Показать метаданные Скрыть метаданные

(19)

(11)

2 412 549

(13)

(51)

МПК

H04L12/28(2006-01-01)

(21) (22)

Заявка

2009128269/09, 2009-07-21

(24)

Дата начала отсчета патента

2009-07-21

(22)

дата подачи заявки

2009-07-21

(45)

опубликовано

2011-02-20

(72)

авторы

Остриков Алексей ЮрьевичКрюков Олег Витальевич

(73)

патентообладатели

Государственное Образовательное Учреждение Высшего Профессионального Образования Академия Федеральной Службы Охраны Российской Федерации Фсо России)

(56)

Документы, цитированные в отчете о поиске

WO 2008051258 A2, 02.05.2008US 2009089410 A1, 02.04.2009.

СПОСОБ КОНФИГУРИРОВАНИЯ СЕТИ СВЯЗИ Российский патент 2011 года по МПК H04L12/28

Описание патента на изобретение RU2412549C1

Изобретение относится к области телекоммуникаций и может быть использовано для проектирования защищенных сетей связи.

Известно изобретение "Способ создания защищенных виртуальных сетей" по патенту RU №2276466, H04L 12/28, G06F 12/08, 10.05.2006, заключающееся в том, что для каждого компьютера, который может быть использован в нескольких защищенных виртуальных сетях, и для каждой создаваемой защищенной виртуальной сети выделяют отдельный блок долговременной памяти, в который записывается отдельная операционная система, настраиваемая на данную виртуальную сеть. Переход из одной виртуальной сети в другую осуществляется путем перегрузки компьютера, а доступ к блоку долговременной памяти и загрузка операционной системы каждой защищенной виртуальной сети выполняется после предъявления пользователем полномочий и выполнения аутентификации, при этом доступ к блокам памяти защищенной виртуальной сети со стороны других виртуальных сетей блокируется. Недостатком известного способа является то, что при формировании защищенной виртуальной сети не учитываются показатели информационной безопасности возможных направлений связи между узлами сети.

Также известно изобретение "Способ выбора безопасного маршрута в сети связи (варианты)" - патент RU №2331158, H04L 12/28, 10.08.2008. Сущность известного изобретения заключается в том, что для сети связи, содержащей совокупность из X узлов сети, предварительно задают для каждого x-го узла сети, где x=1, 2,…, X, совокупность Y параметров безопасности и их значения b_xy, где y=1, 2,…, Y, вычисляют комплексный показатель безопасности k_xΣ для каждого x-го узла сети, формируют матрицу смежности вершин графа сети, после чего формируют совокупность возможных маршрутов связи между i-ым и j-ым абонентами сети, где i=1, 2,…, j=1, 2,…, и i≠j, в виде N_ij деревьев графа сети связи, причем каждое n-ое, где n=1, 2,…, N_ij дерево графа состоит из z_n вершин, соответствующих количеству принадлежащих ему узлов сети, затем для каждого из N_ij возможных маршрутов связи вычисляют средние показатели безопасности, выбирают один маршрут и передают по нему сообщения.

Недостатком известного способа-прототипа является то, что он не позволяет обеспечить устойчивость сети к угрозам информационной безопасности. Под устойчивостью в данном смысле понимается свойство сети связи, при котором воздействие нарушителя на отдельные ее элементы не приводит к компрометации или нарушению работоспособности сети в целом.

Предлагаемый способ расширяет функциональные возможности способа-прототипа за счет введения дополнительных процедур и частичного изменения связей в логике работы предыдущего уровня техники. Задачей изобретения является конфигурирование сети связи, позволяющей получить повышение устойчивости сети к угрозам информационной безопасности за счет построения регулярной структуры безопасных маршрутов и распределения по ним информационных потоков таким образом, что выбранные маршруты имеют равномерную значимость в смысле информационной безопасности. То есть по техническим характеристикам из совокупности выбранных маршрутов на сети связи выделить наиболее или наименее защищенные для планирования угроз информационной безопасности нарушитель не может. При этом устойчивость функционирования сети обеспечивается не "силовыми" методами защиты, а повышением условий априорной неопределенности относительно принятия решения о воздействие на то или иное направление связи и минимизацией ущерба данного воздействия [Сычев К.И. Многокритериальное проектирование мультисервисных сетей связи. - СПб.: Изд-во Политехн. ун-та, 2008. - 272 с., Царегородцев А.В., Кислицын А.С. Основы синтеза защищенных телекоммуникационных систем / Под ред. Е.М.Сухарева. Кн.6. - М.: Радиотехника, 2006. - 256 с.]. Таким образом, с целью обеспечения устойчивости сети связи к угрозам информационной безопасности выбранные безопасные маршруты необходимо использовать в соответствии с долями потоков, которые позволят уравновесить значимости этих маршрутов для передачи данных. На узлах сети связи необходимо учитывать объемы данных, которые передают по каждому направлению, и проводить его корректировку, например за счет механизмов маршрутизации.

Решение задачи достигается тем, что для сети связи, содержащей совокупность из X узлов сети, предварительно задают для каждого x-го узла сети, где x=1, 2,…, X, совокупность Y параметров безопасности и их значения b_xy, где y=1, 2,…, Y, вычисляют комплексный показатель безопасности k_xΣ для каждого х-го узла сети, запоминают информацию о структуре сети, после чего формируют совокупность возможных маршрутов связи между i-ым и j-ым узлами сети, где i=1, 2,…, j=l, 2,…, и i≠j в виде N_ij деревьев графа сети связи, причем каждое n-оe, где n=1, 2,…, N_ij, дерево графа состоит из z_n вершин, соответствующих количеству принадлежащих ему узлов сети, затем для каждого из N_ij возможных маршрутов связи вычисляют средние показатели безопасности, выбирают один маршрут с наибольшим значением его среднего показателя безопасности, выбранный маршрут запоминают и передают по нему сообщения. В качестве информации о структуре сети запоминают комплексные показатели безопасности k_xΣ для каждого x-го узла сети и матрицу связности S, а средние показатели безопасности для n-го маршрута сети вычисляют путем перемножения комплексных показателей безопасности узлов, входящих в n-ый маршрут, далее после того как выбирают и запоминают один маршрут между каждой парой i и j узлов, дополнительно запоминают их средние показатели безопасности в виде матрицы затем находят максимум функции энтропии H (K, F), а также соответствующую найденному максимальному значению функции энтропии матрицу F=[f_i,j], содержащую доли потоков между каждой парой i и j узлов сети связи с учетом априорных характеристик безопасности, после чего найденные значения [f_i,j] передают на узлы сети и используют на узлах сети для регулирования объемов данных, которые передают по маршрутам. Предлагаемый способ поясняется чертежами:

фиг.1 - схема реализации способа конфигурирования сети связи;

фиг.2 - пример графа, описывающего сеть связи;

фиг.3 - матрица связности для графа;

фиг.4 - таблица значений показателей безопасности для узлов сети;

фиг.5 - таблица сформированных возможных маршрутов в сети и рассчитанных для них средних показателей безопасности;

фиг.6 - таблица выбранных маршрутов для каждой пары узлов сети;

фиг.7 - таблица долей потоков на каждом выбранном маршруте;

фиг.8 - графики, отражающие технический результат заявленного способа.

Проведенный заявителем анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественными всем признакам заявленного способа, отсутствуют. Следовательно, заявленное изобретение соответствует условию патентоспособности "Новизна". Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками заявленного изобретения, показали, что оно не следует явным образом из уровня техники. Из определенного заявителем уровня техники существование влияния существенных признаков заявленного изобретения на достижение указанного технического результата не выявлено. Следовательно, заявленное изобретение соответствует условию патентоспособности "Изобретательский уровень".

Способ конфигурирования сети связи может быть реализован следующим образом. Предположим, что для обеспечения устойчивости к угрозам информационной безопасности необходимо произвести конфигурирование сети связи, описываемой графом (фиг.2).

Для каждого узла сети задают значения параметров безопасности (бл.1 на фиг.1). По аналогии с предыдущим уровнем техники параметры безопасности узлов сети определяют, например, в соответствии с ГОСТ РИСО/МЭК 15408-2002 «Методы и средства обеспечения информационной безопасности. Критерии оценки безопасности информационных технологий». Значения b_xy параметров безопасности у для узлов сети х определяется, например, по характеристикам производителей оборудования составляющих узла сети, типу этого оборудования, типу и версии установленного программного обеспечения [Описание изобретения к патенту RU №2331158, H04L 12/28, 10.08.2008, бюл. №22. «Способ выбора безопасного маршрута в сети связи (варианты)»]. Предположим, что параметры безопасности для узлов сети определяются в соответствии с таблицей (фиг.4).

Для каждого x-го узла сети по значениям его параметров безопасности вычисляют и запоминают комплексный показатель безопасности k_xΣ (бл.2 на фиг.1) путем, например, расчета среднего арифметического значения:

Вычисленные комплексные показатели безопасности для узлов сети связи представлены в таблице (фиг.4).

Запоминают информацию о структуре сети в виде матрицы связности S (бл.3 на фиг.1) (фиг.3).

Формируют совокупность возможных маршрутов связи между i-ым и j-ым абонентами сети, где i=1, 2,…, j=1, 2,…, и i≠j, в виде N_ij деревьев графа сети связи (бл.4 на фиг.1), причем каждое n-ое, где n=l, 2,…, N_ij, дерево графа состоит из z_n вершин, соответствующих количеству принадлежащих ему узлов сети. Порядок формирования возможных маршрутов в виде деревьев графа известен и описан [Кристофидес H. Теория графов: алгоритмический подход. Пер. с англ. - М.: Мир, 1978, - 432 с.]. Для рассматриваемого примера совокупность всех возможных маршрутов между i-ым и j-ым узлами графа представлена в таблице (фиг.5).

Для каждого найденного маршрута вычисляют средние показатели безопасности (бл.5 на фиг.1) как произведение комплексных показателей безопасности k_xΣ узлов сети, входящих в n-ый маршрут:

Рассчитанные средние показатели безопасности для рассматриваемого примера сведены в таблицу (фиг.5).

Выбирают маршруты для каждой пары узлов сети с наибольшими показателями безопасности (бл.6 на фиг.1), причем в случае нахождения нескольких маршрутов с равными средними показателями безопасности выбирают из них маршрут с наименьшим количеством входящих в него узлов z_n. Запоминают выбранные маршруты, а значения их средних показателей безопасности запоминают в матрице (бл.7 на фиг.1), причем элементы матрицы при i=j равны комплексному показателю безопасности соответствующего узла (фиг.6).

Для обеспечения устойчивости сети к угрозам информационной безопасности выбранных маршрутов недостаточно, т.к. они существенно отличаются по показателям защищенности, что для нарушителя может являться определяющим фактором при выборе объекта атаки. Поэтому рассчитанные безопасные маршруты следует сбалансировать путем распределения по ним информационных потоков. Доли потоков, характеризующие отношение объемов информационного взаимодействия между каждой парой узлов, описывают потоковую структуру сети при сложившемся распределении по сети средств обеспечения информационной безопасности.

Для нахождения долей потоков по найденным маршрутам сети находят максимум функции энтропии H (K, F) (бл.8 на фиг.1) (выражение 4), которая является мерой, характеризующей состояние равновесия [Попков Ю.С. Теория макросистем (равновесные модели). - М.: Эдиториал УРСС, 1999. - 320 с.] при ограничениях (5). Матрица K является параметром функции, а матрица F=[f_i,j] - переменной, характеризующей распределение информационного потока между узлами сети.

Решая оптимизационную задачу вида (6) с ограничениями (5) любым из известных методов, например методом множителей Лагранжа [Попков Ю.С.Теория макросистем (равновесные модели). - М.: Эдиториал УРСС, 1999. - 320 с., Таха, Хэмди А. Введение в исследование операций. 6-е издание.: Пер. с англ. - М.: Издательский дом "Вильямс", 2001. - 912 с.], находят матрицу F^m (бл.8 на фиг.1).

Таким образом, найденная матрица F^m содержит сбалансированные значения долей потоков для маршрутов между каждой парой узлов i, j с учетом информационной безопасности этих маршрутов. Для рассматриваемого примера найденная матрица представлена таблицей (фиг.7). Найденную матрицу F передают на узлы связи (бл.9 на фиг.1) и используют на узлах связи для регулирования объемов данных, которые передают по направлениям связи (бл.10, бл.11 на фиг.1).

На графиках (фиг.8) представлены значения относительных показателей безопасности , где , для варианта равномерного распределения потоков по найденным безопасным маршрутам (графика 1 фиг.8) и варианта распределения в соответствии с рассчитанной матрицей долей информационного обмена (графика 2 фиг.8). Анализируя полученные данные, можно сделать вывод о том, что в соответствии с графиком 1 (фиг.8) наиболее предпочтительным объектом атаки нарушителя является направления 1->3 и 1->5, потому как они имеют определенно выраженные всплески относительных показателей безопасности. По графику 2 (фиг.8) подобный выбор сделать затруднительно, поскольку значения относительных показателей безопасности всех направлений приблизительно одинаковы. Разброс значений показателей во втором варианте в 2,7 раза меньше первого.

Заявленный способ может быть реализован в виде устройства, осуществляющего централизованное конфигурирование сети связи (фиг.9).

На схеме (фиг.9) обозначены следующие блоки:

1 - блок мониторинга сети связи;

2 - блок памяти;

3 - сумматор;

4 - делитель;

5 - регистр памяти;

6 - счетчик;

7 - блок формирования маршрутов;

8 - коммутирующее устройство;

9 - умножитель;

10 - блок выбора безопасного маршрута;

11 - блок памяти;

12 - блок расчета функции энтропии;

13 - блок рассылки;

14 - блок распределения нагрузки узла по направлениям связи.

Блоки мониторинга сети 1 и памяти 2 реализуют процедуры бл.1 и бл.3 на фиг.1 способа, сумматор 3, делитель 4, регистр памяти 5 и счетчик 6 реализуют процедуру бл.2 (фиг.1), блок формирования маршрутов 7 реализует процедуру бл.4 (фиг.1), коммутирующее устройство 8 и умножитель 9 реализуют процедуру бл.5 (фиг.1), блок выбора безопасного маршрута реализует процедуру бл.6 (фиг.1), блок памяти 11 реализует процедуру бл.7 (фиг.1), блок расчета функции энтропии 12 реализует процедуру бл.8 (фиг.1), блок рассылки 13 реализует процедуру бл.9 (фиг.1), блок распределения нагрузки узла по направлениям связи 14 реализует процедуры бл.10 и бл.11 (фиг.1).

Таким образом, благодаря новой совокупности существенных признаков за счет введения новых процедур и связей между ними появляется возможность обеспечить устойчивость сети связи к угрозам информационной безопасности. Способ позволяет определить маршруты и требуемые доли информационных потоков для них, обеспечивающих максимальную неопределенность для нарушителя при выборе объекта атаки.

Предлагаемый способ может быть использован в подсистемах и звеньях управления технологическими процессами в информационно-вычислительных сетях, а также средствах и системах обеспечения информационной безопасности сетей связи.

Иллюстрации к изобретению RU 2 412 549 C1

Реферат патента 2011 года СПОСОБ КОНФИГУРИРОВАНИЯ СЕТИ СВЯЗИ

Изобретение относится к области телекоммуникаций, а именно к проектированию защищенных сетей связи. Техническим результатом является повышение устойчивости сети к угрозам информационной безопасности. Технический результат достигается тем, что для узлов сети задают параметры безопасности и их значения, формируют совокупность возможных маршрутов связи между i-ым и j-ым узлами сети, рассчитывают средние показатели безопасности маршрутов и выбирают из них для передачи сообщений наиболее безопасные. Затем, используя функцию энтропии, рассчитывают доли потоков для каждого маршрута, которые обеспечивают равномерность относительных показателей безопасности маршрутов и равномерную значимость маршрутов в смысле информационной безопасности. 9 ил.

Формула изобретения RU 2 412 549 C1

Способ конфигурирования сети связи, заключающийся в том, что для сети связи, содержащей совокупность из Х узлов сети, предварительно задают для каждого х-го узла сети, где х=1,2,…,Х, совокупность Y параметров безопасности и их значения b_xy, где y=1,2,…,Y, вычисляют комплексный показатель безопасности k_xΣ для каждого х-го узла сети, запоминают информацию о структуре сети, после чего формируют совокупность возможных маршрутов связи между i-м и j-м узлами сети, где i=1,2,…; j=1,2,…; и i≠j, в виде N_ij деревьев графа сети связи, причем каждое n-е, где n=1,2,…,N_ij, дерево графа состоит из z_n вершин, соответствующих количеству принадлежащих ему узлов сети, затем для каждого из N_ij возможных маршрутов связи вычисляют средние показатели безопасности, выбирают один маршрут с наибольшим значением его среднего показателя безопасности, выбранный маршрут запоминают и передают по нему сообщения, отличающийся тем, что в качестве информации о структуре сети запоминают комплексные показатели безопасности k_xΣ для каждого х-го узла сети и матрицу связности S, а средние показатели безопасности для n-го маршрута сети вычисляют путем перемножения комплексных показателей безопасности узлов, входящих в n-й маршрут, далее после того как выбирают и запоминают один маршрут между каждой парой i и j узлов, дополнительно запоминают их средние показатели безопасности в виде матрицы , затем находят максимум функции энтропии Н(K, F), а также соответствующую найденному максимальному значению функции энтропии матрицу F=[f_i,j], содержащую доли потоков между каждой парой i и j узлов сети связи с учетом априорных характеристик безопасности, после чего найденные значения [f_i,j] передают на узлы сети и используют на узлах сети для регулирования объемов данных, которые передают по маршрутам.

Документы, цитированные в отчете о поиске Патент 2011 года RU2412549C1

СПОСОБ ВЫБОРА БЕЗОПАСНОГО МАРШРУТА В СЕТИ СВЯЗИ (ВАРИАНТЫ)	2007	Кожевников Дмитрий Анатольевич Максимов Роман Викторович Павловский Антон Владимирович Юрьев Дмитрий Юрьевич	RU2331158C1
	0	Н. М. Пидопличко, А. А. Милько, В. Я. Масум А. И. Гаврюшина	SU184782A1
НАСАДКА ДЛЯ ПРОВЕДЕНИЯ ПРОЦЕССОВ В АППАРАТАХ С ГЕТЕРОГЕННЫМ ВЗВЕШЕННЫМ СЛОЕМ	0	А. Б. Тютюнников, В. И. Шпорхун, А. Н. Марченко, Е. К. Тарынин А. Д. Николаенко	SU203628A1
СПОСОБ СОЗДАНИЯ ЗАЩИЩЕННЫХ ВИРТУАЛЬНЫХ СЕТЕЙ	2004	Романец Юрий Васильевич Сырчин Владимир Кимович Тимофеев Петр Александрович	RU2276466C1
WO 2008051258 A2, 02.05.2008
US 2009089410 A1, 02.04.2009.

RU 2 412 549 C1

Авторы

Остриков Алексей Юрьевич

Крюков Олег Витальевич

Даты

2011-02-20—Публикация

2009-07-21—Подача

название	год	авторы	номер документа
СПОСОБ ВЫБОРА БЕЗОПАСНОГО МАРШРУТА В СЕТИ СВЯЗИ (ВАРИАНТЫ)	2007	Кожевников Дмитрий Анатольевич Максимов Роман Викторович Павловский Антон Владимирович Юрьев Дмитрий Юрьевич	RU2331158C1
СПОСОБ МАСКИРОВАНИЯ СТРУКТУРЫ СЕТИ СВЯЗИ	2016	Голуб Борис Владимирович Горячая Алина Васильевна Кожевников Дмитрий Анатольевич Лыков Николай Юрьевич Максимов Роман Викторович Тихонов Сергей Сергеевич	RU2622842C1
СПОСОБ МАСКИРОВАНИЯ СТРУКТУРЫ СЕТИ СВЯЗИ	2023	Максимов Роман Викторович Починок Виктор Викторович Шерстобитов Роман Сергеевич Ворончихин Иван Сергеевич Лысенко Дмитрий Эдуардович Теленьга Александр Павлович Горбачев Александр Александрович	RU2794532C1
СПОСОБ МАСКИРОВАНИЯ СТРУКТУРЫ СЕТИ СВЯЗИ	2016	Голуб Борис Владимирович Краснов Василий Александрович Лыков Николай Юрьевич Максимов Роман Викторович	RU2645292C2
СПОСОБ МАСКИРОВАНИЯ СТРУКТУРЫ СЕТИ СВЯЗИ	2018	Зайцев Данил Викторович Зуев Олег Евгеньевич Крупенин Александр Владимирович Максимов Роман Викторович Починок Виктор Викторович Шарифуллин Сергей Равильевич Шерстобитов Роман Сергеевич	RU2682105C1
СПОСОБ МАСКИРОВАНИЯ СТРУКТУРЫ СЕТИ СВЯЗИ	2020	Максимов Роман Викторович Починок Виктор Викторович Соколовский Сергей Петрович Кучуров Вадим Валерьевич Теленьга Александр Павлович Шерстобитов Роман Сергеевич	RU2739151C1
СПОСОБ МАСКИРОВАНИЯ СТРУКТУРЫ СЕТИ СВЯЗИ	2021	Крупенин Александр Владимирович Максимов Роман Викторович Починок Виктор Викторович Кучуров Вадим Валерьевич Теленьга Александр Павлович Шерстобитов Роман Сергеевич Иванов Георгий Александрович	RU2759152C1
СПОСОБ МАСКИРОВАНИЯ СТРУКТУРЫ СЕТИ СВЯЗИ	2022	Максимов Роман Викторович Соколовский Сергей Петрович Шерстобитов Роман Сергеевич Починок Виктор Викторович Лысенко Дмитрий Эдуардович Теленьга Александр Павлович Горбачев Александр Александрович Бабушкин Олег Геннадьевич	RU2793104C1
Способ выбора безопасного маршрута в сети связи общего пользования	2016	Анисимов Василий Вячеславович Волкова Евгения Валерьевна Мулюкова Илюза Радиковна Стародубцев Юрий Иванович Федоров Вадим Геннадьевич Чукариков Александр Геннадьевич	RU2640627C1
Способ моделирования виртуальных сетей в условиях деструктивных программных воздействий	2018	Алисевич Евгения Александровна Бречко Александр Александрович Львова Наталия Владиславовна Сорокин Михаил Александрович Стародубцев Юрий Иванович	RU2701994C1