Способ выбора безопасного маршрута в сети связи (варианты)

Иллюстрации

Показать все

Изобретение относится к области инфокоммуникаций и может быть использовано при создании новых, а также совершенствовании существующих сетей связи (СС). Техническим результатом является повышение скрытности связи за счет выбора наиболее безопасного маршрута. Указанный технический результат достигается следующей последовательностью действий: предварительно задают информацию о структуре сети связи, исходные данные об узлах и абонентах сети, и вычисляют комплексные показатели безопасности узлов сети. Формируют матрицу смежности вершин графа сети и совокупность возможных маршрутов связи между абонентами сети в виде деревьев графа. Используя полученные результаты, осуществляют выбор наиболее безопасных маршрутов в сети связи из совокупности всех возможных маршрутов связи между абонентами и доведение безопасных маршрутов до абонентов сети. 5 н. и 10 з.п. ф-лы, 11 ил.

Реферат

Изобретение относится к области инфокоммуникаций и может быть использовано при создании новых, а также совершенствовании существующих сетей связи (СС).

Известен способ выбора маршрута в соответствии с условиями занятости сетевых ресурсов, реализованный в «Способе и системе продвижения транспортных потоков с гарантированным качеством сервиса (QoS) в сети, работающей с протоколом IP» по патенту РФ №2271614, МПК H06L 12/38, опубл. 10.03.2006 г.

Способ заключается в том, что выбор маршрута доставки пакетов в сетях связи выполняют менеджеры ресурсов сети доставки на уровне управления каналом передачи, аналогично функции для услуг, требующих гарантированного качества сервиса QoS. Для прохождения транспортных потоков согласно пути, назначенного менеджером ресурсов в сети доставки, контролируют пограничные маршрутизаторы в соответствии с условиями занятости сетевых ресурсов. При этом назначение путей прохождения потоков осуществляют с помощью технологии многоуровневого стека меток.

Недостатком данного способа является отсутствие адаптации к изменениям структуры сети связи, а также неполное использование качеств и условий сетевых ресурсов для выбора пути прохождения потоков.

Известен также способ обеспечения корректировки маршрутов к абонентам сети, реализованный в «Способе корректировки маршрутов в сети передачи данных» по патенту РФ №2120190, МПК H04L 12/28, опубл. 10.10.1998 г.

Способ заключается в том, что поиск маршрутов доставки сообщений к абоненту осуществляется по сетевому адресу узла коммутации его текущей привязки. Выбор маршрутов к абоненту осуществляется на узлах коммутации по служебному корректирующему сообщению, содержащему сетевые адреса абонента, узла коммутации и код признака корректировки "запись", "стирание".

Недостатком данного способа является также отсутствие адаптации к изменениям структуры сети связи. Это вызвано тем, что корректировка осуществляется децентрализовано и охватывает не всю сеть связи, а ее отдельные локальные участки. Отсутствие параметров выбора маршрутов к абоненту, что приводит к низкому качеству выбора.

Наиболее близким по своей технической сущности к заявленному является «Способ выбора целесообразным образом используемого маршрута в маршрутизаторе для равномерного распределения в коммутационной сети» по заявке на изобретение РФ №2004111798, МПК H04L 1/00, опубл. 10.05.2005 г.

Способ-прототип заключается в том, что предварительно задают исходные данные, содержащие критерии качества маршрутов. Запоминают в маршрутизаторе информацию о структуре сети связи, включающую адреса узлов сети и наличие связи между ними. Формируют совокупность возможных маршрутов связи. После получения сообщения для целевого адреса сети выбирают один маршрут в соответствии с предварительно заданными критериями качества маршрутов и передают по выбранному маршруту сообщения.

Известный способ-прототип устраняет недостатки аналогов, касающиеся снижения качества выбора маршрута, что обусловлено введением критериев качества маршрутов.

Однако недостатком указанного способа-прототипа является относительно низкая скрытность связи при использовании выбранного маршрута информационного обмена абонентов в сети связи. Наличие транзитных узлов сети, обладающих низким уровнем безопасности, создает предпосылки для перехвата злоумышленниками информационного обмена абонентов сети.

Целью заявленных технических решений является разработка способа (вариантов) выбора безопасного маршрута в сети связи, обеспечивающего повышение скрытности связи за счет управления маршрутами информационного обмена абонентов в сети связи и выбора наиболее безопасного маршрута. *Безопасный маршрут - последовательность транзитных узлов сети, при передаче через которые, сообщение не подвержено угрозам информационной безопасности.

В первом варианте способа поставленная цель достигается тем, что в известном способе выбора безопасного маршрута в сети связи, заключающемся в том, что для сети связи, содержащей X≥2 узлов сети предварительно задают исходные данные, запоминают информацию о структуре сети связи, включающей адреса узлов сети IPУС и наличие связи между ними, формируют совокупность N возможных маршрутов связи, из которых выбирают один маршрут и передают по нему сообщения. В предварительно заданные исходные данные дополнительно задают структурный и идентификационный массивы, адрес сервера безопасности IPСБ, идентификаторы IDa и адреса IPa абонентов, подключенных к сети связи. Задают для каждого x-го узла сети, где х=1, 2,..., X, Y≥2 параметров безопасности и их значения bxy, где y=1, 2,..., Y. Вычисляют комплексный показатель безопасности k для каждого x-го узла сети. Формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IPУС и адреса абонентов IPa сети, а также информацию о наличии связи между узлами и абонентами сети, а в идентификационном массиве запоминают идентификаторы IDa, IDСБ и соответствующие им адреса IPa, IPСБ абонентов сети и сервера безопасности. После этого формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети, где i=1, 2,..., j=1, 2,..., и i≠j, в виде Nij деревьев графа сети связи, причем каждое n-е, где n=1, 2,..., Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети. Затем для каждого из Nij возможных маршрутов связи вычисляют средние показатели безопасности как среднее арифметическое комплексных показателей безопасности узлов сети, входящих в n-й маршрут связи. В качестве безопасного маршрута связи выбирают маршрут с наибольшим значением его среднего показателя безопасности . При этом в случае нахождения нескольких маршрутов с равными средними показателями безопасности выбирают из них маршрут с наименьшим количеством входящих в него узлов zn. После этого выбранный безопасный маршрут запоминают и формируют сообщения, включающие запомненные маршруты между i-м и всеми j-ми абонентами, идентификаторы IDaj и адреса IPaj всех j-х абонентов. Отправляют сформированные сообщения всем i-м абонентам сети. А для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения IDa выбирают его адрес IPa и безопасный маршрут и передают сообщение, включающее информацию об используемом маршруте. При подключении нового абонента к сети связи формируют сообщение, содержащее адрес узла сети IPУС подключения нового абонента, его идентификатор IDан и адрес IPан. После этого отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах. Затем в сервере безопасности выбирают безопасные маршруты связи между новым абонентом и всеми j-ми абонентами и запоминают их, после чего формируют сообщения, включающие информацию о запомненных безопасных маршрутах связи, и отправляют их всем абонентам сети.

Комплексный показатель безопасности k для каждого x-го узла сети вычисляют путем суммирования, или перемножения, или как среднее арифметическое значение его параметров безопасности bxy.

Число Nij деревьев графа сети связи между i-м и j-м абонентами сети вычисляют по формуле

где Bo=М×K - преобразованная матрица смежности вершин графа сети связи, а М=Mp-1, K - соответственно число строк и столбцов матрицы, Mp - число строк исходной матрицы смежности, равное общему количеству узлов сети связи; - транспонированная матрица к Bo.

Во втором варианте способа поставленная цель достигается тем, что в известном способе выбора безопасного маршрута в сети связи, заключающемся в том, что для сети связи, содержащей X≥2 узлов сети предварительно задают исходные данные, запоминают информацию о структуре сети связи, включающую адреса узлов сети IPУС и наличие связи между ними, формируют совокупность N возможных маршрутов связи, из которых выбирают один маршрут и передают по нему сообщения. В предварительно заданные исходные данные дополнительно задают структурный и идентификационный массивы, массив правил разграничения доступа, адрес сервера безопасности IPСБ, идентификаторы IDa и адреса IPa абонентов, подключенных к сети связи, данные о разграничении доступа между i-м и j-м абонентами сети, где i=1, 2,..., j=1, 2,..., и i≠j. Задают для каждого x-го узла сети, где х=1, 2,..., X, Y≥2 параметров безопасности и их значения bxy, где y=1, 2,..., Y. Вычисляют комплексный показатель безопасности kдля каждого x-го узла сети. Формируют матрицу доступа, для чего запоминают в массиве правил разграничения доступа идентификаторы IDa абонентов и соответствующие им данные о разграничении доступа. Затем формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IPУС и адреса абонентов IPa сети, а также информацию о наличии связи между узлами и абонентами сети, а в идентификационном массиве запоминают идентификаторы IDa, IDСБ и соответствующие им адреса IPa, IPСБ абонентов сети и сервера безопасности. При подключении нового абонента к сети связи формируют сообщение, содержащее адрес узла сети IPУС подключения нового абонента, его идентификатор IDан и адрес IPан. После этого отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах. Формируют у i-го абонента запрос о возможности доступа к j-му абоненту сети, включающий идентификаторы i-го IDai и j-го IDaj абонентов. Отправляют запрос на сервер безопасности, где его запоминают. Проверяют по матрице доступа наличие запрашиваемого доступа и при его отсутствии формируют и отправляют i-му абоненту сети ответ об отсутствии его доступа к j-му абоненту сети. При наличии доступа формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети в виде Nij деревьев графа сети связи, причем каждое n-е, где n=1, 2,..., Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети. Затем для каждого из Nij возможных маршрутов связи между i-м и j-м абонентами сети вычисляют средние показатели безопасности как среднее арифметическое комплексных показателей безопасности узлов сети, входящих в n-й маршрут связи. В качестве безопасного маршрута связи выбирают маршрут с наибольшим значением его среднего показателя безопасности . В случае нахождения нескольких маршрутов с равными средними показателями безопасности выбирают из них маршрут с наименьшим количеством входящих в него узлов zn. После этого выбранный безопасный маршрут запоминают, формируют сообщение, включающее запомненный маршрут и адрес IPaj j-го абонента. Отправляют сформированное сообщение i-му абоненту сети. А для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения IDa, выбирают его адрес IPa и безопасный маршрут и передают сообщение, включающее информацию об используемом маршруте.

Комплексный показатель безопасности kдля каждого x-го узла сети вычисляют путем суммирования, или перемножения, или как среднее арифметическое значение его параметров безопасности bxy.

Число Nij, деревьев графа сети связи между i-м и j-м абонентами сети вычисляют по формуле

где Bo=М×K - преобразованная матрица смежности вершин графа сети связи, а М=Mр-1, K - соответственно число строк и столбцов матрицы, Mp - число строк исходной матрицы смежности, равное общему количеству узлов сети связи; - транспонированная матрица к Bo.

В третьем варианте способа поставленная цель достигается тем, что в известном способе выбора безопасного маршрута в сети связи, заключающемся в том, что для сети связи, содержащей X≥2 узлов сети предварительно задают исходные данные, запоминают информацию о структуре сети связи, включающую адреса узлов сети IPУС и наличие связи между ними, формируют совокупность N возможных маршрутов связи, из которых выбирают один маршрут и передают по нему сообщения. В предварительно заданные исходные данные дополнительно задают структурный и идентификационный массивы, допустимый показатель безопасности маршрута kдоп, адрес сервера безопасности IPСБ, идентификаторы IDa и адреса IPa абонентов, подключенных к сети связи. Задают для каждого x-го узла сети, где x=1, 2,..., X, Y≥2 параметров безопасности и их значения bxy, где y=1, 2,..., Y. Вычисляют комплексный показатель безопасности kдля каждого x-го узла сети. Затем формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IPУС и адреса абонентов IPa сети, а также информацию о наличии связи между узлами и абонентами сети. В идентификационном массиве запоминают идентификаторы IDa, IDcp и соответствующие им адреса IPa, IPСБ абонентов сети и сервера безопасности. При подключении нового абонента к сети связи формируют сообщение, содержащее адрес узла сети IPУС подключения нового абонента, его идентификатор IDан и адрес IPан. После этого отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах. Формируют у i-го абонента запрос на безопасный маршрут j-му абоненту сети, где i=1, 2,..., j=1, 2,..., и i≠j, включающий идентификаторы i-го IDai и j-го IDaj абонентов. Отправляют запрос на сервер безопасности, где его запоминают. После этого формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети в виде Nij деревьев графа сети связи, причем каждое n-е, где n=1, 2,..., Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети. Затем для каждого из Nij возможных маршрутов связи вычисляют средние показатели безопасности как среднее арифметическое комплексных показателей безопасности узлов сети, входящих в n-й маршрут связи. В качестве безопасного маршрута связи выбирают маршрут с наибольшим значением его среднего показателя безопасности . При этом в случае нахождения нескольких маршрутов с равными средними показателями безопасности выбирают из них маршрут с наименьшим количеством входящих в него узлов zn. Сравнивают средний показатель безопасности выбранного маршрута с предварительно заданным допустимым показателем безопасности маршрута kдоп. При выполнении условия формируют и отправляют i-му абоненту сети ответ об отсутствии безопасного маршрута между i-м и j-м абонентами сети. А при выполнении условия , выбранный безопасный маршрут запоминают. Формируют сообщение, включающее запомненный маршрут и адрес IPaj j-го абонента. Отправляют сформированное сообщение i-му абоненту сети. Для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения IDaj выбирают его адрес IPa и безопасный маршрут и передают сообщение, включающее информацию об используемом маршруте.

Комплексный показатель безопасности k для каждого x-го узла сети вычисляют путем суммирования, или перемножения, или как среднее арифметическое значение его параметров безопасности bxy.

Число Nij деревьев графа сети связи между i-м и j-м абонентами сети вычисляют по формуле

где Bo=М×K - преобразованная матрица смежности вершин графа сети связи, а М=Mp-1, K - соответственно число строк и столбцов матрицы, Mp - число строк исходной матрицы смежности, равное общему количеству узлов сети связи; - транспонированная матрица к Bo.

В четвертом варианте способа поставленная цель достигается тем, что в известном способе выбора безопасного маршрута в сети связи, заключающемся в том, что для сети связи, содержащей X≥2 узлов сети предварительно задают исходные данные, запоминают информацию о структуре сети связи, включающую адреса узлов сети IPУС и наличие связи между ними, формируют совокупность N возможных маршрутов связи, из которых выбирают один маршрут и передают по нему сообщения. В предварительно заданные исходные данные дополнительно задают структурный и идентификационный массивы, массив соответствия рангов Ra абонентов и комплексных показателей безопасности k узлов сети, адрес сервера безопасности IPСБ, идентификаторы IDa, адреса IPa и соответствующие им ранги Rа≥2 абонентов, подключенных к сети связи. Задают для каждого x-го узла сети, где x=1, 2,..., X, Y≥2 параметров безопасности и их значения bxy, где y=1, 2,..., Y. Вычисляют комплексный показатель безопасности k для каждого x-го узла сети. Затем формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IPУС и адреса абонентов IPa сети, а также информацию о наличии связи между узлами и абонентами сети. В идентификационном массиве запоминают идентификаторы IDa, IDСБ и соответствующие им адреса IPa, IPСБ абонентов сети и сервера безопасности. При подключении нового абонента к сети связи формируют сообщение, содержащее адрес узла сети IPУС подключения нового абонента, его идентификатор IDан и адрес IPан. После этого отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах. Формируют у i-го абонента запрос на безопасный маршрут к j-му абоненту сети, где i=1, 2,..., j=1, 2,..., и i≠j, включающий идентификаторы i-го IDai и j-го IDaj абонентов. Отправляют запрос на сервер безопасности, где его запоминают. После этого формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети в виде Nij деревьев графа сети связи, причем каждое n-е, где n=1, 2,..., Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети. Затем из Nij возможных маршрутов связи выбирают безопасный маршрут , для которого комплексные показатели безопасности входящих в него узлов соответствуют равному или более высокому рангу Rai i-го абонента сети. Запоминают безопасный маршрут . Формируют сообщение, включающее запомненный маршрут и адрес IPaj j-ого абонента, и отправляют сформированное сообщение i-му абоненту сети. При отсутствии безопасного маршрута между i-м и j-м абонентами сети формируют и отправляют i-му абоненту сети ответ об отсутствии безопасного маршрута к j-му абоненту сети. Для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения IDа выбирают его адрес IPа и безопасный маршрут и передают сообщение, включающее информацию об используемом маршруте.

Комплексный показатель безопасности k для каждого x-го узла сети вычисляют путем суммирования, или перемножения, или как среднее арифметическое значение его параметров безопасности bxy.

Число Nij деревьев графа сети связи между i-м и j-м абонентами сети вычисляют по формуле

где Bo=М×K - преобразованная матрица смежности вершин графа сети связи, а М=Mр-1, K - соответственно число строк и столбцов матрицы, Mp - число строк исходной матрицы смежности, равное общему количеству узлов сети связи; - транспонированная матрица к Bo.

В пятом варианте способа поставленная цель достигается тем, что в известном способе выбора безопасного маршрута в сети связи, заключающемся в том, что для сети связи, содержащей X≥2 узлов сети предварительно задают исходные данные, запоминают информацию о структуре сети связи, включающую адреса узлов сети IPУС и наличие связи между ними, формируют совокупность N возможных маршрутов связи, из которых выбирают один маршрут и передают по нему сообщения. В предварительно заданные исходные данные дополнительно задают структурный и идентификационный массивы, массив соответствия рангов Rинф, передаваемой информации и комплексных показателей безопасности k узлов сети, адрес сервера безопасности IPСБ, идентификаторы IDa, адреса IPa абонентов, подключенных к сети связи, и Rинф≥2 рангов передаваемой информации. Задают для каждого x-го узла сети, где х=1, 2,..., X, Y≥2 параметров безопасности и их значения bxy, где y=1, 2,..., Y. Вычисляют комплексный показатель безопасности kдля каждого x-го узла сети. Затем формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IPУС и адреса абонентов IPa сети, а также информацию о наличии связи между узлами и абонентами сети. А в идентификационном массиве запоминают идентификаторы IDa, IDСБ и соответствующие им адреса IPa, IPСБ абонентов сети и сервера безопасности. При подключении нового абонента к сети связи формируют сообщение, содержащее адрес узла сети IPУС подключения нового абонента, его идентификатор IDан и адрес IPан. После этого отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах. Формируют у i-го абонента запрос на безопасный маршрут к j-му абоненту сети, где i=1, 2,..., j=1, 2,..., и i≠j, включающий идентификаторы i-го IDai и j-го IDaj абонентов, и ранг Rинф i передаваемой информации. Отправляют запрос на сервер безопасности, где его запоминают. Далее формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети в виде Nij деревьев графа сети связи, причем каждое n-е, где n=1, 2,..., Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети. Затем из Nij возможных маршрутов связи между i-м и j-м абонентами сети выбирают безопасный маршрут , для которого комплексные показатели безопасности входящих в него узлов соответствуют равному или более высокому рангу Rинф i передаваемой информации. Запоминают безопасный маршрут . Формируют сообщение, включающее запомненный маршрут и адрес IPaj j-го абонента. Отправляют сформированное сообщение i-му абоненту сети. При отсутствии безопасного маршрута между i-м и j-м абонентами сети формируют и отправляют i-му абоненту сети ответ об отсутствии безопасного маршрута к j-му абоненту сети. Для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения IDa выбирают его адрес IPa и безопасный маршрут и передают сообщение, включающее информацию об используемом маршруте.

Комплексный показатель безопасности k для каждого x-го узла сети вычисляют путем суммирования, или перемножения, или как среднее арифметическое значение его параметров безопасности bxy.

Число Nij деревьев графа сети связи между i-м и j-м абонентами сети вычисляют по формуле

где Bo=М×K - преобразованная матрица смежности вершин графа сети связи, а М=Mp-1, K - соответственно число строк и столбцов матрицы, Mp - число строк исходной матрицы смежности, равное общему количеству узлов сети связи; - транспонированная матрица к Bo.

Благодаря новой совокупности существенных признаков в каждом из вариантов заявленного способа (вариантов) путем задания информации о структуре сети связи, исходных данных об узлах и абонентах сети, и расчета комплексных показателей безопасности узлов сети, осуществляется выбор безопасных маршрутов в сети связи из совокупности всех возможных маршрутов связи между абонентами и доведение безопасного маршрута до абонентов сети, что обеспечивает достижение сформулированного технического результата - повышения скрытности связи за счет управления маршрутами информационного обмена абонентов в сети связи.

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностью признаков, тождественных всем признакам заявленного способа (вариантов), в известных источниках информации отсутствуют, что указывает на соответствие заявленного способа (вариантов) условию патентоспособности «новизна».

Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками заявленного объекта, показали, что они не следуют явным образом из уровня техники. Из уровня техники также не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения преобразований на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».

Заявленный способ (варианты) поясняется чертежами, на которых показаны:

фиг.1 - пример структуры сети связи;

фиг.2 - блок-схема последовательности действий, реализующих первый вариант заявленного способа выбора безопасного маршрута в сети связи;

фиг.3 - исходные данные;

фиг.4 - выбор безопасного маршрута связи;

фиг.5 - таблица расчета средних показателей безопасности маршрутов;

фиг.6 - матрица доступа и массивы соответствия;

фиг.7 - блок-схема последовательности действий, реализующих второй вариант заявленного способа выбора безопасного маршрута в сети связи;

фиг.8 - блок-схема последовательности действий, реализующих третий вариант заявленного способа выбора безопасного маршрута в сети связи;

фиг.9 - блок-схема последовательности действий, реализующих четвертый вариант заявленного способа выбора безопасного маршрута в сети связи;

фиг.10 - блок-схема последовательности действий, реализующих пятый вариант заявленного способа выбора безопасного маршрута в сети связи;

фиг.11 - рисунок, представляющий пример выбора безопасного маршрута в сети связи.

Реализация заявленного способа объясняется следующим образом. Известно, что для обеспечения информационного обмена абонентов в сети связи осуществляется выбор маршрута связи из совокупности возможных маршрутов между абонентами сети. Выбрать маршрут передачи сообщений - значит определить последовательность транзитных узлов сети, через которые надо передавать сообщения, чтобы доставить их адресату. Определение маршрута сложная задача, особенно когда между парой абонентов существует множество маршрутов. Задача определения маршрутов состоит в выборе из всего этого множества одного или нескольких маршрутов по некоторому критерию. Однако в существующих способах выбора маршрутов, как правило, в качестве критериев выбора выступают, например, номинальная пропускная способность; загруженность каналов связи; задержки, вносимые каналами; количество промежуточных транзитных узлов сети; надежность каналов и транзитных узлов сети. При этом выбор маршрута осуществляется в узлах сети (маршрутизаторах) операторов связи. На каждом из узлов сети маршрут определяется самостоятельно, и первоначальный маршрут не всегда совпадает с конечным. Наличие транзитных узлов сети, обладающих низким уровнем безопасности, создает предпосылки для перехвата злоумышленниками информационного обмена абонентов сети, что приводит к снижению скрытности связи. Таким образом, возникает противоречие между требованием по обеспечению скрытности связи и существующими способами выбора маршрутов информационного обмена в сети связи. На устранение указанного противоречия направлен заявленный способ (варианты).

Первый вариант заявленного способа реализуют следующим образом. В общем случае сеть связи (фиг.1) представляет собой совокупность из X узлов сети 1, сервера безопасности 2 и абонентов сети 3, объединенных физическими линиями связи 4. Количество узлов сети X больше или равно двум. Все эти элементы определяются идентификаторами, в качестве которых в наиболее распространенном семействе протоколов TCP/IP используют сетевые адреса (IP-адреса). При необходимости распределенной обработки информации и (или) ее передачи абоненты осуществляют подключение к сети связи. Множество адресов подключенных к сети связи абонентов и узлов сети не пересекаются.

Передача сообщений между абонентами сети осуществляется через узлы сети при наличии связи между ними, для чего из совокупности всех возможных маршрутов связи (Маршрут связи - это последовательность транзитных узлов сети на пути от отправителя к получателю (см., например, Олифер В.Г. и Олифер Н.А. «Компьютерные сети. Принципы, технологии, протоколы», уч. для Вузов, 2-изд.; - СПб.: Питер, 2003, с.497)) выбирают один. Связи между элементами сети характеризуются только двумя значениями, наличие связи и ее отсутствие. Остальные параметры линий связи считаются постоянными и не учитываются, так как наиболее вероятным и более просто реализуемым способом несанкционированного перехвата информационного обмена в сети связи является подключение к ее узлам.

На фиг.2 представлена блок-схема последовательности действий, реализующих первый вариант заявленного способа выбора безопасного маршрута в сети связи, в которой приняты следующие обозначения:

{IP} - структурный массив;

{ID} - идентификационный массив;

IPСБ - сетевой адрес сервера безопасности;

IDa - идентификатор абонента;

IPa - сетевой адрес абонента;

Y - число учитываемых параметров безопасности узлов сети;

bxy - значение y-го параметра безопасности x-го узла сети, где x=1, 2,..., X, y=1, 2,..., Y;

k - комплексный показатель безопасности каждого x-го узла сети;

Nij - количество деревьев графа сети связи, соответствующее совокупности возможных маршрутов связи между i-м и j-м абонентами сети, где x=1, 2,..., j=1, 2,..., и i≠j;

- средний показатель безопасности маршрута связи между i-м и j-м абонентами сети;

- безопасный маршрут связи между i-м и j-м абонентами сети;

zn - количество вершин n-ого дерева графа, где n=1, 2,..., Nij, соответствующее количеству принадлежащих ему узлов сети;

СБ - сервер безопасности.

На начальном этапе в сервере безопасности (на фиг.1 - СБ) задают исходные данные (бл. 1 на фиг.2), включающие структурный {IP} и идентификационный {ID} массивы, адрес сервера безопасности IPСБ, идентификаторы IDa и адреса IPа абонентов, подключенных к сети связи, а также для каждого x-го узла сети, где х=1, 2,..., X, Y≥2 параметров безопасности и их значения bxy, где y=1, 2,..., Y, которые сведены в таблицу (фиг.3в). Структурный массив {IP} - массив для хранения адреса сервера безопасности IPСБ, адресов узлов IPУС и абонентов IPa сети, а также информации о наличии связи между ними (фиг.3а), которая характеризуется только двумя значениями, "1" - наличие связи и "0" - ее отсутствие. Идентификационный массив {ID} - массив для хранения идентификаторов сервера безопасности IDСБ, абонентов IDa сети связи и соответствующих им адресов абонентов сети IPa и сервера безопасности IPСБ (фиг.3б). Параметры безопасности узлов сети определяют, например, в соответствии с ГОСТ РИСО/МЭК 15408-2002 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».

Значения bx1 параметра y=1 безопасности узлов сети определяют, например, по характеристикам производителей оборудования узлов сети, информацию о которых можно получить из физических адресов узлов сети. Физические адреса узлов сети представляют в виде шестнадцатеричной записи, например 00:10:5a:3F:D4:E1, где первые три значения определяют производителя (00:01:е3 - Siemens, 00:10:5а - 3Com, 00:03:ba - Sun).

Например, для УС1 (х=1 на фиг.5а), физический адрес которого 00:01:e3:3F:D4:E1, первые три значения определяют производителя Siemens, что соответствует значению параметра безопасности b11=0,3. Аналогично определяются значения bx1 параметра y=1 безопасности узлов сети УС2-УС5, а также значения bxy всех заданных Y≥2 параметров безопасности (фиг.5а).

В качестве остальных параметров безопасности узла сети можно рассматривать тип его оборудования, версию установленного на нем программного обеспечения, принадлежность узла государственной или частной организации.

Для каждого x-го узла сети по значениям bxy его параметров безопасности вычисляют комплексный показатель безопасности k (бл.2 на фиг.2). Рассчитанные показатели представлены в таблице (фиг.3г).

Комплексный показатель безопасности kдля каждого x-го узла сети вычисляют путем суммирования , или перемножения , или как среднее арифметическое значение его параметров безопасности bxy.

Принципиально способ вычисления kне влияет на результат выбора безопасного маршрута. Например, значения вычисленных комплексных показателей безопасности kдля каждого x-го узла рассматриваемого варианта сети связи (фиг.1) перечисленными способами при заданных значениях параметров безопасности bxy узлов приведены в таблице (фиг.5а).

Далее формируют матрицу смежности вершин графа сети (бл.3 на фиг.2), для чего запоминают в структурном массиве (фиг.3а) адреса узлов сети IPУС и адреса абонентов IPa сети, а также информацию о наличии связи между узлами и абонентами сети.

Способы формирования матриц смежности вершин графа известны (см., например, Конечные графы и сети. Басакер Р., Саати Т., М., 1973, 368 с.). Для рассматриваемого графа сети связи матрица смежности вершин имеет вид:

После этого в идентификационном массиве (фиг.3б) запоминают идентификаторы IDa, IDСБ и соответствующие им адреса IPа, IPСБ абонентов сети и сервера безопасности.

Формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети (бл.4 на фиг.2), где i=1, 2,..., j=1, 2,..., и i≠j, в виде Nij деревьев графа сети связи (фиг.4а). Каждое n-е, где n=1, 2,..., Nij, дерево графа состоит из zn вершин, соответствующих количеству узлов сети. Порядок формирования деревьев графа известен и описан, см., например, Кристофидес Н. Теория гр