|
(21), (22) Заявка: 2007103774/09, 31.01.2007
(24) Дата начала отсчета срока действия патента:
31.01.2007
(46) Опубликовано: 10.08.2008
(56) Список документов, цитированных в отчете о поиске:
RU 2004111798 А, 10.05.2005. RU 2120190 C1, 10.10.1998. RU 2271614 C2, 10.03.2006. US 2003/0093689 A1, 15.05.2003. KR 20060044049 A, 16.05.2006. JP 2003174483 A, 20.06.2003.
Адрес для переписки:
194064, Санкт-Петербург, Тихорецкий пр., 3, ВОЕННАЯ АКАДЕМИЯ СВЯЗИ, Бюро изобретательства
|
(72) Автор(ы):
Кожевников Дмитрий Анатольевич (RU), Максимов Роман Викторович (RU), Павловский Антон Владимирович (RU), Юрьев Дмитрий Юрьевич (RU)
(73) Патентообладатель(и):
ВОЕННАЯ АКАДЕМИЯ СВЯЗИ (RU)
|
(54) СПОСОБ ВЫБОРА БЕЗОПАСНОГО МАРШРУТА В СЕТИ СВЯЗИ (ВАРИАНТЫ)
(57) Реферат:
Изобретение относится к области инфокоммуникаций и может быть использовано при создании новых, а также совершенствовании существующих сетей связи (СС). Техническим результатом является повышение скрытности связи за счет выбора наиболее безопасного маршрута. Указанный технический результат достигается следующей последовательностью действий: предварительно задают информацию о структуре сети связи, исходные данные об узлах и абонентах сети, и вычисляют комплексные показатели безопасности узлов сети. Формируют матрицу смежности вершин графа сети и совокупность возможных маршрутов связи между абонентами сети в виде деревьев графа. Используя полученные результаты, осуществляют выбор наиболее безопасных маршрутов в сети связи из совокупности всех возможных маршрутов связи между абонентами и доведение безопасных маршрутов до абонентов сети. 5 н. и 10 з.п. ф-лы, 11 ил.
Изобретение относится к области инфокоммуникаций и может быть использовано при создании новых, а также совершенствовании существующих сетей связи (СС).
Известен способ выбора маршрута в соответствии с условиями занятости сетевых ресурсов, реализованный в «Способе и системе продвижения транспортных потоков с гарантированным качеством сервиса (QoS) в сети, работающей с протоколом IP» по патенту РФ №2271614, МПК H06L 12/38, опубл. 10.03.2006 г.
Способ заключается в том, что выбор маршрута доставки пакетов в сетях связи выполняют менеджеры ресурсов сети доставки на уровне управления каналом передачи, аналогично функции для услуг, требующих гарантированного качества сервиса QoS. Для прохождения транспортных потоков согласно пути, назначенного менеджером ресурсов в сети доставки, контролируют пограничные маршрутизаторы в соответствии с условиями занятости сетевых ресурсов. При этом назначение путей прохождения потоков осуществляют с помощью технологии многоуровневого стека меток.
Недостатком данного способа является отсутствие адаптации к изменениям структуры сети связи, а также неполное использование качеств и условий сетевых ресурсов для выбора пути прохождения потоков.
Известен также способ обеспечения корректировки маршрутов к абонентам сети, реализованный в «Способе корректировки маршрутов в сети передачи данных» по патенту РФ №2120190, МПК H04L 12/28, опубл. 10.10.1998 г.
Способ заключается в том, что поиск маршрутов доставки сообщений к абоненту осуществляется по сетевому адресу узла коммутации его текущей привязки. Выбор маршрутов к абоненту осуществляется на узлах коммутации по служебному корректирующему сообщению, содержащему сетевые адреса абонента, узла коммутации и код признака корректировки “запись”, “стирание”.
Недостатком данного способа является также отсутствие адаптации к изменениям структуры сети связи. Это вызвано тем, что корректировка осуществляется децентрализовано и охватывает не всю сеть связи, а ее отдельные локальные участки. Отсутствие параметров выбора маршрутов к абоненту, что приводит к низкому качеству выбора.
Наиболее близким по своей технической сущности к заявленному является «Способ выбора целесообразным образом используемого маршрута в маршрутизаторе для равномерного распределения в коммутационной сети» по заявке на изобретение РФ №2004111798, МПК H04L 1/00, опубл. 10.05.2005 г.
Способ-прототип заключается в том, что предварительно задают исходные данные, содержащие критерии качества маршрутов. Запоминают в маршрутизаторе информацию о структуре сети связи, включающую адреса узлов сети и наличие связи между ними. Формируют совокупность возможных маршрутов связи. После получения сообщения для целевого адреса сети выбирают один маршрут в соответствии с предварительно заданными критериями качества маршрутов и передают по выбранному маршруту сообщения.
Известный способ-прототип устраняет недостатки аналогов, касающиеся снижения качества выбора маршрута, что обусловлено введением критериев качества маршрутов.
Однако недостатком указанного способа-прототипа является относительно низкая скрытность связи при использовании выбранного маршрута информационного обмена абонентов в сети связи. Наличие транзитных узлов сети, обладающих низким уровнем безопасности, создает предпосылки для перехвата злоумышленниками информационного обмена абонентов сети.
Целью заявленных технических решений является разработка способа (вариантов) выбора безопасного маршрута в сети связи, обеспечивающего повышение скрытности связи за счет управления маршрутами информационного обмена абонентов в сети связи и выбора наиболее безопасного маршрута. *Безопасный маршрут – последовательность транзитных узлов сети, при передаче через которые, сообщение не подвержено угрозам информационной безопасности.
В первом варианте способа поставленная цель достигается тем, что в известном способе выбора безопасного маршрута в сети связи, заключающемся в том, что для сети связи, содержащей X2 узлов сети предварительно задают исходные данные, запоминают информацию о структуре сети связи, включающей адреса узлов сети IPУС и наличие связи между ними, формируют совокупность N возможных маршрутов связи, из которых выбирают один маршрут и передают по нему сообщения. В предварительно заданные исходные данные дополнительно задают структурный и идентификационный массивы, адрес сервера безопасности IPСБ, идентификаторы IDa и адреса IPa абонентов, подключенных к сети связи. Задают для каждого x-го узла сети, где х=1, 2,…, X, Y2 параметров безопасности и их значения bxy, где y=1, 2,…, Y. Вычисляют комплексный показатель безопасности kx для каждого x-го узла сети. Формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IPУС и адреса абонентов IPa сети, а также информацию о наличии связи между узлами и абонентами сети, а в идентификационном массиве запоминают идентификаторы IDa, IDСБ и соответствующие им адреса IPa, IPСБ абонентов сети и сервера безопасности. После этого формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети, где i=1, 2,…, j=1, 2,…, и ij, в виде Nij деревьев графа сети связи, причем каждое n-е, где n=1, 2,…, Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети. Затем для каждого из Nij возможных маршрутов связи вычисляют средние показатели безопасности как среднее арифметическое комплексных показателей безопасности узлов сети, входящих в n-й маршрут связи. В качестве безопасного маршрута связи выбирают маршрут с наибольшим значением его среднего показателя безопасности . При этом в случае нахождения нескольких маршрутов с равными средними показателями безопасности выбирают из них маршрут с наименьшим количеством входящих в него узлов zn. После этого выбранный безопасный маршрут запоминают и формируют сообщения, включающие запомненные маршруты между i-м и всеми j-ми абонентами, идентификаторы IDaj и адреса IPaj всех j-х абонентов. Отправляют сформированные сообщения всем i-м абонентам сети. А для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения IDa выбирают его адрес IPa и безопасный маршрут и передают сообщение, включающее информацию об используемом маршруте. При подключении нового абонента к сети связи формируют сообщение, содержащее адрес узла сети IPУС подключения нового абонента, его идентификатор IDан и адрес IPан. После этого отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах. Затем в сервере безопасности выбирают безопасные маршруты связи между новым абонентом и всеми j-ми абонентами и запоминают их, после чего формируют сообщения, включающие информацию о запомненных безопасных маршрутах связи, и отправляют их всем абонентам сети.
Комплексный показатель безопасности kx для каждого x-го узла сети вычисляют путем суммирования, или перемножения, или как среднее арифметическое значение его параметров безопасности bxy.
Число Nij деревьев графа сети связи между i-м и j-м абонентами сети вычисляют по формуле
где Bo=М×K – преобразованная матрица смежности вершин графа сети связи, а М=Mp-1, K – соответственно число строк и столбцов матрицы, Mp – число строк исходной матрицы смежности, равное общему количеству узлов сети связи; – транспонированная матрица к Bo.
Во втором варианте способа поставленная цель достигается тем, что в известном способе выбора безопасного маршрута в сети связи, заключающемся в том, что для сети связи, содержащей X2 узлов сети предварительно задают исходные данные, запоминают информацию о структуре сети связи, включающую адреса узлов сети IPУС и наличие связи между ними, формируют совокупность N возможных маршрутов связи, из которых выбирают один маршрут и передают по нему сообщения. В предварительно заданные исходные данные дополнительно задают структурный и идентификационный массивы, массив правил разграничения доступа, адрес сервера безопасности IPСБ, идентификаторы IDa и адреса IPa абонентов, подключенных к сети связи, данные о разграничении доступа между i-м и j-м абонентами сети, где i=1, 2,…, j=1, 2,…, и ij. Задают для каждого x-го узла сети, где х=1, 2,…, X, Y2 параметров безопасности и их значения bxy, где y=1, 2,…, Y. Вычисляют комплексный показатель безопасности kx для каждого x-го узла сети. Формируют матрицу доступа, для чего запоминают в массиве правил разграничения доступа идентификаторы IDa абонентов и соответствующие им данные о разграничении доступа. Затем формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IPУС и адреса абонентов IPa сети, а также информацию о наличии связи между узлами и абонентами сети, а в идентификационном массиве запоминают идентификаторы IDa, IDСБ и соответствующие им адреса IPa, IPСБ абонентов сети и сервера безопасности. При подключении нового абонента к сети связи формируют сообщение, содержащее адрес узла сети IPУС подключения нового абонента, его идентификатор IDан и адрес IPан. После этого отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах. Формируют у i-го абонента запрос о возможности доступа к j-му абоненту сети, включающий идентификаторы i-го IDai и j-го IDaj абонентов. Отправляют запрос на сервер безопасности, где его запоминают. Проверяют по матрице доступа наличие запрашиваемого доступа и при его отсутствии формируют и отправляют i-му абоненту сети ответ об отсутствии его доступа к j-му абоненту сети. При наличии доступа формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети в виде Nij деревьев графа сети связи, причем каждое n-е, где n=1, 2,…, Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети. Затем для каждого из Nij возможных маршрутов связи между i-м и j-м абонентами сети вычисляют средние показатели безопасности как среднее арифметическое комплексных показателей безопасности узлов сети, входящих в n-й маршрут связи. В качестве безопасного маршрута связи выбирают маршрут с наибольшим значением его среднего показателя безопасности . В случае нахождения нескольких маршрутов с равными средними показателями безопасности выбирают из них маршрут с наименьшим количеством входящих в него узлов zn. После этого выбранный безопасный маршрут запоминают, формируют сообщение, включающее запомненный маршрут и адрес IPaj j-го абонента. Отправляют сформированное сообщение i-му абоненту сети. А для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения IDa, выбирают его адрес IPa и безопасный маршрут и передают сообщение, включающее информацию об используемом маршруте.
Комплексный показатель безопасности kx для каждого x-го узла сети вычисляют путем суммирования, или перемножения, или как среднее арифметическое значение его параметров безопасности bxy.
Число Nij, деревьев графа сети связи между i-м и j-м абонентами сети вычисляют по формуле
где Bo=М×K – преобразованная матрица смежности вершин графа сети связи, а М=Mр-1, K – соответственно число строк и столбцов матрицы, Mp – число строк исходной матрицы смежности, равное общему количеству узлов сети связи; – транспонированная матрица к Bo.
В третьем варианте способа поставленная цель достигается тем, что в известном способе выбора безопасного маршрута в сети связи, заключающемся в том, что для сети связи, содержащей X2 узлов сети предварительно задают исходные данные, запоминают информацию о структуре сети связи, включающую адреса узлов сети IPУС и наличие связи между ними, формируют совокупность N возможных маршрутов связи, из которых выбирают один маршрут и передают по нему сообщения. В предварительно заданные исходные данные дополнительно задают структурный и идентификационный массивы, допустимый показатель безопасности маршрута kдоп, адрес сервера безопасности IPСБ, идентификаторы IDa и адреса IPa абонентов, подключенных к сети связи. Задают для каждого x-го узла сети, где x=1, 2,…, X, Y2 параметров безопасности и их значения bxy, где y=1, 2,…, Y. Вычисляют комплексный показатель безопасности kx для каждого x-го узла сети. Затем формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IPУС и адреса абонентов IPa сети, а также информацию о наличии связи между узлами и абонентами сети. В идентификационном массиве запоминают идентификаторы IDa, IDcp и соответствующие им адреса IPa, IPСБ абонентов сети и сервера безопасности. При подключении нового абонента к сети связи формируют сообщение, содержащее адрес узла сети IPУС подключения нового абонента, его идентификатор IDан и адрес IPан. После этого отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах. Формируют у i-го абонента запрос на безопасный маршрут j-му абоненту сети, где i=1, 2,…, j=1, 2,…, и ij, включающий идентификаторы i-го IDai и j-го IDaj абонентов. Отправляют запрос на сервер безопасности, где его запоминают. После этого формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети в виде Nij деревьев графа сети связи, причем каждое n-е, где n=1, 2,…, Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети. Затем для каждого из Nij возможных маршрутов связи вычисляют средние показатели безопасности как среднее арифметическое комплексных показателей безопасности узлов сети, входящих в n-й маршрут связи. В качестве безопасного маршрута связи выбирают маршрут с наибольшим значением его среднего показателя безопасности . При этом в случае нахождения нескольких маршрутов с равными средними показателями безопасности выбирают из них маршрут с наименьшим количеством входящих в него узлов zn. Сравнивают средний показатель безопасности выбранного маршрута с предварительно заданным допустимым показателем безопасности маршрута kдоп. При выполнении условия формируют и отправляют i-му абоненту сети ответ об отсутствии безопасного маршрута между i-м и j-м абонентами сети. А при выполнении условия , выбранный безопасный маршрут запоминают. Формируют сообщение, включающее запомненный маршрут и адрес IPaj j-го абонента. Отправляют сформированное сообщение i-му абоненту сети. Для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения IDaj выбирают его адрес IPa и безопасный маршрут и передают сообщение, включающее информацию об используемом маршруте.
Комплексный показатель безопасности kx для каждого x-го узла сети вычисляют путем суммирования, или перемножения, или как среднее арифметическое значение его параметров безопасности bxy.
Число Nij деревьев графа сети связи между i-м и j-м абонентами сети вычисляют по формуле
где Bo=М×K – преобразованная матрица смежности вершин графа сети связи, а М=Mp-1, K – соответственно число строк и столбцов матрицы, Mp – число строк исходной матрицы смежности, равное общему количеству узлов сети связи; – транспонированная матрица к Bo.
В четвертом варианте способа поставленная цель достигается тем, что в известном способе выбора безопасного маршрута в сети связи, заключающемся в том, что для сети связи, содержащей X2 узлов сети предварительно задают исходные данные, запоминают информацию о структуре сети связи, включающую адреса узлов сети IPУС и наличие связи между ними, формируют совокупность N возможных маршрутов связи, из которых выбирают один маршрут и передают по нему сообщения. В предварительно заданные исходные данные дополнительно задают структурный и идентификационный массивы, массив соответствия рангов Ra абонентов и комплексных показателей безопасности kx узлов сети, адрес сервера безопасности IPСБ, идентификаторы IDa, адреса IPa и соответствующие им ранги Rа2 абонентов, подключенных к сети связи. Задают для каждого x-го узла сети, где x=1, 2,…, X, Y2 параметров безопасности и их значения bxy, где y=1, 2,…, Y. Вычисляют комплексный показатель безопасности kx для каждого x-го узла сети. Затем формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IPУС и адреса абонентов IPa сети, а также информацию о наличии связи между узлами и абонентами сети. В идентификационном массиве запоминают идентификаторы IDa, IDСБ и соответствующие им адреса IPa, IPСБ абонентов сети и сервера безопасности. При подключении нового абонента к сети связи формируют сообщение, содержащее адрес узла сети IPУС подключения нового абонента, его идентификатор IDан и адрес IPан. После этого отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах. Формируют у i-го абонента запрос на безопасный маршрут к j-му абоненту сети, где i=1, 2,…, j=1, 2,…, и ij, включающий идентификаторы i-го IDai и j-го IDaj абонентов. Отправляют запрос на сервер безопасности, где его запоминают. После этого формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети в виде Nij деревьев графа сети связи, причем каждое n-е, где n=1, 2,…, Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети. Затем из Nij возможных маршрутов связи выбирают безопасный маршрут , для которого комплексные показатели безопасности входящих в него узлов соответствуют равному или более высокому рангу Rai i-го абонента сети. Запоминают безопасный маршрут . Формируют сообщение, включающее запомненный маршрут и адрес IPaj j-ого абонента, и отправляют сформированное сообщение i-му абоненту сети. При отсутствии безопасного маршрута между i-м и j-м абонентами сети формируют и отправляют i-му абоненту сети ответ об отсутствии безопасного маршрута к j-му абоненту сети. Для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения IDа выбирают его адрес IPа и безопасный маршрут и передают сообщение, включающее информацию об используемом маршруте.
Комплексный показатель безопасности kx для каждого x-го узла сети вычисляют путем суммирования, или перемножения, или как среднее арифметическое значение его параметров безопасности bxy.
Число Nij деревьев графа сети связи между i-м и j-м абонентами сети вычисляют по формуле
где Bo=М×K – преобразованная матрица смежности вершин графа сети связи, а М=Mр-1, K – соответственно число строк и столбцов матрицы, Mp – число строк исходной матрицы смежности, равное общему количеству узлов сети связи; – транспонированная матрица к Bo.
В пятом варианте способа поставленная цель достигается тем, что в известном способе выбора безопасного маршрута в сети связи, заключающемся в том, что для сети связи, содержащей X2 узлов сети предварительно задают исходные данные, запоминают информацию о структуре сети связи, включающую адреса узлов сети IPУС и наличие связи между ними, формируют совокупность N возможных маршрутов связи, из которых выбирают один маршрут и передают по нему сообщения. В предварительно заданные исходные данные дополнительно задают структурный и идентификационный массивы, массив соответствия рангов Rинф, передаваемой информации и комплексных показателей безопасности kx узлов сети, адрес сервера безопасности IPСБ, идентификаторы IDa, адреса IPa абонентов, подключенных к сети связи, и Rинф2 рангов передаваемой информации. Задают для каждого x-го узла сети, где х=1, 2,…, X, Y2 параметров безопасности и их значения bxy, где y=1, 2,…, Y. Вычисляют комплексный показатель безопасности kx для каждого x-го узла сети. Затем формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IPУС и адреса абонентов IPa сети, а также информацию о наличии связи между узлами и абонентами сети. А в идентификационном массиве запоминают идентификаторы IDa, IDСБ и соответствующие им адреса IPa, IPСБ абонентов сети и сервера безопасности. При подключении нового абонента к сети связи формируют сообщение, содержащее адрес узла сети IPУС подключения нового абонента, его идентификатор IDан и адрес IPан. После этого отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах. Формируют у i-го абонента запрос на безопасный маршрут к j-му абоненту сети, где i=1, 2,…, j=1, 2,…, и ij, включающий идентификаторы i-го IDai и j-го IDaj абонентов, и ранг Rинф i передаваемой информации. Отправляют запрос на сервер безопасности, где его запоминают. Далее формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети в виде Nij деревьев графа сети связи, причем каждое n-е, где n=1, 2,…, Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети. Затем из Nij возможных маршрутов связи между i-м и j-м абонентами сети выбирают безопасный маршрут , для которого комплексные показатели безопасности входящих в него узлов соответствуют равному или более высокому рангу Rинф i передаваемой информации. Запоминают безопасный маршрут . Формируют сообщение, включающее запомненный маршрут и адрес IPaj j-го абонента. Отправляют сформированное сообщение i-му абоненту сети. При отсутствии безопасного маршрута между i-м и j-м абонентами сети формируют и отправляют i-му абоненту сети ответ об отсутствии безопасного маршрута к j-му абоненту сети. Для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения IDa выбирают его адрес IPa и безопасный маршрут и передают сообщение, включающее информацию об используемом маршруте.
Комплексный показатель безопасности kx для каждого x-го узла сети вычисляют путем суммирования, или перемножения, или как среднее арифметическое значение его параметров безопасности bxy.
Число Nij деревьев графа сети связи между i-м и j-м абонентами сети вычисляют по формуле
где Bo=М×K – преобразованная матрица смежности вершин графа сети связи, а М=Mp-1, K – соответственно число строк и столбцов матрицы, Mp – число строк исходной матрицы смежности, равное общему количеству узлов сети связи; – транспонированная матрица к Bo.
Благодаря новой совокупности существенных признаков в каждом из вариантов заявленного способа (вариантов) путем задания информации о структуре сети связи, исходных данных об узлах и абонентах сети, и расчета комплексных показателей безопасности узлов сети, осуществляется выбор безопасных маршрутов в сети связи из совокупности всех возможных маршрутов связи между абонентами и доведение безопасного маршрута до абонентов сети, что обеспечивает достижение сформулированного технического результата – повышения скрытности связи за счет управления маршрутами информационного обмена абонентов в сети связи.
Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностью признаков, тождественных всем признакам заявленного способа (вариантов), в известных источниках информации отсутствуют, что указывает на соответствие заявленного способа (вариантов) условию патентоспособности «новизна».
Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками заявленного объекта, показали, что они не следуют явным образом из уровня техники. Из уровня техники также не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения преобразований на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».
Заявленный способ (варианты) поясняется чертежами, на которых показаны:
фиг.1 – пример структуры сети связи;
фиг.2 – блок-схема последовательности действий, реализующих первый вариант заявленного способа выбора безопасного маршрута в сети связи;
фиг.3 – исходные данные;
фиг.4 – выбор безопасного маршрута связи;
фиг.5 – таблица расчета средних показателей безопасности маршрутов;
фиг.6 – матрица доступа и массивы соответствия;
фиг.7 – блок-схема последовательности действий, реализующих второй вариант заявленного способа выбора безопасного маршрута в сети связи;
фиг.8 – блок-схема последовательности действий, реализующих третий вариант заявленного способа выбора безопасного маршрута в сети связи;
фиг.9 – блок-схема последовательности действий, реализующих четвертый вариант заявленного способа выбора безопасного маршрута в сети связи;
фиг.10 – блок-схема последовательности действий, реализующих пятый вариант заявленного способа выбора безопасного маршрута в сети связи;
фиг.11 – рисунок, представляющий пример выбора безопасного маршрута в сети связи.
Реализация заявленного способа объясняется следующим образом. Известно, что для обеспечения информационного обмена абонентов в сети связи осуществляется выбор маршрута связи из совокупности возможных маршрутов между абонентами сети. Выбрать маршрут передачи сообщений – значит определить последовательность транзитных узлов сети, через которые надо передавать сообщения, чтобы доставить их адресату. Определение маршрута сложная задача, особенно когда между парой абонентов существует множество маршрутов. Задача определения маршрутов состоит в выборе из всего этого множества одного или нескольких маршрутов по некоторому критерию. Однако в существующих способах выбора маршрутов, как правило, в качестве критериев выбора выступают, например, номинальная пропускная способность; загруженность каналов связи; задержки, вносимые каналами; количество промежуточных транзитных узлов сети; надежность каналов и транзитных узлов сети. При этом выбор маршрута осуществляется в узлах сети (маршрутизаторах) операторов связи. На каждом из узлов сети маршрут определяется самостоятельно, и первоначальный маршрут не всегда совпадает с конечным. Наличие транзитных узлов сети, обладающих низким уровнем безопасности, создает предпосылки для перехвата злоумышленниками информационного обмена абонентов сети, что приводит к снижению скрытности связи. Таким образом, возникает противоречие между требованием по обеспечению скрытности связи и существующими способами выбора маршрутов информационного обмена в сети связи. На устранение указанного противоречия направлен заявленный способ (варианты).
Первый вариант заявленного способа реализуют следующим образом. В общем случае сеть связи (фиг.1) представляет собой совокупность из X узлов сети 1, сервера безопасности 2 и абонентов сети 3, объединенных физическими линиями связи 4. Количество узлов сети X больше или равно двум. Все эти элементы определяются идентификаторами, в качестве которых в наиболее распространенном семействе протоколов TCP/IP используют сетевые адреса (IP-адреса). При необходимости распределенной обработки информации и (или) ее передачи абоненты осуществляют подключение к сети связи. Множество адресов подключенных к сети связи абонентов и узлов сети не пересекаются.
Передача сообщений между абонентами сети осуществляется через узлы сети при наличии связи между ними, для чего из совокупности всех возможных маршрутов связи (Маршрут связи – это последовательность транзитных узлов сети на пути от отправителя к получателю (см., например, Олифер В.Г. и Олифер Н.А. «Компьютерные сети. Принципы, технологии, протоколы», уч. для Вузов, 2-изд.; – СПб.: Питер, 2003, с.497)) выбирают один. Связи между элементами сети характеризуются только двумя значениями, наличие связи и ее отсутствие. Остальные параметры линий связи считаются постоянными и не учитываются, так как наиболее вероятным и более просто реализуемым способом несанкционированного перехвата информационного обмена в сети связи является подключение к ее узлам.
На фиг.2 представлена блок-схема последовательности действий, реализующих первый вариант заявленного способа выбора безопасного маршрута в сети связи, в которой приняты следующие обозначения:
{IP} – структурный массив;
{ID} – идентификационный массив;
IPСБ – сетевой адрес сервера безопасности;
IDa – идентификатор абонента;
IPa – сетевой адрес абонента;
Y – число учитываемых параметров безопасности узлов сети;
bxy – значение y-го параметра безопасности x-го узла сети, где x=1, 2,…, X, y=1, 2,…, Y;
kx – комплексный показатель безопасности каждого x-го узла сети;
Nij – количество деревьев графа сети связи, соответствующее совокупности возможных маршрутов связи между i-м и j-м абонентами сети, где x=1, 2,…, j=1, 2,…, и ij;
– средний показатель безопасности маршрута связи между i-м и j-м абонентами сети;
– безопасный маршрут связи между i-м и j-м абонентами сети;
zn – количество вершин n-ого дерева графа, где n=1, 2,…, Nij, соответствующее количеству принадлежащих ему узлов сети;
СБ – сервер безопасности.
На начальном этапе в сервере безопасности (на фиг.1 – СБ) задают исходные данные (бл. 1 на фиг.2), включающие структурный {IP} и идентификационный {ID} массивы, адрес сервера безопасности IPСБ, идентификаторы IDa и адреса IPа абонентов, подключенных к сети связи, а также для каждого x-го узла сети, где х=1, 2,…, X, Y2 параметров безопасности и их значения bxy, где y=1, 2,…, Y, которые сведены в таблицу (фиг.3в). Структурный массив {IP} – массив для хранения адреса сервера безопасности IPСБ, адресов узлов IPУС и абонентов IPa сети, а также информации о наличии связи между ними (фиг.3а), которая характеризуется только двумя значениями, “1” – наличие связи и “0” – ее отсутствие. Идентификационный массив {ID} – массив для хранения идентификаторов сервера безопасности IDСБ, абонентов IDa сети связи и соответствующих им адресов абонентов сети IPa и сервера безопасности IPСБ (фиг.3б). Параметры безопасности узлов сети определяют, например, в соответствии с ГОСТ РИСО/МЭК 15408-2002 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».
Значения bx1 параметра y=1 безопасности узлов сети определяют, например, по характеристикам производителей оборудования узлов сети, информацию о которых можно получить из физических адресов узлов сети. Физические адреса узлов сети представляют в виде шестнадцатеричной записи, например 00:10:5a:3F:D4:E1, где первые три значения определяют производителя (00:01:е3 – Siemens, 00:10:5а – 3Com, 00:03:ba – Sun).
Например, для УС1 (х=1 на фиг.5а), физический адрес которого 00:01:e3:3F:D4:E1, первые три значения определяют производителя Siemens, что соответствует значению параметра безопасности b11=0,3. Аналогично определяются значения bx1 параметра y=1 безопасности узлов сети УС2-УС5, а также значения bxy всех заданных Y2 параметров безопасности (фиг.5а).
В качестве остальных параметров безопасности узла сети можно рассматривать тип его оборудования, версию установленного на нем программного обеспечения, принадлежность узла государственной или частной организации.
Для каждого x-го узла сети по значениям bxy его параметров безопасности вычисляют комплексный показатель безопасности kx (бл.2 на фиг.2). Рассчитанные показатели представлены в таблице (фиг.3г).
Комплексный показатель безопасности kx для каждого x-го узла сети вычисляют путем суммирования , или перемножения , или как среднее арифметическое значение его параметров безопасности bxy.
Принципиально способ вычисления kx не влияет на результат выбора безопасного маршрута. Например, значения вычисленных комплексных показателей безопасности kx для каждого x-го узла рассматриваемого варианта сети связи (фиг.1) перечисленными способами при заданных значениях параметров безопасности bxy узлов приведены в таблице (фиг.5а).
Далее формируют матрицу смежности вершин графа сети (бл.3 на фиг.2), для чего запоминают в структурном массиве (фиг.3а) адреса узлов сети IPУС и адреса абонентов IPa сети, а также информацию о наличии связи между узлами и абонентами сети.
Способы формирования матриц смежности вершин графа известны (см., например, Конечные графы и сети. Басакер Р., Саати Т., М., 1973, 368 с.). Для рассматриваемого графа сети связи матрица смежности вершин имеет вид:
После этого в идентификационном массиве (фиг.3б) запоминают идентификаторы IDa, IDСБ и соответствующие им адреса IPа, IPСБ абонентов сети и сервера безопасности.
Формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети (бл.4 на фиг.2), где i=1, 2,…, j=1, 2,…, и ij, в виде Nij деревьев графа сети связи (фиг.4а). Каждое n-е, где n=1, 2,…, Nij, дерево графа состоит из zn вершин, соответствующих количеству узлов сети. Порядок формирования деревьев графа известен и описан, см., например, Кристофидес Н. Теория графов: Алгоритмический подход. Пер. с англ. – М.: Мир, 1978, – 432 с.
Общее число Nij деревьев графа сети связи между i-м и j-м абонентами сети может быть определено различными методами. В заявленном способе общее число Nij деревьев графа находят с использованием матрицы смежности.
Удаляя любую строку матрицы B, например, строку 1, получают матрицу Bо и транспонированную к ней матрицу :
Порядок получения транспонированной матрицы известен и описан (см., например, Г.Корн, Т.Корн. Справочник по математике для научных работников и инженеров. – М.: Наука, 1977 г.).
Число Nij деревьев графа сети связи между i-м и j-м абонентами сети получают путем произведения матриц Bо и , и последующего нахождения его определителя, т.е.:
Построение маршрутов связи между абонентами на основе деревьев графа сети связи обеспечивает нахождение всех возможных маршрутов связи и их незамкнутость, т.е. исключает неприемлемые для передачи сообщений замкнутые маршруты.
Для обоснования и объективного выбора безопасного маршрута связи из совокупности Nij=5 возможных маршрутов связи между i-м и j-м абонентами сети вычисляют средние показатели безопасности (бл.5 на фиг.2) как среднее арифметическое комплексных показателей безопасности узлов сети, входящих в n-й маршрут связи .
Используя результаты, полученные при вычислении комплексных показателей безопасности узлов сети разными способами (фиг.5а), вычислены средние показатели безопасности маршрутов связи сформированных между i-м и j-м абонентами сети (фиг.4а). Результаты сведены в таблицу (фиг.5б).
В качестве безопасного маршрута связи между i-м и j-м абонентами сети выбирают маршрут с наибольшим значением его среднего показателя безопасности . Возможен случай, когда будут найдены несколько маршрутов с равными средними показателями безопасности. В таком случае выбирают из найденных маршрутов самый короткий маршрут, т.е. маршрут с наименьшим количеством входящих в него узлов zn (бл.6 на фиг.2). После этого выбранный маршрут запоминают. Из полученных результатов приведенных в таблице (фиг.4б) видно, что при всех рассмотренных способах вычисления второй маршрут n=2 имеет наибольшие значения среднего показателя безопасности , которые выделены полужирным шрифтом на фиг.4а. Можно сделать вывод, что способ вычисления kx не влияет на результат выбора безопасного маршрута. Таким образом, формируют множество маршрутов между всеми абонентами сети.
Далее формируют сообщения, включающие запомненные маршруты между i-м и всеми j-ми абонентами, идентификаторы IDaj и адреса IPaj всех j-х абонентов (бл.7 и 8 на фиг.2). После этого отправляют сформированные сообщения всем i-м абонентам сети (бл.9 на фиг.2). Таким образом, каждого абонента сети уведомляют о безопасных маршрутах ко всем остальным абонентам.
Для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения IDa выбирают его адрес IPa и безопасный маршрут к нему, после чего передают сообщение абоненту-получателю по заданному маршруту (бл.10 на фиг.2). Известные протоколы маршрутизации (routing protocols), такие как RIP, OSPF, NLSP, BGP предназначены для передачи пользовательской информации и обеспечивают в способе маршрутизации от источника (source specified routing) обмен информацией по заданному маршруту (см., например, Олифер В.Г. и Олифер Н.А. «Компьютерные сети. Принципы, технологии, протоколы», уч. для Вузов, 2-изд.; – СПб.: Питер, 2003, с.497). Таким образом, у абонентов имеется возможность передачи сообщений именно по заданному безопасному маршруту.
При подключении нового абонента (на фиг.1 – Аб н) к сети связи формируют у него сообщение, содержащее адрес узла сети УС 4 IPу4, к которому он подключен, его идентификатор IDан и адрес IPан (бл.11 и 12 на фиг.2). Отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах (бл.13 и 14 на фиг.2), дополняя (обновляя) таким образом, информацию о структуре сети связи и абонентах сети.
В сервере безопасности аналогично описанному выше способу выбирают безопасные маршруты связи между новым абонентом и всеми j-ми абонентами и запоминают их (бл.15 и 16 на фиг.2). Формируют сообщение, включающее информацию о запомненных безопасных маршрутах связи ко всем j-м абонентам сети и отправляют его новому абоненту. Формируют сообщения, включающие информацию о запомненных безопасных маршрутах связи от каждого j-го абонента сети к новому абоненту, и отправляют их j-м абонентам сети (бл.17 и 9 на фиг.2). Таким образом, нового абонента сети уведомляют о безопасных маршрутах ко всем абонентам сети, а остальных абонентов уведомляют о безопасных маршрутах к новому абоненту.
Таким образом, в первом варианте способа путем задания информации о структуре сети связи, исходных данных об узлах и абонентах сети, и расчета комплексных показателей безопасности узлов сети, осуществляется выбор безопасных маршрутов в сети связи из совокупности всех возможных маршрутов связи между абонентами и доведение безопасного маршрута до абонентов сети, что обеспечивает достижение сформулированного технического результата – повышение скрытности связи за счет управления маршрутами информационного обмена абонентов в сети связи.
Отличие второго варианта способа от первого заключается в следующем. Также как и в первом варианте для достижения сформулированного технического результата, т.е. повышения скрытности связи, задают исходные данные об узлах и абонентах сети. Дополнительно задают правила разграничения доступа между абонентами сети, определяющие наличие доступа между каждой парой абонентов. Выбор безопасного маршрута между абонентами сети осуществляют только по запросу абонента, причем только в случае, когда это разрешено предварительно заданными на сервере безопасности правилами доступа. В противном случае абоненту отказывают в доступе.
На фиг.7 представлена блок-схема последовательности действий, реализующих второй вариант заявленного способа выбора безопасного маршрута в сети связи, в которой приняты следующие обозначения:
{SP} – массив правил разграничения доступа.
Остальные обозначения имеют тот же смысл, как и в рассмотренном первом варианте.
На начальном этапе аналогично, как и в первом варианте способа, в сервере безопасности (на фиг.1 – СБ) задают исходные данные (бл.1 на фиг.7, фиг.3а, б, в).
В исходные данные (бл.1 на фиг.7), в отличие от первого варианта способа, дополнительно задают массив {SP} правил разграничения доступа и данные о разграничении доступа между i-м и j-м абонентами сети, где i=1, 2,…, j=1, 2,…, и ij.
После задания исходных данных аналогично, как и в первом варианте способа, для каждого x-го узла сети по значениям bxy его параметров безопасности вычисляют комплексный показатель безопасности kx (бл.2 на фиг.7). Рассчитанные показатели представлены в таблице (фиг.3г).
Далее, в отличие от первого варианта способа, формируют матрицу доступа (бл.3 на фиг.7), для чего запоминают в массиве {SP} правил разграничения доступа идентификаторы IDa абонентов и соответствующие им данные о разграничении доступа, которые характеризуются только двумя значениями, “1” – наличие доступа i-го абонента к j-му абоненту сети и “0” – отсутствие доступа (фиг.6а).
Далее аналогично, как и в первом варианте способа, формируют матрицу смежности вершин графа сети (бл.4 на фиг.7).
При подключении нового абонента (на фиг.1 – Аб н) к сети связи, также как и в первом варианте способа, формируют у него сообщение, содержащее адрес узла сети УС4 IPу4, к которому он подключен, его идентификатор IDан и адрес IPан (бл.5 и 6 на фиг.7). Отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах (бл.7 и 8 на фиг.7), дополняя (обновляя) таким образом информацию о структуре сети связи и абонентах сети.
В отличие от первого варианта способа, для осуществления передачи сообщений от i-го абонента сети к j-му необходимо получить у сервера безопасности разрешение на передачу и при наличии разрешения безопасный маршрут. В связи с этим, формируют у i-го абонента запрос о возможности доступа к j-му абоненту сети, включающий идентификаторы i-го IDai и j-го IDaj абонентов. Отправляют запрос на сервер безопасности, где его запоминают (бл.9 и 10 на фиг.7). Проверяют по матрице доступа (фиг.6а) наличие запрашиваемого доступа и при его отсутствии формируют и отправляют i-му абоненту сети ответ об отсутствии его доступа к j-му абоненту сети (бл.12 и 13 на фиг.7).
При наличии у i-го абонента доступа к j-му абоненту сети (бл.11 на фиг.7) аналогично, как и в первом варианте способа, формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети в виде Nij деревьев графа сети связи (бл.14 на фиг.7), вычисляют средние показатели безопасности (бл.15 на фиг.7). Выбирают безопасный маршрут связи между i-м и j-м абонентами сети и запоминают его (бл.16 и 17 на фиг.7). Таким образом, формируют безопасный маршрут связи между i-м и j-м абонентами по запросу i-го абонента сети.
Далее формируют сообщение, включающее запомненный маршрут между i-м и j-м абонентами, и адрес IPaj j-го абонента (бл.18 на фиг.7). После этого отправляют сформированное сообщение i-му абоненту сети (бл.19 на фиг.7). Таким образом, i-го абонента сети уведомляют о безопасном маршруте связи к j-му абоненту сети.
Для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения IDa аналогично, как и в первом варианте способа, выбирают его адрес IPa и безопасный маршрут к нему, после чего передают сообщение абоненту-получателю по заданному маршруту (бл.20 на фиг.7).
Таким образом, во втором варианте способа также обеспечивается достижение сформулированного технического результата – повышения скрытности связи.
Отличие третьего варианта способа от второго заключается в следующем. Также как и во втором варианте, для достижения сформулированного технического результата, т.е. повышения скрытности связи, задают исходные данные об узлах и абонентах сети. Дополнительно задают допустимый показатель безопасности маршрута. Выбор безопасного маршрута между абонентами сети также осуществляют только по запросу абонента. Однако уведомляют абонента о безопасном маршруте связи только в том случае, когда существует маршрут, удовлетворяющий предварительно заданному допустимому показателю безопасности. В противном случае абоненту отказывают в доступе.
На фиг.8 представлена блок-схема последовательности действий, реализующих третий вариант заявленного способа выбора безопасного маршрута в сети связи, в которой приняты следующие обозначения:
kдоп – допустимый показатель безопасности маршрута.
Остальные обозначения имеют тот же смысл, как и в рассмотренном первом варианте.
На начальном этапе аналогично, как и во втором варианте способа, в сервере безопасности (на фиг.1 – СБ) задают исходные данные (бл.1 на фиг.8, 3).
В исходные данные, в отличие от второго варианта способа, не задают массив {SP} правил разграничения доступа и данные о разграничении доступа между абонентами сети. Дополнительно, по сравнению со вторым вариантом, задают допустимый показатель безопасности маршрута kдоп.
После задания исходных данных аналогично, как и во втором варианте способа, для каждого x-го узла сети по значениям bxy его параметров безопасности вычисляют комплексный показатель безопасности kx (бл.2 на фиг.8). Рассчитанные показатели представлены в таблице (фиг.3г).
В отличие от второго варианта способа не требуется формирование матрицы доступа, поэтому далее формируют матрицу смежности вершин графа сети (бл.3 на фиг.8).
При подключении нового абонента (на фиг.1 – Аб н) к сети связи, также как и во втором варианте способа, формируют у него сообщение, содержащее адрес узла сети УС 4 IPУ4, к которому он подключен, его идентификатор IDан и адрес IPан (бл.4 и 5 на фиг.8). Отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах (бл.6 и 7 на фиг.8), дополняя (обновляя) таким образом информацию о структуре сети связи и абонентах сети.
Аналогично, как и во втором варианте способа, формируют у i-го абонента запрос на безопасный маршрут к j-му абоненту сети, включающий идентификаторы i-го IDai и j-го IDaj абонентов. Отправляют запрос на сервер безопасности, где его запоминают (бл.8 и 9 на фиг.8).
Далее, также как и во втором варианте способа, формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети в виде Nij деревьев графа сети связи (бл.10 на фиг.8), вычисляют средние показатели безопасности (бл.11 на фиг.8) и выбирают безопасный маршрут связи между i-м и j-м абонентами сети (бл.12 на фиг.8). Таким образом, формируют безопасный маршрут связи между i-м и j-м абонентами по запросу i-го абонента сети.
Сравнивают, в отличие от второго варианта способа, средний показатель безопасности выбранного маршрута с предварительно заданным допустимым показателем безопасности маршрута kдоп (бл.13 на фиг.8). Например, пусть допустимый показатель безопасности маршрута kдоп=0,9. Тогда для выбранного n=2 безопасного маршрута связи между i-м и j-м абонентами сети, представленного на фиг.4а, выполняется условие . При выполнении этого условия формируют и отправляют i-му абоненту сети ответ об отсутствии безопасного маршрута между i-м и j-м абонентами сети (бл.14 и 15 на фиг.8).
При выполнении условия , например, допустимый показатель безопасности маршрута kдоп=0,7 выбранный n=2 безопасный маршрут связи между i-м и j-м абонентами, также как и во втором варианте способа, запоминают и формируют сообщение, включающее запомненный маршрут и адрес IPaj j-го абонента (бл.16 и 17 на фиг.8).
После этого отправляют сформированное сообщение i-му абоненту сети (бл.18 на фиг.8). Таким образом, i-го абонента сети уведомляют о безопасном маршруте связи к j-му абоненту сети.
Для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения IDa аналогично, как и во втором варианте способа, выбирают его адрес IPa и безопасный маршрут к нему, после чего передают сообщение абоненту-получателю по заданному маршруту (бл.19 на фиг.8).
Таким образом, в третьем варианте способа также обеспечивается достижение сформулированного технического результата – повышения скрытности связи.
Отличие четвертого варианта способа от третьего заключается в следующем. Также как и в третьем варианте для достижения сформулированного технического результата, т.е. повышения скрытности связи, задают исходные данные об узлах и абонентах сети. Дополнительно задают ранги абонентов сети. Выбор безопасного маршрута между абонентами сети осуществляют только по запросу абонента и в соответствии с предварительно заданными рангами абонентов сети. В случае отсутствия безопасного маршрута связи абоненту сообщают об этом.
На фиг.9 представлена блок-схема последовательности действий, реализующих четвертый вариант заявленного способа выбора безопасного маршрута в сети связи, в которой приняты следующие обозначения:
{R} – массив соответствия рангов Ra абонентов и комплексных показателей безопасности kx узлов сети;
Ra – ранг абонентов сети.
Остальные обозначения имеют тот же смысл, как и в рассмотренном первом варианте.
На начальном этапе аналогично, как и в третьем варианте способа, в сервере безопасности (на фиг.1 – СБ) задают исходные данные (бл.1 на фиг.9, фиг.3).
В исходные данные, в отличие от третьего варианта способа, не задают допустимый показатель безопасности маршрута kдоп. Дополнительно, по сравнению со вторым вариантом способа, задают массив соответствия {R} рангов Ra абонентов и комплексных показателей безопасности kx узлов сети. В массив {R} заносят ранги Ra2 абонентов и соответствующие им значения комплексных показателей безопасности kx узлов сети. Например, рангу абонента Ra=1 соответствуют значения комплексных показателей безопасности kx узлов сети от 0 до 0,2 (фиг.6б).
После задания исходных данных аналогично, как и в третьем варианте способа, для каждого x-го узла сети по значениям bxy его параметров безопасности вычисляют комплексный показатель безопасности kx (бл.2 на фиг.9). Рассчитанные показатели представлены в таблице (фиг.3г).
Далее, также как и в третьем варианте способа, формируют матрицу смежности вершин графа сети (бл.3 на фиг.9).
При подключении нового абонента (на фиг.1 – Аб н) к сети связи, также как и в третьем варианте способа, формируют у него сообщение, содержащее адрес узла сети УС 4 IPу4, к которому он подключен, его идентификатор IDан и адрес IPан (бл.4 и 5 на фиг.9). Отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах (бл.6 и 7 на фиг.9), дополняя (обновляя) таким образом информацию о структуре сети связи и абонентах сети.
Аналогично, как и в третьем варианте способа, формируют у i-ого абонента сети запрос на безопасный маршрут к j-му абоненту, включающий идентификаторы i-го IDai, и j-го IDaj абонентов. Отправляют запрос на сервер безопасности, где его запоминают (бл.8 и 9 на фиг.9).
Далее, также как и в третьем варианте способа, формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети в виде Nij, деревьев графа сети связи (бл.10 на фиг.9).
В отличие от третьего варианта способа, выбирают безопасный маршрут связи между i-м и j-м абонентами сети, для которого комплексные показатели безопасности входящих в него узлов, соответствуют равному или более высокому рангу Rai i-го абонента сети (бл.11 на фиг.9). Например, для i-го абонента сети с Rai=1 комплексные показатели безопасности узлов входящие в выбранный безопасный маршрут связи находятся в диапазоне значений от 0 до 0,2 (фиг.6б). Таким образом, выбирают безопасный маршрут связи между i-м и j-м абонентами по запросу i-го абонента сети и в соответствии с предварительно заданными рангами абонентов сети.
Далее, также как и в третьем варианте способа, запоминают безопасный маршрут (бл.15 на фиг.9). Формируют сообщение, включающее запомненный маршрут и адрес IPaj j-го абонента, и отправляют сформированное сообщение i-му абоненту сети (бл.16 и 17 на фиг.9).
При отсутствии безопасного маршрута между i-м и j-м абонентами сети, т.е. в случае, когда среди возможных маршрутов связи между абонентами нет маршрута, в котором комплексные показатели безопасности узлов, входящих в него, соответствуют рангу абонента, формируют и отправляют i-му абоненту сети ответ об отсутствии безопасного маршрута к j-му абоненту сети (бл.13 и 14 на фиг.9).
Для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения IDa аналогично, как и в третьем варианте способа, выбирают его адрес IPа и безопасный маршрут к нему, после чего передают сообщение абоненту-получателю по заданному маршруту (бл.18 на фиг.9).
Таким образом, в четвертом варианте способа также обеспечивается достижение сформулированного технического результата – повышения скрытности связи.
Отличие пятого варианта способа от четвертого заключается в следующем. Также как и в четвертом варианте, для достижения сформулированного технического результата, т.е. повышения скрытности связи, задают исходные данные об узлах и абонентах сети. Дополнительно задают ранги передаваемой информации. Выбор безопасного маршрута между абонентами сети осуществляют только по запросу абонента и в соответствии с предварительно заданными рангами передаваемой информации. В случае отсутствия безопасного маршрута связи абоненту сообщают об этом.
На фиг.10 представлена блок-схема последовательности действий, реализующих пятый вариант заявленного способа выбора безопасного маршрута в сети связи, в которой приняты следующие обозначения:
{R} – массив соответствия рангов Rинф передаваемой информации и комплексных показателей безопасности kx узлов сети;
Rинф – ранг передаваемой информации.
Остальные обозначения имеют тот же смысл, как и в рассмотренном первом варианте.
На начальном этапе аналогично, как и в четвертом варианте способа, в сервере безопасности (на фиг.1 – СБ) задают исходные данные (бл.1 на фиг.10, фиг.3).
В исходные данные в отличие от четвертого варианта способа не задают ранги абонентов сети. Дополнительно, по сравнению с четвертым вариантом задают массив {R} ранги Rинф передаваемой информации и комплексных показателей безопасности kx узлов сети.
В массив {R} заносят ранги Rинф2 передаваемой информации и соответствующие им значения комплексных показателей безопасности kx узлов сети. Например, рангу передаваемой информации Rинф=1 соответствуют значения комплексных показателей безопасности kx узлов сети от 0 до 0,2 (фиг.6в).
После задания исходных данных аналогично, как и в четвертом варианте способа, для каждого x-го узла сети по значениям bxy его параметров безопасности вычисляют комплексный показатель безопасности kx (бл.2 на фиг.10). Рассчитанные показатели представлены в таблице (фиг.3г).
Далее, так же, как и в четвертом варианте способа, формируют матрицу смежности вершин графа сети (бл.3 на фиг.10).
При подключении нового абонента (на фиг.1 – Аб н) к сети связи, также как и в четвертом варианте способа, формируют у него сообщение, содержащее адрес узла сети УС 4 IPу4, к которому он подключен, его идентификатор IDан и адрес IPан (бл.4 и 5 на фиг.10). Отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах (бл.6 и 7 на фиг.10), дополняя (обновляя) таким образом информацию о структуре сети связи и абонентах сети.
Аналогично, как и в четвертом варианте способа, формируют у i-го абонента запрос на безопасный маршрут к j-му абоненту сети, включающий идентификаторы i-го IDai и j-го IDaj абонентов. Дополнительно, в отличие от четвертого варианта способа, включают ранг передаваемой информации Rинф i (бл.8 на фиг.10).
Далее, также как и в четвертом варианте способа, отправляют запрос на сервер безопасности, где его запоминают (бл.9 на фиг.10). Формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети в виде Nij деревьев графа сети связи (бл.10 на фиг.10).
В отличие от четвертого варианта способа, выбирают безопасный маршрут связи между i-м и j-м абонентами сети, для которого комплексные показатели безопасности входящих в него узлов, соответствуют равному или более высокому рангу Rинф i передаваемой информации (бл.11 на фиг.10). Например, для i-го абонента сети с Rинф i=1 комплексные показатели безопасности узлов входящие в выбранный безопасный маршрут связи находятся в диапазоне значений от 0 до 0,2 (фиг.6в). Таким образом, выбирают безопасный маршрут связи между i-м и j-м абонентами по запросу i-го абонента сети и в соответствии с предварительно заданными рангами передаваемой информации.
Все последующие действия пятого варианта способа аналогичны действиям четвертого варианта.
Таким образом, в пятом варианте способа также обеспечивается достижение сформулированного технического результата – повышения скрытности связи.
Вычисляемые комплексные показатели безопасности узлов входящих в сформированные маршруты связи дают основание для объективной оценки выбранных безопасных маршрутов связи между абонентами сети и позволяют учитывать необходимые и достаточные условия для выбора безопасного маршрута в сети связи.
На рисунке (фиг.11а) представлен пример выбора безопасного маршрута в сервере безопасности 1 между i-м и j-м абонентами 2 в сети связи. Пример вычисленных комплексных показателей безопасности узлов сети 3 и их значения параметров безопасности bxy представлен в таблице (фиг.11б). Из представленного примера видно, что при использовании заявленного способа (вариантов) выбора безопасного маршрута, достигается исключение транзитных узлов сети, обладающих низким уровнем безопасности, который указывает на высокую вероятность несанкционированного перехвата передаваемых абонентами сообщений. В данном примере УС5, имеющий комплексный показатель безопасности k5 и значения параметров безопасности b5y выделенные полужирным шрифтом в таблице на фиг.11б. Таким образом, выбранный безопасный маршрут связи, выделенный жирными линиями 4 на фиг.11а, между i-м и j-м абонентами 2 проходит через транзитные узлы сети, обладающие максимально высокими уровнями безопасности, что снижает вероятность перехвата злоумышленниками информационного обмена абонентов сети.
На основании этих результатов можно сделать вывод о том, что в заявленном способе при использовании любого из вариантов выбора безопасного маршрута в сети связи обеспечивается повышение скрытности связи за счет управления маршрутами информационного обмена абонентов в сети связи, т.е. реализуется сформулированная цель создания заявленных изобретений.
Формула изобретения
1. Способ выбора безопасного маршрута в сети связи, заключающийся в том, что для сети связи, содержащей совокупность из Х узлов сети, предварительно задают исходные данные, запоминают информацию о структуре сети связи, включающую адреса узлов сети IPУС и наличие связи между ними, формируют совокупность из N возможных маршрутов связи, из которых выбирают один маршрут и передают по нему сообщения, отличающийся тем, что в исходные данные задают структурный и идентификационный массивы, адрес сервера безопасности IPСБ идентификаторы IDa и адреса IPа абонентов, подключенных к сети связи, задают для каждого х-го узла сети, где х=1, 2,…, X, совокупность Y параметров безопасности и их значения bxy, где y=1, 2,…, Y, вычисляют комплексный показатель безопасности kx для каждого х-го узла сети, формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IPУС и адреса абонентов IPа сети, а также информацию о наличии связи между узлами и абонентами сети, а в идентификационном массиве запоминают идентификаторы IDa, IDСБ и соответствующие им адреса IPа, IPСБ абонентов сети и сервера безопасности, после чего формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети, где i=1, 2,…, j=1, 2,…, и ij, в виде Nij деревьев графа сети связи, причем каждое n-е, где n=1, 2,…, Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети, затем для каждого из Nij возможных маршрутов связи вычисляют средние показатели безопасности как среднее арифметическое комплексных показателей безопасности узлов сети, входящих в n-й маршрут связи и в качестве безопасного маршрута связи выбирают маршрут с наибольшим значением его среднего показателя безопасности , причем в случае нахождения нескольких маршрутов с равными средними показателями безопасности выбирают из них маршрут с наименьшим количеством входящих в него узлов zn, после чего выбранный безопасный маршрут запоминают и формируют сообщения, включающие запомненные маршруты между i-м и всеми j-ми абонентами, идентификаторы IDaj, и адреса IPaj всех j-x абонентов, отправляют сформированные сообщения всем i-м абонентам сети, а для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения IDa выбирают его адрес IPа и безопасный маршрут и передают сообщение, включающее информацию об используемом маршруте, причем при подключении нового абонента к сети связи, формируют сообщение, содержащее адрес узла сети IPУС подключения нового абонента, его идентификатор IDан и адрес IPан, после чего отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах, затем в сервере безопасности выбирают безопасные маршруты связи между новым абонентом и всеми j-ми абонентами и запоминают их, после чего формируют сообщения, включающие информацию о запомненных безопасных маршрутах связи, и отправляют их всем абонентам сети.
2. Способ по п.1, отличающийся тем, что комплексный показатель безопасности kx для каждого х-го узла сети вычисляют путем суммирования, или перемножения, или как среднее арифметическое значение его параметров безопасности bxy.
3. Способ по п.1, отличающийся тем, что число Nij деревьев графа сети связи между i-м и j-м абонентами сети вычисляют по формуле:
где Во=М×К – преобразованная матрица смежности вершин графа сети связи, а М=Мр-1, К – соответственно число строк и столбцов матрицы, Мр – число строк исходной матрицы смежности; равное общему количеству узлов сети связи; – транспонированная матрица к Во.
4. Способ выбора безопасного маршрута в сети связи, заключающийся в том, что для сети связи, содержащей Х узлов сети предварительно задают исходные данные, запоминают информацию о структуре сети связи, включающую адреса узлов сети IPУС и наличие связи между ними, формируют совокупность N возможных маршрутов связи, из которых выбирают один маршрут и передают по нему сообщения, отличающийся тем, что в исходные данные задают структурный и идентификационный массивы, массив правил разграничения доступа, адрес сервера безопасности IPСБ, идентификаторы IDa и адреса IPа абонентов, подключенных к сети связи, данные о разграничении доступа между i-м и j-м абонентами сети, где i=1, 2,…, j=1, 2,…, и ij, задают для каждого х-го узла сети, где х=1, 2,… X, Y параметров безопасности и их значения bxy, где у=1, 2,…, Y, вычисляют комплексный показатель безопасности kx для каждого х-го узла сети, формируют матрицу доступа, для чего запоминают в массиве правил разграничения доступа идентификаторы IDa абонентов и соответствующие им данные о разграничении доступа, затем формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IPУС и адреса абонентов IPа сети, а также информацию о наличии связи между узлами и абонентами сети, а в идентификационном массиве запоминают идентификаторы IDa, IDСБ и соответствующие им адреса IPа, IPСБ абонентов сети и сервера безопасности, при подключении нового абонента к сети связи формируют сообщение, содержащее адрес узла сети IPУС подключения нового абонента, его идентификатор IDан и адрес IPан, после чего отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах, формируют у i-го абонента запрос о возможности доступа к j-му абоненту сети, включающий идентификаторы i-го IDai, и j-го IDaj абонентов, отправляют запрос на сервер безопасности, где его запоминают, по матрице доступа проверяют наличие запрашиваемого доступа и при его отсутствии формируют и отправляют i-му абоненту сети ответ об отсутствии его доступа к j-му абоненту сети, а при наличии доступа формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети в виде Nij деревьев графа сети связи, причем каждое n-е, где n=1, 2,…, Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети, затем для каждого из Nij, возможных маршрутов связи между i-м и j-м абонентами сети вычисляют средние показатели безопасности как среднее арифметическое комплексных показателей безопасности узлов сети, входящих в n-й маршрут связи и в качестве безопасного маршрута связи выбирают маршрут с наибольшим значением его среднего показателя безопасности , причем в случае нахождения нескольких маршрутов с равными средними показателями безопасности выбирают из них маршрут с наименьшим количеством входящих в него узлов zn, после чего выбранный безопасный маршрут запоминают, формируют сообщение, включающее запомненный маршрут и адрес IPaj j-го абонента, отправляют сформированное сообщение i-му абоненту сети, а для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения IDa выбирают его адрес IPa и безопасный маршрут и передают сообщение, включающее информацию об используемом маршруте.
5. Способ по п.4, отличающийся тем, что комплексный показатель безопасности kx для каждого х-го узла сети вычисляют путем суммирования, или перемножения, или как среднее арифметическое значение его параметров безопасности bxy.
6. Способ по п.4, отличающийся тем, что число Nij деревьев графа сети связи между i-м и j-м абонентами сети вычисляют по формуле:
где Во=М×К – преобразованная матрица смежности вершин графа сети связи, а М=Мр-1, К – соответственно число строк и столбцов матрицы, Мр – число строк исходной матрицы смежности; равное общему количеству узлов сети связи; – транспонированная матрица к Во.
7. Способ выбора безопасного маршрута в сети связи, заключающийся в том, что для сети связи, содержащей Х узлов сети предварительно задают исходные данные, запоминают информацию о структуре сети связи, включающую адреса узлов сети IPУС и наличие связи между ними, формируют совокупность N возможных маршрутов связи, из которых выбирают один маршрут и передают по нему сообщения, отличающийся тем, что в исходные данные задают структурный и идентификационный массивы, допустимый показатель безопасности маршрута kдоп, адрес сервера безопасности IPСБ, идентификаторы IDа и адреса IPа абонентов, подключенных к сети связи, задают для каждого х-го узла сети, где х=1, 2,…, X, Y параметров безопасности и их значения bxy, где y=1, 2,…, Y, вычисляют комплексный показатель безопасности kx для каждого х-го узла сети, затем формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IPУС и адреса абонентов IPа сети, а также информацию о наличии связи между узлами и абонентами сети, а в идентификационном массиве запоминают идентификаторы IDа, IDСБ и соответствующие им адреса IPа, IPСБ абонентов сети и сервера безопасности, при подключении нового абонента к сети связи, формируют сообщение, содержащее адрес узла сети IPУС подключения нового абонента, его идентификатор IDан и адрес IPан, после чего отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах, формируют у i-го абонента запрос на безопасный маршрут к j-му абоненту сети, где i=1, 2,…, j=1, 2,…, и ij, включающий идентификаторы i-го IDai и j-го IDaj абонентов, отправляют запрос на сервер безопасности, где его запоминают, после чего формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети в виде Nij деревьев графа сети связи, причем каждое n-е, где n=1, 2,…, Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети, затем для каждого из Nij возможных маршрутов связи вычисляют средние показатели безопасности как среднее арифметическое комплексных показателей безопасности узлов сети, входящих в n-й маршрут связи и в качестве безопасного маршрута связи выбирают маршрут с наибольшим значением его среднего показателя безопасности , причем в случае нахождения нескольких маршрутов с равными средними показателями безопасности выбирают из них маршрут с наименьшим количеством входящих в него узлов zn, сравнивают средний показатель безопасности выбранного маршрута с предварительно заданным допустимым показателем безопасности маршрута kдоп и при выполнении условия формируют и отправляют i-му абоненту сети ответ об отсутствии безопасного маршрута между i-м и j-м абонентами сети, а при выполнении условия , выбранный безопасный маршрут запоминают, формируют сообщение, включающее запомненный маршрут и адрес IPai j-го абонента, отправляют сформированное сообщение i-му абоненту сети, а для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения IDaj выбирают его адрес IPа и безопасный маршрут и передают сообщение, включающее информацию об используемом маршруте.
8. Способ по п.7, отличающийся тем, что комплексный показатель безопасности kx для каждого х-го узла сети вычисляют путем суммирования, или перемножения, или как среднее арифметическое значение его параметров безопасности bxy.
9. Способ по п.7, отличающийся тем, что число Nij деревьев графа сети связи между i-м и j-м абонентами сети вычисляют по формуле:
где Во=М×К – преобразованная матрица смежности вершин графа сети связи, а М=Мр-1, К – соответственно число строк и столбцов матрицы, Мр – число строк исходной матрицы смежности; равное общему количеству узлов сети связи; – транспонированная матрица к Во.
10. Способ выбора безопасного маршрута в сети связи, заключающийся в том, что для сети связи, содержащей Х узлов сети предварительно задают исходные данные, запоминают информацию о структуре сети связи, включающую адреса узлов сети IPУС и наличие связи между ними, формируют совокупность N возможных маршрутов связи, из которых выбирают один маршрут и передают по нему сообщения, отличающийся тем, что в исходные данные задают структурный и идентификационный массивы, массив соответствия рангов Ra абонентов и комплексных показателей безопасности kx узлов сети, адрес сервера безопасности IPСБ, идентификаторы IDa, адреса IPа и соответствующие им ранги Ra2 абонентов, подключенных к сети связи, задают для каждого х-го узла сети, где х=1, 2,…,Х, Y параметров безопасности и их значения bxy, где х=1, 2,…, Y, вычисляют комплексный показатель безопасности kx для каждого х-го узла сети, затем формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IPУС и адреса абонентов IPа сети, а также информацию о наличии связи между узлами и абонентами сети, а в идентификационном массиве запоминают идентификаторы IDa, IDСБ и соответствующие им адреса IPа, IPСБ абонентов сети и сервера безопасности, при подключении нового абонента к сети связи, формируют сообщение, содержащее адрес узла сети IPУС подключения нового абонента, его идентификатор IDан и адрес IPан, после чего отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах, формируют у i-го абонента запрос на безопасный маршрут к j-му абоненту сети, где i=1, 2,…, j=1, 2,…, и ij, включающий идентификаторы i-ого IDai, и j-го IDaj абонентов, отправляют запрос на сервер безопасности, где его запоминают, после чего формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети в виде Nij деревьев графа сети связи, причем каждое n-е, где n=1, 2,…, Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети, затем из Nij возможных маршрутов связи выбирают безопасный маршрут , для которого комплексные показатели безопасности входящих в него узлов соответствуют равному или более высокому рангу Rai i-го абонента сети, запоминают безопасный маршрут , формируют сообщение, включающее запомненный маршрут и адрес IPaj j-го абонента, и отправляют сформированное сообщение i-му абоненту сети, причем при отсутствии безопасного маршрута между i-м и j-м абонентами сети формируют и отправляют i-му абоненту сети ответ об отсутствии безопасного маршрута к j-му абоненту сети, а для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения IDa выбирают его адрес IPа и безопасный маршрут и передают сообщение, включающее информацию об используемом маршруте.
11. Способ по п.10, отличающийся тем, что комплексный показатель безопасности kx для каждого х-го узла сети вычисляют путем суммирования, или перемножения, или как среднее арифметическое значение его параметров безопасности bxy.
12. Способ по п.10, отличающийся тем, что число Nij деревьев графа сети связи между i-м и j-м абонентами сети вычисляют по формуле:
где Во=М×К – преобразованная матрица смежности вершин графа сети связи, а М=Мр-1, К – соответственно число строк и столбцов матрицы, Мр – число строк исходной матрицы смежности; равное общему количеству узлов сети связи; – транспонированная матрица к Во.
13. Способ выбора безопасного маршрута в сети связи, заключающийся в том, что для сети связи, содержащей Х узлов сети предварительно задают исходные данные, запоминают информацию о структуре сети связи, включающую адреса узлов сети IPУС и наличие связи между ними, формируют совокупность N возможных маршрутов связи, из которых выбирают один маршрут и передают по нему сообщения, отличающийся тем, что в исходные данные задают структурный и идентификационный массивы, массив соответствия рангов Rинф передаваемой информации и комплексных показателей безопасности kx узлов сети, адрес сервера безопасности IPСБ, идентификаторы IDa, адреса IPа абонентов, подключенных к сети связи, и Rинф2 рангов передаваемой информации, задают для каждого х-го узла сети, где х=1, 2,…, X, Y параметров безопасности и их значения bxy, где y=1, 2,…, Y, вычисляют комплексный показатель безопасности kx для каждого х-го узла сети, затем формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IPУС и адреса абонентов IPа сети, а также информацию о наличии связи между узлами и абонентами сети, а в идентификационном массиве запоминают идентификаторы IDa, IDСБ и соответствующие им адреса IPа, IPСБ абонентов сети и сервера безопасности, при подключении нового абонента к сети связи, формируют сообщение, содержащее адрес узла сети IPУС подключения нового абонента, его идентификатор IDан и адрес IPан, после чего отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах, формируют у i-го абонента запрос на безопасный маршрут к j-му абоненту сети, где i=1, 2,…, j=1, 2,…, и ij, включающий идентификаторы i-го IDai и j-го IDaj абонентов, и ранг Rинф i передаваемой информации, отправляют запрос на сервер безопасности, где его запоминают, после чего формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети в виде Nij деревьев графа сети связи, причем каждое n-е, где n=1, 2,…, Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети, затем из Nij возможных маршрутов связи между i-м и j-м абонентами сети выбирают безопасный маршрут , для которого комплексные показатели безопасности входящих в него узлов соответствуют равному или более высокому рангу Rинф i передаваемой информации, запоминают безопасный маршрут , формируют сообщение, включающее запомненный маршрут и адрес IPaj j-го абонента, и отправляют сформированное сообщение i-му абоненту сети, причем при отсутствии безопасного маршрута между i-м и j-м абонентами сети формируют и отправляют i-му абоненту сети ответ об отсутствии безопасного маршрута к j-му абоненту сети, а для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения IDa выбирают его адрес IPa и безопасный маршрут и передают сообщение, включающее информацию об используемом маршруте.
14. Способ по п.13, отличающийся тем, что комплексный показатель безопасности kx для каждого х-го узла сети вычисляют путем суммирования, или перемножения, или как среднее арифметическое значение его параметров безопасности bxy.
15. Способ по п.13, отличающийся тем, что число Nij деревьев графа сети связи между i-м и j-м абонентами сети вычисляют по формуле:
где Во=М×К – преобразованная матрица смежности вершин графа сети связи, а М=Мр-1, К – соответственно число строк и столбцов матрицы, Мр – число строк исходной матрицы смежности; равное общему количеству узлов сети связи; – транспонированная матрица к Во.
РИСУНКИ
|
|