Способ (варианты) и устройство (варианты) защиты канала связи вычислительной сети

Способ (варианты) и устройство (варианты) защиты канала связи вычислительной сети

Иллюстрации

Показать все

Реферат

Заявленные технические решения объединены единым изобретательским замыслом, относятся к области информационной безопасности цифровых систем связи и могут быть использованы в распределенных вычислительных сетях (ВС), объединенных через сеть Интернет.

Известен способ защиты от несанкционированного обмена между первой компьютерной сетью и второй компьютерной сетью, реализованный в «Системе защиты для связанных компьютерных сетей» по патенту РФ №2152691, МПК G06F 12/14, опубл. 10.07.2000 г.

Способ заключается в выполнении следующих действий: принимают на первый сетевой интерфейс из первой компьютерной сети коммуникационное сообщение в первом формате сетевого протокола. Преобразуют коммуникационное сообщение во второй формат сетевого протокола, в результате чего информация об адресах источника и назначения удаляется из коммуникационного сообщения. Передают коммуникационное сообщение во второй сетевой интерфейс. Осуществляют обратное преобразование во втором сетевом интерфейсе коммуникационного сообщения в первый формат сетевого протокола. Передают коммуникационное сообщение после обратного преобразования во вторую компьютерную сеть.

Недостатком известного способа является высокая вероятность нарушения конфиденциальности информации при использовании виртуальной частной сети, а именно прослушивание и реконструкция трафика виртуальной частной сети в некоторой точке сети Интернет.

Известен также способ защиты виртуального канала, реализованный в «Системе защиты виртуального канала корпоративной сети с мандатным принципом управления доступом к ресурсам, построенной на каналах связи и средствах коммутации сети связи общего пользования» по патенту РФ №2163727, МПК G06F 13/00, F 12/14, опубл. 27.02.2001 г.

Способ заключается в выполнении следующих действий: клиент согласовывает свои права доступа с межсетевым экраном, для чего на межсетевом экране проходят проверки. Если все проверки пройдены, то направляется пакет, разрешающий соединение между клиентом и межсетевым экраном. Далее пакет, разрешающий соединение, приходит к клиенту, проходя блок приемопередатчика и блок шифрования/расшифрования и электронной подписи. Затем его передают в блок формирования закрытого протокола. После чего отправляют пакет, устанавливающий соединение по стандартному соединению, но в каждом пакете заменяют IP-адреса сервера назначения на IP-адрес межсетевого экрана корпорации.

Недостатком известного способа является высокая вероятность проникновения в корпоративную сеть в точке подключения к сети Интернет и (или) нарушения ее нормального функционирования.

Известен способ защиты информации, циркулирующей в распределенной телекоммуникационной системе при передаче ее по каналам связи общего пользования, реализованный в «Распределенной телекоммуникационной системе для передачи разделенных данных, предназначенной для их раздельной передачи и приема» по патенту US 6912252, МПК H04L 12/56; H04L 12/28, опубл. 08.11.2001 г.

Способ заключается в выполнении следующих действий: исходные данные у отправителя разделяют на N частей. Далее из их комбинаций формируют группы промежуточных данных. Затем передают промежуточные данные независимо по N каналам связи. У получателя принимают группы промежуточных данных, пришедших по N каналам связи, и восстанавливают первоначальные данные.

Недостатком данного способа является относительно невысокая безопасность связи вследствие передачи информации в открытом виде, и низкая скрытность связи вследствие увеличения вероятности распознавания структуры распределенной телекоммуникационной системы за счет увеличения вероятности обнаружения идентификаторов ее элементов при информационном обмене в результате увеличения числа каналов связи.

Наиболее близким по своей технической сущности к заявленному является «Способ защиты корпоративной виртуальной частной компьютерной сети от несанкционированного обмена информацией с публичной транспортной сетью» по патенту РФ №2182355, МПК G06F 12/14, 9/00, опубл. 10.05.2002 г.

Способ заключается в выполнении следующих действий: предварительно формируют таблицы адресов источников и получателей и их соответствия идентификаторам. Формируют у отправителя исходный пакет данных. Определяют идентификаторы отправителя и получателя. Кодируют данные пакета. Добавляют в пакет сообщений дополнительную информацию (идентификаторы отправителя и получателя). Преобразуют выходной пакет в формат ТСР/IP. Включают в преобразованный пакет данных в формате TCP/IP текущие адреса отправителя и получателя. Передают сформированный пакет. Принимают у получателя переданный пакет. Выделяют из полученного пакета сообщений адреса и идентификаторы отправителя и получателя сообщений. Сравнивают у получателя выделенные из полученного пакета сообщений адреса и идентификаторы отправителя и получателя сообщений с предварительно запомненными адресами и идентификаторами отправителя и получателя сообщений. При их несовпадении принятый пакет сообщений не анализируют, а при их совпадении выделяют из полученного пакета закодированные данные. Декодируют полученные данные. Определяют соответствие содержащихся в полученном пакете адресов отправителя сообщений и получателя сообщений и идентификаторов отправителя сообщений и получателя сообщений предварительно записанным в третьем блоке памяти адресам отправителя сообщений и получателя сообщений и идентификаторам отправителя сообщений и получателя сообщений. Передают декодированные данные пакета получателю сообщения при совпадении.

Недостатком прототипа является относительно невысокая безопасность и скрытность связи из-за существования вероятности распознавания канала связи на участке, являющемся частью сети Интернет, путем идентификации адресов корреспондентов, а также возможности вскрытия структуры распределенной ВС.

Известна «Система защиты для связанных компьютерных сетей» от несанкционированных обменов между первой компьютерной сетью и второй компьютерной сетью по патенту РФ №2152691, МПК G06F 12/14, опубл. 10.07.2000 г.

Система содержит первый и второй сетевой интерфейс, каждый из которых имеет сетевой интерфейсный адаптер для обмена с первой и второй компьютерными сетями соответственно. Каждый из сетевых интерфейсов дополнительно снабжен адаптером передачи для обмена с адаптером передачи другого сетевого интерфейса и сетевые программные средства для предотвращения передачи информации об услугах маршрутизации между сетевыми интерфейсными адаптерами и адаптером передачи каждого из сетевых интерфейсов. Каждый сетевой интерфейс дополнительно содержит программные средства преобразования протокола.

Недостатком данной системы является относительно невысокая защищенность канала связи при использовании виртуальной частной сети, что приводит к возможности несанкционированного прослушивания и реконструкции графика виртуальной частной сети в некоторой точке сети Интернет.

Известна также «Система защиты виртуального канала корпоративной сети с мандатным принципом управления доступом к ресурсам, построенной на каналах связи и средствах коммутации сети связи общего пользования» по патенту РФ №2163727, МПК G06F 13/00, F 12/14, опубл. 27.02.2001 г.

Система содержит М межсетевых экранов, каждый из которых состоит из блока приемопередатчика, блока фильтрации пакетов, блока шифрования/расшифрования и электронной подписи и блока аутентификации клиента по идентификатору, паролю и службе, причем первый вход/выход межсетевого экрана корпорации является первым входом/выходом блока приемопередатчика, второй вход/выход блока приемопередатчика соединен с первым входом/выходом блока фильтрации пакетов, второй вход/выход которого соединен с первым входом/выходом блока шифрования/расшифрования и электронной подписи, первый вход/выход входного межсетевого экрана корпорации является первым входом/выходом системы защиты. Каждый межсетевой экран корпорации включает блок формирования закрытого протокола, блок аутентификации клиента по IP-адресу, блок разрешения доступа по логическому имени сервера, блок выработки мандата на требуемые действия, блок проверки мандата клиента мандатом на требуемые действия и блок оперативного управления.

Недостатком данной системы является то, что она не обеспечивает полностью защищенного взаимодействия между клиентами и серверами распределенной ВС, что проявляется в высокой вероятности проникновения в ВС в точке подключения к сети Интернет и/или нарушения ее нормального функционирования.

Известна также «Распределенная телекоммуникационная система для передачи разделенных данных, предназначенная для их раздельной передачи и приема» по патенту US 6912252, МПК H04L 12/56; H04L 12/28, опубл. 08.11.2001 г.

Система содержит передающее и приемное устройства, соединенные N каналами связи.

Недостатком данной системы является относительно невысокий уровень защищенности информации, передаваемой по каналам связи, из-за отсутствия средств кодирования, а также низкая скрытность связи за счет введения дополнительных идентификаторов элементов распределенной телекоммуникационной системы в результате увеличения числа каналов связи между этими элементами.

Наиболее близким по своей технической сущности к заявленной является «Система защиты корпоративной виртуальной частной компьютерной сети от несанкционированного обмена информацией с публичной транспортной сетью» по патенту РФ №2182355, МПК G06F 12/14, 9/00, опубл. 10.05.2002 г.

В системе защиты корпоративной виртуальной частной компьютерной сети от несанкционированного обмена информацией с публичной транспортной сетью корпоративная виртуальная частная компьютерная сеть содержит два процессора и соединенные между собой через интерфейс два маршрутизатора. Один из них соединен с локальной вычислительной сетью (ЛВС) корпоративной виртуальной частной компьютерной сети, средством кодирования и декодирования и первым блоком памяти, предназначенным для записи и хранения таблицы с дополнительной информацией об отправителе и получателе сообщений. Второй маршрутизатор подключен к сети Интернет и соединен со вторым блоком памяти, предназначенным для хранения таблицы адресов источника и получателя сообщений.

Недостатком системы-прототипа является относительно невысокая безопасность и скрытность работы канала связи. Указанный недостаток обусловлен тем, что каналы связи удаленных сегментов ВС, построенных по принципу виртуальных частных сетей и объединенных через сеть Интернет, легко выделяются путем анализа трафика в некоторой точке сети Интернет, так как для них характерна высокая интенсивность обмена пакетами сообщений с одинаковыми адресами корреспондентов и закодированной информационной составляющей пакетов сообщений. При этом оказывается возможным определение адресов удаленных сегментов ВС и раскрытие структуры распределенной ВС. Такой информации достаточно для нарушения информационного обмена, либо для осуществления деструктивных воздействий по отношению к распределенной ВС.

Целью заявленных технических решений является разработка способа (варианты) и устройства (варианты) защиты канала связи ВС, обеспечивающих повышение безопасности и скрытности работы канала связи в сети Интернет за счет усложнения процедуры определения адресов и выявления взаимосвязей удаленных сегментов распределенной ВС при анализе графика в некоторой точке сети Интернет путем непрерывного изменения в передаваемых пакетах сообщений адресов отправителя и получателя, что делает практически невозможным их определение и идентификацию относительно конкретного пользователя сети или вскрытие структуры распределенной ВС.

В первом варианте способа поставленная цель достигается тем, что в известном способе защиты канала связи ВС, заключающемся в том, что предварительно задают исходные данные, включающие адреса отправителя и получателя сообщений, формируют у отправителя исходный пакет данных, кодируют его, преобразуют в формат TCP/IP, включают в него текущие адреса отправителя и получателя и передают сформированный информационный пакет сообщений получателю, из принятого у получателя пакета сообщений выделяют адреса отправителя и получателя, сравнивают их с предварительно заданными адресами, при их несовпадении принятые пакеты не анализируют, а при совпадении из принятого пакета сообщений выделяют кодированные данные и декодируют их, в предварительно заданные исходные данные дополнительно включают базу из N адресов отправителя и S адресов получателя. Назначают из заданной базы текущие адреса отправителя А_то и получателя А_тп и запоминают их. Причем назначенные адреса отправителя А_то и получателя А_тп запоминают у получателя в качестве обратного адреса отправителя А_оо ^п и обратного адреса получателя А_оп ^п. Формируют у отправителя информацию об обратных адресах отправителя А_оо ^о и получателя А_оп ^о, для чего у отправителя из предварительно заданной базы адресов выделяют в качестве обратных адреса отправителя А_оо ^о и получателя А_оп ^о и запоминают их. Для формирования у отправителя информационного пакета сообщений в исходный пакет данных включают обратные адреса отправителя А_оо ^о и получателя А_оп ^о. После преобразования кодированного пакета данных в формат TCP/IP, включения в него предварительно запомненных текущих адресов отправителя А_то и получателя А_тп и передачи от отправителя к получателю информационного пакета сообщений, у отправителя заменяют его ранее назначенный текущий адрес А_то на предварительно запомненный обратный адрес отправителя А_оо ^о. Выделяют у получателя из принятого информационного пакета сообщений кодированные данные и декодируют их. Выделяют из декодированных данных обратные адреса отправителя А_оо ^о и получателя А_оп ^о. Запоминают их в качестве текущих адресов отправителя А_то и получателя А_тп, а затем заменяют текущий адрес получателя А_тп на новый, выделенный из декодированных данных адрес получателя А_оп ^о. После чего формируют у получателя информацию об обратных адресах отправителя А_оо ^п и получателя А_оп ^п, для чего выделяют у получателя из предварительно заданной базы адресов в качестве обратных адреса отправителя А_оо ^п и получателя А_оп ^п и запоминают их. Формируют у получателя уведомляющий пакет сообщений, для чего формируют исходный пакет данных с уведомлением о получении информационного пакета сообщений и промежуточный пакет путем включения в исходный пакет данных обратных адресов отправителя А_оо ^п и получателя А_оп ^п. Кодируют промежуточный пакет данных, преобразуют его в формат TCP/IP, включают в преобразованный пакет предварительно запомненные текущие адреса отправителя А_то и получателя А_тп. Передают сформированный уведомляющий пакет сообщений от получателя к отправителю, после чего у получателя заменяют его текущий адрес А_тп на предварительно запомненный обратный адрес получателя А_оп ^п. Принимают у отправителя уведомляющий пакет, выделяют из него адреса отправителя А_то и получателя А_тп. Сравнивают их с предварительно запомненными у отправителя обратными адресами отправителя А_оо ^о и получателя А_оп ^о. При их несовпадении принятый уведомляющий пакет сообщений не анализируют, а при совпадении выделяют из принятого уведомляющего пакета сообщений кодированные данные, декодируют их и выделяют из них обратные адреса отправителя А_оо ^п и получателя А_оп ^п. Причем выделенные из декодированных данных обратные адреса получателя А_оп ^п и отправителя А_оо ^п запоминают в качестве текущих адресов получателя А_тп и отправителя А_то, а текущий адрес отправителя А_то заменяют на новый, выделенный из декодированных данных адрес отправителя А_оо ^п. После чего повторно формируют у отправителя информацию об обратных адресах отправителя А_оо ^о и получателя А_оп ^о.

Значения N и S адресов отправителя и получателя выбирают в пределах N-10-256, S-10-256.

Значения обратных адресов отправителя А_оо ^о и получателя А_оп ^о у отправителя и обратных адресов отправителя А_оо ^п и получателя А_оп ^п у получателя выбирают по случайному закону или по заранее заданному правилу.

Во втором варианте способа поставленная цель достигается тем, что в известном способе защиты канала связи ВС, заключающемся в том, что предварительно задают исходные данные, включающие адреса отправителя и получателя сообщений, формируют у отправителя исходный пакет данных, кодируют его, преобразуют в формат TCP/IP, включают в него текущие адреса отправителя и получателя, передают сформированный информационный пакет сообщений получателю, из принятого у получателя пакета сообщений выделяют адреса отправителя и получателя, сравнивают их с предварительно заданными текущими адресами, при их несовпадении принятые пакеты не анализируют, а при совпадении из принятого пакета сообщений выделяют кодированные данные и декодируют их, в предварительно заданные исходные данные дополнительно включают базу из N адресов отправителя и S адресов получателя. Назначают из заданной базы текущие адреса отправителя А_то и получателя А_тп и запоминают их. Задают у отправителя и получателя функции выбора текущего адреса отправителя F^N(i) и получателя F^S(i), где i=1, 2, 3, ..., в соответствии с которыми на i-м шаге назначают новые текущие адреса. Устанавливают равным единице номера шагов смены адресов i_o=1 и i_п=1. После передачи от отправителя к получателю информационного пакета формируют у отправителя информацию о новых текущих адресах отправителя А_то ⁱ и получателя А_тп ⁱ, для чего назначают у отправителя из заданной базы адресов в соответствии с предварительно заданными функциями выбора новые текущие адреса отправителя А_то=F^N(i) и получателя А_тп ⁱ=F^S(i) и запоминают их в качестве текущих адресов отправителя А_то и получателя А_тп. Затем заменяют у отправителя его текущий адрес А_то на новый текущий адрес отправителя А_то ⁱ и увеличивают номер шага i_o на единицу (i_o=i_o+1). У получателя выделяют из принятого информационного пакета сообщений кодированные данные и декодируют их. Формируют у получателя информацию о новых текущих адресах отправителя А_то ⁱ и получателя А_тп ⁱ, для чего назначают у получателя из заданной базы адресов в соответствии с предварительно заданными функциями выбора новые текущие адреса отправителя А_то ⁱ=F^N(i) и получателя А_тп ⁱ=F^S(i). Запоминают их в качестве текущих адресов отправителя А_то и получателя А_тп. У получателя заменяют его текущий адрес на новый текущий адрес получателя А_тп ⁱ и увеличивают номер шага i_п на единицу (i_п=i_п+1). После чего повторно формируют у отправителя информационный пакет сообщений.

Значения N и S адресов отправителя и получателя выбирают в пределах N=10-256, S=10-256.

В качестве функции выбора адреса отправителя F^N(i) и получателя F^S(i) используют последовательность чисел Фибоначчи. где F^N,S(i) позиция соответствующей пары адресов в предварительно сформированной базе адресов на i-м шаге назначения новых текущих адресовА.

В третьем варианте способа поставленная цель достигается тем, что в известном способе защиты канала связи ВС, заключающемся в том, что предварительно задают исходные данные, включающие адреса отправителя и получателя сообщений, формируют у отправителя исходный пакет данных, кодируют его, преобразуют в формат TCP/IP, включают в него текущие адреса отправителя и получателя, передают сформированный пакет сообщений получателю, из принятого у получателя пакета сообщений выделяют адреса отправителя и получателя, сравнивают их с предварительно заданными текущими адресами, при их несовпадении принятые пакеты не анализируют, а при совпадении из принятого пакета сообщений выделяют кодированные данные и декодируют их, предварительно задают К максимально допустимое число одноадресных пакетов, задают функцию F^К(i), определяющую число Δk пакетов сообщений с одинаковыми адресами отправителя и получателя. Устанавливают равным нулю число отправленных и полученных пакетов сообщений j_o=0 и j_п=0 и вычисляют с помощью функции F^К(i) число Δk пакетов сообщений с одинаковыми адресами отправителя и получателя. Задают базу из N адресов отправителя и S адресов получателя. Назначают из заданной базы первоначальные текущие адреса отправителя А_то и получателя А_тп и запоминают их. Затем задают у отправителя и получателя функции выбора текущего адреса отправителя F_N(i) и получателя F^S(i), где i=1, 2, 3, ..., в соответствии с которыми на i-м шаге назначают новые текущие адреса. Устанавливают равным единице номера шагов смены адресов i_o=1 и i_п=1. После передачи от отправителя к получателю пакета сообщений увеличивают у отправителя число отправленных пакетов сообщений j_o на единицу (j_o=j_o+1). Сравнивают у отправителя число отправленных пакетов сообщений j_o с предварительно установленным Δk, и при их несовпадении переходят к приему у получателя пакета сообщений. При совпадении повторно устанавливают j_o=0, увеличивают номер шага i_o на единицу (i_o=i_o+1) и вычисляют очередное значение Δk. Затем формируют у отправителя информацию о новых текущих адресах отправителя А_то ⁱ и получателя А_тп ⁱ, для чего назначают у отправителя из заданной базы адресов в соответствии с предварительно заданными функциями выбора новые текущие адреса отправителя А_то ⁱ=F^N(i) и получателя А_тп ⁱ=F^S(i) и запоминают выделенные адреса отправителя А_то ⁱ и получателя А_тп ⁱ в качестве текущих адресов отправителя А_то и получателя А_тп. После чего заменяют у отправителя его текущий адрес А_то на новый текущий адрес отправителя А_то ⁱ. После выделения у получателя из принятого информационного пакета сообщений кодированных данных и их декодирования увеличивают у получателя число принятых пакетов сообщений j_п на единицу (j_п=j_п+1). Сравнивают у получателя число принятых пакетов сообщений j_п с предварительно вычисленным значением Δk и при несовпадении переходят к формированию у отправителя очередного пакета сообщений. При совпадении устанавливают j_п=0. Увеличивают номер шага i_п на единицу (i_п=i_п+1) и вычисляют новое значение Δk. После чего формируют у получателя информацию о новых текущих адресах отправителя А_то ¹ и получателя А_тп ⁱ, для чего назначают у получателя из заданной базы адресов в соответствии с предварительно заданными функциями выбора новые текущие адреса отправителя А_то ⁱ=F^N(i) и получателя А_тп ⁱ=F^S(i) и запоминают выделенные адреса отправителя А_то ⁱ и получателя А_тп ⁱ в качестве текущих адресов отправителя А_то и получателя А_тп. Затем заменяют у получателя его текущий адрес А_тп на новый текущий адрес получателя А_тп ⁱ. После чего формируют у отправителя очередной пакет сообщений.

Значения N и S адресов отправителя и получателя выбирают в пределах N-10-256, S=10-256.

Значение К - максимально допустимое число одноадресных пакетов выбирают в пределах К=200-250.

В качестве функции, определяющей число Δk пакетов сообщений с одинаковыми адресами отправителя и получателя используют последовательность чисел Фибоначчи.

В качестве функции выбора адреса отправителя F^N(i) и получателя F^S(i) используют последовательность чисел Фибоначчи. где F^N,S(i) позиция соответствующей пары адресов в предварительно сформированной базе адресов на i-м шаге назначения новых текущих адресов.

В первом варианте устройства защиты канала связи ВС поставленная цель достигается тем, что в известном устройстве защиты канала связи ВС, содержащей локальный сегмент защиты (ЛСЗ), первый и второй вход/выходы которого подключены соответственно к ЛВС и маршрутизатору, подключенному к сети Интернет, и содержащей блок хранения базы адресов (БХБА), процессор, блок кодирования/декодирования (КД), информационные вход и выход, входы «пароль» и «тип преобразования» которого подключены к соответствующим портам процессора, в ЛСЗ дополнительно введены блок выбора адреса (БВА), блоки оперативного хранения обратных и текущих адресов (БОХОА и БОХТА), первый и второй сетевые адаптеры (СА). Управляющий вход БВА подключен к порту «адрес» процессора, а x-разрядный выход БВА подключен к x-разрядному входу БХБА, m-разрядный выход которого подключен к m-разрядному входу БОХОА. Управляющий вход и m-разрядный выход БОХОА подключены соответственно к порту «запрос обратного адреса» и m-разрядному порту «обратный адрес» процессора. Управляющий вход и m-разрядный выход БОХТА подключены соответственно к управляющему выходу «запрос текущего адреса» и m-разрядному порту «текущий адрес» процессора. При этом m-разрядный вход «смена текущего адреса» БОХТА подключен к m разрядному порту «смена текущего адреса» процессора. У первого СА n-разрядные выход и вход подключены соответственно к n-разрядным входу «исходный пакет» и выходу «исходный пакет» процессора. Выход «локальная сеть» первого СА является первым входом/выходом ЛСЗ. У второго СА p-разрядные вход и выход подключены соответственно к p-разрядным выходу и входу «информация/уведомление» процессора, а t-разрядный порт «управление» процессора подключен к t-разрядному управляющему входу второго сетевого адаптера. Выход «сеть Интернет» второго СА является вторым входом/выходом ЛСЗ.

Во втором варианте устройства защиты канала связи ВС поставленная цель достигается тем, что в известном устройстве защиты канала связи ВС, содержащей ЛСЗ, первый и второй вход/выходы которого подключены соответственно к ЛВС и маршрутизатору, подключенному к сети Интернет, и содержащий БХБА, процессор, блок КД, информационные вход и выход, входы «пароль» и «тип преобразования» которого подключены к соответствующим портам процессора, в ЛСЗ дополнительно введены БВА, БОХТА, первый и второй СА. Управляющий вход БВА подключен к порту «адрес» процессора, а x-разрядный выход блока выбора адреса подключен к x-разрядному входу БХБА. У БХБА m-разрядный выход подключен к m-разрядному входу БОХТА. Управляющий вход и m-разрядный выход БОХТА подключены соответственно к порту «запрос текущего адреса» и m-разрядному порту «текущий адрес» процессора. У первого СА n-разрядные выход и вход подключены соответственно к n-разрядным входу «исходный пакет» и выходу «исходный пакет» процессора. Причем выход «локальная сеть» первого СА является первым входом/выходом ЛСЗ. У второго СА р-разрядные вход и выход подключены соответственно к р-разрядным выходу и входу «информация/уведомление» процессора, а t-разрядный порт «управление» процессора подключен к t-разрядному управляющему входу второго СА. Выход «сеть Интернет» второго СА является вторым входом/выходом ЛСЗ.

В третьем варианте устройства защиты канала связи ВС поставленная цель достигается тем, что в известном устройстве защиты канала связи ВС, содержащей ЛСЗ, первый и второй вход/выходы которого подключены соответственно к ЛВС и маршрутизатору, подключенному к сети Интернет, и содержащий БХБА, процессор, блок КД, информационные вход и выход, входы «пароль» и «тип преобразования» которого подключены к соответствующим портам процессора, в ЛСЗ дополнительно введены БВА, БОХТА, первый и второй СА, счетчик одноадресных пакетов (СОП) и блок выбора числа одноадресных пакетов (БВЧОП). Управляющий вход БВА подключен к порту «адрес» процессора, а х-разрядный выход БВА подключен к х-разрядному входу БХБА. У БХБА m-разрядный выход подключен к m-разрядному входу БОХТА, управляющий вход и m-разрядный выход которого подключены соответственно к порту «запрос текущего адреса» и m-разрядному порту «текущий адрес» процессора. Управляющие входы «запрос одноадресных пакетов», «обнуление» и s-разрядный выход СОП подключены соответственно к портам «запрос одноадресных пакетов», «обнуление» и 5-разрядному входу «одноадресные пакеты» процессора. Управляющие входы «запрос числа», «запуск» и s-разрядный выход БВЧОП подключены соответственно к портам «запрос числа», «запуск» и s-разрядному входу «число» процессора. У первого СА n-разрядные выход и вход подключены соответственно к n-разрядным входу «исходный пакет» и выходу «исходный пакет» процессора. Причем выход «локальная сеть» первого СА является первым входом/выходом ЛСЗ. У второго СА p-разрядные вход и выход подключены соответственно к р-разрядным выходу и входу «информация/уведомление» процессора, a t-разрядный порт «управление» процессора подключен к t-разрядному управляющему входу второго СА. Выход «сеть Интернет» второго СА является вторым входом/выходом ЛСЗ.

Благодаря новой совокупности существенных признаков в каждом из вариантов способов и в реализующих их устройствах защиты канала связи ВС достигается непрерывное изменение в передаваемых пакетах сообщений адресов отправителя и получателя, что делает практически невозможным их определение и идентификацию относительно конкретного пользователя сети или вскрытие структуры распределенной ВС, т.е. обеспечивается возможность достижения сформулированного технического результата - повышения безопасности и скрытности работы канала связи ВС.

Проведенный заявителем анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностью признаков, тождественных всем признакам заявленных технических решений, отсутствуют, что указывает на соответствие заявленного устройства условию патентоспособности «новизна».

Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками каждого варианта заявленных изобретений, показали, что они не следуют явным образом из уровня техники. Из уровня техники также не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения преобразований на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».

Заявленные объекты изобретений поясняются чертежами, на которых показаны:

фиг.1 - пример типовой структуры распределенной ВС;

фиг.2 - структура пакета сообщений;

фиг.3 - структура IP-заголовка пакета сообщений;

фиг.4 - пример базы адресов отправителя и получателя;

фиг.5 - блок-схема алгоритма, реализующего первый вариант заявленного способа защиты канала связи ВС;

фиг.6 - чертеж, поясняющий процесс передачи и приема информационного и уведомляющего пакетов сообщений в первом варианте способа;

фиг.7 - блок-схема алгоритма, реализующего второй вариант заявленного способа защиты канала связи ВС;

фиг.8 - пример таблицы для назначения номера пары адресов в зависимости от номера шага смены адресов;

фиг.9 - чертеж, поясняющий процесс передачи и приема информационного и уведомляющего пакетов сообщений во втором варианте способа;

фиг.10 - блок-схема алгоритма, реализующего третий вариант заявленного способа защиты канала связи ВС;

фиг.11 - таблица для назначения числа одноадресных пакетов в зависимости от номера шага смены адресов;

фиг.12 - распределенная ВС с первым вариантом устройства защиты;

фиг.13 - обобщенная схема распределенная ВС, снабженная устройством защиты канала связи ВС;

фиг.14 - ЛСЗ в первом варианте устройства защиты;

фиг.15 - схема БВА 3.1 в первом варианте устройства;

фиг.16 - блок-схема алгоритма работы процессора 3.2 в первом варианте устройства;

фиг.17 - схема БОХОА 3.6 (БОХТА 3.7);

фиг.18 - распределенная ВС со вторым вариантом устройства защиты;

фиг.19 - ЛСЗ во втором варианте устройства защиты;

фиг.20 - схема БВА 3.1 во втором варианте устройства;

фиг.21 - блок-схема алгоритма работы процессора 3.2 во втором варианте устройства;

фиг.22 - распределенная ВС с третьим вариантом устройства защиты;

фиг.23 - ЛСЗ в третьем варианте устройства защиты;

фиг.24 - блок-схема алгоритма работы процессора 3.2 в третьем варианте устройства;

фиг.25 - схема БВЧОП 3.7;

фиг.26 - обобщенная схема проведения эксперимента;

фиг.27 - чертеж, представляющий структуру распределенной ВС, определенную в ходе эксперимента.

Реализация заявленных способов объясняется следующим образом. При объединении удаленных сегментов распределенной ВС через сети связи общего пользования (например, Интернет) усложняется решение задачи по обеспечению безопасности связи. Это связано с возникновением практически неограниченного спектра потенциальных угроз, связанных либо с несанкционированным доступом к информации или ее перехватом в процессе передачи по каналам связи, либо деструктивными воздействиями на ВС. Задача защиты информационной части пакетов сообщений достаточно эффективно решается средствами криптографии. Однако даже при отсутствии возможности декодирования перехваченной информации нарушитель путем деструктивного воздействия на телекоммуникационное оборудование может нарушить нормальное функционирование ВС. Это обусловлено тем, что адреса отправителей и получателей пакетов сообщений передаются в открытом виде. Таким образом, возникает противоречие между необходимостью открытой передачи адресов отправителей и получателей пакетов сообщений по каналам связи и требованием по обеспечению безопасности ВС, т.к. выявление истинных адресов корреспондирующих субъектов создает предпосылки для осуществления деструктивных воздействий на ВС. На устранение указанного противоречия направлены заявленные технические решения.

Первый вариант заявленного способа реализуют следующим образом. В общем случае ЛВС представляет собой совокупность ПЭВМ, периферийного и коммуникационного оборудования, объединенного физическими линиями связи. Все эти элементы определяются идентификаторами, в качестве которых в наиболее распространенном стеке протоколов TCP/IP используются сетевые адреса (IP-адреса). При необходимости распределенной обработки информации и (или) ее передачи удаленные ЛВС объединяют, например, через сеть Интернет, образуя распределенную ВС. При таком объединении оконечное коммуникационное оборудование также идентифицируют сетевыми адресами, причем множество адресов оконечного коммуникационного оборудования и элементов ЛВС не пересекаются.

Для передачи информации между удаленными ЛВС (например, ЛВС₁ и ЛВС₂ на фиг.1а) посредством протоколов взаимодействия устанавливают канал связи, под которым, в данном случае, понимают информационный поток от отправителя к получателю.

Информационный поток от ЛВС₁ к ЛВС₂ передают через соответствующие маршрутизаторы и сеть Интернет (фиг.1а). В общем случае эту модель можно упростить и представить в виде оконечного коммуникационного оборудования корреспондентов (отправителя и получателя пакетов сообщений), а также канала связи между ними (фиг.1б).

Для безопасной передачи данных через сеть связи общего пользования (например, Интернет) применяется криптографическая защита информационной части пакетов сообщений (фиг.2). При использовании таких механизмов