Способ защиты данных в системах конференцсвязи

Авторы патента:

H04L29/06414 - Устройства, установки, цепи или системы, не отнесенные ни к одной из групп H04L 1/00-H04L 27/00 (соединение запоминающих устройств, устройств ввода-вывода или центральных процессоров, или передача информации или других сигналов между этими устройствами G06F 13/00)

H04L12/955 - Сети переключения сигналов (передачи данных) (соединение запоминающих устройств, устройств ввода-вывода или центральных процессоров или передача информации или других сигналов между указанными устройствами G06F 13/00)

Владельцы патента RU 2703357:

Общество с ограниченной ответственностью "НеоБИТ" (RU)

Изобретение относится к области связи. Технический результат заключается в повышении защищенности систем конференцсвязи от атак, направленных на получение несанкционированного доступа к данным, обрабатываемым в системах конференцсвязи. Способ содержит этапы: выполняют контроль устанавливаемых сетевых соединений в соответствии с заданной таблицей коммутации, активацию замкнутой программной среды непосредственно перед проведением сеанса конференцсвязи, деактивацию замкнутой программной среды и удаление остаточной информации из памяти оборудования конференцсвязи после завершения сеанса конференцсвязи. 2 ил.

Изобретение относится к области связи, к системам для реализации конференцсвязи, и предназначено для повышения защищенности данных, обрабатываемых в системах конференцсвязи.

Сфера применения систем конференцсвязи затрагивает практически все виды деятельности современного общества, поэтому к таким системам предъявляются повышенные требования информационной безопасности. Особенно важной является задача защиты обрабатываемых в системах конференцсвязи данных от угроз несанкционированного доступа и непреднамеренного распространения.

Проведение сеансов аудио- и видеосвязи в системах конференцсвязи осуществляется с помощью оборудования конференцсвязи (терминалы и сервера конференцсвязи). Современное оборудование конференцсвязи содержит в своем составе программное обеспечение, которое помимо выполнения функций создания, проведения и завершения сеансов аудио- и видеосвязи реализует дополнительный функционал, связанный с настройкой и управлением данного оборудования конференцсвязи. Например, большинство оборудования конференцсвязи реализуют встроенный web-интерфейс, с помощью которого возможно получить доступ к функциям создания, проведения и завершения сеансов аудио- и видеосвязи; записи сеансов конференцсвязи; настройки программного обеспечения; доступа к файловой системе оборудования конференцсвязи. Весь перечисленный функционал может использоваться для осуществления несанкционированного доступа к остаточной информации на запоминающих устройствах оборудования конференцсвязи, к данным сеансов конференцсвязи путем запуска дополнительного программного обеспечения или создания дополнительных сетевых соединений (в том числе и новых сеансов конференцсвязи). Следовательно, перечисленные функциональные возможности могут привести к несанкционированному доступу и распространению данных, обрабатываемых в системах конференцсвязи.

Остаточная информация – это информация, которая обрабатывается оборудованием конференцсвязи в рамках проводимых сеансов конференцсвязи и остается на запоминающем устройстве оборудования конференцсвязи после завершения сеанса конференцсвязи. Остаточная информация может привести к непреднамеренному распространению конфиденциальных данных за счет их передачи участникам конференцсвязи в рамках вновь устанавливаемых сеансов.

В настоящее время для защиты данных, обрабатываемых в распределенных вычислительных системах и системах конференцсвязи, известен ряд технических решений.

Известен «Сетевой коммутатор», патент WO 2008077320, H04L 12/28, опубл. 03.07.2008, который осуществляет управление потоками данных в вычислительной сети путем определения порта назначения передаваемых сетевых пакетов с использованием таблицы соответствия между портами коммутатора и сетевыми адресами подключенных к ним сетевых устройств, тем самым позволяя контролировать сетевые соединения и «Способ и средство управления потоками данных защищенных распределенных информационных систем в сети шифрованной связи», патент RU № 2402881, МПК H04L 9/32, опубл. 27.10.2010 г., которые подразумевают внедрение блока коммутации в разрыв соединения между устройством подключения и сетью шифрованной связи, а также центра управления. Центр управления проверяет создаваемые сетевые соединения в соответствии с заданной политикой безопасности, и если соединение разрешено присылает на блок коммутации таблицу коммутации, в соответствии с которой блок коммутации контролирует сетевые соединения.

Недостатками известных способов являются отсутствие мер по удалению остаточной информации и отсутствие контроля запуска дополнительного программного обеспечения.

Наиболее близким техническим решением к заявляемому изобретению является «Система удаления остаточной информации из памяти терминалов и серверов многоточечной конференцсвязи», патент RU № 141240, МПК H04L 12/955, опубл. 27.05.2014 г., которая фиксирует запоминающие устройства оборудования конференцсвязи и перед началом сеанса конференцсвязи производит подсчет контрольных сумм файлов на этих запоминающих устройствах, а после завершения сеанса конференцсвязи производит перезагрузку оборудования конференцсвязи и повторный подсчет контрольных сумм файлов на запоминающих устройствах для выявления перечня файлов, подлежащих удалению и, тем самым, осуществляя удаление остаточной информации.

Недостатком известного технического решения является отсутствие мер по контролю устанавливаемых сетевых соединений и запуску дополнительного программного обеспечения.

Задача, на решение которой направлено предлагаемое изобретение, заключается в создании способа защиты данных в системах конференцсвязи, позволяющего обеспечить защиту данных, обрабатываемых в системах конференцсвязи, от несанкционированного доступа и непреднамеренного распространения.

Техническим результатом предлагаемого изобретения является повышение защищенности систем конференцсвязи от атак, направленных на получение несанкционированного доступа к данным, обрабатываемым в системах конференцсвязи, за счет реализации механизмов контроля сетевых соединений, механизма замкнутой программной среды и механизма удаления остаточной информации.

Под замкнутой программной средой понимается фиксированное подмножество программного обеспечения в составе оборудования конференцсвязи.

Решение поставленной технической задачи обеспечивается тем, что в способе защиты данных в системах конференцсвязи в отличие от известной системы удаления остаточной информации из памяти терминалов и серверов многоточечной конференцсвязи

после фиксации в составе оборудования конференцсвязи запоминающих устройств выполняется проверка устанавливаемого сетевого соединения в соответствии с заданной таблицей коммутации и, если соединение разрешено, происходит активация замкнутой программной среды и проведение сеанса конференцсвязи,

а перед перезагрузкой оборудования конференцсвязи, но после окончания сеанса конференцсвязи выполняется деактивация замкнутой программной среды.

Контроль сетевых соединений для терминалов конференцсвязи реализуется с использованием таблицы коммутации, содержащей множество разрешающих правил коммутации вида

«localhost: диапазон сетевых портов – сетевой адрес: диапазон сетевых портов», где:

localhost обозначает собственный сетевой адрес оборудования конференцсвязи;

сетевой адрес – сетевой адрес узла, с которым разрешено проведение сеанса конференцсвязи;

диапазон сетевых портов — диапазон разрешенных сетевых портов, с помощью которых будет проходить сеанс конференцсвязи.

Выполнение всех правил коммутации гарантируется реализуемым механизмом контроля сетевых соединений, тем самым исключая возможность создания запрещенных сеансов конференцсвязи, а также дополнительных сетевых соединений, которые могут быть использованы для несанкционированного доступа к данным, обрабатываемым в системе конференцсвязи.

Активация замкнутой программной среды выполняется путем ограничения запуска всего множества программного обеспечения в составе оборудования конференцсвязи подмножеством программного обеспечения, выполняющим функции создания, проведения и завершения сеансов аудио- и видеосвязи, тем самым исключая возможность запуска дополнительного программного обеспечения. Деактивация замкнутой программной среды выполняется путем снятия данного ограничения.

Изобретение поясняется с помощью графических материалов, где фиг.1 – структурная схема сети конференцсвязи, фиг.2 — схема реализации предложенного технического решения.

Рассмотрим пример реализации предложенного способа с использованием структурной схемы систем конференцсвязи, представленной на фиг.1.

Структурная схема состоит из четырех узлов – трех терминалов конференцсвязи (,,) и одного сервера конференцсвязи (), – которые объединены в вычислительную сеть. Узлам ,,, назначены сетевые адреса 192.168.0.1, 192.168.0.2, 192.168.0.3, 192.168.0.4 соответственно. Сетевой порт 1720 разрешен для передачи пакетов управления сеансом конференцсвязи (), а диапазон сетевых портов 3000-3100 разрешен для передачи аудио- и видеоданных в рамках проводимых сеансов конференцсвязи.

Таблицы коммутации на узлах заданы следующим образом:

Узел , сетевой адрес 192.168.0.1:

localhost:1720,3000-3100 – 192.168.0.2: 1720,3000-3100;

localhost:1720,3000-3100 – 192.168.0.4: 1720,3000-3100.

Узел , сетевой адрес 192.168.0.2:

a. localhost:1720,3000-3100 – 192.168.0.1: 1720,3000-3100;

b. localhost:1720,3000-3100 – 192.168.0.3: 1720,3000-3100;

c. localhost:1720,3000-3100 – 192.168.0.4: 1720,3000-3100.

Узел , сетевой адрес 192.168.0.3:

a. localhost:1720,3000-3100 – 192.168.0.2: 1720,3000-3100;

b. localhost:1720,3000-3100 – 192.168.0.4: 1720,3000-3100.

Узел , сетевой адрес 192.168.0.4:

a. localhost:1720,3000-3100 – 192.168.0.1: 1720,3000-3100;

b. localhost:1720,3000-3100 – 192.168.0.2: 1720,3000-3100;

c. localhost:1720,3000-3100 – 192.168.0.3: 1720,3000-3100.

В описании примера подразумевается, что все узлы уже включены, произведена фиксация запоминающих устройств оборудования конференцсвязи и произведен подсчет эталонных контрольных сумм файлов на этих устройствах.

Узел инициирует попытку создания сеанса конференцсвязи с узлом . Сетевой пакет инициации сеанса конференцсвязи узла попадает на обработку механизму контроля сетевых соединений узла . Затем осуществляется поиск разрешающего правила. Если правило найдено, то пакет пропускается, иначе – отбрасывается как запрещенное сетевое соединение. В данном случае имеется разрешающее правило а таблицы коммутации узла . Поэтому сетевой пакет пропускается. Затем сетевой пакет попадает на обработку механизму контроля сетевых соединений узла. Осуществляется поиск разрешающего правила в таблице коммутации узла . В данном случае имеется разрешающее правило а таблицы коммутации узла , поэтому сетевой пакет пропускается. Затем узел отвечает сетевым пакетом , подтверждающим создание сеанса конференцсвязи, и производит активацию замкнутой программной среды. Сетевой пакет сигнализирует узлу о создании сеанса конференцсвязи, вследствие чего узел производит активацию замкнутой программной среды. Далее узлы и проведут сеанс конференцсвязи. После завершения сеанса конференцсвязи на узлах и производится деактивация замкнутой программной среды и перезагрузка оборудования конференцсвязи. В процессе перезагрузки оборудования конференцсвязи выполняется фиксация запоминающих устройств и подсчет контрольных сумм файлов, расположенных на данных устройствах, для последующего сравнения с эталонными контрольными суммами и выявления перечня файлов, которые были созданы или модифицированы в результате проведения сеанса конференцсвязи. Далее выполняется удаление информации, расположенной в файлах, входящих в полученный перечень, и ее последующую многократную перезапись случайно сгенерированными данными. После окончания перезагрузки производится фиксация запоминающих устройств и подсчет контрольных сумм файлов для подтверждения удаления остаточной информации.

Далее узел инициирует попытку создания сеанса конференцсвязи с узлом . Сетевой пакет инициации сеанса конференцсвязи узла попадает на обработку механизму контроля сетевых соединений узла . Затем осуществляется поиск разрешающего правила в таблице коммутации узла . В данном случае в таблице коммутации узла нет разрешающего правила – следовательно сетевой пакет отбрасывается.

Далее узел инициирует попытку создания многоточечного сеанса конференцсвязи с узлами и . Для узла создание многоточечного сеанса конференцсвязи состоит из двух независимых и параллельно идущих этапов – создание сеанса конференцсвязи с узлом и создание сеанса конференцсвязи с узлом . Процесс создания указанных сеансов конференцсвязи происходит аналогично описанному ранее (создание сеанса конференцсвязи между узлами и ).

Применение данного изобретения в существующих реализациях систем конференцсвязи позволит повысить защищенность данных, обрабатываемых в таких системах, от несанкционированного доступа и непреднамеренного распространения, а также сократить временные и экономические затраты на поддержание надежного функционирования систем конференцсвязи за счет сокращения времени простоя оборудования, вызванного его отказом вследствие осуществления компьютерных атак на системы конференцсвязи.

Способ защиты данных в системах конференцсвязи, включающий удаление остаточной информации из памяти оборудования конференцсвязи, отличающийся тем, что после фиксации в составе оборудования конференцсвязи запоминающих устройств выполняется проверка устанавливаемых сетевых соединений в соответствии с заданной таблицей коммутации, затем, если соединение разрешено, происходит активация замкнутой программной среды и проведение сеанса конференцсвязи, затем после окончания сеанса конференцсвязи и перед перезагрузкой оборудования конференцсвязи и удалением остаточной информации выполняется деактивация замкнутой программной среды.

Данное техническое решение относится к области вычислительной техники, в частности к способам и системам для измерения статистики трафика сети. Технический результат - повышение точности измерения статистики трафика сети по n-секундным интервалам при осуществлении нагрузочного теста.

Способ блокировки сетевых соединений с ресурсами из запрещенных категорий // 2702080

Изобретения относятся к способу определения категории неизвестного сертификата, а также к способу блокировки сетевых соединений с ресурсами из запрещенных категорий ресурсов.

Способ анализа источника и адресата интернет-трафика // 2702048

Изобретение относится к области разрешения имени DNS сети Интернет. Технический результат заключается в расширении арсенала средств.

Способ и устройство безопасной обработки служебно-технологических команд в инфокоммуникационных системах // 2700400

Изобретение относится к области передачи служебно-технологических команд, сформированных на основе нелинейных рекуррентных последовательностей. Технический результат заключается в повышении скрытности передачи и приема служебно-технологических команд и уменьшении времени на их обработку.

Модем для многонаправленной связи // 2700392

Изобретение относится к радиотехнике и предназначено для применения в мобильных и подвижных системах связи. Техническим результатом изобретения является обеспечение работы модема в низкоскоростном режиме с кодовым расширением, при сохранении возможности передачи служебной речевой связи и управления абонентскими станциями по каналам телеметрии и управления в условиях неблагоприятной помеховой обстановки, в условиях ограниченной выделяемой полосы частот, а также в режиме установки связи, когда передача пользовательских данных с заданной скоростью невозможна, и реализация возможности многоканальной передачи пользовательских данных, служебной связи, данных телеметрии и телеуправления.

Системы и способы для установления соединения между мобильным устройством и локальной сетью // 2699402

Изобретение относится к установлению соединений между мобильным устройством и локальной сетью, в частности, где узлы такой сети выполняют функции в здании. Технический результат – гибкое определение определенной точки доступа к сети, в связи с чем отсутствует необходимость в заранее определенной точке доступа, например в фиксированном шлюзе.

Система радиостанций, терминал радиосвязи и способы их работы // 2698427

Изобретение относится к области беспроводной связи. Технический результат заключается в повышении эффективности передачи сообщений плоскости управления (CP) в архитектуре радиосвязи, которая обеспечивает взаимодействие двух разных технологий радиодоступа (RAT).

Портативный комплект инструментов для обработки изображения пожнивных остатков после их заделки в почву в реальном времени // 2696222

Изобретение относится к способам ввода в действие оборудования для проведения полевого опыта в сельском хозяйстве на полях сельскохозяйственных культур (масличных, зерновых и др.).

Способ создания защищенного l2-соединения между сетями с коммутацией пакетов // 2694585

Изобретение относится к области вычислительной техники. Технический результат заключается в обеспечение возможности создания кластера криптомаршрутизаторов без ограничений на их количество.

Установление секрета, совместно используемого между первым устройством связи и по меньшей мере одним вторым устройством связи // 2693920

Изобретение относится к способу, вычислительному устройству и считываемому компьютером носителю для установления совместно используемого секрета между вычислительными устройствами.

Устройство обработки информации, способное легко конфигурировать настройку на инфраструктуре, подлежащей использованию, способ управления для этого и носитель данных // 2703340

Изобретение относится к области вычислительной техники. Технический результат заключается в обеспечении уведомления об ошибке, соответствующей настройке.

Пакетная сеть для мультипроцессорных систем и способ коммутации с использованием такой сети // 2703231

Изобретение относится к области вычислительной техники. Техническим результатом является уменьшение задержки при передаче данных между ядрами и сокращение аппаратных ресурсов, а также расширение функциональных возможностей в части реализации прямого доступа в память любого абонента.

Способ моделирования процессов обоснования требуемого уровня живучести распределенных сетей связи вышестоящей системы управления в условиях вскрытия и внешних деструктивных воздействий // 2702503

Изобретение относится к области вычислительной техники. Технический результат заключается в повышении устойчивости сети связи.

Торговая система // 2702263

Изобретение относится к области вычислительной техники. Технический результат заключается в обеспечении контроля качества линии связи.

Узел радиосети, беспроводное устройство и способы, выполняемые в них // 2701044

Изобретение относится к обработке и обмену данными в сети беспроводной связи. Технический результат заключается в расширении арсенала средств того же назначения.

Способ нахождения надежных кратчайших путей в сети связи // 2700547

Изобретение относится к области сетей связи. Технический результат - ускорение процесса определения надежных кратчайших путей в сети связи и повышение точности расчета кратчайших маршрутов в сети связи.

Способ передачи ethernet сообщений в распределенной системе жесткого реального времени // 2700190

Изобретение относится к передаче Ethernet сообщений в распределенной системе управления жесткого реального времени. Технический результат - уменьшение задержки кадров в сети.

Принудительное высвобождение и управление доступом по типу устройство-устройство (d2d) // 2700181

Изобретение относится к системам, способам и средствам для определения управления доступом и канала и приоритета сигнализации. Технический результат заключается в возможности WTRU определять, могут ли D2D-данные быть переданы.

Способ для ввода в действие сетевого узла // 2699405

Изобретение относится к способу для ввода в действие сетевым приемником устройства с ограничением по ресурсам в сеть посредством связывания устройства с ограничением по ресурсам с сетевым приемником.

Системы и способы для установления соединения между мобильным устройством и локальной сетью // 2699402