Устройство доверенной маршрутизации в телекоммуникационных сетях
Полезная модель относится к вычислительной технике, в частности, к устройствам маршрутизации в телекоммуникационных сетях (ТКС). Техническим результатом полезной модели является повышение достоверности выбора доверенного маршрута путем исключения при выборе доверенного маршрута узлов, не внушающих доверия, и тем самом обеспечение сохранения конфиденциальности передаваемых данных. Достижение технического результата обеспечивается в устройстве доверенной маршрутизации в ТКС, содержащем последовательно соединенные блок хранения данных, блок проверки наличия данных, блок считывания данных и блок проверки уровня доверия маршрутов, а также блок выбора доверительного маршрута, отличающемся тем, что оно дополнительно содержит последовательно соединенные блок определения доверия узлов ТКС и блок контроля/управления узлов и преобразования недоверенных узлов в доверенные узлы, при этом вход блока определения доверия узлов ТКС подключен к выходу блока считывания данных, выход блока контроля/управления узлов и преобразования недоверенных узлов в доверенные узлы подключен к входу блока выбора доверенного маршрута. 1 с.п. ф-лы, 8 илл.
Полезная модель относится к вычислительной технике, в частности, к устройствам маршрутизации в телекоммуникационных сетях (ТКС).
Обычно устройство маршрутизации содержит средство для нахождения маршрутов в ТКС, средство для передачи данных, при этом устройство маршрутизации способно определять кратчайшей пути от узла-источника (S) к узлу-получателя (T) используя модули маршрутизации.
Из существующего уровня техники известен алгоритм Е.В. Дейкстры, который представляет собой алгоритм для выбора кратчайшего пути от одного узла ко всем узлам. В поиске по алгоритму Дейкстры, кратчайший путь ко всем узлам выбирается последовательно для каждого узла от начальной точки. Область решений кратчайших путей постепенно расширяется так, чтобы можно было найти кратчайшие пути ко всем узлам (см. 1. «Заметка о двух проблемах связанных с графами» (A Note on Two Problems in Connexion with Graphs, Numerische Mathematik), опубл. 1959 г.). Это модель очень широко используется в ТКС особенно при маршрутизации. Однако, данный алгоритм не позволяет осуществить проверку уровня доверия узлов в ТКС передаваемых данных путем предотвращения несанкционированного доступа (НСД), т.е. алгоритм не обеспечивает проверки уровня доверия узлов в ТКС при выборе кратчайшего пути и тем самом не позволяет выбрать те узлы в ТКС, которым можно доверять.
Известен способ (2. см. патент США 20130019317, МПК G06F 21/00, опубл. 17.01.2013), при котором данные могут быть направлены через цепочку узлов, где, по крайней мере, один узел имеет более низкий уровень доверия, а остальные узлы имеют приемлемые уровни доверия. В патенте предложен метод создания и использования зашифрованного туннеля, в том случае, когда также существует(ют) узел(ы) с неприемлемым уровнем доверия, с последующей расшифровкой данных в ТКС, при нахождении узла с приемлемым уровнем доверия. Устройство для реализации этого способа содержит последовательно соединенные блок хранения данных, блок проверки наличия данных, блок считывания данных, блок проверки уровня доверия цепочки узлов в сети, блок кодирования данных, и блок выбора маршрута. Способ по патенту США 20130019317 требует, чтобы маршрутизаторы определили путь, при движении по которому может быть применен, по крайней мере, один зашифрованный туннель для поддержки более высокой степени доверия при маршрутизации данных. Но зашифрованные данные, в конечном итоге, могут быть скопированы или удалены устройством маршрутизации не внушающем доверия; или могут быть расшифрованы третьими лицами.
Известен способ (3. см. патент США 20120324218, МПК H04L 9/32, H04L 9/08, опубл. 20.12.2012), в котором устанавливают уровень доверия узлам, посылая друг другу сообщения аутентификации и используя общие симметричные ключи шифрования, и затем добавляют сообщении в свои списки доверия. Устройство для реализации этого способа содержит последовательно соединенные блок хранения данных, блок проверки наличия данных, блок считывания данных, блок обмен данными о симметричных ключах, и блок выбора маршрута. При этом способе в некоторых случаях возникает проблема, когда обмен общими симметричными ключами шифрования скомпрометирован при атаках, из-за НСД к передаваемой информации. В результате невозможно обеспечить конфиденциальность и целостность данных в ТКС при их передаче путем обеспечения выбора доверенного маршрута в ТКС для прохождения данных от отправителя к получателю.
Наиболее близким к заявленному техническому решению является (4. см. патент США 7984294, МПК H04L 29/06, опубл. 19.07.2011), техническое решение, раскрывающее метод и устройство, в которых предлагается устанавливать уровень доверия маршрута, используя множество маршрутизаторов Интернета и маршрутизатор отправителя, с помощью информации об уровнях доверия маршрутов, полученных в виде дополнительной информации от каждого маршрутизатора на этом маршруте через Интернет; а также оценки пояснительной информации об уровнях доверия для определения достаточности уровня доверия того или иного маршрута, полученного через Интернет. Когда маршрут получен маршрутизатором отправителя, он определяет, является ли уровень доверия этого маршрута приемлемым, используя информацию из базы данных. Если маршрут приемлемый, то он посылает сообщение о подтверждения этого маршрута в виде кода RSVP-TPACT всем узлам этого маршрута. В противном случае, маршрутизатор отправителя передает сообщение RSVP-РАЗРЫВ всем узлам этого маршрута, т.е. что этот маршрут не заслуживает доверия. Далее маршрутизатор отправителя продолжает выбирать маршрут к маршрутизатору получателя, пока не будет найден приемлемый маршрут или когда наличие маршрутов исчерпано. Устройство маршрутизации для реализация этого способа содержит последовательно соединенные блок хранения данных, блок проверки наличия данных, блок считывания данных и блок проверки уровня доверия маршрутов, а также блок выбора доверительного маршрута. В устройстве для осуществления доверенной маршрутизации по патенту США 7984294, маршрутизатор отправителя продолжает выбирать маршрут к маршрутизатору получателя, пока не будет найден приемлемый маршрут или наличие маршрутов исчерпано. Однако выбор доверенных маршрутов далеко не велик и не очень надежен, поскольку, хотя количество маршрутов определяется алгоритмом маршрутизации, маршрут выбирается среди всех узлов ТКС, не исключая недоверенных узлов. Это приводит к снижению достоверности выбранного маршрута, поскольку в нем может оказаться узел, не внушающий доверия.
Техническим результатом полезной модели является повышение достоверности выбора доверенного маршрута путем исключения при выборе доверенного маршрута узлов, не внушающих доверия, и тем самом обеспечение сохранения конфиденциальности передаваемых данных.
В результате этот метод обеспечивает целостность и конфиденциальность данных, передаваемых в ТКС, и улучшает безопасность данных, т.к. в процессе поиска кратчайшего пути от источника к месту назначения используются только те узлы, которые определены в блоке определения доверия узлов ТКС, и те, которые блоком контроля/управления узлов и преобразования недоверенных узлов в доверенные узлы преобразованы в доверенные узлы, что исключает возможность подделки данных любым способом.
Достижение технического результата обеспечивается в устройстве доверенной маршрутизации в ТКС, содержащем последовательно соединенные блок хранения данных, блок проверки наличия данных, блок считывания данных и блок проверки уровня доверия маршрутов, а также блок выбора доверительного маршрута, отличающемся тем, что оно дополнительно содержит последовательно соединенные блок определения доверия узлов ТКС и блок контроля/управления узлов и преобразования недоверенных узлов в доверенные узлы, при этом вход блока определения доверия узлов ТКС подключен к выходу блока считывания данных, выход блока контроля/управления узлов и преобразования недоверенных узлов в доверенные узлы подключен к входу блока выбора доверенного маршрута.
Введение блока определения доверия узлов обеспечивает использование в устройстве только тех узлов, которые при проверке определены как доверенные, а введение блока контроля/управления узлов и преобразования недоверенных узлов в доверенные узлы обеспечивает контроль и управление передачи данных через доверенные узлы, а также преобразование, в случае возможности, недоверенных узлов в доверенные, тем самым повышая достоверность выбора узлов, которым можно доверять, и обеспечивая сохранение конфиденциальности передаваемой информации.
Предлагаемая полезная модель поясняется чертежами, где на фиг. 1 представлена схема примерной сетевой модели ТКС, в которой имеется несколько устройств маршрутизации (RD), обозначенных как S, A, B, C, D, E, F, G, Y, T; на фиг. 2а-2в представлены схемы выбора маршрутов в соответствии с алгоритмом Дейкстры, на фиг. 2а-2в каждый узел соединен векторами с другими узлами, имеющими определенную длину, соответствующую расстоянию между соседними узлами, при этом выбираемый маршрут не исключает недоверенные узлы (B, G); на фиг. 3а-3в показан процесс получения доверенного кратчайшего пути от узла-источника к узлу-получателю, в котором используется алгоритм нахождения доверенного кратчайшего пути в соответствии с предлагаемой полезной моделью; на фиг. 3а-3в показано, что выбираемый маршрут исключает недоверенные узлы (B, G); на фиг. 4 представлен пример сетевой модели ТКС с определенными доверенными узлами, показывающий доверенный кратчайший путь от узла-источника S к узлу-получателя T, полученный в результате предлагаемой доверенной маршрутизации, при которой используется алгоритм нахождения доверенного кратчайшего пути (модифицированный алгоритм Дейкстры), в соответствии с предлагаемой полезной моделью; на фиг. 5 приведена блок-схема алгоритма процессов выбора доверенного маршрута, при котором исключаются недоверенные узлы ТКС в процессе идентификации и осуществляется контроль над узлами в соответствии с предлагаемой полезной моделью; на фиг. 6 представлена функциональная схема предлагаемого устройства, которая содержит последовательно соединенные блок 1 хранения данных, блок 2 считывания данных, блок 3 проверки наличия данных, блок 4 определения уровня доверия узлов, блок 5 контроля/управления узлов и преобразования недоверенных узлов в доверенные узлы, блок 6 выбора доверенного маршрута; на фиг. 7 показана реализация предлагаемого устройства; на фиг. 8 приведена блок-схема алгоритма процесса преобразования недоверенного узла в доверенный узел.
Работа предлагаемого устройства (фиг. 6) с привлеченными фиг.1-5 и 7 осуществляется следующем образом. Данные G считываются блоком 2 считывания данных из блока 1 хранения данных. Далее в блоке 3 проверки наличия данных определяется наличие данных G. Если эти данные имеются, проводится их обработка, в противном случае - процесс приостанавливается. В блоке 4 определения уровня доверия узлов проводится проверка уровня доверия каждого узла. Если узел доверенный, тогда проводится его обработка, в противном случае - осуществляется процесс преобразования недоверенных узлов в доверенные в блоке 5 контроля/управления узлов и преобразования недоверенных узлов в доверенные узлы. Если преобразование узла успешно, он становится доверенным, и тогда проводится его обработка, в противном случае недоверенный узел исключается из обработки. В блоке 6 выбора доверенного маршрута выбирается доверенный кратчайший путь от узла источника до узла получателя среди подключенных между собой доверенных узлов.
Реализация предлагаемого устройства (Фиг. 7) представляет собой пример устройства доверенной маршрутизации с аппаратно-программными средствами для осуществления настоящей полезной модели. Устройство включает в себя блок 7 основной памяти, соединенный с процессором 8, который соединен к шине контроллера платформы 9.
Устройство также содержит дисплей 10, который через порт 11 подключен к шине контроллера платформы 9 для целей управления. На дисплее 10 отображается на соответствующем графическом интерфейсе информация о состоянии устройства при подключении к сети через линии связи, и информация о программном обеспечении, установленном в устройстве. Устройство содержит также жесткий диск 6, который через порт 13, и привод USB 14 через порт 15 подключен к шине контроллера платформы 9. На жестком диске 12 хранятся операционная система, программы, включая код осуществления алгоритма осуществления предлагаемой полезной модели и данные, которые могут загружаться в блок 7 основной памяти. Предпочтительно, чтобы жесткий диск 12 использовался в качестве блока 1 для хранения данных (фиг. 6). Данные, хранящиеся в блоке 1 хранения данных, считываются посредством устройства 2 считывания входных данных (фиг. 6) и загружаются/хранятся в блоке 7 основной памяти.
USB привод 14 используется для установки программы на жесткий диск 12 по мере необходимости. Кроме того, в устройстве имеются клавиатура 16 и мышь 17, которые соединены с контроллером шины платформы 9 через порты клавиатуры/мыши 18. Данные, необходимые для реализации изобретения, могут быть сохранены во внешнем запоминающем устройстве и затем считаны из него. В устройстве имеется интерфейс связи 19, работающий, например, по протоколу Ethernet®, который подключен посредством шины к контроллеру платформе 9 через коммуникационный порт 20, обеспечивая подключение устройства к линии связи 21, которая служит для связи с начальным узлом ТКС посредством протокола TCP/IP.
Предпочтительно, чтобы процессор был выполнен на архитектуре 32-битной или 64-битной. Например, Intel CoreTM серии, Intel Xeon серии, AtomTM серии, Pentium серии и Celeron серии или AMD PhenomTM серии, TurionTM серии, AthlonTM серии и SempronTM. Вместо USB Drive может быть использован компакт-диск, DVD-диск или Blu-Ray-привод, жесткий диск также может быть подключен к порту IDE. В качестве линии связи может быть использована линия LAN, или беспроводная LAN на основе стандартов беспроводных сетей, таких как IEEE802.1 a/b/g/n.
Устройство доверенной маршрутизации может быть использовано, например, в качестве маршрутизатора ТКС, при этом устройство доверенной маршрутизации с использованием программного средства с программным кодом (алгоритмом), может быть реализовано процессором устройства маршрутизации.
При этом в блоке 4 определения уровня доверия узлов (фиг.6) осуществляется определение уровня доверия каждого узла в ТКС в соответствии с формулой описанной ниже:
и
где Vi - проверяемый узел ТКС,
T - множество параметров, по которым проверяется узел;
a, b, c, d - параметры, по которым определяется доверие узла, причем
a - определяет аутентификации, которые узел способен выполнять при проверке его физического местоположения, поскольку уровень доверия узлов может быть неприемлемым из-за их особого географического расположения;
b - определяет узел, известный маршрутизатору отправителя, как недоверенный из-за недоверия стране или корпорации, в которой этот узел находится;
c - определяет средние значения измерений физического местоположения узла, полученные с помощью пингования сети. Физическое расположение узла может быть определено путем размещения узла в известном безопасном месте, например, на военной базе или правительственном здании;
d - характеризует информацию, найденную в узле, хранившуюся в нем с целью идентификации.
Далее в блоке 5 для преобразования недоверенных узлов в доверенные (там, где это возможно) и контроля над этими недоверенными узлами, в модуль операционной системы (ОС) узла введен персональный программный код, который должен взаимодействовать с программным модулем ОС узла (например, с точки зрения перехвата пакетов), который адаптирован к архитектуре ОС узла. Это делается для того, чтобы в дальнейшем контролировать узел в интересах доверенной маршрутизации. Этот процесс представлен в виде блок-схемы алгоритма, приведенной на фиг.8. Для реализации этого процесса используются последовательно соединенные блок 22 узнавания/получения образа ОС недоверенного узла, блок 23 базы данных существующих модифицированных образов ОС узлов и выбора/подготовки образа ОС для замены и блок 24 установки модифицированного образа ОС узла в бывший недоверенный узел.
В соответствии с фиг. 8, в блоке 22 узнают или получают образы ОС узла. Выбор образа ОС для замены происходит в блоке 23, но если отсутствует модифицированный образ ОС узла для замены происходит процесс внедрения программных кодов в образ ОС узла, и этот процесс включает в себя распаковку (дизассемблирование) образа ОС узла, анализ и выбор области для внедрения программных кодов, подготовку выбранной области для внедрения, обеспечивая надежное функционирование образа ОС узла безотносительно содержимого области внедрения, замена инструкций ОС узла в модифицируемом файле образа, чтобы передать управление программным модулям, замена вызовов функций ОС узла на вызовы функций модулей и упаковка модифицированного образа ОС узла. Далее в блоке 24 устанавливается модифицированный образ ОС узла в недоверенный узел. Тестирование узла на уровень доверия после внедрения программных кодов происходит в блоке 4 (фиг. 6). Области внедрения - это участок в сегменте кода или в сегменте данных в файле образа IOS т.е. ОС узла.
Известно, что при маршрутизации каждый узел имеет свою административную базу данных, базу управляющей информации (MIB), которая используется в процессе управления, и что MIB содержит информацию о различных объектах (настройках) удаленного узла в ТКС. Известно также, что MIB в сети Интернет управляются при помощи протокола SNMP (простой протокол управления сетью) и SNMP, как базового протокола управления сети Интернет, что позволяет обеспечить управление и контроль за узлами и приложениями путем обмена управляющей информацией между агентами, располагающимися на узлах, и менеджерами, расположенными на станциях управления, в данном случае, в узле отправителя. На недоверенном узле хранится уникальная метка в виде программных кодов, внедренных в ОС узла, которые можно получить при помощи базовых сетевых протоколов Интернета, например SNMP, с целью идентификации узла, как узла, который успешно прошел процесс преобразования из недоверенного узла в доверенный в блоке 5 (фиг. 6).
Предлагаемый способ доверенной маршрутизации - это способ обеспечения эффективного контроля передачи и защищенной передачи данных в ТКС, который соответствует ГОСТу ИСО 7498-2-99 в части требований, изложенных в п. 5.3.7.1. - «Механизмы управления маршрутизацией». Согласно этому ГОСТу общеприняты поиск доверенных узлов и механизмы управления для защищенной связи в ТКС.
Поясним далее подробно блок-схему алгоритма, представленную на фиг. 5. Этот способ выбора доверенного маршрута в ТКС для передачи данных включает в себя инициализацию каждой из линий связи (L), определение уровня доверия каждой линии связи L, определяя уровень доверия каждого соединенного из узлов, осуществление контроля на узлах по мере необходимости, когда это возможно; поиск кратчайшего доверенного маршрута от узла-источника (S) до узла-получателя (T) с учетом уровня доверия узлов и метрики маршрутизации; получение доверенных маршрутов, проходящих только через доверенные узлы, при обеспечении возможности удаленного управления узлами; выбор кратчайшего пути от источника S до получателя T.
Следует отметить, что в данном устройстве может присутствовать блок кодирования данных, который может повысить безопасность передаваемых данных, но он не является обязательным.
Устройство доверенной маршрутизации в телекоммуникационных сетях, содержащее последовательно соединенные блок хранения данных, блок проверки наличия данных, блок считывания данных и блок проверки уровня доверия маршрутов, а также блок выбора доверительного маршрута, отличающееся тем, что дополнительно содержит последовательно соединенные блок определения доверия узлов ТКС и блок контроля/управления узлов и преобразования недоверенных узлов в доверенные узлы, при этом вход блока определения доверия узлов ТКС подключен к выходу блока считывания данных, выход блока контроля/управления узлов и преобразования недоверенных узлов в доверенные узлы подключен к входу блока выбора доверенного маршрута.