без фрагментации невозможна. Значение MTU определяется стандартом соответствующего протокола, но может быть переопределено автоматически для определенного потока.After calculating the length each cloaking route calculate (block 10 in Fig. 4) the MTU values of each network node belonging to the masking route and store them in a memory array (block 11 in Fig. 4). Each channel of the communication network (determined by the transmitting interface of the network node - router) has a maximum size of the transmitted data unit (MTU, Maximum Transmission Unit). MTU is the maximum possible datagram length that a particular technology can place in the data field of its transmission unit [Olifer V.G., Olifer N.A. Computer networks. Principles, technologies, protocols: a textbook for universities. - SPb .: Peter, 2003. - 864 p .: ill.]. Transmission between network nodes of message packets with a length exceeding the MTU is impossible without fragmentation. The MTU value is determined by the standard of the corresponding protocol, but can be overridden automatically for a specific stream.
Для вычисления значения MTU каждого узла сети, принадлежащего маскирующему маршруту, применяют процедуру Path MTU Discovery, как это описано, например, в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://tools.ietf.org/html/rfc1191). Другим вариантом вычисления значения MTU каждого узла сети, принадлежащего маскирующему маршруту, является применение процедуры установления связи с каждым узлом сети, для чего отправляют каждому узлу сети 7ХУЛпакеты сообщений с установленным флагом SYN служебного поля FLAGS в заголовке TCP-пакета сообщений (см., например, https://tools.ietf.org/html/rfc4413). После этого принимают ответный пакет сообщений, содержащий сегмент Maximum Segment Size поля опций заголовка TCP-пакета сообщений, считывают его значение и добавляют к этому значению значение длины заголовка IP-пакета сообщений. В качестве значения сегмента Maximum Segment Size абонент записывает максимально допустимую длину данных, которые он готов принять, и для фрагмента маскирующих сообщений абонент устанавливает это значение относительно малым так, чтобы оно было меньше любого MTU на протяжении маскирующего маршрута между отправляющей и принимающей стороной.The Path MTU Discovery procedure is used to calculate the MTU value of each host belonging to the masking route, as described, for example, in the Internet technical specifications (RFC, Request for Comments) (see, for example, https: //tools.ietf. org / html / rfc1191). Another option for calculating the MTU value of each network node belonging to the masking route is to use the procedure for establishing a connection with each network node, for which each network node 7XUL is sent message packets with the SYN flag set in the FLAGS service field in the TCP message packet header (see, for example, https://tools.ietf.org/html/rfc4413). After that, a response message packet containing the Maximum Segment Size segment of the options field of the TCP-message packet header is received, its value is read, and the value of the IP-message packet header length is added to this value. As the value of the Maximum Segment Size, the subscriber records the maximum allowable length of data that he is ready to receive, and for the fragment of masking messages, the user sets this value relatively small so that it is less than any MTU along the masking route between the sending and receiving sides.
Рассчитанные значения MTU каждого узла сети представлены в таблице (фиг.5 г).The calculated MTU values of each network node are presented in the table (Fig.5 d).
Для передачи маскирующих (ложных) сообщений и введения нарушителей в заблуждение относительно структуры сети связи выбирают для каждого маскирующего маршрута связи GT узел-терминатор GT IP-пакетов маскирующих сообщений и запоминают его (бл. 12 на фиг. 4).To transmit masking (false) messages and mislead the intruders about the structure of the communication network, for each masking communication route G T, a terminator node G T of IP packets of masking messages is selected and stored (block 12 in Fig. 4).
Под термином «узел-терминатор маскирующих сообщений» понимают узел сети, принадлежащий маскирующему маршруту связи, который прекращает дальнейшую передачу пакетов маскирующих сообщений, если длина g-го фрагмента сообщения больше принятого на узле-терминатореThe term "node-terminator of masking messages" means a network node belonging to the masking communication route, which stops further transmission of packets of masking messages if the length of the g-th message fragment is greater than that received at the terminator node
значения MTU. При сравнении длины Lf f-го фрагмента сообщения с принятым значением MTU узла-терминатора GT IP-пакетов маскирующих сообщений учитывают длину служебной части пакета сообщения, добавляемую при передаче адресату к каждому пакету сообщений.MTU values. When comparing the length of L f f-th message fragment with the received MTU value of the terminator node G T of IP packets of masking messages, the length of the service part of the message packet is taken into account, which is added to each message packet during transmission to the addressee.
Выбор узла-терминатора GT IP-пакетов маскирующих сообщений необходим для того, чтобы улучшить показатель своевременности доставки пакетов сообщений принимающему абоненту. Этого достигают тем, что пакеты маскирующих сообщений не будут доставляться принимающему абоненту (если он не является ложным - см. Абf 8 фиг. 1б), а будут уничтожаться на узле-терминаторе. Например, для структуры, показанной на фиг. 1а, если пакеты маскирующих сообщений передают между абонентами Абj и Абi по маскирующему маршруту через узлы сети УС3, УС4 и УС1, то нарушитель перехватит анализаторами протоколов 7 пакеты маскирующих сообщений из УС4 и канала (линии) связи между УС3 и УС4, а пакеты маскирующих сообщений будут уничтожены на выбранном в качестве узла-терминатора УС1. В результате принимающий абонент Абi не будет перегружен маскирующими сообщениями, и показатель своевременности доставки ему конструктивных (не маскирующих) сообщений будет улучшен.The choice of a terminator node G T of IP packets of masking messages is necessary in order to improve the indicator of the timeliness of delivery of message packets to the receiving subscriber. This is achieved by the fact that packets of masking messages will not be delivered to the receiving subscriber (if it is not false -
В том случае, если принимающий абонент является ложным, то в качестве узла-терминатора GT IP-пакетов маскирующих сообщений выбирают принимающего абонента.In the event that the receiving subscriber is false, then the receiving subscriber is selected as the terminator node G T of the IP packets of masking messages.
Затем считывают и запоминают (бл. 13 на фиг. 4) из массива памяти значение MTU узла-терминатора GT IP-пакетов маскирующих сообщений.Then read and store (block 13 in Fig. 4) from the memory array the MTU value of the terminator node G T of IP packets of masking messages.
Далее формируют сообщения, включающие информацию о запомненных маскирующих маршрутах связи и значениях MTU узлов-терминаторов GT IP-пакетов маскирующих сообщений, отправляют сформированные сообщения абонентам сети (бл. 14 на фиг. 4) и принимают их i-ми абонентами сети (бл. 15 на фиг. 4).Next, messages are generated, including information about the stored masking communication routes and MTU values of terminator nodes G T of IP packets of masking messages, the generated messages are sent to network subscribers (block 14 in Fig. 4) and received by the i-th network subscribers (block 15 in Fig. 4).
Таким образом, каждого абонента сети уведомляют о маскирующих маршрутах ко всем остальным абонентам, а также о значениях MTU, которые необходимо устанавливать для маскирующих сообщений, чтобы они уничтожались на выбранном узле-терминаторе каждого маскирующего маршрута.Thus, each network subscriber is notified of the masking routes to all other subscribers, as well as the MTU values that must be set for the masking messages so that they are destroyed at the selected terminator node of each masking route.
Затем после отправки сформированных сообщений всем i-м абонентам сети, и приема сообщений абонентами сети, формируют маскирующие сообщения (бл. 16 на фиг. 4).Then, after sending the generated messages to all i-th network subscribers, and receiving messages by the network subscribers, masking messages are generated (
Для формирования маскирующих сообщений генерируют ложные исходные пакеты данных, в информационную часть которых записывают случайную или произвольную цифровую последовательность (случайную последовательность сигналов логический «0» и логическая «1»).To generate masking messages, false initial data packets are generated, in the information part of which a random or arbitrary digital sequence is written (a random sequence of signals logical "0" and logical "1").
После формирования маскирующих сообщений, содержащих маскирующую информацию, фрагментируют (бл. 17 на фиг. 4) маскирующие сообщения на F фрагментов. Фрагментация маскирующих сообщений необходима для уменьшения среднего времени нахождения в очереди конструктивных (немаскирующих) пакетов, имеющих больший приоритет при отправке в сеть. Однако фрагментированные маскирующие сообщения могут иметь длину меньшую, чем MTU узла-терминатора. Для устранения этого противоречия необходимо сравнивать (бл. 18 на фиг. 4) длину Lf каждого f-го фрагмента с принятым значением MTU узла-терминатора GT IP-пакетов маскирующих сообщений. Сравнение необходимо для того, чтобы определить, будет ли уничтожен пакет маскирующего сообщения на узле-терминаторе. При сравнении длины Lf каждого f-го фрагмента с принятым значением MTU узла-терминатора GT IP-пакетов маскирующих сообщений учитывают длину служебной части пакета сообщения, добавляемую при передаче адресату к каждому пакету сообщений. И в случае, если длина Lf f-го фрагмента больше принятого значения MTU узла-терминатора GT IP-пакетов маскирующих сообщений, то запрещают фрагментацию IP-пакета маскирующих сообщений при его передаче по сети связи (бл. 20 на фиг. 4) при его передаче по сети связи. Для запрещения фрагментации IP-пакета сообщений при его передаче по сети связи устанавливают в единицу значение флага DF (Do not Fragment) «не фрагментировать» в заголовке IP-пакета сообщений. Установка этого флага в единицу означает запрет фрагментации (см., например, https://tools.ietf.org/html/rfc791) на узле-терминаторе, что приводит к запрету ретрансляции пакета сообщений дальше узла-терминатора.After the formation of masking messages containing masking information, the masking messages are fragmented (
В противном случае, то есть если длина Lf f-го фрагмента меньше или равна принятого значения MTU узла-терминатора G маскирующих сообщений, то дефрагментируют маскирующие сообщения до значений длины Lf фрагментов большей принятого значения MTU узла-терминатора (бл. 19 на фиг. 4), для чего объединяют между собой два или более фрагмента маскирующих сообщений. Таким образом, за счет динамического изменения длины пакетов маскирующих сообщений, достигают уменьшения среднего времени ожидания в очереди пакетов сообщений у передающего абонента.Otherwise, that is, if the length L f f-th fragment is less than or equal to the received MTU value of the terminator node G of the masking messages, then defragment the masking messages to values of the length L f fragments greater than the received MTU value of the terminator node (block 19 in Fig. 4), for which two or more fragments of masking messages are combined together. Thus, by dynamically changing the length of the masking message packets, a decrease in the average waiting time in the queue of message packets at the transmitting subscriber is achieved.
Затем запоминают в массив памяти [Tij] текущее значения Tтек астрономического времени и значения времени окончания передачи маскирующих сообщений для каждого маскирующего маршрута связи (бл. 21 на фиг. 4) и передают сформированные маскирующие сообщения по маскирующим маршрутам связи (бл. 22 на фиг. 4). Запоминание значений астрономического времени и времени окончания передачи маскирующих сообщений требуется для вычисления интенсивностей и необходимых для вычисления коэффициента результативности терминации IP-пакетов маскирующих сообщений.Then, the current values of T tech astronomical time and the end time values are stored in the memory array [T ij ] transmission of masking messages for each masking communication route (block 21 in Fig. 4) and transmit the generated masking messages along masking communication routes (block 22 in Fig. 4). Memorizing the values of the astronomical time and the end time of transmission of masking messages is required to calculate the intensities and required to calculate the termination performance coefficient IP packet masking messages.
Затем, после передачи сформированных маскирующих сообщений по маскирующим маршрутам связи , вычисляют значение интенсивности IP-пакетов маскирующих сообщений, направленных i-м отправителем j-му получателю для каждого маскирующего маршрута связи (бл. 23 на фиг. 4), запоминают значение интенсивности IP-пакетов маскирующих сообщений в массиве памяти (бл. 24 на фиг. 4).Then, after the transmission of the generated masking messages along masking communication routes , calculate the value of the intensity IP packets of masking messages sent by the i-th sender to the j-th recipient for each masking communication route (block 23 in Fig. 4), store the value of the intensity IP packet masking messages in memory array (block 24 in Fig. 4).
Вычисляют значение интенсивности IP-пакетов маскирующих сообщений, не терминированных на узле-терминаторе и полученных принимающим абонентом для каждого маскирующего маршрута связи (бл. 25 на фиг. 4), далее запоминают значение интенсивности IP-пакетов маскирующих сообщений в массиве памяти (бл. 26 на фиг. 4).Calculate the intensity value IP packets of masking messages not terminated at the terminator node and received by the receiving subscriber for each masking communication route (block 25 in Fig. 4), then the intensity value is stored IP packet masking messages in memory array (block 26 in Fig. 4).
Ненулевое значение может быть вызвано неверным выбором значений MTU IP-пакетов маскирующих сообщений или отказами (сбоями) их терминации на узле-терминаторе. Кратковременные или систематические отказы (сбои) терминации могут быть вызваны следующими причинами:Nonzero value can be caused by an incorrect choice of MTU values of IP packets of masking messages or refusals (failures) of their termination at the terminator node. Short-term or systematic termination failures (failures) can be caused by the following reasons:
воздействием случайных (непреднамеренных) помех, таких как природные и техногенные факторы, приводящими к отказам (сбоям) терминации маскирующих сообщений на узле-терминаторе;the impact of random (unintentional) interference, such as natural and man-made factors, leading to failures (failures) of termination of masking messages at the terminator node;
целенаправленными деструктивными воздействиямиtargeted destructive influences
злоумышленников на элементы сети связи общего пользования, приводящими к изменению значений показателей безопасности узлов сети связи и отказам (сбоям) терминации маскирующих сообщений на узле-терминаторе;attackers on the elements of the public communication network, leading to a change in the values of the security indicators of the nodes of the communication network and failures (failures) of termination of masking messages at the terminator node;
снижением достоверности выбора узлов-терминаторов маскирующих сообщений, вызванным изменением маскирующего маршрута оператором связи сети связи общего пользования или масштабированием структуры сети связи (появлением новых абонентов).a decrease in the reliability of the choice of terminator nodes for masking messages caused by a change in the masking route by a communication operator of a public communication network or scaling of the communication network structure (the appearance of new subscribers).
Для обеспечения снижения вероятности ухудшения показателя своевременности доставки пакетов сообщений принимающему абоненту при высокой интенсивности пакетов маскирующих сообщений после мониторинга сбоев (отказов) терминации пакетов маскирующих сообщений на узле-терминаторе вычисляют коэффициент результативности терминации IP-пакетов маскирующих сообщений для каждого маскирующего маршрута связи (бл. 27 на фиг. 4) и запоминают значение коэффициента результативности терминации IP-пакетов маскирующих сообщений в массиве памяти (бл. 28 на фиг. 4). Значение коэффициента результативности терминации IP-пакетов маскирующих сообщений для каждого маскирующего маршрута связи вычисляют по формуле To ensure a decrease in the likelihood of deterioration of the indicator of the timeliness of delivery of message packets to the receiving subscriber at a high intensity of packets of masking messages after monitoring failures (refusals) of termination of packets of masking messages, the termination efficiency coefficient is calculated at the terminator node IP packets of masking messages for each masking communication route (block 27 in Fig. 4) and store the value of the termination efficiency coefficient IP packet masking messages in memory array (block 28 in Fig. 4). Termination efficiency coefficient value IP packets of masking messages for each masking communication route calculated by the formula
Далее сравнивают значения коэффициента результативности терминации IP-пакетов маскирующих сообщений со значением допустимого коэффициента результативности терминации IP-пакетов маскирующих сообщений (бл. 29 на фиг. 4).Next, the values of the termination performance coefficient are compared IP packets of masking messages with the value of the permissible termination performance factor IP packets of masking messages (block 29 in FIG. 4).
В случае, если считывают значение длины маскирующего маршрута связи из массива памяти (бл. 30 на фиг. 4), уменьшают значение длины на единицу (бл. 31 на фиг. 4).If read the length value communication masking route from memory array (block 30 in Fig. 4), reduce the length per unit (block 31 in Fig. 4).
Далее формируют сообщение, включающее информацию об уменьшенном на единицу значении длины маскирующего маршрута связи (бл. 32 на фиг. 4). Отправляют сервером безопасности сформированное сообщение i-му абоненту сети связи (бл. 33 на фиг. 4) и принимают сообщение, включающее информацию об уменьшенном на единицу значении длины маскирующего маршрута связи i-м абонентом сети связи (бл. 34 на фиг. 4). Устанавливают i-м абонентом сети связи в служебном поле «Time То Live» заголовка IP-пакета маскирующих сообщений, передаваемых от отправителя, значение, равное уменьшенному на единицу значению длины маскирующего маршрута связи (бл. 35 на фиг. 4). При использовании интернет-протокола 6 версии (IPν6) для передачи маскирующих сообщений используется служебное поле «Нор Limit», означающее количество ретрансляций IP-пакета на его пути следования от отправителя к получателю, значение которого устанавливают равное уменьшенному на единицу значению длины маскирующего маршрута связи.Next, a message is formed, including information about the length value reduced by one communication masking route (block 32 in Fig. 4). The security server sends the generated message to the i-th subscriber of the communication network (block 33 in Fig. 4) and receives a message including information about the length value reduced by one communication masking route i-th subscriber of the communication network (block 34 in Fig. 4). Set by the i-th subscriber of the communication network in the "Time To Live" service field of the header of the IP packet of masking messages transmitted from the sender, a value equal to the length value reduced by one communication masking route (block 35 in Fig. 4). When using Internet protocol version 6 (IPν6), the service field "Nor Limit" is used to transmit masking messages, which means the number of retransmissions of an IP packet on its path from the sender to the recipient, the value of which is set equal to the value of the masking route length reduced by one.
Далее переходят к передаче маскирующих сообщений по маскирующим маршрутам связи (бл. 36 на фиг. 4).Next, proceed to the transmission of masking messages along masking communication routes (block 36 in Fig. 4).
В противном случае, то есть если переходят к передаче маскирующих сообщений по маскирующим маршрутам связи (бл. 36 на фиг. 4).Otherwise, that is, if proceed to the transmission of masking messages along masking communication routes (block 36 in Fig. 4).
Далее сравнивают в массиве памяти [Tij] текущее значение Tтек астрономического времени и значение времени окончания передачи маскирующих сообщений для каждого маскирующего маршрута связи (бл. 37 на фиг. 4).Next, compare in the memory array [T ij ] the current value of T tech astronomical time and the value of the end time transmission of masking messages for each masking communication route (block 37 in Fig. 4).
При выполнении условия формируют отчет, содержащий информацию о значении коэффициента результативности терминации IP-пакетов маскирующих сообщений для каждого маскирующего маршрута связи (бл. 38 на фиг. 4). Противном случае, то есть, если изменяют исходные данные, содержащие информацию о структуре сети связи. Для внесения изменений в исходные данные, содержащие информацию о структуре сети связи, переходят к бл. 1 на фиг. 4.If the condition is met generate a report containing information on the value of the termination performance coefficient IP packets of masking messages for each masking communication route (block 38 in Fig. 4). Otherwise, that is, if change the original data containing information about the structure of the communication network. To make changes to the original data containing information about the structure of the communication network, go to bl. 1 in FIG. 4.
На фиг. 8 представлена иллюстрация схем связи абонентов и сервера безопасности по трем допустимым маршрутам n=1,2,3, выбранным с помощью описанного способа.FIG. 8 shows an illustration of the communication schemes of subscribers and the security server along three valid routes n = 1,2,3, selected using the described method.
На фиг. 9 представлена итоговая схема связи абонентов 1 Аб i и Аб j. Маскирующие маршруты 5 выделены пунктирной линией n=4,5. Допустимые маршруты 2 показаны сплошной линией. Наиболее вероятное нахождение нарушителя и компрометация маршрута связи - на маршрутах со средним показателем безопасности ниже допустимого значения FIG. 9 shows the final communication scheme of
Вычисление комплексных показатели безопасности узлов и средних показателей безопасности маршрутов дают основание для объективного выбора допустимых и маскирующих маршрутов связи между абонентами сети. В результате расчетов и маскирования структуры сети связи достигают исключение транзитных узлов сети, обладающих низким уровнем безопасности, который указывает на высокую вероятность несанкционированного перехвата передаваемых абонентами сообщений на маршруте, включающем, например, УС4, УС5. При передаче пакетов маскирующих сообщений между ложным Абf 8 абонентом и абонентом Абj по маскирующему маршруту №5 (n=5 на фиг. 7), в качестве узла-терминатора GT IP-пакетов маскирующих сообщений выбирают, например УСЗ, учитывая MTU канала связи между УСЗ и Аб/. Выбранные допустимые маршруты связи между i-м и j-м абонентами проходят через транзитные узлы сети, обладающие максимально высокими уровнями безопасности, что снижает вероятность перехвата злоумышленниками информационного обмена абонентов сети.Calculation of comprehensive safety indicators nodes and average safety indicators of routes provide a basis for an objective choice of acceptable and masking communication routes between network subscribers. As a result of calculations and masking the structure of the communication network, the elimination of transit network nodes with a low level of security is achieved, which indicates a high probability of unauthorized interception of messages transmitted by subscribers on a route including, for example, US4, US5. When transmitting packets of masking messages between the
Результативность сформулированного технического результата была проверена путем математического моделирования процессов мониторинга сбоев (отказов) терминации пакетов маскирующих сообщений на узле-терминаторе и адаптации параметров маскирующего маршрута связи за счет управления значениями служебного поля «Time То Live» заголовка IP-пакета маскирующих сообщений.The effectiveness of the formulated technical result was tested by mathematical modeling of the monitoring processes of failures (failures) of terminating packets of masking messages at the terminator node and adapting the parameters of the masking communication route by controlling the values of the "Time To Live" service field of the IP packet header of masking messages.
На фиг. 10а представлен размеченный граф состояний моделируемой системы. Ниже перечислены необходимые для математического моделирования состояния S1 - S5 мониторинга сбоев (отказов) терминации пакетов маскирующих сообщений на узле-терминаторе и адаптации параметров маскирующего маршрута связи:FIG. 10a shows a labeled state graph of the simulated system. The following lists the necessary for mathematical modeling of the state S 1 - S 5 for monitoring failures (failures) of the termination of packets of masking messages at the terminator node and adapting the parameters of the masking communication route:
S1 - вычисление коэффициента результативности терминации IP-пакетов маскирующих сообщений;S 1 - calculation of the termination efficiency coefficient IP packets of masking messages;
S2 - формирование сообщения, включающего информацию об уменьшенном на единицу значении длины маскирующего маршрута связи S 2 - generation of a message including information about the length value reduced by one communication masking route
S3 - масштабирование структуры сети связи, вызванное появлением новых абонентов;S 3 - scaling of the structure of the communication network caused by the emergence of new subscribers;
S4 - изменение значений показателей безопасности узлов сети связи и отказы (сбои) терминации маскирующих сообщений на узле-терминаторе в результате целенаправленных деструктивных воздействий злоумышленников;S 4 - change in the values of security indicators of communication network nodes and failures (failures) of termination of masking messages at the terminator node as a result of targeted destructive actions of intruders;
S5 - изменение маскирующего маршрута оператором связи сети связи общего пользования, воздействие случайных (непреднамеренных) помех.S 5 - change of the masking route by the communication operator of the public communication network, the impact of random (unintentional) interference.
Моменты возможных переходов моделируемой сети связи при реализации маскирующего обмена из состояния в состояние неопределенны, случайны и происходят под действием событий, характеризующиеся их интенсивностями λ, являющимися важной характеристикой потоков событий и характеризующими среднее число событий, приходящееся на единицу времени. При построении и использовании математической модели задаются значения следующих интенсивностей событий:The moments of possible transitions of the simulated communication network during the implementation of masking exchange from state to state are uncertain, random and occur under the action of events, characterized by their intensities λ, which are an important characteristic of event flows and characterize the average number of events per unit time. When constructing and using a mathematical model, the following event intensities are set:
λ12 - интенсивность заявок на формирование сообщения, включающее информацию об уменьшенном на единицу значении длины маскирующего маршрута связи λ 12 is the intensity of requests for the formation of a message, including information about the length value reduced by one communication masking route
λ21 - интенсивность заявок на вычисление коэффициента результативности терминации IP-пакетов маскирующих сообщений;λ 21 is the intensity of applications for calculating the termination performance coefficient IP packets of masking messages;
λ23 - интенсивность заявок на масштабирование структуры сети связи, вызванное появлением новых абонентов;λ 23 is the intensity of requests for scaling the structure of the communication network caused by the appearance of new subscribers;
λ24 - интенсивность целенаправленных деструктивные воздействия злоумышленников;λ 24 - the intensity of targeted destructive effects of intruders;
λ25 - интенсивность воздействия случайных (непреднамеренных) помех;λ 25 - the intensity of the impact of random (unintentional) interference;
λ31 - интенсивность заявок на вычисление коэффициента результативности терминации при масштабировании структуры сети связи;λ 31 - the intensity of applications for calculating the termination performance coefficient when scaling the structure of the communication network;
λ41 - интенсивность заявок на вычисление коэффициента результативности терминации при целенаправленных деструктивных воздействий злоумышленников;λ 41 - the intensity of applications for calculating the termination performance coefficient with targeted destructive actions of intruders;
λ51 - интенсивность заявок на вычисление коэффициента результативности терминации при воздействии случайных (непреднамеренных) помех.λ 51 is the intensity of applications for calculating the termination performance coefficient when exposed to accidental (unintentional) interference.
По размеченному графу состояний (фиг. 10а) согласно правилам, изложенным в книге Вентцель Е.С., Исследование операций: задачи, принципы, методология. - 2-е изд., стер. - М.: Наука. Гл. ред. физ.-мат. лит., 1988. - 208 с., составлены уравнения Колмогорова - дифференциальные уравнения с неизвестными функциями pi(t):According to the marked-up graph of states (Fig. 10a) according to the rules set forth in the book by ES Wentzel, Operations Research: Problems, Principles, Methodology. - 2nd ed., Erased. - M .: Science. Ch. ed. physical-mat. lit., 1988. - 208 p., Kolmogorov's equations are composed - differential equations with unknown functions p i (t):
Порядок решения таких уравнений известен, и описан, например, в книге Вержбицкий В.М., Основы численных методов: Учебник для вузов/ В.М. Вержбицкий. - М.: Высш. Шк., 2002. - 840 с. В процессе решения производится расчет приближенных значений рi для заданных значений интенсивностей событий λij=const (марковский однородный процесс), что позволяет получить числовую таблицу искомых решений p(t) на некотором интервале t∈[t0,t1] Расчет произведен с помощью пакета математическогоThe procedure for solving such equations is known, and is described, for example, in the book Verzhbitsky V.M., Fundamentals of Numerical Methods: Textbook for Universities / V.M. Verzhbitsky. - M .: Higher. School., 2002 .-- 840 p. In the process of solving, the approximate values of р i are calculated for the given values of the intensities of events λ ij = const (Markov homogeneous process), which makes it possible to obtain a numerical table of the sought solutions p (t) at a certain interval t∈ [t 0 , t 1 ]. mathematical package
программирования «MathCAD 15».programming "
Вероятностные и временные характеристики, описывающие состояния моделируемого процесса определяются значениями интенсивностей событий λij, в зависимости от следующих условий функционирования (ситуаций) сети связи.The probabilistic and temporal characteristics describing the states of the modeled process are determined by the values of the event intensities λ ij , depending on the following conditions of operation (situations) of the communication network.
Ситуация №1 - интенсивности масштабирования структуры сети связи и целенаправленных деструктивных воздействий злоумышленников минимальны, λ31=λ41=min, интенсивность воздействия случайных (непреднамеренных) помех постоянна, λ51=const.Situation No. 1 - the intensity of scaling of the structure of the communication network and targeted destructive effects of intruders are minimal, λ 31 = λ 41 = min, the intensity of the impact of random (unintentional) interference is constant, λ 51 = const.
Результаты расчета зависимости вероятностей состояний от времени для значений интенсивностей событий, соответствующих ситуации №1 представлены на фиг. 10б. После установления в моделируемой системе стационарного режима финальная вероятность нахождения системы в состоянии S1 максимальна, регулярное воздействие случайных (непреднамеренных) помех после начального всплеска p2(t), характеризующего необходимость адаптации параметров маскирующего маршрута связи за счет управления значениями служебного поля «Time То Live» заголовка IP-пакета маскирующих сообщений не приводит к доминированию дестабилизирующих факторов.The results of calculating the dependence of the probabilities of states on time for the values of the intensities of events corresponding to situation No. 1 are presented in Fig. 10b. After establishing a stationary mode in the simulated system, the final probability of the system being in state S 1 is maximum, the regular impact of random (unintentional) interference after the initial burst p 2 (t), characterizing the need to adapt the parameters of the masking communication route by controlling the values of the service field “Time To Live »The IP packet header of the masking messages does not lead to the dominance of destabilizing factors.
Ситуация №2 - интенсивность масштабирования структуры сети связи постоянна, λ31=const, интенсивность целенаправленных деструктивных воздействий злоумышленников минимальна, λ41=min, интенсивность воздействия случайных (непреднамеренных) помех максимальна, λ51=max.Situation No. 2 - the intensity of scaling of the communication network structure is constant, λ 31 = const, the intensity of targeted destructive actions of intruders is minimal, λ 41 = min, the intensity of the impact of random (unintentional) interference is maximum, λ 51 = max.
Результаты расчета зависимости вероятностей состояний от времени для значений интенсивностей событий, соответствующих ситуации №2, представлены на фиг. 10в. После установления в моделируемой системе стационарного режима финальная вероятность нахождения системы в состоянии S2 существенно увеличивается, что характеризует адаптацию параметров маскирующего маршрута связи. Финальная вероятность нахождения системы в состоянии S1 минимальна. Снижение интенсивности воздействия случайных (непреднамеренных) помех λ51→min приводит к увеличению финальной вероятности нахождения системы в состоянии S1, то есть к ее адаптации за счет управления значениями служебного поля «Time То Live» заголовка IP-пакета маскирующих сообщений. Ухудшение показателя своевременности доставки пакетов сообщений принимающему абоненту при высокой интенсивности пакетов маскирующих сообщений устраняется за счет мониторинга сбоев (отказов) терминации пакетов маскирующих сообщений на узле-терминаторе.The results of calculating the dependence of the probabilities of states on time for the values of the intensities of events corresponding to situation No. 2 are presented in Fig. 10c. After establishing a stationary mode in the simulated system, the final probability of the system being in the S 2 state significantly increases, which characterizes the adaptation of the parameters of the masking communication route. The final probability of finding the system in state S 1 is minimal. A decrease in the intensity of the impact of random (unintentional) interference λ 51 → min leads to an increase in the final probability of the system being in the S 1 state, that is, to its adaptation due to the control of the values of the "Time To Live" service field of the IP packet header of masking messages. The deterioration of the indicator of the timeliness of delivery of message packets to the receiving subscriber at a high intensity of packets of masking messages is eliminated by monitoring failures (refusals) of terminating packets of masking messages at the terminator node.
Таким образом, в рассмотренном способе за счет мониторинга сбоев (отказов) терминации пакетов маскирующих сообщений на узле-терминаторе и адаптации параметров маскирующего маршрута связи к изменению структуры (параметров) сети связи достигают улучшения показателя своевременности доставки пакетов сообщений принимающему абоненту при высокой интенсивности пакетов маскирующих сообщений и повышения достоверности выбора узлов-терминаторов маскирующих сообщений.Thus, in the considered method, due to monitoring of failures (failures) in the termination of packets of masking messages at the terminator node and adapting the parameters of the masking communication route to changes in the structure (parameters) of the communication network, the indicator of the timeliness of delivery of message packets to the receiving subscriber is improved at a high intensity of packets of masking messages and increasing the reliability of the choice of masking message terminator nodes.
Claims (3)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2020112143A RU2739151C1 (en) | 2020-03-24 | 2020-03-24 | Method for masking structure of communication network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2020112143A RU2739151C1 (en) | 2020-03-24 | 2020-03-24 | Method for masking structure of communication network |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2739151C1 true RU2739151C1 (en) | 2020-12-21 |
Family
ID=74062951
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2020112143A RU2739151C1 (en) | 2020-03-24 | 2020-03-24 | Method for masking structure of communication network |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2739151C1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2759152C1 (en) * | 2021-01-28 | 2021-11-09 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Method for masking structure of communication network |
RU213782U1 (en) * | 2021-10-28 | 2022-09-28 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | ROUTER WITH PROACTIVE PROTECTION OF THE COMPUTATION NETWORK FROM NETWORK INVESTIGATION |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6577601B1 (en) * | 1999-08-05 | 2003-06-10 | The United States Of America As Represented By The Administrator Of The National Aeronautics And Space Administration | Masked proportional routing |
RU2412549C1 (en) * | 2009-07-21 | 2011-02-20 | Государственное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) | Method of configuring communication network |
RU2622842C1 (en) * | 2016-05-23 | 2017-06-20 | федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Method for masking the structure of telecommunication network |
RU2645292C2 (en) * | 2016-06-21 | 2018-02-19 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Method for masking structure of telecommunication network |
RU2656839C1 (en) * | 2017-04-26 | 2018-06-06 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" | Method for masking the structure of the communication network |
RU2682105C1 (en) * | 2018-04-09 | 2019-03-14 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Communication network structure masking method |
-
2020
- 2020-03-24 RU RU2020112143A patent/RU2739151C1/en active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6577601B1 (en) * | 1999-08-05 | 2003-06-10 | The United States Of America As Represented By The Administrator Of The National Aeronautics And Space Administration | Masked proportional routing |
RU2412549C1 (en) * | 2009-07-21 | 2011-02-20 | Государственное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) | Method of configuring communication network |
RU2622842C1 (en) * | 2016-05-23 | 2017-06-20 | федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Method for masking the structure of telecommunication network |
RU2645292C2 (en) * | 2016-06-21 | 2018-02-19 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Method for masking structure of telecommunication network |
RU2656839C1 (en) * | 2017-04-26 | 2018-06-06 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" | Method for masking the structure of the communication network |
RU2682105C1 (en) * | 2018-04-09 | 2019-03-14 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Communication network structure masking method |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2759152C1 (en) * | 2021-01-28 | 2021-11-09 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Method for masking structure of communication network |
RU213782U1 (en) * | 2021-10-28 | 2022-09-28 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | ROUTER WITH PROACTIVE PROTECTION OF THE COMPUTATION NETWORK FROM NETWORK INVESTIGATION |
RU2793104C1 (en) * | 2022-12-07 | 2023-03-29 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Method for communication network structure masking |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Collins et al. | Using uncleanliness to predict future botnet addresses | |
US7688740B1 (en) | System and method for identifying cost metrics for a network | |
US20080170510A1 (en) | Efficient Determination Of Fast Routes When Voluminous Data Is To Be Sent From A Single Node To Many Destination Nodes Via Other Intermediate Nodes | |
RU2682105C1 (en) | Communication network structure masking method | |
Johnson et al. | Avoiding the man on the wire: Improving Tor's security with trust-aware path selection | |
RU2331158C1 (en) | Method of evasive routing in communication networks (variants) | |
Hsiao et al. | STRIDE: sanctuary trail--refuge from internet DDoS entrapment | |
JP5233295B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, AND COMMUNICATION METHOD | |
CN102143041B (en) | Network traffic sharing method, device and system | |
RU2739151C1 (en) | Method for masking structure of communication network | |
RU2622842C1 (en) | Method for masking the structure of telecommunication network | |
RU2645292C2 (en) | Method for masking structure of telecommunication network | |
Nur et al. | Single packet AS traceback against DoS attacks | |
Bless | A lower-effort per-hop behavior (LE PHB) for differentiated services | |
EP4231589A1 (en) | Method and system for network topology obfuscation | |
RU2794532C1 (en) | Method for communication network structure masking | |
RU2793104C1 (en) | Method for communication network structure masking | |
RU2759152C1 (en) | Method for masking structure of communication network | |
JP4356557B2 (en) | Method and program for identifying network fault location on the Internet | |
Moz et al. | Campus network configuration, monitoring and data flow simulation using Cisco packet tracer | |
RU2680038C1 (en) | Method of computer networks protection | |
Arjmandpanah‐Kalat et al. | Design and performance analysis of an efficient single flow IP traceback technique in the AS level | |
Dogruluk et al. | A detection and defense approach for content privacy in named data network | |
RU181257U1 (en) | Data Clustering Firewall | |
RU2789810C1 (en) | Method for protection of computer networks |