Динамическая защищенная коммуникационная сеть и протокол



Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол
Динамическая защищенная коммуникационная сеть и протокол

Владельцы патента RU 2707715:

ЛИСТАТ ЛТД. (BZ)

Изобретение относится к способам передачи пакетов, содержащих цифровые данные. Технический результат заключается в обеспечении защищенной передачи данных. Способ передачи пакетов через облако, причем облако содержит сеть медиаузлов, содержит: скремблирование пакета путем изменения порядка сегментов данных в пакете в первом медиаузле в соответствии с первым алгоритмом скремблирования; передачу пакета во второй медиаузел; дескремблирование пакета во втором медиаузле, с целью восстановления порядка сегментов данных в упомянутом пакете до упомянутого скремблирования в упомянутом первом медиаузле; скремблирование пакета в упомянутом втором медиаузле в соответствии со вторым алгоритмом скремблирования после упомянутого дескремблирования в упомянутом втором медиаузле и передачу упомянутого пакета в третий медиаузел, причем упомянутый второй алгоритм скремблирования отличается от упомянутого первого алгоритма скремблирования, так что порядок сегментов данных в пакете, когда пакет поступает в третий медиаузел, отличается от порядка сегментов данных в пакете, когда пакет поступил на второй медиаузел. 4 н. и 30 з.п. ф-лы, 271 ил., 10 табл.

 

Область техники, к которой относится изобретение

Данное изобретение относится к сетям связи, в том числе к способам и устройствам, предназначенным для оптимизации производительности и качества обслуживания, обеспечения целостности данных, максимального увеличения времени работы системы и стабильности сети, а также обеспечения конфиденциальности и защищенности.

Уровень техники

Совершенствование систем связи способствовало прогрессу цивилизации с самых ранних стадий развития человечества. От курьеров и посланников, пеших или на лошади; доставки почтовых отправлений на поезде, автомобиле и самолете; к появлению телеграммы и телеграфа, телефона, радио, телевидения, компьютеров, сотового телефона; Интернета, электронной почты и Всемирной паутины; а в последнее время через социальные сети, голосовую связь через Интернет, M2M-подключение, Интернет вещей (IoT) и Интернет всего (IoE), связь всегда прокладывала путь к использованию новейших технологий. С внедрением каждого нового поколения телефонного технологического оборудования число людей, между которыми устанавливалась связь, и скорость передачи информации между ними также увеличивались.

Эффект этой тенденции заключается в том, что человечество взаимосвязано более чем когда-либо в истории, при этом люди доверяют коммуникационным технологиям и полагаются на них как на средство безопасной и надежной доставки своей конфиденциальной, личной, семейной и финансовой информации только тем, с кем они намереваются связаться. Знания и информация сейчас могут в считанные секунды распространяться среди миллионов людей, а для друзей и членов семьи общаться друг с другом, попутно занимаясь другими делами, так же просто, как нажать кнопку. Часто говорят: "мир тесен".

Несмотря на то, что такой прогресс чрезвычайно полезен для всех, у нашей большой зависимости от технологий есть также и негативные последствия. Неудивительно, что, когда система связи не выполняет свои функции, например, во время землетрясения или при сложных погодных условиях, люди становятся дезориентированными или даже впадают в панику от того, что их "отключили", даже если это временно. Качество обслуживания, или QoS (англ. Quality of Service "качество обслуживания"), системы связи при этом является критически важным показателем эффективности сети связи. Душевное спокойствие, финансовое благополучие, самосознание и даже сама жизнь людей зависят от надежности и защищенности соединения.

Другим ключевым аспектом сети связи является ее способность обеспечить конфиденциальность, безопасность и защищенность для использующего ее клиента. По мере развития коммуникационных технологий также развивалась и изощренность преступников и "хакеров", намеревающихся наносить вред, разрушать системы, красть деньги и случайно или злонамеренно вредить другим. Мошенничество с кредитными картами, похищение паролей, кража личных данных и несанкционированная публикация конфиденциальной информации, личных фотографий, файлов, электронных писем, текстовых сообщений и частных твитов (украденных, чтобы скомпрометировать или шантажировать жертву) являются лишь несколькими примерами современной кибер-преступности.

Чтобы выделить эпидемическую долю проблемы защищенности в современных открытых сетях связи, ниже перечислены известные примеры нарушений конфиденциальности и кибер-преступности на момент оформления данной заявки на выдачу патента (приведены в хронологическом порядке):

● "Цель: похищение информации не менее чем у 70 млн. человек", - CNBC, 10 января 2014 г.

● "Хакеры отправляют вредоносные электронные письма на умный холодильник и телевизор", - BGR (www.bgr.com), 20 января 2014 г.

● "Nest возобновляет работу с Google после проблем с конфиденциальностью и взлома термостата", - Slash Gear (www.slashgear.com), 24 июня 2014 г.

● "Защищенность данных линии вызова под вопросом из-за пиратского захвата учетных записей. Линия, управляемая приложением бесплатного вызова и обмена сообщениями, была потрясена недавней чередой нарушений безопасности данных. Приложение обнаружило, что к сотням учетных записей пользователей получен несанкционированный доступ сторонами, не являющимися пользователями этих учетных записей", - Nikkei Asian Review, 2 июля 2014 г.

● "Обычные американцы, вовлеченные в проверку данных Агентством национальной безопасности, заявляют о претензиях", - AP, 6 июля 2014 г.

● "Утечка паролей Wi-Fi через умные светодиодные лампы", - BBC News, 8 июля 2014 г.

● "Шесть человек обвиняются в мошенничестве при продаже билетов на престижные мероприятия через StubHub. "StubHub был мишенью хакеров, которые использовали украденные пароли и номера кредитных карт для покупки и продажи тысячи билетов на концерты поп-музыки и игры "Нью-Йорк Янкиз", - заявили власти Нью-Йорка", - Bloomberg, 24 июля 2014 г.

● "Исследования показывают, что Интернет вещей" очень легко поддается взлому", - International Business Times (www.ibtimes.com), 4 августа 2014 г.

● "Российские хакеры украли более миллиарда интернет-паролей", - New York Times, 5 августа 2014 г.

● "Новая утечка информации, раскрывающая секреты США, -заключает правительство", - CNN, 6 августа 2014 г.

● "Хакеры получают доступ к корневому каталогу термостата Google Nest за 15 секунд", - Enquirer (www.theinquirer.net), 11 августа 2014 г.

● "Dairy Queen взломана тем же вредоносным ПО, которое поразило Target", - Christian Science Monitor, 29 августа 2014 г.

● "Жертвы среди знаменитостей в результате несанкционированного доступа к фотографиям в обнаженном виде - уязвимость защиты учетных записей iCloud", - CBS News, 1 сентября 2014 г.

● "Home Depot может стать новой целью несанкционированного доступа к кредитным картам... Взлом Home Depot может иметь намного более серьезные последствия, чем Target (40 млн. карт украдено в течение трех недель)", -Fortune, 2 сентября 2014 г.

● "Таинственные фейковые вышки сотовой телефонной связи перехватывают звонки на всей территории США", - Business Insider, 3 сентября 2014 г.

● "Хакерская атака: от банков до розничной торговли, признаки кибер-войны?" -Yahoo Finance, 3 сентября 2014 г.

● "Home Depot подтверждает взлом платежной системы в магазинах США и Канады", - Fox News, 9 сентября 2014 г.

● "Yahoo ведет судебную войну с правительством США из-за слежки", - CBS/AP, 11 сентября 2014 г.

● "Ваша медицинская карта для хакеров стоит больше, чем ваша кредитная карта", - Reuters, 24 сентября 2014 г.

● "Красный уровень тревоги: HTTPS взломан. Использование браузера для атаки на SSL/TLS (BEAST) будет считаться одним из худших взломов (worst hacks [орфография и пунктуация оригинала]), потому что ставит под угрозу соединения с браузером, на безопасность которого ежедневно полагаются сотни миллионов людей", - InfoWorld, 26 сентября 2014 г.

● "Кибер-атака Sony, начавшаяся с мелкой неприятности, стремительно переросшей в крупный скандал", - New York Times, 30 декабря 2014 г.

Глядя, как происходит эскалация темпов кибер-преступности, нарушений безопасности, кражи личных данных и вторжения в частную жизнь, возникает вопрос: "Почему все эти кибер-атаки возможны и что можно сделать, чтобы остановить их?" В то время как общество стремится к повышению конфиденциальности и защищенности, потребители также нуждаются в большей коммуникабельности, более дешевой связи повышенного качества и в повышении удобства проведения финансовых транзакций.

Чтобы понять, в чем заключаются ограничения качественных характеристик и уязвимость современных сетей связи, средств хранения данных и сетевых устройств, сначала нужно понять, как современная электронная, оптическая и радиосвязь работает, транспортирует и хранит данные, в том числе файлы, электронную почту, текст, аудиоинформацию и видеоизображения.

Работа телефонной сети с коммутацией каналов

Электронная связь включает в себя большое количество аппаратных компонентов или сетевых устройств, подключенных с помощью проводов, радиолиний, радиорелейных или волоконно-оптических линий связи. Информация передается с одного устройства на другое путем отправки электрической или электромагнитной энергии через эту сеть с использованием различных способов встраивания или кодирования информационного "контента" в поток данных. Теоретически законы физики устанавливают максимальную скорость передачи данных для таких сетей равной скорости света, но в большинстве случаев практические ограничения в кодировании данных, маршрутизации и управлении трафиком, отношение сигнал-шум, а также преодоление электрического, магнитного и оптического шума и нежелательных паразитных сигналов искажают поток информации или создают препятствия его прохождению, ограничивая возможности сети связи до какой-то части от ее идеальной производительности.

Исторически, электронная передача данных была впервые осуществлена с использованием выделенных "проводных" электрических соединений, образующих "сеть" связи между двумя или несколькими электрическими сетевыми устройствами. При работе телеграфа с помощью механического ключа вручную замыкают и размыкают электрическую сеть постоянного тока, намагничивая соленоид, который в свою очередь перемещает металлический рычаг, вызывая в слушающем устройстве или "реле" щелчки с такими же временными интервалами, с какими отправитель нажимает ключ. При этом отправитель использовал согласованный язык, например, азбуку Морзе, для кодирования информации и превращения ее в импульсный поток. Аналогично, слушатель также должен был понимать азбуку Морзе - последовательность длинных и коротких импульсов, называемых точками и тире, чтобы расшифровать сообщение.

Позже Александер Грэм Белл разработал первый телефон, пользуясь понятием "волнообразного тока", теперь называемого переменным током, чтобы переносить звук с помощью электрического соединения. Телефонная сеть состояла из двух магнитных преобразователей, соединенных электрической сетью, в которой каждый магнитный преобразователь состоял из подвижной диафрагмы и катушки, или "звуковой катушки", окруженной неподвижной оболочкой из постоянных магнитов. Во время разговора возле этого преобразователя, изменение давления воздуха, вызванное звуком, заставляет звуковую катушку выполнять возвратно-поступательное перемещение в окружающем магнитном поле, создавая переменный ток в катушке. На стороне слушателя изменяющийся во времени ток, протекая в звуковой катушке, создает идентичное колебание и изменяющееся во времени магнитное поле, противоположное окружающему магнитному полю, заставляя звуковую катушку выполнять возвратно-поступательное перемещение таким же образом, как и преобразователь, записывающий звук. Результирующее перемещение обеспечивает воспроизведение звука таким же образом, как и устройство, записывающее звук. Говоря современным простым языком, когда преобразователь преобразует звук в электрический ток, он работает как микрофон, а когда преобразователь преобразует электрический ток в звук, он работает как громкоговоритель. Кроме того, поскольку передаваемый электрический сигнал является аналогом звукового сигнала, который переносится как обычная волна давления в воздухе, то есть звук, в настоящее время такие электрические сигналы называют аналоговыми сигналами или аналоговыми колебаниями.

Поскольку преобразователь, как было описано выше, используется и для разговора, и для прослушивания, во время беседы обе стороны должны знать, когда говорить и когда слушать. Как в струне из соединенных жестяных банок, в такой системе вызывающий абонент не может одновременно говорить и слушать. Несмотря на то, что такая односторонняя работа, называемая "полудуплексным" режимом, может показаться архаичной, на самом деле она по-прежнему широко используется в радиосвязи в настоящее время в портативных радиостанциях, а в современной телефонии она называется "push-to-talk" (нажми и говори) или PTT.

Впоследствии широкое распространение получили полнодуплексные (т.е., двусторонние или приемопередающие) телефоны с отдельными микрофонами и громкоговорителями, где стороны могли говорить и слушать одновременно. Но даже сегодня при работе с полнодуплексной телефонной связью требуется надлежащее внимание для предотвращения обратной связи - состояния, при котором принимаемый звук поступает в микрофон и возвращается к вызывающему абоненту, создавая сбивающее с толку эхо, а иногда и неприятный свист - проблемы, которые особенно характерны для телефонной связи на большом расстоянии.

Ранние телеграфные и телефонные системы имели еще один недостаток - отсутствие конфиденциальности. В этих ранних реализациях сетей связи каждый, подключенный к этой сети, слышит все, что передается по данной сети, даже если он этого не хочет. В сельских телефонных сетях эти общие сети назывались "линиями коллективного пользования". Затем система телефонной связи быстро превратилась в многоканальные сети, в которых местный телефонный узел подключал выделенные каналы непосредственно к телефонам индивидуальных клиентов. В местном пункте связи системный оператор вручную соединял абонентов друг с другом через коммутатор с помощью перемычек, а также имел возможность подключаться к другому пункту связи, и впервые предоставлять услуги телефонных переговоров "на большом расстоянии". Крупные комплексы, содержащие большое количество реле, образующих телефонные "коммутационные" сети, постепенно заменяли человека-оператора, а впоследствии и они были заменены электронными переключателями на вакуумных лампах.

После того, как в конце 1950-х годов в компании Bell Laboratories разработали транзистор, автоматические и местные телефонные станции заменили хрупкие и сильно греющиеся вакуумные лампы холодными во время работы твердотельными устройствами на транзисторах, а затем - на интегральных схемах. По мере роста сети число цифр телефонного номера увеличивалось от семизначного префикса и личного номера, за счет добавления кодов регионов и, наконец, кодов стран для обработки международных вызовов. Медные кабели, передающие голосовые вызовы, быстро покрывали весь мир и пересекали океаны. Независимо от величины сети, принцип действия оставался неизменным - вызовы представляли собой прямое электрическое соединение или "сеть" между абонентами с передачей голоса аналоговыми сигналами и с маршрутизацией вызова, определяемой автоматической телефонной станцией. Такую телефонную систему в конечном итоге стали называть "телефонной сетью с коммутацией каналов" или в разговорной речи - обычной телефонной сети (POTS - Plain Old Telephone System). Пик развития телефонии с коммутацией каналов пришелся на 1980-е годы, а впоследствии происходила ее планомерная замена "телефонией с коммутацией пакетов", рассматриваемой в следующем разделе.

Почти параллельно с телефонной сетью происходило развитие регулярной радиосвязи, которое началась с радиовещания в 1920-х годах. Это вещание было однонаправленным, осуществлялось радиовещательными станциями на определенных частотах, предоставляемых по лицензии правительства, прием осуществлялся любым количеством радиоприемников, настроенных на эту частоту вещания или радиостанцию. Радиовещательный сигнал представлял собой аналоговый сигнал либо с амплитудной модуляцией (AM), либо позже с частотной модуляцией (ЧМ) в выделенном участке лицензионного радиоспектра. В США для управления предоставлением и регулированием таких лицензионных диапазонов была создана Федеральная комиссия по связи (FCC). Концепция вещания была распространена на эфирные телевизионные программы, использующие радиопередачу, изначально состоящую из черно-белого контента, а затем и цветного. Впоследствии также появились возможности доставлять телевизионные сигналы в дома людей либо с помощью радиорелейной спутниковой антенны, либо по коаксиальным кабелям. Поскольку любой слушатель, настроенный на конкретную частоту вещания, может принимать вещательный сигнал, термин "мультивещание" теперь используется для такой однонаправленной многопользовательской связи.

Одновременно с появлением радиовещания началось создание первых систем двухсторонней связи для торговых и военных океанских судов, и к началу Второй мировой войны радиостанции превратились в дуплексные переносные приемопередатчики, объединяющие передатчики и приемники в едином устройстве. Как и телефонные системы, первые системы полнодуплексной радиосвязи работали в "симплексном" режиме, позволяющем осуществлять передачу только одной радиовещательной станции по одному радиоканалу, в то время как остальные слушали. После объединения передатчиков и приемников, работающих на разных частотах, стали возможными одновременная передача и прием на каждом конце радиолинии, обеспечивая возможность полнодуплексного режима связи между двумя сторонами.

Однако для предотвращения перекрытия передачи от нескольких сторон для управления каналом обычно используется протокол, называемый полудуплексным или push-to-talk (нажми и говори), позволяющий осуществлять передачу исключительно по определенному каналу по принципу "первым пришел - первым обслужен". Стандартные промышленные типы радиостанций, использующие аналоговую модуляцию, включают любительские (лицензионные или общедоступные) радиостанции, морские УКВ-радиостанции, радиостанции универсальной объединенной системы связи UNICOM (Universal Integrated Communication) для управления воздушным движением и радиостанции FRS для личного общения. В этих сетях двухсторонней радиосвязи радиостанции отправляют свои данные по конкретным частотным "каналам" на центральную вышку радиосвязи, а вышка усиливает и ретранслирует сигнал, передавая его по всей сети радиосвязи. Количество доступных частот, передающих информацию в широковещательной области, определяет общую полосу пропускания системы и количество пользователей, которые могут одновременно независимо обмениваться данными в этой сети радиосвязи.

Чтобы расширить общую пропускную способность сети радиосвязи для работы большего числа абонентов, в 1970-х годах была продемонстрирована и в течение десятилетия получила широкое распространение концепция сотовой сети, в которой большая площадь разбита на более мелкие части или "соты" радиосвязи. Сотовая концепция заключалась в том, чтобы ограничить широковещательный диапазон вышки радиосвязи меньшим пространством, т.е. меньшей дальностью связи, и, следовательно, получить возможность использовать одни и те же полосы частот для одновременной работы разных абонентов, находящихся в разных сотах. Для этого было создано программное обеспечение для управления переключением вызова при переходе из одной соты в соседнюю соту без "пропадания сигнала" и внезапного отключения вызова. Так же, как и обычная телефонная сеть (POTS), полнодуплексная радиосвязь, а также радио- и телевизионное вещание, первоначально сети сотовой связи были аналоговыми по своей природе. Для управления маршрутизацией вызовов была принята система телефонных номеров для определения надлежащего беспроводного электрического соединения. Этот выбор также был полезен тем, что он позволил легко подключить новую беспроводную сотовую сеть к обычной телефонной "проводной" системе, обеспечив межсетевое соединение и совместную работу в рамках этих двух систем.

Начиная с 1980-х годов, телефонная и радиосвязь, наряду с радио и телевизионным вещанием, начали неумолимый переход с способов и форматов аналоговой связи на цифровые, что было обусловлено необходимостью снизить энергопотребление и увеличить срок службы аккумуляторов, улучшить качество за счет повышения отношения сигнал-шум, а также начать уделять внимание необходимости передачи данных и текста голосом. Появились такие форматы радиосвязи, как EDACS и TETRA, способные одновременно обеспечивать режимы связи "один-к-одному", "один-ко-многим" и "многие-ко-многим". Сотовая связь также быстро перешла на цифровые форматы, такие как GPRS, как и телевизионное вещание.

К 2010 году большинство стран прекратило или находилось в процессе прекращения всего аналогового телевизионного вещания. В отличие от вещательного телевидения, у провайдеров кабельного телевидения не было необходимости переходить на цифровой формат, и они поддерживали гибридный состав аналоговых и цифровых сигналов вплоть до 2013 года. Их окончательный переход на цифровые способы был мотивирован не государственными стандартами, а коммерческими причинами - необходимостью расширения количества доступных каналов сети, чтобы иметь возможность доставлять контент высокой (HD) и сверхвысокой (UHD) четкости, предлагать больше услуг платного телевидения (PPV, также известных как "односторонняя передача данных"), а также предоставлять услуги цифровой связи с высокой пропускной способностью для своих клиентов.

Несмотря на то, что принято сопоставлять переход глобальных сетей связи с аналогового формата на цифровой с появлением Интернета и, более конкретно, с принятием и широким распространением интернет-протокола (IP), переход на цифровой формат предшествовал коммерческому признанию IP в телефонии, обеспечивая, если не ускоряя, универсальный переход связи на IP и "сети с коммутацией пакетов" (рассматриваемые в следующем разделе).

Результирующая эволюция телефонной связи с коммутацией каналов схематически представлена на фигуре 1 как "абонентская сеть связи" (PSTN), включающая объединение радиосвязи, сотовой связи, мини-АТС, а также POTS-соединений и подсетей, каждая из которых включает разнородные технологии. Эта сеть включает в себя шлюзы абонентской сети связи 1A и 1B, соединенные магистральными линиями 2 с высокой пропускной способностью, а также, например, подключенные через проводные соединения 4 шлюз POTS 3, сеть сотовой связи 17, мини-АТС 8 и сеть двухсторонней радиосвязи 14. Каждая подсеть работает независимо, управляя устройствами соответствующего типа. Например, шлюз POTS 3, все еще распространенный в сельской местности, соединяется с помощью витой пары медных проводов 7 с обычными аналоговыми телефонами 6 или с портативными телефонами 5. Портативные телефоны 5 обычно используют технологию беспроводной связи (DECT), его вариант для сверхнизкой мощности DECT-ULE или предшествующий ему стандарт CT2 - все они распространяются на выделенные замкнутые радиосистемы, обычно с несущими частотами 0,9; 1,9; 2,4 и 5,8 ГГц. Телефоны, использующие классический DECT, не могут напрямую получать доступ к сетям сотовой связи, несмотря на то, что они являются беспроводными устройствами на радио основе.

Мини-АТС 8 управляет любым количеством устройств, используемых в офисах компании, в том числе проводными стационарными телефонами 9, устройствами громкой связи 10 для конференц-звонков, а также базовой станцией 11 частной беспроводной сети, связанной беспроводными соединениями 12 с портативными или беспроводными роуминговыми телефонами 13. Беспроводные роуминговые телефоны 13 представляют собой бизнес-ориентированное усовершенствование обычного портативного телефона, обеспечивающего доступ телефона к корпоративным Wi-Fi-соединениям или, в случае с системой сотовой связи Японии (PHS), для доступа к общедоступной микросотовой сети, расположенной за пределами компании в коридорах высокого трафика и в деловых районах густонаселенных городов, таких как Синдзюку в Токио. Полоса пропускания, дальность передачи и время автономной работы в продуктах PHS чрезвычайно ограничены.

Абонентская сеть связи также подключается к сотовым сетям с коммутацией каналов 17, используя аналоговые и цифровые протоколы AMPS, CDMA и GSM. Через вышку сотовой связи 18 сети сотовой связи с коммутацией каналов 17 соединяются с использованием стандартизованных частот сотовой радиосвязи 28 с такими мобильными устройствами, как сотовые телефоны 19А. В случае сетей GPRS, надстройки над технологией GSM, сети сотовой связи с коммутацией каналов 17 могут также соединяться с планшетами 19B, одновременно обеспечивая низкоскоростную передачу данных и голоса. Сети полнодуплексной радиосвязи 14, такие как TETRA и EDACS, соединяют абонентские сети связи с портативными радиостанциями 16A и более крупными встроенными и настольными радиостанциями 16B через вышки радиосвязи высокой мощности 15 и радиоподключения 28. Такие сети полнодуплексной радиосвязи, обычно используемые работниками полиции, скорой помощи, парамедиками, пожарными и даже работниками портовых учреждений, также считаются служебными сетями и службами связи, и предназначены для правительственных, муниципальных служб и ликвидаторов чрезвычайных ситуаций, а не для обычных потребителей. (Примечание. Используемые здесь термины "стационарный компьютер", "планшет" и "ноутбук" используются в качестве сокращенной ссылки на компьютеры соответствующего типа).

В отличие от шлюза POTS 3, сети сотовой связи 17 и мини-АТС 8, которые используют обычные телефонные номера для выполнения маршрутизации вызовов, сеть полнодуплексной радиосвязи 14 использует выделенные радиоканалы (а не номера телефонов) для организации радиолиний между вышкой 15 и мобильными устройствами, которые она обслуживает. Таким образом, системы служебной радиосвязи сохраняют явно выраженные и уникальные отличия от сетей сотовых телефонов для обычных потребителей.

Фигура 1 графически иллюстрирует гибкость абонентской сети связи для взаимного соединения подсетей, основанных на разных технологиях. Именно это разнообразие определяет внутреннюю слабость современных сетей с коммутацией каналов - возможность совместной работы подсетей. Поскольку разные подсети не осуществляют связь в соответствии с каким-либо общим протоколом управления или языком, и поскольку каждая технология обрабатывает передачу данных и голоса по-разному, эти разные системы, по сути, несовместимы, за исключением их ограниченной возможности поместить телефонный вызов через основную магистраль абонентской сети связи или междугородные магистральные линии. Например, во время террористической атаки 11 сентября в Центре международной торговли в Нью-Йорке многие спасатели из разных районов США толпились в Манхэттене, пытаясь помочь в борьбе с катастрофой, только чтобы узнать систему радиосвязи, их радиостанции были несовместимы с оборудованием добровольцев из других стран и городов, что делало невозможным управление централизованным командованием и контролем усилий по оказанию помощи. Из-за отсутствия стандартизации протоколов связи их радиостанций эти радиостанции просто не могли установить связь друг с другом.

Кроме того, при непосредственном электрическом и радиоподключении телефонных сетей с коммутацией каналов, особенно с использованием аналоговых или незащищенных цифровых протоколов, для хакера не составляет труда с помощью радиосканера находить активные каналы связи и анализировать, отбирать, прослушивать или перехватывать происходящие в это время разговоры. Поскольку абонентская сеть связи образует "постоянно включенный" канал или сеть связи между общающимися сторонами, у хакера достаточно времени, чтобы идентифицировать соединение и "использовать его" либо законным способом правительственными организациями, заказавшими прослушивание по решению федерального суда, либо преступным путем кибер-преступниками или правительственными организациями, осуществляющими незаконное, запрещенное или несанкционированное наблюдение. Определения законного и незаконного шпионажа и наблюдения и обязательства оператора сети по сотрудничеству в этой деятельности в разных странах резко отличаются и являются предметом горячих споров среди таких глобальных компаний, как Google, Yahoo и Apple, работающих пересекая многие международные границы. Сети связи и Интернет являются глобальными и не знают границ, но законы, регулирующие такую электронную информацию, являются местными и подчиняются юрисдикционному органу правительства, контролирующему в данное время внутреннюю и международную связь и торговлю.

Независимо от его законности или этики, электронное отслеживание и наблюдение сегодня являются обычным явлением, начиная от мониторинга с помощью вездесущих камер видеонаблюдения, расположенных на каждом углу улицы и над всеми автодорогами и линиями метрополитена, до сложного взлома и расшифровки кодов, выполняемого различными подразделениями и агентствами национальной безопасности государств. Несмотря на то, что уязвимые места имеют все сети, архаичные и недостаточные средства защиты абонентских сетей связи делают их особенно легкими для взлома. Таким образом, абонентская сеть связи, даже подключенная к защищенной современной сети, является слабым звеном в общей системе и создает уязвимое место, позволяющее преодолевать защиту и совершать кибер-преступления. Тем не менее, еще потребуется много лет, если не десятилетий, для выхода из глобальной абонентской сети связи и ее полной замены на сеть связи с коммутацией пакетов на основе IP. Такие сети с коммутацией пакетов (рассматриваемые ниже), хотя они и более современные, чем абонентская сеть связи, по-прежнему не защищены от преодоления средств защиты; взлома; атак, вызывающим отказ в обслуживании, и проникновения в зону конфиденциальной информации.

Работа сети связи с коммутацией пакетов

Если работу современной телефонной сети с коммутацией каналов можно образно представить, как две жестяные банки, соединенные струной, то аналогичным образным представлением работы сетей связи с коммутацией пакетов может служить работа почтового отделения. В таком подходе текст, данные, голос и видео преобразуются в файлы и потоки цифровых данных, и затем эти данные объединяются в квантованные "пакеты" данных, которые передаются по сети. Механизм передачи основан на электронных адресах, которые однозначно определяют, куда отправляется пакет данных и откуда он поступает. Формат и протокол связи также предусматривают включение информации о характере данных, содержащихся в пакете, в том числе о контенте, предназначенном для программы или приложения, в которых он будет использоваться; а также об оборудовании, обеспечивающем физические каналы связи и электрические или радиосоединения для передачи пакетов.

Предложенная в 1960-х годах концепция сетей с коммутацией пакетов была создана в в самый разгар холодной войны после запуска советского спутника. В то время Министерство обороны США (МО) выразило озабоченность в связи с тем, что нанесение ракетно-ядерных ударов с объектов космического базирования может уничтожить всю коммуникационную инфраструктуру США, подавив ее способность реагировать на упреждающий удар СССР, и что уязвимость к такой атаке может действительно спровоцировать ее. Поэтому МО профинансировало создание избыточной системы связи или решетчатой "сети", в которой способность сети передавать информацию между военными объектами не могла быть нарушена путем уничтожения какой-либо конкретного канала передачи данных или даже большого количества каналов передачи данных в сети. Эта система, названная АРПАНЕТ, стала родителем Интернета и пресловутой Евой современных цифровых коммуникаций.

Несмотря на создание сети с коммутацией пакетов, взрывной рост Интернета не происходил до 1990-х годов, пока в результате совместного воздействия первого простого в использовании веб-браузера Mosaic, появления веб-страниц на основе гипертекста, быстрого внедрения Всемирной паутины, а также широкого использования электронной почты не произошло глобальное принятие интернет-платформы. Один из основополагающих принципов - отсутствие централизованного контроля или необходимости в центральном компьютере - побуждали к повсеместному использованию Интернета отчасти потому, что никакая страна и никакое правительство не могли его остановить (или даже полностью осознать глобальные последствия этого), а также потому, что его пользовательскую базу составляли потребители, работающие на своих недавно приобретенных персональных компьютерах.

Еще одним далеко идущим последствием роста Интернета стала стандартизация интернет-протокола (IP), используемого для маршрутизации пакетов данных в сети. К середине 1990-х годов пользователи Интернета осознали, что та же сеть с коммутацией пакетов, которая передает данные, также может использоваться для передачи голоса, и вскоре после этого появилась технология VoIP. Несмотря на то, что концепция теоретически позволяла любому, у кого есть доступ к Интернету, осуществлять голосовую связь через Интернет бесплатно, задержки распространения в сети, т.е. задержку, снижали качество передачи речи и часто делали ее неразборчивой. Несмотря на то, что время задержки уменьшилось, благодаря внедрению высокоскоростных линий Ethernet, высокоскоростному подключению Wi-Fi и данным 4G, и на участке "последней мили" качество соединения улучшилось, сам по себе Интернет создавался для обеспечения точной доставки пакетов данных, а не для того, чтобы гарантировать доставку этих пакетов в заданное время, т.е. Интернет не создавался для работы в сети реального времени.

Таким образом, мечта об использовании Интернета вместо дорогостоящих услуг провайдера дальней связи осталась практически невыполненной, несмотря на наличие таких OTT-провайдеров (аббр. от англ. Over the Top), как Skype, Line, KakaoTalk, Viper и других. OTT-телефония страдает от качества связи QoS вследствие неконтролируемой задержки в сети, низкого качества звука, сброса вызова, эха, реверберации, обратного распространения, прерывистого звука и часто даже от неспособности совершить вызов. Низкое качество OTT-связи по своей сути является недостатком не технологии VoIP, а самой сети, в которой OTT-провайдеры не имеют возможности контролировать путь прохождения данных, или задержки, с которыми осуществляется связь. По сути, OTT-провайдеры не могут предоставить технологию QoS, потому что OTT-связь работает как автостоп в Интернете. По иронии судьбы, наилучшим образом использовать связь на основе технологии VoIP сегодня могут компании, являющиеся провайдерами международной телефонной связи с выделенными аппаратными сетями с малым временем задержки - именно те телефонные компании, которые имеют наименьшую мотивацию для этого.

Помимо внутренне присущей ей сетевой избыточности, одной из самых сильных сторон связи с коммутацией пакетов является ее способность передавать информацию от любого источника в любой пункт назначения, если данные упорядочены в пакетах, соответствующих Интернет-протоколу, и при условии, что устройства связи подключены к сети и связаны с Интернетом. Интернет-протокол управляет способностью сети доставлять полезную нагрузку в пункт назначения, не заботясь и не беспокоясь о том, какая информация передается, или о том, какое приложение будет ее использовать, исключая при этом необходимость в настраиваемых программных интерфейсах и дорогостоящем проприетарном оборудовании. Во многих случаях даже приложения, связанные с полезной нагрузкой, настраивают на заданные форматы, например, для чтения электронной почты, для открытия веб-страницы в браузере, для просмотра изображения или видео, просмотра файла прошивки или чтения PDF-документа и т.д.

Поскольку используемый им универсальный формат файлов позволяет избежать зависимости от проприетарного или фирменного программного обеспечения, Интернет можно рассматривать как коммуникационную платформу с "открытым исходным кодом", способную устанавливать связь с самым широким диапазоном сетевых устройств: от компьютеров до сотовых телефонов, от автомобилей до бытовой техники. Самое свежее меткое выражение, описывающее эту универсальную связность - это "Интернет всего" (IoE).

На фигуре 2 показано лишь несколько примеров таких сетевых устройств, подключенных к Интернету. Согласно фигуре, большое количество компьютеров, в том числе быстродействующих облачных серверов 21A, 21B и 21C, и облачное хранилище данных 20, соединены линиями связи 23 с высокой пропускной способностью, обычно оптоволоконными, наряду с бесчисленным множеством других серверов (не показаны), формирующим облако Интернета 22. Образное представление в виде облака в данном случае уместно, потому что нет четко обозначенной границы, определяющей, какие серверы считаются частью облака, а какие нет. Ежедневно и даже ежеминутно, одни серверы могут выходить в Интернет, а другие могут быть отключены для обслуживания, что не оказывает никакого влияния на функциональные возможности и производительность Интернета. Это преимущество действительно избыточной распределенной системы - нет единой точки управления и, следовательно, нет единой точки отказа.

Облако может быть подключено к пользовательскому или сетевому устройству с помощью любого соединения проводной, Wi-Fi или беспроводной линии связи. Согласно фигуре, облачный сервер 21A подключается с помощью проводной или волоконно-оптической линии 24 к вышке беспроводной связи 25, к точке доступа Wi-Fi 26 или к распределенному блоку проводной линии связи 27. Эти каналы "последней мили", в свою очередь, подключаются к любому количеству устройств связи или сетевых устройств. Например, вышка беспроводной связи 25 может соединяться сотовой радиосвязью 28 со смартфоном 32, с планшетом 33 или автомобилем с сетевым интерфейсом 31 и может использоваться для обслуживания пользователей мобильной связи 40, в том числе, например, пешеходов, водителей персональных транспортных средств, сотрудников правоохранительных органов и водителей-профессионалов отрасли грузоперевозок и доставки. Беспроводная телефонная связь с коммутацией пакетов использует сотовые протоколы 3G, включая HSUPA и HSDPA, а также 4G/LTE. Стандарт LTE или "долговременное развитие" относится к сетевым стандартам, для обеспечения совместимости с различными сотовыми протоколами, в том числе, возможность бесшовного переключения телефонных звонков из одной соты в другую, даже если эти соты работают с различными протоколами. Примечание. В контексте настоящего документа термином "последняя миля" называется канал передачи данных между любым типом клиентского устройства, например, планшетом, стационарным компьютером или мобильным телефоном, и облачным сервером. В зависимости от направления передачи данных также иногда используется термин "первая миля" для указания канала передачи данных между абонентским устройством, инициирующим передачу данных и облачным сервером. В таких случаях канал "последняя миля" также является и каналом "первая миля".

При меньшей дальности связи точка доступа Wi-Fi 26 соединяется Wi-Fi радиомодулем 29 со смартфоном 32, планшетом 33, ноутбуком 35, стационарным компьютером 36 или сетевым устройством бытовой техники 34 и может использоваться в локальных беспроводных устройствах в домах, кафе, ресторанах и офисах. Бренд Wi-Fi распространяется на связь, работающую в соответствии со стандартами IEEE для спецификаций 802.11a, 802.11b, 802.11g, 802.11n с одной несущей частотой, а в последнее время для формата 802.11ac с двухчастотным диапазоном. Средства защиты Wi-Fi на основе простого статического ключа входа в основном используются для предотвращения несанкционированного доступа к соединению, но не предназначены для защиты данных в течение неограниченного времени от прослушивания или взлома.

Распределенный блок проводных линий 27 может подключаться волоконно-оптическим кабелем, коаксиальным кабелем или по каналу Ethernet 30A к ноутбуку 35, стационарному компьютеру 36, телефону 37, телевизионному приемнику 39 или медной витой парой проводов 30B к телефонным линиям, идущим к кассовому терминалу торговой точки 38, обслуживающему стационарные или подключенные проводной линией связи центры торговли 42, в том числе гостиницы, заводы, офисы, центры обслуживания, банки и дома. Проводное подключение может включать распределение волоконно-оптическим или коаксиальным кабелем к дому, офису, заводу или коммерческой организации, подключенные локально с помощью модема для преобразования линий передачи высокоскоростных данных (HSD) в линии на основе Wi-Fi, Ethernet или медной витой пары проводов. В удаленных областях, где нет волоконно-оптического или коаксиального кабеля, все еще используется соединение по цифровой абонентской линии (DSL), но с существенным снижением скорости передачи данных и надежности соединения. В целом, учитывая доступ по беспроводным, Wi-Fi и проводным линиям связи прогнозируют, что к 2020 году количество объектов, подключенных к Интернету в глобальном масштабе, достигнет 20 миллиардов.

В отличие от сетей с коммутацией каналов, которые устанавливают и поддерживают непосредственное соединение между устройствами, связь с коммутацией пакетов использует адрес для "маршрутизации" пакета через Интернет к пункту назначения. Таким образом, в сетях связи с коммутацией пакетов нет отдельной выделенной сети, поддерживающей соединение между устройствами связи, и данные, проходя через Интернет, не идут по одному и тому же конкретному пути. Каждый пакет должен найти свой путь через лабиринт взаимосвязанных компьютеров, чтобы попасть в пункт назначения.

На фигуре 3 показан гипотетический пример маршрутизации IP-пакета от ноутбука 60 к стационарному компьютеру 61 при использовании сетевой связи с коммутацией пакетов. В процессе работы первый пакет данных, отправленный из ноутбука 60 в маршрутизатор Wi-Fi 62А через беспроводное соединение 63А, направляется в ряд DNS-серверов 70, где DNS (Domain Name Server) -сервер доменных имен. Задачей ряда DNS-серверов 70 является преобразование текстового имени или номера телефона устройства-адресата, в данном случае стационарного компьютера 61, в IP-адрес. Перед маршрутизацией пакета корневой сервер DNS 72 загружает большую таблицу адресов во вторичный сервер DNS 71. Когда поступает запрос от ноутбука 60, вторичный сервер DNS 71 выдает в ответ IP-адрес адресата, т.е. стационарного компьютера 61. В случае, когда вторичный сервер DNS 71 не знает адреса устройства-адресата, он может запрашивать недостающую информацию от корневого сервера DNS 72. В конечном счете, IP-адрес передается из ряда DNS-серверов 70 обратно на адрес отправителя, т.е. ноутбуку 60.

После этого ноутбук 60 собирает свои пакеты IP-данных и последовательно начинает их отправку адресату, сначала через Wi-Fi радиомодуль 63A к маршрутизатору Wi-Fi 62A, а затем через сеть маршрутизаторов и серверов, выступающих в качестве промежуточных маршрутизаторов к адресату. Например, ряд выделенных маршрутизаторов, согласно фигуре, включает устройства 65A, 65B и 65C, а ряд компьютерных серверов, работающих в качестве маршрутизаторов, включает устройства 66A-66E, которые вместе образуют сеть маршрутизаторов, работающую либо как узлы в Интернете, либо как точки присутствия (POP, англ. Point of presence), т.е. шлюзы с ограниченной связностью, способные осуществлять доступ к Интернету. В то время как некоторые маршрутизаторы или серверы, действующие как точки присутствия, подключаются к Интернету с помощью лишь небольшого количества соседних устройств, сервер 66A, согласно фигуре, соединен с большим количеством устройств и иногда называется "суперточкой присутствия". Для большей ясности следует заметить, что термин POP (точка присутствия) в сетевом языке не следует путать с именем приложения POP (англ. plain old post office) или обычным почтовым отделением, используемым в почтовых приложениях.

Каждый маршрутизатор или сервер, выступающий в роли маршрутизатора, содержит в своих файлах памяти таблицу маршрутизации, идентифицирующую IP-адреса, которые он может адресовать, и, возможно, также адреса, которые могут адресовать маршрутизаторы над ним. Эти таблицы маршрутизации автоматически загружаются и устанавливаются на каждом маршрутизаторе при первом Интернет-подключении и обычно не загружаются в процессе маршрутизации пакета через сеть. Когда IP-пакет входит в маршрутизатор, точку присутствия или суперточку присутствия, маршрутизатор считывает достаточную часть IP-адреса, как правило, цифры старших разрядов адреса, чтобы знать, куда дальше направлять пакет на его пути к адресату. Например, пакет, отправленный в Токио из Нью-Йорка, может проходить сначала через Чикаго, затем через серверы в Сан-Франциско, Лос-Анджелесе или Сиэтле, а затем отправляться в Токио.

В примере, показанном на фигуре 3, пакет, отправленный из ноутбука 60 в маршрутизатор Wi-Fi 62A, затем направляется в маршрутизатор 65А по маршруту 64А; последний, хотя у него есть множество вариантов, решает отправить пакет в суперточку присутствия 66А по маршруту 67А. Несмотря на то, что суперточка присутствия 66A также имеет много вариантов продолжения, она решает, что наилучший путь в этот конкретный момент - маршрут 68 к серверу-маршрутизатору 66D, отправляет его в локальный маршрутизатор 65C по маршруту 67B, который, в свою очередь, соединяется по маршруту 64B с маршрутизатором и точкой доступа Wi-Fi 62B, связывающей Wi-Fi радиомодуль 63B со стационарным компьютером 61. Таким образом, несмотря на то, что путь прохождения был проложен от суперточки присутствия 66A к серверу-маршрутизатору 66D и местному маршрутизатору 65C, он мог быть точно так же проложен от суперточки присутствия 66A к маршрутизатору 65B и местному маршрутизатору 65C, или от суперточки присутствия 66A к серверу-маршрутизатору 66D, серверу-маршрутизатору 66E к местному маршрутизатору 65C. И поскольку количество маршрутизаторов, через которые проходит пакет, и доступная скорость передачи данных для каждого из соединений между маршрутизаторами различаются по инфраструктуре, а также по сетевому трафику и загрузке, нет способа априори определить, какой путь является самым быстрым или лучшим.

В отличие от телефонной связи с коммутацией каналов, которая устанавливает и поддерживает непосредственное соединение между клиентами, для коммутации пакетов данных нет универсального интеллекта, просматривающего Интернет, чтобы решить, какой путь является наилучшим, оптимальным или самым быстрым для маршрутизации пакета, и нет никакой гарантии, что два последовательно отправляемых пакета пойдут по одному и тому же маршруту. Таким образом, пакет "определяет" свой путь через Интернет на основе приоритетов компаний, эксплуатирующих маршрутизаторы и серверы, через которые проходит этот пакет. Каждый маршрутизатор, по сути, содержит определенные таблицы маршрутизации и алгоритмы маршрутизации, которые определяют его предпочтительные маршруты на основе состояния сети. Например, предпочтения маршрутизатора могут установить высокий приоритет для отправки пакетов другим маршрутизаторам, принадлежащим той же компании, уравновешивая трафик среди подключений к соседним маршрутизаторам, находя самую короткую задержку для следующего маршрутизатора, заключая прямые сделки со стратегическими партнерами по бизнесу или создавая линию срочной отправки для VIP-клиентов за счет пропуска как можно большего количества промежуточных маршрутизаторов. Когда пакет поступает в маршрутизатор, нет способа узнать, были ли варианты маршрутизации выбраны конкретной точкой присутствия с максимальным учетом интересов отправителя или оператора сетевого сервера.

Таким образом, в каком-то смысле маршрут, по которому проходит пакет, зависит от времени и удачи. В предыдущем примере маршрутизации от Нью-Йорка до Токио сам маршрут и результирующее качество обслуживания могут существенно изменяться в зависимости даже от небольших отклонений в пути, т.е. в нелинейных уравнениях так называемого "эффекта бабочки". Рассмотрим случай, когда пакет из Нью-Йорка проходит через "маршрутизатор А" в Чикаго и из-за временно высокого трафика в Калифорнии, он будет отправлен скорее в Мехико, чем в Калифорнию. Затем маршрутизатор Мехико отправляет IP-пакет в Сингапур, откуда он, наконец, отправляется в Токио. Следующий пакет отправляется через "маршрутизатор B" в Чикаго, который при низком трафике в этот момент времени направляет пакет в Сан-Франциско, а затем прямо в Токио всего в два этапа. В таком случае второй пакет может прибыть в Токио раньше первого, направленного по более длинному пути. Этот пример наглядно иллюстрирует проблемный вопрос использования Интернета для связи в реальном времени, например, для передачи онлайн-видео или технологии VoIP в реальном времени, а именно то, что Интернет не предназначен для обеспечения гарантированного времени передачи или для контроля за задержками при передаче. Задержка может изменяться от 50 мс до 1 с и более только в зависимости от того, через два сервера проходит пакет или через пятнадцать.

Отсутствие контроля за маршрутизацией в Интернете является проблемой для приложений реального времени и, в частности, является причиной низкого качества обслуживания для OTT-провайдеров, которые пытаются организовать предоставление VoIP (Voice over Internet Protocol)-телефонии, используя Интернет как бесплатную инфраструктуру для своих сервисов. Поскольку OTT-провайдеры не контролируют маршрутизацию, они не могут контролировать задержку в сети. Еще одна проблема связи с коммутацией пакетов заключается в том, что можно легко завладеть данными, не будучи обнаруженным. Если пират перехватывает пакет и определяет IP-адрес его отправителя или получателя, он может различными способами перехватывать данные от взломанных маршрутизаторов и либо прослушивать их, либо перенаправлять трафик через свою собственную пиратскую сеть для осуществления шпионского прослушивания разговора и даже расшифровки зашифрованных файлов.

Исходные и целевые IP-адреса отправителя и получателя и другая важная информация, используемая для маршрутизации пакета (а также используемая пиратами для взлома пакета), указаны в виде строки цифровых данных на фигуре 4. IP-пакет содержит цифровую информацию, определяющую физическое соединение между устройствами, способ организации данных для связи устройств, сетевую маршрутизацию пакета, средства обеспечения точности передачи полезных данных (полезной нагрузки) и тип данных полезной нагрузки, а затем сами данные полезной нагрузки, предназначенные для использования различными прикладными программами.

IP-пакет отправляется и принимается последовательно в виде цепочки последовательных цифровых битов, отображаемых по ходу времени 86 слева направо, и организованных определенным образом, который называется Интернет-протоколом, и установлен различными комитетами по стандартизации, в том числе IETF (Internet Engineering Task Force - Инженерным советом Интернета) и другими. Стандарт гарантирует, что любой IP-пакет, соответствующий установленному протоколу, может быть передан и понят любым сетевым устройством, соответствующим этому же IP-стандарту. Обеспечение связи и совместной работы сетевых устройств и приложений, подключенных к Интернету, является характерной особенностью Интернета и руководящим принципом организации Open Source Initiative (OSI), не позволяющим какой-либо компании, правительству или отдельному лицу взять под контроль Интернет или ограничить его доступность или функциональные возможности.

Модель OSI - это абстрактная конструкция, состоящая из семи уровней функциональных возможностей, которая точно определяет формат IP-пакета и каждого сегмента этого пакета. Каждая часть или "сегмент" IP-пакета соответствует данным, применяемым к функции конкретного уровня модели OSI, сведенным в таблицу 87 на фигуре 4. Эти семь уровней модели OSI выполняют следующие роли:

● Уровень 1 - физический уровень - содержит конкретную информацию об оборудовании, определяющую физическую природу связи как электрические, радио и оптические сигналы, а также способ преобразования этих сигналов в биты для использования в системе связи. Задачей уровня PHY (аббревиатура от англ. Physical layer - физический уровень) является преобразование в поток битов определенных носителей информации, таких как Wi-Fi-радио, Ethernet, последовательные порты, оптическое волокно, сотовая радиосвязь 3G или 4G, DSL на медной витой паре, USB, Bluetooth, кабельное или спутниковое телевидение, цифровое аудио-вещание, видео или мультимедиа контент. В IP-пакете преамбула 80 представляет данные уровня 1 и используется для синхронизации всего пакета данных или "кадра" с передающим и принимающим его оборудованием.

● Уровень 2 - канальный уровень, содержащий биты, расположенные в виде кадров, который определяет правила и средства, посредством которых потоки битов, переданные с физического уровня 1, преобразуются в интерпретируемые данные. Например, потоки битов, основанные на данных Wi-Fi радиомодуля, могут соответствовать любому заданному стандарту IEEE, в том числе 802.11a, b, g, n и ac; сигналы радиосвязи 3G могут быть модулированы с использованием высокоскоростных способов пакетного доступа HSDPA или HSUPA; модулированный световой сигнал в волоконно-оптической линии или электрические сигналы в коаксиальном кабеле могут быть декодированы в данные в соответствии со стандартом DOCSIS 3 и т.д. В IP-пакете данные уровня 2 охватывают оставшуюся часть пакета - сегменты 82, 83 и 84, с предшествующим "заголовком канала передачи данных" 81 и завершителем канала передачи данных 85, которые совместно определяют, когда начинается и заканчивается охватываемая полезная нагрузка, а также обеспечивают контроль за отсутствием потерь в процессе передачи. Одним из ключевых элементов данных уровня 2 является MAC-адрес или адрес доступа к среде, используемый для направления трафика данных на конкретные адреса Ethernet, радиолинии или конкретные аппаратные приемопередающие линии.

● Уровень 3 - сетевой уровень или уровень Интернета - содержит пакеты, называемые "датаграммами", содержащие информацию интернет-протокола (IP), используемую для маршрутизации IP-пакета, в том числе, содержит ли пакет данные IPv4 или IPv6 и соответствующие IP-адреса отправителя и получателя, а также информацию о характере полезных данных, содержащихся в пакете, например, использует ли данный тип протокола управления передачей TCP (англ. Transmission Control Protocol - протокол управления передачей), протокол пользовательских датаграмм UDP (англ. User Datagram Protocol) и др. Уровень 3 также включает функцию предотвращения образования "бессмертных" пакетов - IP-пакетов, которые никогда не доставляются, но и никогда не умирают. Специальный тип пакета уровня 3 - ICMP (протокол межсетевых управляющих сообщений) -используется для диагностики состояния сети, включая хорошо известную функцию "ping". В IP-пакете уровень 3 содержит "IP-заголовок" 82 и включает данные о полезной нагрузке, содержащейся в сегментах 83 и 84 транспортного и верхнего уровня.

● Уровень 4 - транспортный уровень - содержит сегменты данных, определяющие характер соединения между коммуникационными устройствами, где протокол UDP определяет минимальное описание полезной нагрузки без установления соединения, а именно, насколько велик объем полезной нагрузки, есть ли потерянные биты и какая служба приложений (порт) будет использовать доставленные данные. Протокол UDP рассматривается без установления соединения, поскольку он не подтверждает доставку полезной нагрузки, вместо этого полагаясь на приложение для проверки наличия ошибок или потери данных. Обычно UDP используется для чувствительной ко времени связи, например, для широковещательной, мультивещательной и онлайн-передачи, где повторная отправка пакета не используется. Напротив, TCP обеспечивает виртуальное соединение, подтверждая, что пакет и полезная нагрузка достоверно доставлены до отправки следующего пакета и повторно отправляет недоставленные пакеты. TCP также проверяет целостность данных доставленных пакетов по контрольной сумме и включает средства повторной сборки несвоевременно доставленных пакетов в их первоначальном порядке. Как TCP, так и UDP определяют порты отправления и получения, описание службы или приложения верхнего уровня, например, веб-сервер или почтовый сервер, связанный с информацией, содержащейся в полезных данных уровня 4. В IP-пакете уровень 4 содержит заголовок TCP/UDP 83 и содержит сведения о данных/полезной нагрузки 84, включая контент, предназначенный для использования верхними уровнями 5, 6 и 7 модели OSI.

● Уровни 5, 6 и 7 - верхние или прикладные уровни - описывают контент, доставляемый через Интернет как данные/полезную нагрузку 84. Уровень 7 - прикладной уровень - представляет собой самый высокий уровень в модели OSI и опирается на шесть базовых уровней модели OSI для поддержки как ПО с открытым кодом, так и проприетарного прикладного программного обеспечения. К часто используемым приложениям уровня 7 относятся электронная почта с использованием SMTP, POP или IMAP; просмотр веб-страниц с использованием HTTP (Chrome, Safari, Explorer, Firefox); передача файлов с использованием FTP и эмуляция терминала с использованием Telnet. Проприетарные приложения включают набор продуктов Microsoft Office (Word, Excel, PowerPoint), Adobe Illustrator и Photoshop; приложения для работы с базами данных Oracle и SAP; финансовое программное обеспечение Quicken, Microsoft Money и QuickBooks; плюс аудио- и видеоплееры (например, iTunes, QuickTime, Real Media Player, Window Media Player, Flash), а также такие программы для чтения документов, как Adobe Acrobat Reader и Apple Preview. Приложения уровня 7 также обычно используют встроенные объекты, синтаксически определяемые уровнем 6 - представительским уровнем - включающим текст, графику и изображения, звук и видео, такие презентации документов, как XML или PDF, а также такие функции защиты, как шифрование. Уровень 5 - сеансовый уровень - устанавливает возможность подключения нескольких приложений, например, импорт одного объекта в файл другой программы и управление инициированием и завершением сеанса.

Как описано выше, семиуровневая модель OSI определяет функции каждого уровня, а соответствующий IP-пакет включает данные, относящиеся к каждому уровню, один внутри другого по принципу матрешки... Внешний пакет или физический уровень 1 определяет весь IP-кадр и содержит информацию, относящуюся ко всем более высоким уровням. В рамках этих физических данных кадр данных уровня 2 описывает канал передачи данных и содержит сетевую датаграмму уровня 3. Эта датаграмма, в свою очередь, описывает уровень Интернета как полезную нагрузку, а сегмент данных уровня 4 описывают транспортный уровень. Транспортный уровень передает данные верхнего уровня как полезную нагрузку, в том числе контент уровней 5, 6 и 7. Это семиуровневое вложение иногда также мнемонически соотносят с фразой на английском языке "all people seem to need data processing" (похоже, что все люди нуждаются в обработке данных), в которой первые буквы слов соответствуют первым буквам названий семи уровней, начиная с самого верхнего: application (прикладной), presentation (представительский), session (сеансовый), transport (транспортный), network (сетевой), data-link (канальный) и physical (физический).

В то время как нижние уровни - физический и канальный - связаны с оборудованием, средние уровни модели OSI, включаемые в IP-пакет для описания сетевой и транспортной информации, совершенно независимы от аппаратной платформы, используемой для осуществления связи и доставки IP-пакета. Более того, верхние слои, включаемые как полезная нагрузка транспортного уровня, специфичны только для приложений, для которых они предназначены, и работают совершенно независимо от маршрутизации пакета и его доставки через Интернет. Это разделение позволяет независимо контролировать каждый уровень, поддерживая огромное количество возможных комбинаций технологий и пользователей, не требующих организационного одобрения формата пакета или проверки жизнеспособности полезной нагрузки пакета. Неполные или неправильные IP-пакеты просто отбрасываются. Таким образом, сети с коммутацией пакетов способны маршрутизировать, транспортировать и передавать разнообразную информацию, связанную с приложениями, в разнородных коммуникационных средах согласованным образом между любыми сетевыми устройствами или объектами, подключенными к Интернету.

В заключение следует отметить, что сети с коммутацией каналов требуют одного непосредственного соединения между двумя или несколькими связывающимися сторонами (подобно обычной телефонной сети прошлого века), в то время как в сетях с коммутацией пакетов осуществляется распределение документов, звука, видео и текста по нескольким пакетам, передача этих пакетов по нескольким сетевым путям (аналогично почтовому отделению, использующему оптимальный вариант для обеспечения точной и своевременной доставки), а затем сборка исходного контента с подтверждением того, что на этом пути ничего не потеряно. Сравнение абонентской сети связи с коммутацией каналов и технологии VoIP с коммутацией пакетов представлено в следующей таблице:

Сеть Абонентская сеть связи (PSTN) Интернет
Технология С коммутацией каналов С коммутацией пакетов
Подключение Выделенная электрическая линия связи Каждый пакет маршрутизируется через Интернет
Передача данных В режиме реального времени (сеть) Оптимальный вариант (пакет)
Сигнал Аналоговый или цифровой Цифровой, IP, технология VoIP
Контент Голос Голос, текст, данные, видео
Скорость передачи данных Низкая Высокая
Контроль ошибок Отсутствует или минимальный Глубокий
Влияние повреждения линии связи Несостоявшийся или прерванный вызов Изменение маршрута вызова
Влияние отказа электропитания Электропитание обеспечивает сеть Требуется резервная аккумуляторная батарея

Здесь следует отметить, что несмотря на то, что абонентская сеть связи (PSTN) работает в режиме реального времени, используя соединения электрической линии связи, используя способы "оптимального варианта" доставки пакета и полезной нагрузки, в отличие от почтового отделения, использующего любые автомобили и почтальонов, чтобы в конечном итоге доставить почту, даже если она уже опоздала. Чтобы лучше понять способ, с помощью которого сети с коммутацией пакетов достигают этой цели, необходимо глубже изучить функции и роль каждого уровня в семиуровневой модели OSI для сетей.

Уровень 1 модели OSI - физический (PHY) уровень

Физический уровень, описываемый уровнем 1 модели OSI, связан с работой оборудования, используемого для осуществления связи. Несмотря на то, что это самый главный уровень, описывающий только электрическую, радио и оптическую передачу, он также является самым разнородным, потому что каждое подробное описание имеет специфику, свойственную конкретному элементу оборудования. В широком смысле аппаратные системы связи могут быть разбиты на два типа: оборудование для связи с высокой пропускной способностью, используемое для каналов с большим объемом трафика, соединяющих серверы, образующие основную сеть Интернета, например, "облачные", и оборудование с более низкой пропускной способностью, завершающее местную связь между устройствами или подключающее линию связи "последней мили" от облака до потребителей, предприятий и машин.

Фигура 5А, например, иллюстрирует связь с высокой пропускной способностью между POP-серверами 21A и 21B, подключенными через вышки радиорелейной связи 98, волоконно-оптические кабели 91 и спутники радиорелейной связи 93. Радиорелейная связь требует, чтобы вышки радиорелейной связи 96A и 96B находились на линии прямой видимости. Согласно фигуре, эти вышки соединены с POP-серверами 21A и 21B посредством проводных соединений 97A и 97B. Аналогично, спутниковая связь требует наличия радиорелейных восходящих (земля-борт) и нисходящих (борт-земля) линий связи 95А и 95В между спутником 93 и спутниковыми антеннами 92А и 92В, соединенными с POP-серверами 21А и 21В. Как и в предыдущем примере, серверы 21А и 21В соединяются со спутниковыми антеннами 92А и 92В проводными соединениями 94А и 94В. Серверы 21А и 21В также могут соединяться напрямую с использованием оптического соединения 90 с высокой пропускной способностью, обеспечиваемого волоконно-оптическими кабелями 91. Несмотря на то, что наземные и подводные кабели ранее содержали большое количество многожильных каналов из медного провода, ограниченная полоса пропускания и высокая стоимость меди ускорили глобальный переход на оптоволокно.

Фигура 5В иллюстрирует различные примеры канала "последней мили" между облаком 22, содержащим серверы 21B и 21C и соединение с высокой пропускной способностью 23, и большим количеством компьютеров, телефонов, радиостанций и других сетевых устройств. Согласно фигуре, проводные соединения могут содержать волоконно-оптический кабель 91 и коаксиальный кабель 105, и в меньшей степени витую пару медных проводов. Беспроводные соединения могут осуществляться с помощью ряда средств, включая вышку сотовой радиосвязи 18, вышку двунаправленной радиосвязи 15, точку доступа Wi-Fi 26 и спутник 93.

Как один из примеров сервер 21C, действующий в качестве облачного шлюза, соединяется волоконно-оптической линией связи 24 с базовой станцией LTE 17, управляющей радиовышкой 18 для осуществления сотовой связи 28 с сотовым телефоном 32, планшетом 33 или ноутбуком 35. Сервер 21C также подключается к общедоступному маршрутизатору Wi-Fi 100, связанному каналом Wi-Fi 29 с сотовым телефоном 32, планшетом 33 или ноутбуком 35.

Сервер 21C подключается к передающей системе кабельного модема CMTS 101, которая, в свою очередь, соединяется коаксиальным кабелем 105 с телевизионной приставкой (TV STB) 102, управляющей телевизионным приемником 39 с использованием HDMI (High Definition Multimedia Interface - мультимедийного интерфейса высокой четкости) 107, и с кабельным модемом 103. Кабельный модем 103 генерирует два разных типа выходных сигналов - голосовой и высокоскоростной цифровой (HSD). Голосовой выходной сигнал может использоваться с портативным телефоном 5, а HSD управляет стационарным компьютером 36, а также планшетом 33, бытовым прибором 34 и сотовым телефоном (не показан) с помощью Wi-Fi сигнала 29, генерируемого домашней точкой доступа Wi-Fi 26. Кабельный модем 103 может в некоторых случаях формировать HSD сигнал как Ethernet 104, подключенный к стационарному компьютеру 36. С другой стороны, телевизионная приставка TV STB 102 может принимать свои сигналы по спутниковой линии связи 95, содержащей спутниковые антенны 92A и 92B со спутником 93. Совместно TV STB 102 и различные выходы кабельного модема 103 создают домашнюю сеть связи 100.

Сервер 21C также может подключаться к служебным устройствам связи с помощью сигналов радиостанции полнодуплексной связи 20, управляющих радиостанциями 16A и 16B от базовой станции 14 TETRA или EDACS и радиовышки 15, или через мини-АТС 8, управляющую стационарными телефонами 9. Поскольку большинство систем полнодуплексной радиосвязи и мини-АТС не поддерживают способы связи с коммутацией пакетов и не используют общедоступные телефонные номера для маршрутизации вызовов, информация теряется всякий раз, когда данные передаются между сервером 21C и мини-АТС 8 или базовой радиостанцией 14. То же относится и к мосту абонентской сети связи 3, подключенному к POTS (традиционной телефонной сети) 6, поскольку POTS не предназначена для одновременной обработки голосового сигнала и сигнала данных.

Роль физического (PHY) уровня изменяется в системах в зависимости от режима связи - "один-к-одному", "один-ко-многим" или "многие-ко-многим". В режиме связи "один-к-одному", принцип действия которого иллюстрируется на фигуре 6А, два и только два электронных устройства 140А и 140В непосредственно связываются друг с другом с использованием выделенного электрического, оптического или радиоподключения для реализации соединения "один-к-одному". Используя предписанный и предопределенный протокол связи, установленный в интерфейсных модулях 143A и 143B, между устройствами для осуществления связи может быть установлен только аппаратный интерфейс. Более конкретно, данные, генерируемые электронной схемой 141А, передаются в интерфейсный модуль связи на физическом уровне 143А, соединенный посредством электрических, радио или оптических сигналов 144 с интерфейсным модулем связи на физическом уровне 143B идентичной конструкции. Полученные данные обрабатываются электронной схемой 141B, и в некоторых случаях возвращают ответный сигнал интерфейсному модулю 143A в устройстве 140A.

Поскольку в режиме связи "один к одному" есть только два устройства, нет необходимости включать программное обеспечение, чтобы направлять трафик, идентифицировать устройства или решать, какие устройства реагируют на инструкции. Примеры такой выделенной связи "один к одному" включают в себя шины последовательного обмена, например, RS232, первоначально использовавшиеся для подключения принтеров к стационарным компьютерам, и шина простого последовательного управления (S2C) (патент США №7 921 320), использовавшаяся для управления яркостью светодиодной подсветки на дисплеях сотовых телефонов.

Выделенная связь "один к одному" обладает рядом преимуществ. Во-первых, ее легко реализовать и при желании можно полностью выполнить на аппаратных средствах, даже в пределах одной интегральной схемы, без ядра центрального процессора (ЦП). С другой стороны, этот интерфейс может быть реализован микропрограммно, т.е. в виде программы специального оборудования, требующей минимальной мощности обработки ЦП для выполнения ограниченного набора команд управления обменом данными. Во-вторых, нет необходимости управлять трафиком - такие интерфейсы могут работать с очень высокой скоростью передачи данных. Наконец, она обладает рядом преимуществ с точки зрения безопасности, поскольку ни одно другое устройство не пользуется этой линией и не может "прослушивать" происходящий по ней информационный обмен. В этом случае данный интерфейс может быть реализован для "проверки идентичности" или "аутентификации" любого устройства в момент подключения устройства к порту, а также для отключения порта, если соединение прерывается даже на мгновение. Устройства, которые не аутентифицированы, игнорируются, и порт остается отключенным до тех пор, пока устройство, подтвердившее идентичность, не заменит проблемное устройство.

Связью между двумя устройствами в режиме "один-к-одному" можно управлять двумя принципиально разными способами. В "одноранговой" системе связи каждое устройство имеет равные полномочия по принятию решений, и приоритет управления обменом информацией обычно устанавливается по принципу "первым пришел - первым обслужен". В качестве альтернативы, в конфигурации "ведущий-ведомый" ведущее устройство берет на себя управление процессом принятия решений, а ведомое устройство должно выполнять запросы и получать разрешение от ведущего устройства для осуществления любых действий.

Только физический интерфейс "один-ко-многим" показан на фигуре 6В, где три устройства 140А, 140В и 140C или большее количество устройств соединены общей линией связи, показанной как "шина" данных 144. Каждое устройство включает в себя электронную схему 141А, 141В или 141C, соединенную соответствующей линией данных 142A, 142B или 142C с физическим интерфейсом 143A, 143B или 143C. В этой конфигурации данные, передаваемые с любого устройства, поступают на все остальные устройства, подключенные к шине или коммуникационной среде. Например, если устройство 140C отправляет данные на шину 144, оба устройства 140A и 140B будут принимать сообщение, если устройство 140B отправляет данные на шину 144, сообщение будут принимать устройства 140A и 140C и т.д. Связь, в которой слушают все, называется "широковещательной", она аналогична вещательным телевизионным станциям, передающим контент ко многим телевизионным приемникам.

На современном профессиональном жаргоне широковещательная передача "один-ко-многим" называется мультивещание. Только на физическом уровне 1 вещание по своей сути не является защищенной формой связи, потому что осуществляющее его устройство не знает, кто его слушает. Во время Второй мировой войны вещание использовалось для передачи информации войскам, флотам и подводным лодкам по незащищенным каналам с использованием "шифрования", предназначенного для лишения слушателя возможности интерпретировать сообщение, за счет использования секретного алгоритма для скремблирования информации. Если несанкционированный слушатель был способен "расшифровать код", это серьезно подрывало безопасность не только потому, что нарушитель мог перехватывать конфиденциальные сообщения, но и потому, что передающий информацию не знал, что это возможно. Таким образом, при реализации только на физическом уровне 1, связь "один-ко-многим" имеет несколько основных недостатков, а именно:

● любое устройство, способное подключаться к коммуникационной шине или среде, может принимать или контролировать контент сообщения, даже если оно является непреднамеренным получателем или угрозой безопасности;

● устройство, инициирующее передачу данных, не имеет представления о том, что слушают другие устройства;

● устройство, инициирующее передачу данных, не может подтвердить правильность и точность приема отправленных данных;

● Передача коммуникационного трафика случайным или незаинтересованным получателям бесполезно тратит значительную часть пропускной способности канала связи, вынуждая получателей принимать сообщения, которые они не хотят получать, не нуждаются в них и не интересуются ими.

Проблема подключения нескольких устройств с реализацией только на физическом уровне еще более усугубляется в конфигурации "один-ко-многим" и особенно в конфигурации "многие-ко-многим" из-за борьбы за пропускную способность канала и при определении приоритета устройств, которым разрешена передача. Чтобы предотвратить конфликты данных в случаях, когда несколько устройств пытаются осуществлять вещание одновременно, связь только на физическом уровне должна принимать определенную иерархическую форму с присвоением каждому устройству приоритетных прав на использование канала или систем связи. При разработке центрального процессора (ЦП) предусматривается несколько способов управления связью внутри ЦП и между ЦП и памятью. Эти концепции включают понятия "шины адреса", используемой для определения того, с каким устройством или областью памяти ЦП пытается установить связь; "шины данных", используемой для переноса данных отдельно от адреса, и одна или несколько линий "прерывания", используемых для определения того, когда должна выполняться какая-либо задача.

Таким образом, ЦП может динамически реагировать на требуемые задачи, что позволяет ЦП устанавливать связь и осуществлять работу с несколькими периферийными устройствами по мере необходимости, снимая с ЦП ответственность за постоянный опрос или обращения за информацией о статусе от подключенных периферийных устройств. Если во время работы периферийному устройству требуется внимание, оно генерирует сигнал "прерывания", то есть запрос на обслуживание путем кратковременного электрического замыкания общей сети (линии прерывания) на землю. После генерирования прерывания периферийное устройство ожидает, что процессор спросит у него, что ему нужно, таким же образом, как система "вызова бортпроводника" в самолете. Поскольку процедура обслуживания прерываний обычно позволяет ЦП завершить работу над тем, что он в данный момент делает, прежде чем обслуживать прерывающее устройство, такой способ не подходит для обработки в реальном времени приоритетных событий, требующих немедленного реагирования.

Чтобы расширить возможности обмена на основе прерываний для приложений реального времени, в архитектуре ЦП вводится понятие концепции приоритетной линии, называемой "немаскируемым прерыванием", которая позволяет заставить ЦП отменить все, что он делает, и немедленно обслужить высокоприоритетное событие или событие реального времени, например, сообщение, поступающее в маршрутизатор или вызов, поступающий в сотовый телефон. Подобно VIP-обслуживанию небольшого количества пассажиров в салоне первого класса, такие способы работы предусмотрены для ограниченного количества устройств, подключенных к центральному коммуникационному или ведущему устройству, но этот подход не распространяется на обслуживание большого числа пользователей и не поддерживает распределенные системы одноранговой связи без централизованного управления.

По принятому в ЦП принципу адресации устройств уровни 2, 3 и 4 модели OSI аналогичным образом используют "идентификатор" устройства в качестве ключевого компонента для направления трафика информационного обмена между устройствами. Например, уровень 2 - канальный уровень - идентифицирует входные и выходные соединения с использованием доступа к среде передачи данных или MAC-адресов; уровень 3 - сетевой уровень - маршрутизирует пакеты через сеть с использованием IP-адресов; а уровень 4 - транспортный уровень - использует адреса портов для определения типа переносимых данных, например, электронной почты, веб-страниц, файлов и т.д. В ЦП шина адреса, шины данных и линии прерывания выполнены в виде отдельных линий, также называемых "параллельным" портом. Несмотря на то, что параллельные порты эффективны с точки зрения повышения скорости передачи данных для линий связи внутри одной микросхемы или для высокоскоростных соединений на коротком расстоянии на материнской плате компьютера, для связи на более дальнем расстоянии большое количество линий является дорогостоящим и нецелесообразным.

Вместо этого самым распространенным способом электронной связи сегодня является последовательная связь с доставкой информации в пакетах, передаваемых в течение более продолжительного времени. Пакет IP, показанный ранее на фигуре 4, содержит все необходимые данные маршрутизации и связи для доставки контента - полезной нагрузки 84 - от отправителя к получателю через сеть связи, локально или глобально. Каждый IP-пакет содержит необходимые адреса, в том числе информацию канального уровня в заголовке канала передачи данных 81, информацию об IP-адресе в заголовке 82 IP и информацию об адресе порта в заголовке TCP/UDP 83, при этом они организованы последовательно и принимаются в определенном порядке в течение некоторого времени 86, а не отправляются одновременно и параллельно.

Уровень 2 модели OSI - канальный уровень

Чтобы преодолеть вышеупомянутые проблемы в управлении потоком информации при связи с несколькими устройствами только на физическом уровне, семиуровневая модель OSI включает в себя абстрактную конструкцию уровня 2 или "канальный" уровень. По сути,, канальный уровень выполняет обязанности координатора трафика, направляет поток данных и решает, какие данные на общей шине данных или в совместно используемой среде предназначены для конкретного устройства. Роль уровня 2 - канального уровня - иллюстрируется на примере, приведенном на фигуре 7A, где устройства 145A, 145B и 145C совместно используют общее соединение или "шину" 144, но каждое из них на канальном уровне имеет свой собственный интерфейс связи 146A, 146B и 146C, поддерживающий только один канал связи 147 в конкретный момент времени. Поэтому, несмотря на то, что многие устройства соединены друг с другом на физическом уровне, т.е. совместно используют общую аппаратную шину, на канальном уровне только два из них подключены друг к другу в конкретный момент времени. В частности, если устройство 145А желает установить связь исключительно с устройством 145В, то канал 147 образуется только между устройством А и устройством В, даже если устройство С подключено к ним обоим на физическом уровне.

Внедрив связанное с уровнем 2 оборудование или программное обеспечение в качестве интерфейса канального уровня во всех трех устройствах, т.е. канальные интерфейсы 146A, 146B и 146C, данные, отправляемые по шине данных 144, можно проверять и отфильтровывать для ограничения объема информационного обмена между устройствами отправителя и предполагаемого получателя. Остальные сетевые устройства, подключенные к шине, несмотря на то, что они по-прежнему принимают те же данные, игнорируют их и не предпринимают никаких действий в результате приема входящего сообщения. Такой протокол используется последовательным периферийным интерфейсом (шиной SPI), где несколько устройств подключены к общей "шине данных", эта шина передает данные, но реагируют только те, чей адрес поступает по линии адреса. Таким образом, шина SPI используется для управления светодиодами в системе подсветки ЖК телевизоров, что позволяет независимо управлять каждой строкой светодиодов на экране телевизора, чтобы облегчить регулировку яркости и "местное затемнение" для видеоконтента HD и UHD с высокой контрастностью. Эта же концепция также используется в архитектуре шин компьютерной памяти для выбора банка памяти при чтении или записи в слотах расширения PCI Express на компьютерах и в шине CAN, используемой в автомобилях.

Аналогично, концепция канального уровня используется в системе беспроводной связи Bluetooth для беспроводных наушников, громкоговорителей, видеокамер и т.д., где только ранее авторизованные или "связанные" сопряженные устройства могут устанавливать связь друг с другом. В протоколе Bluetooth процесс соединения, действия по организации канала передачи данных, происходят заранее и независимо фактической передачи данных. Как только связь будет установлена, два связанных устройства могут, по меньшей мере теоретически, осуществлять информационный обмен без помех со стороны других переговоров в системе Bluetooth, которые происходят одновременно между другими сторонами. В действительности, шина информационного обмена Bluetooth 144 представляет собой общий радиоканал с ограниченной пропускной способностью и информационной емкостью. По определению комитета стандартов Bluetooth и по обоюдному согласию Федеральной комиссии связи США (FCC) и соответствующих агентств других государств, каждое совместимое с Bluetooth устройство осуществляет широковещательную передачу в одном и том же общем радиодиапазоне или "канале". Каждый из происходящих одновременно сеансов вещания занимает часть доступной полосы пропускания канала и скорости передачи данных. Несмотря на перекрытие сеансов передачи, данные не конфликтуют достаточно долго, пока канал не становится перенаселенным. Чтобы свести к минимуму риск возникновения конфликтов между данными и обойти проблемы перенаселения и доступности каналов, связь по каналу Bluetooth намеренно ограничивается очень малой дальностью и чрезвычайно низкой скоростью передачи данных.

В ранее описанной архитектуре шины физическое соединение представляет собой общую линию, электрическое соединение или среду, подключенную напрямую или совместно используемую несколькими устройствами. В архитектуре шины любое подключенное к шине устройство, потребляет некоторую энергию от шины, чтобы осуществлять связь, и, хотя и немного, но снижает качество работы шины. Это явление, постепенно снижающее качество работы шины при каждом подключении дополнительного устройства, называется "нагружением". В случае если нагружение слишком велико, шина не в состоянии работать в пределах заданных показателей качества, и связь либо перестает работать, становясь слишком медленной, либо работает с большим количеством ошибок. Максимальное количество устройств, при подключении которых к линии или шине она еще работает и обеспечивает заданные показатели качества, называется "нагрузочной способностью" шины или соединения. Чтобы смягчить опасность нагружения, шина может быть разбита на несколько сегментов, каждый из которых работает по принципу "один-к-одному", где улучшается целостность сигнала, или осуществляется его буферизация по мощности перед отправкой другим устройствам. С точки зрения подключения, передаваемые данные или сигнал, канал передачи данных остаются такими же, как и в шинной архитектуре, но мощность электрического, оптического или радиосигнала, физические данные постоянно поддерживаются на нужном уровне независимо от количества сетевых устройств.

Примером таким образом подключенной сети, содержащей соединения "один-к-одному" с усиленными сигналами, является архитектура концентратора, показанная на фигуре 7В, где устройства A, B и C, показаны в простой форме стеками связи 146A, 146B и 146C, соответственно, подключаются друг к другу через шину усиления сигнала или "концентратор" 148. Концентратор точно воспроизводит контент входящего сигнала без изменения, фильтрации или интерпретации потока данных, а затем выводит усиленную версию того же сигнала на линии, подключенные к другим устройствам.

Каждое устройство соединяется с концентратором 148 через свою собственную выделенную линию связи, а именно, 151A, 151B и 151C, соединяя стек связи периферийного устройства 146A со стеком связи концентратора 150A, стек связи устройства 146B со стеком связи концентратора 150B и стек связи устройства 146C со стеком связи концентратора 150С, соответственно. В свою очередь, стеки связи внутри концентратора 148 подключаются к высокоскоростной внутренней шине 149 для сетевых устройств, подключенных к концентратору. Несмотря на то, что все данные физического уровня проходят через концентратор 148 и внутреннюю шину 149, связь 147 уровня 2 - канального уровня - работает так, как будто только стек связи 146A в устройстве А связывается исключительно со стеком связи 146B в устройстве B, но не с устройством C. Тем не менее, данные физического уровня доставляются к каждому устройству, подключенному к концентратору, и с одинаковыми задержками распространения. Кроме того, поскольку нет способа узнать, какое устройство осуществляет вещание, а какие устройства слушают, концентратор должен поддерживать многонаправленную связь. Таким образом работают концентраторы для Ethernet и Thunderbolt. В других концентраторах, например, для "универсальной последовательной шины" (USB), концентратор имеет один вход и несколько выходов, как правило, от двух до шести, использующих разъемы USB разной формы, чтобы различать эти два типа и направление потока данных по умолчанию.

Другим способом соединения устройств, обеспечивающим усиление сигнала, является архитектура "последовательной линии связи" (daisy chain), показанная на фигуре 7C, где устройства A, B и C соединены последовательно: стек связи 152A устройства A подключен к стеку связи 152B устройства B посредством физического соединения шины 151A, стек связи 152B устройства B подключен к стеку связи 152C устройства C посредством физического соединения шины 151B, а стек связи 152C устройства C соединен посредством физического соединения шины 152C со следующим устройством, включенным в эту последовательную линию связи, если таковая имеется. Чтобы прояснить тот факт, что физическое соединение и, собственно говоря, сам механический соединитель в проводных системах, отличаются друг от друга, каждый стек связи 152A, 152B и 152C содержит два интерфейса физического уровня 1, и только один канального уровня 2.

При работе последовательной линии связи поток физических данных поступает из канального уровня стека связи 152A в его физический интерфейс, а затем по кабелю, образующему физическое шинное соединение 151A, в физический интерфейс стека связи 152B, вверх на его канальный уровень, вниз во второй физический интерфейс устройства B, по кабелю, образующему физическое шинное соединение 151B, в физический интерфейс стека связи 152C и вверх на его канальный уровень. Таким образом, пока физический сигнал блуждает по всем трем показанным устройствам, канальный уровень соединяет только стек связи 152А устройства А со стеком связи 152С устройства С, а устройство В игнорирует данные, которые через него проходят. Примеры сетевой связи, основанной на архитектуре последовательной линии связи, включают шину FireWire, определяемую стандартом IEEE 1394, цифровой интерфейс музыкальных инструментов (MIDI), и уже устаревшую технологию Token Ring, использовавшуюся первыми персональными компьютерами на базе Windows. Положительным свойством устройств последовательной линии связи является то, что не требуется дополнительное устройство, т.е. концентратор, и все сетевые электрические соединения для подключения к нему. Одним из отрицательных свойств архитектуры последовательной линии связи является то, что задержка распространения между устройствами увеличивается с подключением каждого устройства, через которое проходят данные, что приводит к недопустимо низкой производительности, особенно в быстродействующих приложениях реального времени.

Во всех трех примерах архитектуры шины, архитектуры концентратора и архитектуры последовательной линии связи данные физического уровня отправляются каждому сетевому устройству, даже если оно не является предполагаемым получателем. Устройство самостоятельно выполняет идентификацию и фильтрацию пакетов, сравнивая адрес принимаемых данных с собственным адресом, обычно заранее запрограммированным как фиксированный постоянный адрес с использованием энергонезависимой памяти, механических микропереключателей или перемычек в устройстве или в одной из его микросхем. Когда конкретное устройство распознает пакет данных с адресом получателя, который соответствует его адресу, оно отвечает, в противном случае оно вообще игнорирует пакет. Адрес устройства в пакете должен соответствовать используемому протоколу связи, будь то MIDI, USB, IEEE 1394, Thunderbolt и т.д. В случае, когда пакет использует интернет-протокол в качестве канального уровня, адресу присваивается определенное имя, называемое "media access" (доступ к среде) или MAC-адрес, который будет рассматриваться ниже в этом описании.

Один из ключевых атрибутов архитектуры шины, концентратора и последовательной линии связи заключается в том, что данные, транслируемые на физическом уровне, т.е. электрические, радио или оптические сигналы, отправляются каждому сетевому устройству. Этот способ расходует значительную часть пропускной способности сети на ненужную отправку пакетов устройствам, которые в них не нуждаются и для которых они не предназначены. Поскольку Ethernet стал преобладающим стандартом для локальной вычислительной сети или LAN-подключения, эти потери пропускной способности сети были идентифицированы и в конечном итоге устранены путем введения сетевого "коммутатора".

В реализациях LAN, подобных показанной в примере с тремя устройствами на фигуре 8А, коммутатор LAN 159 вставлен посреди коммуникационного физического уровня интерфейсов связи 146A, 146B и 146C, содержащихся в устройствах 145A, 145B и 145C. В отличие от шинного соединения, показанного ранее на фигуре 7А, с одной общей шиной данных 144, соединяющей устройства, добавление коммутатора LAN 159 делит эту шину на три отдельных соединения "один-к-одному", а именно: физическое соединение 148А между устройством 145А и коммутатором 159, физическое соединение 148B между устройством 145B и коммутатором 159, физическое соединение 148C между устройством 145C и коммутатором 159 и т.д. Согласно фигуре, каждое физическое соединение осуществляется только между двумя устройствами "один-к-одному", при этом промежуточные устройства отвечают за передачу потока последовательных данных к его соседним сетевым устройствам.

Этот принцип может распространяться на любое количество устройств, при этом работа коммутатора LAN 159 может быть однонаправленной или двунаправленной, полудуплексной или полнодуплексной. В процессе работы, чтобы установить канал передачи данных 147 исключительно между интерфейсами связи 146A и 146B подключенных к сети устройств 145A и 145B, коммутатор 159 LAN устанавливает соединение физического уровня только между двумя коммуникационными сетевыми устройствами 145A и 145B. Таким образом, на физическом уровне соединение устанавливается исключительно между двумя коммуникационными устройствами, а именно, между устройством 145А и устройством 145В, но без подключения каких-либо других сетевых устройств, например, устройства 145C. Одним из преимуществ использования коммутатора LAN 159 является то, что устройство 145С не занимается прослушиванием ненужной информации, имеющейся в сети, и его интерфейс связи 146C остается свободным до тех пор, пока он не будет вызван.

Вторым преимуществом использования коммутатора LAN 159 является то, что сигнал, поступающий в коммутатор 159 LAN, усиливается перед отправкой соседнему сетевому устройству, поэтому при увеличении количества устройств, подключаемых к коммутатору LAN 159 не происходит нагружения, ослабления сигнала или воздействия на скорость передачи данных. Таким образом, нагрузочная способность коммутатора LAN 159, по сути, не ограничена и определяется только количеством подключений в коммутаторе LAN.

Схематическое изображение коммутатора LAN 159 иллюстрируется на фигуре 8B, на котором показаны линии 160A-160F. В точке пересечения в каждой комбинации двух линий находится узел LAN 161, представляющий собой двунаправленный переключатель и усилитель. Например, узел AB соединяет линию В 160В с линией А 160А, узел BE соединяет линию В 160В с линией E 160Е, узел CE соединяет линию C 160C с линией E 160E и так далее. При нормальной связи каждая линия соединяется не более чем с одной другой линией для создания взаимосвязанной пары. Сразу после размещения устройства таблица маршрутизации MAC-адресов уровня 2 (не показана) сохраняется с коммутатором LAN, чтобы отслеживать, какие устройства подключены и к какому разъему. Эта таблица, по сути, сопоставляет MAC-адреса с их физическим подключением к коммутатору LAN, устанавливая точную связь между уровнем 2 - канальным уровнем - и уровнем 1 - физическим уровнем. Таблица является динамической, поэтому, если одно устройство отключается от сети, а другое подключается к ней, таблица маршрутизации MAC-адресов автоматически обновляется в коммутаторе LAN 159.

В особых случаях, когда осуществляется широковещательная передача данных каждому устройству в сети, например, при запуске, когда одно устройство может искать другое, но не идентифицировать его местоположение на коммутаторе LAN, тогда каждое устройство может быть соединено одновременно только с одним источником, передающим данные, и остальными устройствами, принимающими их. Благодаря встроенным усилителям, даже в широковещательном режиме каждый сигнал буферизуется, поэтому снижение быстродействия или искажение сигнала не происходит.

Третье и самое важное преимущество использования коммутатора LAN 159 - он значительное увеличивает пропускную способность всей сети, позволяя одновременно и независимо осуществлять несколько разговоров между парами устройств, согласно фигуре 8C. В этом примере устройства 145A, 145B, 145C и 145F соединены с коммутатором LAN 159 физическими линиями 160A, 160B, 160C и 160F соответственно. Через канальный уровень 2 устройства 160А и 160В устанавливают выделенный канал связи АВ 164, в то время как устройства 160C и 160F одновременно устанавливают выделенный канал связи CF посредством соединения 165. При передаче информации устройства 145А устройству 145В данные отправляются по линии 160A через "включенный" узел LAN 162 и по линии 160B к устройству 145B. Одновременно при передаче информации устройства 145C устройству 145F данные отправляются по линии 160C через узел LAN 163 и по линии 160F устройству 145F. Все остальные узлы LAN остаются выключенными, даже если устройства подключены к другим линиям.

Таким образом, два независимых канала связи или "разговора" могут осуществляться при максимальной скорости передачи данных в соединении АВ 164 и соединении CF 165, не ожидая совместной работы на общей шине данных. Таким образом, в приведенном примере пропускная способность сети, соединяющей четыре устройства, удваивается при использовании коммутатора LAN 159 и архитектуры LAN, по сравнению с использованием шинной архитектуры сети, концентраторов или последовательной линии связи. В коммутаторе LAN с "n" линиями и соединениями максимальное число одновременных разговоров составляет "n/2", в то время как альтернативные сети, использующие последовательные соединения, могут в конкретный момент времени поддерживать только один разговор.

Следует отметить, что когда подключены друг к другу два устройства, например, устройства 145A и 145B с соединением AB 164, связь с использованием одной линии является только полудуплексной, поскольку только одно устройство может "говорить" в конкретный момент времени, в то время как другое слушает. Если требуется полнодуплексная связь, количество линий и соединений узла в коммутаторе LAN 159 должно быть удвоено, причем выход устройства 145А должен быть подключен ко входу устройства 145В, и одновременно выход устройства 145В должен быть подключен ко входу устройства 145A. Таким образом, для полнодуплексного разговора устройства A с устройством B одновременно должны быть задействованы два соединения - соединение AB, по которому устройство A отправляет данные устройству B, и соединение BA, по которому устройство B отправляет данные устройству A, при этом каждое из них должно находиться на разных линиях и проходить через уникальные узловые соединения.

Несмотря на то, что иллюстрации, приведенные на фигуре 8C, могут подразумевать, что линии 160A-160F представляют собой провода и вилки электрического разъема, это описание в равной мере справедливо, если эти линии являются линиями радиосвязи или оптической связи. Для случая радиосвязи каждая линия может, например, представлять собой уникальную полосу частот или "подканал", используемый для передачи данных одной линии, и где 20 радиочастот, диапазонов или подканалов могут использоваться для одновременной и независимой передачи до 10 различных разговоров. Для случая оптической связи каждая линия может представлять собой другую длину волны света или уникальную схему модуляции. Радио или оптический интерфейс преобразует электромагнитную связь обратно в электрические сигналы в устройствах связи. Таким образом, коммутатор LAN может использоваться для повышения пропускной способности любой настроенной на сеть системы связи.

Несмотря на появление большого количества протоколов и стандартов для направления трафика и передачи данных в сетях с коммутацией пакетов, появилось несколько широко распространенных стандартов, которые требуют более подробного объяснения. Ниже рассматриваются широко применяемые или разработанные на основе существующих устаревших стандартов протоколы связи и связанное с ними оборудование, а именно:

● Ethernet (IEEE 802.3) для сетей связи на основе электрических соединений;

● Wi-Fi (802.11) для сетей радиосвязи ближнего действия;

● 4G/LTE для сетей радиосвязи дальнего действия;

● DOCSIS 3.0 для сетей связи на основе коаксиальных и волоконно-оптических кабелей.

Ethernet (IEEE 802.3) -В современных сетях с использованием электрических соединений для создания LAN большинство проприетарных сетей заменено сетями на основе общепризнанного стандарта IEEE 802.3, называемого Ethernet. Спецификация Ethernet устанавливает требования к пакету данных, используемому канальным уровнем 2, а также определяет электрические соединения, напряжения, скорость передачи данных, скорости связи и даже физические соединители - вилки и розетки. Поэтому Ethernet как стандарт представляет собой спецификацию как для канального уровня 2, так и для физического уровня 1. Спецификация контента пакета данных Ethernet - пакета Ethernet уровня 1 188 и пакета Ethernet уровня 2 189 - графически показана на фигуре 9 как последовательные данные, представленные слева направо в направлении хода времени 86. Соответствующая таблица 190 описывает функцию каждого блока или под-пакета в пакете Ethernet.

Пакет Ethernet уровня 2 189, согласно фигуре, содержит MAC-адрес получателя 182, MAC-адрес отправителя 183, дополнительный блок виртуальной LAN 184, блок Ethertype 185, контроль кадра 186 и полезную нагрузку 187, представляющие фактические данные, передаваемые пакетом Ethernet. Чтобы обеспечить выполнение требований к скорости, размер пакета Ethernet-уровня 2 может, в соответствии со спецификацией Ethernet, изменяться от 64 до 1518 байт для переноса полезной нагрузки от 42 до 1500 байт. В случае, когда в пакет включен дополнительный блок VLAN 184, длина пакета увеличивается на 4 байта, а максимальная длина пакета Ethernet уровня 2 составляет 1522 байта.

Пакет Ethernet уровня 1 188 объединяет все содержимое пакета Ethernet уровня 2 189 с заголовком, содержащим SFD (от анг. Start Frame Delimeter - начальный разделитель кадра) 181 для синхронизации и преамбулу 180 как заголовок кадра данных. Максимальная длина пакета Ethernet уровня 1 188 при этом на 8 байт больше, чем длина пакета Ethernet уровня 2 189: от минимального размера 72 байта до максимальной длины 1526 байт без дополнительной VLAN или до 1530 байт с учетом блока VLAN 184.

Во время работы задача преамбулы 180 как подполя заголовка кадра данных уровня 1 заключается в том, чтобы помочь оборудованию первоначально идентифицировать устройство, пытающееся отправить данные. Начальный разделитель кадра (SFD) 181, еще один артефакт уровня 1, используется для синхронизации данных входящих пакетов с синхронизирующими таймерами, чтобы обеспечить достоверное считывание данных. После приема этих двух блоков пакета Ethernet уровня 1 188 пакет Ethernet уровня 2 189 начинается с MAC-адреса получателя 182 и MAC-адреса отправителя 183, описывающих, для какого сетевого устройства, подключенного к LAN предназначены эти данные и откуда они поступают. Коммутатор LAN - это интеллектуальное устройство, способное маршрутизировать данные в соответствии с этими адресами. Блок VLAN 184 является дополнительным и, если он присутствует, облегчает фильтрацию пакетов путем их разбиения на подсегменты или виртуальные локальные сети в соответствии со спецификацией IEEE 802.1Q. Ethertype 185 определяет формат данных либо как тип данных, либо как его длину в зависимости от его формата. Ethertype 185 и VLAN 184 соответствуют формату, который предотвращает путаницу в отношении того, введены ли данные о дополнительной VLAN 184 или нет.

После того, как все данные заголовка приняты, полезная нагрузка 187 содержит фактические данные, которые должны передаваться пакетом Ethernet. Эти данные могут соответствовать Интернет-протоколу и могут содержать данные, инкапсулирующие контент уровней 3-7, как предусмотрено в модели OSI. С другой стороны, в специально разработанных системах полезная нагрузка 187 может содержать протоколы, принадлежащие конкретному оборудованию или производителям. Если все необходимые данные не могут быть отправлены в пакете максимального размера 1500 байт, разрешенном стандартом Ethernet, тогда полезная нагрузка может быть разбита на части или отправлена с использованием альтернативного протокола, например, Jumbo-кадра, который может передавать до 9000 байт данных - в шесть раз больше, чем стандартный пакет Ethernet. Поле контроля кадра 186 содержит простую информацию, связанную с проверкой ошибок для пакета Ethernet уровня 2 189, но не данных пакета Ethernet уровня 1 для преамбулы 180 или SFD 181. Проверка кадра 186 осуществляется по алгоритму проверки циклической избыточности длиной 32 бита, способному обнаруживать непреднамеренные изменения в необработанных данных пакета Ethernet уровня 2 189.

Стандартная физическая среда для Ethernet - это электрический или волоконно-оптический кабель, причем электрический кабель в настоящее время является наиболее распространенным. Скорость передачи данных со временем изменилась от 10-100 Мбит/с в последнее время до 1-100 Гбит/с - это так называемый "гигабитный Ethernet". Кабели Ethernet используют легко различимые разъемы RJ-45 для защиты соединений между коммутаторами LAN и такими устройствами, как серверы, стационарные компьютеры, ноутбуки, приставки и модемы. В некоторых случаях, к Ethernet может быть применена технология "Питание через Ethernet" (Power over Ethernet, PoE). Эта технология позволяет подавать питание на устройство через витую пару в сети Ethernet.

Wi-Fi (802.11). Во многих случаях Ethernet используется для установления беспроводного сетевого соединения с мобильными устройствами с использованием линии радиосвязи ближнего действия. Со временем проприетарные беспроводные линии были заменены стандартизированными системами ближней связи с протоколом, определенным стандартом IEEE 802.11, с коммерческим названием Wi-Fi. Часто объединяющие функции маршрутизатора и коммутатора с радиоприемниками и передатчиками, роутеры Wi-Fi теперь часто устанавливают в домах, офисах, предприятиях, кафе и общественных местах.

Радиолиния, показанная на фигуре 10, иллюстрирует комбинацию двух взаимосвязанных сетей, одна из которых содержит устройство "MAC-доступа к Ethernet" 200A, а другая содержит радиолинию, а именно "точку доступа радиосвязи" 200B. Интерфейсная схема и соответствующий микропрограммируемый блок 202 обеспечивают физический интерфейс уровня 1, т.е. физический мост 204A и 204B между электрической сетью и радиосетью, а также упрощает канальный уровень 2 205A и 205B между протоколом Ethernet и протоколом радиосвязи, например, Wi-Fi. В процессе работы данные из Ethernet 201 поступают в стек связи 203A, при этом физические сигналы соединяются с интерфейсом 202 через соединение физического уровня 1 211, а информация канального уровня 2 проходит через соединение 205A.

После обработки данные передаются из интерфейса 202 в стек связи 203B точки радиодоступа 200B, при этом физические сигналы подключаются через соединение физического уровня 1 204B, а информация канального уровня 2 проходит через соединение 205B. Затем эта информация поступает через соединение 204 в приемопередатчик радиосвязи и транслируется по любому из "n" радиоканалов через радиолинии 206A-206N для выхода на радиоантенну 207. При приеме радиосигналов данные проходят по тому же пути, но в противоположном направлении по отношению к вышеупомянутому описанию.

Интерфейс 202 также может действовать как коммутатор LAN для поддержки одновременной связи на разных радиоканалах одновременно с разными сетевыми устройствами, подключенными к Ethernet, в этом случае к устройству радиосвязи подключается несколько кабелей Ethernet 201. В альтернативном варианте несколько разговоров могут быть последовательно отправлены по одному соединению Ethernet с входным устройством при использовании уровней 3 и 4 для управления маршрутизацией пакетов для разных получателей.

Одним из стандартизированных устройств и протоколов ближней радиосвязи является беспроводная локальная сеть или устройство WLAN, работающее в соответствии со спецификацией IEEE 802.11. Такие устройства с коммерческим названием Wi-Fi используются для беспроводного доступа в Интернет и для систем беспроводного распределения (Wireless Distribution Systems), т.е. для радиосвязи, используемой взамен проводных соединений в местах, где прокладывать кабели неудобно, сложно или дорого. Помимо основной спецификации IEEE 802.11, для определения частот несущих, каналов, схем модуляции, скорости передачи данных и диапазона радиосвязи используются такие ее подверсии, как 802.11a, 802.11n, 802.11ac и т.д. Сводная информация о подверсиях стандарта 802.11, одобренных IEEE на момент оформления настоящей заявки, приведена в следующей таблице:

Версия
802.11
Дата
выпуска
Частота
несущей, ГГц
Полоса пропускания
канала, МГц
Максимальная скорость передачи данных, Мбит/с Максимальное количество MIMO Модуляция Дальность действия в помещении, м Дальность действия вне помещения, м
a Сентябрь 1999 5 20 6-54 Нет OFDM 35 120
3,7 - 5000
b Сентябрь 1999 2,4 22 1-11 Нет DSSS 35 140
g Июнь 2003 2,4 20 6-54 Нет OFDM
DSSS
38 140
n Октябрь 2009 2,4 или 5 20 7,2-72,2 5 OFDM 70 250
40 15-150
ac Декабрь 2013 5 20 7,2-96,3 8 OFDM 35 -
40 15-200
80 32,5-433,3
160 65-866,7
ad Декабрь 2012 60 2160 6,912 Нет OFDM
с одной несущей или малой мощностью
- -

Согласно таблице, в основном Wi-Fi работает на частотах 2,4 ГГц и 5 ГГц; частота 3,7 ГГц, предназначенная для маршрутизации беспроводных распределенных систем (WDS) на большие расстояния, до сих пор принята только в США. Для гигабитных скоростей передачи данных недавно принята несущая 60 ГГц, совместимая с другими высокоскоростными сетями, например, с Gigabit Ethernet и волоконно-оптический кабелем с использованием DOCSIS 3.0. Для поддержки параллельной работы нескольких пользователей в кафе и общественных местах стандарты 802.11n и 802.11g предлагают параллельное 5-канальное и 8-канальное подключение MIMO (многоканальный вход - многоканальный выход). Для достижения высокой пропускной способности Wi-Fi в основном использует OFDM (мультиплексирование с ортогональным частотным разделением каналов) в качестве способа кодирования цифровых данных на нескольких близко расположенных ортогональных каналах поднесущих.

Во время работы OFDM распределяет единый сигнал по поднесущим, при этом один чрезвычайно быстрый сигнал разделятся на несколько медленных сигналов. Ортогональность в этом контексте означает, что смежные каналы поднесущих не перекрываются, что исключает путаницу в отношении распределения данных по каналам. Затем эти несколько поднесущих собирают в приемнике и рекомбинируют для восстановления одной высокоскоростной передачи. Поскольку скорость передачи данных в каналах поднесущих ниже, чем в одном высокоскоростном канале, чувствительность сигнала к искажениям и помехам снижается, что повышает надежность радиосвязи даже в условиях шума и на большом расстоянии. За исключением особого диапазона 3,7 ГГц, дальность действия Wi-Fi ограничивается 70 м в помещении и 250 м на открытом воздухе при повышенной мощности вещания. Wi-Fi не обладает возможностями переключения, которые свойственны сотовой связи, поэтому его использование для мобильной связи на большие расстояния проблематично, оно отнесено к технологии LTE, описанной ниже.

В режиме Wi-Fi с использованием OFDM-модуляции передаваемые данные объединяются в "символы", тип представления данных, который естественным образом сжимает многие цифровые состояния в меньшее количество символов. Затем эти символы передаются с низкой "скоростью передачи символов" для обеспечения невосприимчивости к потере данных, связанной с проблемами переноса несущей. Этот подход обеспечивает повышение скорости передачи данных со снижением частоты ошибок, повышением качества обслуживания и снижением чувствительности к колебаниям уровня сигнала, радиоотражениям и внешнему шуму или электромагнитным помехам. Символом может быть любая модуляция, например, частота, тон или конкретный шаблон импульса, коррелирующий с каждым конкретным символом, где последовательность символов при фиксированной длительности может быть преобразована в поток данных со скоростью передачи битов, превышающей скорость передачи символов. Этот способ аналогичен флагам семафора, где флаг может перемещаться в одну из шестнадцати фиксированных позиций через заданный промежуток времени, например, через одну секунду. Скорость передачи символов, также известная как скорость "в бодах", при этом равна одному символу в секунду или одному боду, где термин "бод" определяется как "количество изменений отдельных символов, внесенных в среду передачи в секунду". Так как флаг может иметь 16 различных значений, в двоичном виде восемь состояний эквивалентны 4 битам, поскольку 24=16 состояний. Тогда скорость передачи одного символа в секунду или 1 бод равна скорости передачи 4 бит/с, что в четыре раза превышает скорость передачи символов. Аналогично, используя 16 разных тонов для представления символов, скорость передачи символов в 10 млн. символов в секунду может приводить к скорости передачи битов 40 Мбит/с.

Однако количество используемых символов влияет не только на скорость передачи битов, но также на частоту ошибок и качество обслуживания. Например, если используется слишком много символов, точное определение символов в условиях внешнего шума может оказаться сложной задачей для процессора цифровой обработки (DSP) радиосигналов, а частота ошибок при распознавании данных увеличится и будет требовать повторной передачи данных для получения правильной контрольной суммы при динамическом контроле CRC пакета. Использование меньшего количества символов при любой заданной скорости передачи символов облегчает их распознавание, но, в свою очередь, снижает скорость передачи битов и пропускную способность связи. По аналогии, если флаг семафора может перемещаться только в одну из четырех позиций, а не шестнадцати, то его легче увидеть при проливном дожде, так что вероятность ошибки связи, т.е. его неправильного считывания, значительно уменьшается. При использовании только одной из четырех позиций флага скорость передачи данных в бодах по-прежнему составляет 1 символ в секунду, но скорость передачи битов падает до 2 бит/с, потому что 22=4. Таким образом, существует внутренний компромисс между скоростью передачи данных в битах и частотой ошибок при распознавании битов, который Wi-Fi может регулировать путем динамической корректировки скорости передачи символов. Аналогичный компромисс достигается в системе радиосвязи стандарта LTE (долговременного развития).

В версиях a, g и n стандарта 802.11 новый символ может передаваться через 4 мкс или с частотой 250 000 бод для каждого канала поднесущей. Wi-Fi использует 64 канала поднесущих, поэтому теоретически максимальная скорость передачи символов должна составлять 16 Мбод при максимальной пропускной способности канала. Но для защиты от межканальных помех фактически доступно 48 из 64 каналов поднесущей, что снижает скорость передачи символов до 12 Мбод при максимальной пропускной способности канала. В современной радиосвязи символы преобразуются в биты на нескольких уровнях, эти уровни динамически изменяются с изменением условий радиосвязи за счет использования различных схем фазовой модуляции, приведенных ниже в таблице:

Фазовая модуляция Условия радиоканала Количество битов на символ Скорость передачи символов для поднесущей Максимальная скорость передачи символов в канале Wi-Fi в многоканальном режиме Максимальная скорость передачи битов в канале Wi-Fi
BPSK Наличие шума или дальняя связь 1 250 кбод 12 Мбод 12 Мбит/с
QPSK Хорошие, средняя дальность 2 24 Мбит/с
16-QAM Очень хорошие, малая дальность 4 48 Мбит/с
64-QAM Отличные, очень малая дальность 6 72 Мбит/с

где соотношение между скоростью передачи символов и скоростью передачи битов определяется следующим выражением:

(Скорость передачи битов)/(Скорость передачи символов)=Количество битов в символе

где скорость передачи битов измеряется в битах в секунду или бит/с, а скорость передачи символов измеряется в символах в секунду или "бодах". Из приведенных схем фазовой модуляции "двухпозиционная фазовая манипуляция" (BPSK) лучше всего работает на больших расстояниях и в условиях значительного шума в системе радиосвязи, но использует чисто бинарный способ - один бит на символ, поэтому она ограничена низкими скоростями передачи данных. В хороших условиях радиосвязи скорость передачи данных превышает скорость передачи символов, то есть (Количество битов в символе)>1, а скорость передачи битов в радиоканале может быть увеличена в любом месте 2-6 раз, по сравнению с BPSK, в зависимости от условий радиосвязи, отсутствия электромагнитных помех, расстояния между приемопередатчиками и вещательной мощности радиостанции. Например, в хороших условиях или в системе дальности радиосвязи способы "квадратурной фазовой манипуляции" (QPSK) обеспечивают удвоенную скорость передачи данных, по сравнению с BPSK при 2 битах в символе. В очень хороших условиях, ограниченных работой на малой дальности, "16-позиционная квадратурная амплитудная модуляция" (16-QAM) может обеспечить четырехкратное увеличение скорости передачи символов при 48 Мбит/с в системе беспроводной связи Wi-Fi. При отличных условиях в бесшумной среде скорость передачи данных может увеличиваться до 6 битов в символе с помощью 64-позиционной квадратурной амплитудной модуляции (64-QAM). Схемы фазовой модуляции в системах связи хорошо известны специалистам в данной области техники и не будут обсуждаться далее в этом описании.

В системах, соответствующих стандартам 802.11b и 802.11g, используется другая схема модуляции спектра - широкополосная модуляция с прямым расширением спектра (DSSS), где термин "расширение" относится к тому факту, что в DSSS сигналы несущей возникают во всей полосе пропускания, т.е. в спектре частот передачи устройства радиосвязи. В системе DSSS модулирующая схема использует непрерывную последовательность символов псевдошумового кода, который короче одного информационного бита, для фазового сдвига синусоидальной волны псевдослучайным образом до передачи и вычитания того же шума из сигнала приемника. В результате фильтрации некоррелированный шум полностью удаляется, и связь может осуществляться надежно даже при наличии шума и электромагнитных помех в радиоканале, даже при отношении сигнал-шум ниже единицы. Поскольку улучшенный спектр использует полный диапазон радиосвязи, такие способы больше не являются предпочтительными для OFDM и не используются в новейших реализациях Wi-Fi.

Помимо определения деталей физического уровня для диапазонов радиосвязи и схем модуляции, стандарт 802.11 также определяет формат последовательного пакета данных, необходимый для осуществления связи с Wi-Fi радиомодулями. По сравнению с пакетом Ethernet, заголовок пакета Wi-Fi является более сложным, отчасти потому, что он должен указывать адреса приемной и передающей станции, а также один или два сетевых адреса. Структура данных пакета Wi-Fi, приведенная на фигуре 11, графически показана как последовательность данных, размещаемых слева направо в направлении увеличения времени 86. Соответствующая таблица 242 описывает функцию каждого блока и под-пакета в пакете Wi-Fi. Как и пакет Ethernet, кадр данных включает информацию канального уровня 2, инкапсулированную в кадре данных уровня 1 с заголовком уровня 1.

Заголовок уровня 1 содержит преамбулу 230 длиной 10 байт и начальный разделитель кадра (SFD) 231 длиной 2 байта, а также PLCP (процедуру схождения физических уровней) 232 длиной 2 байта. Несмотря на то, что считается, что PLCP содержит данные и уровня 1, и уровня 2, здесь будем полагать, что это данные уровня 1. Тогда можно считать, что заголовок уровня 1 имеет длину 14 байт, а оставшуюся часть пакета Wi-Fi составляют данные уровня 2, изменяющиеся по длине от 34 байт в отсутствие полезной нагрузки до 2346 байт при максимальной полезной нагрузки 241, величиной в 2312 байта. При максимальной длине полезной нагрузки 2312 байт пакет Wi-Fi длиннее, чем пакеты Ethernet, которые в стандартной форме ограничены длиной полезной нагрузки 1500 байт. Компоненты уровня 2 пакета Wi-Fi, согласно фигуре, включают в себя управление кадром 233, продолжительность 234, MAC-адреса 1 и 2 базовой радиостанции, показанные как блоки 235 и 236 соответственно, условные MAC-адреса 3 и 4, показанные как блоки 237 и вспомогательный блок 239 соответственно, последовательность 238 и контроль кадра 240.

Во время работы задача преамбулы 230 как подполя заголовка кадра данных уровня 1 заключается в том, чтобы помочь оборудованию первоначально идентифицировать устройство, пытающееся отправить данные. Начальный разделитель кадра (SFD) 231, еще один артефакт уровня 1, используется для синхронизации данных входящих пакетов с синхронизирующими таймерами, чтобы обеспечить достоверное считывание данных. После этих двух блоков процедура схождения физических уровней (PLCP) 232 предоставляет информацию, относящуюся к длине пакета, скорости передачи данных и проверке ошибок заголовка.

Управление кадром 233, первые данные чисто канального уровня 2 определяют тип версии пакета Wi-Fi, т.е., содержит ли он информацию, относящуюся к управлению, команды управления, данные или зарезервированные функции, включая биты управления "к/от распределенной системы", используемые для того, чтобы определить, работает ли радиостанция в качестве точки доступа или системы беспроводного распределения. Поле "продолжительность" 234, также называемое "продолжительность и идентификатор", определяет продолжительность вектора предоставления сети (NAV), т.е., как долго радиосреда будет занята до того, как другая станция сможет претендовать на ее предоставление, за исключением режима энергосбережения, где она содержит информацию, идентифицирующую свой "идентификатор станции", используемый для распознавания своих маяков при проверке активности. Кроме информации о продолжительности, блоки адреса 1 и адреса 2 235 и 236 определяют адреса базовой станции, по сути, это MAC-адреса радиоприемопередатчика.

В частности, адрес 1 в блоке 235 содержит адрес принимающей станции BSS (от англ. Base Station Subsystem - подсистемы базовой станции), а адрес 2 в блоке 236 содержит адрес передающей станции BSS. При осуществлении связи между двумя радиостанциями, адреса которых загружены в Адрес 1 и Адрес 2, зависит от настройки "к/от распределенной системы", определенной в блоке 233, осуществляющем управление кадром. Адрес 3, определенный в блоке 237, используется для связи радиостанции с физической сетью, например, используя Ethernet, по сути, описывая, откуда поступают передаваемые данные, или, наоборот, где эти данные намереваются принимать. Таким образом, адрес, присутствующий в адресе 3, также зависит от настройки "к/от распределенной системы", определенной в пакете Wi-Fi. Для обеспечения совместимости с Ethernet-соединениями, адреса Wi-Fi имеют длину 6 байт, такую же, как MAC-адреса, используемые в локальных сетях Ethernet.

Чтобы определить направление передачи данных и иметь возможность реорганизовать пакеты, полученные с нарушенным порядком, т.е. поврежденные из-за воздействия фазовых задержек в радиоканале, блок последовательности 238 содержит номера последовательностей и фрагментов, определяющих пакетный кадр. Если пакет Wi-Fi не идентифицирован как пакет WDS (системы беспроводного распределения), то дополнительный адрес 239 исключается из пакета Wi-Fi. После блоков управления адресом и последовательностью находится полезная нагрузка 241 - фактическое содержимое, которое доставляется пакетом Wi-Fi, включая данные уровней 3-7 модели OSI. После этого осуществляется проверка кадра 240 по алгоритму проверки циклической избыточности длиной 32 бита для обнаружения непреднамеренных изменений в необработанных данных пакета Ethernet уровня 2.

Как описано выше, когда Wi-Fi радиомодуль используется в качестве "точки доступа", например, чтобы обеспечить радиоподключение мобильного устройства к Интернету, необходимы только три MAC-адреса - передающей радиостанции, приемной радиостанции и Ethernet-соединения. Порядок присвоения адресов зависит от направления потока данных, определяемого параметром "к/от распределенной системы". Термин DS (Distribution System) является сокращенным названием распределенной системы проводной сети или Ethernet-соединения, к которому подключена радиостанция. Порядок адресации в пакете Wi-Fi при работе с точкой доступа Wi-Fi показан на фигуре 12А, где вверхняя часть фигуры соответствует случаю, когда мобильная радиостанция, в данном примере ноутбук 260, осуществляет беспроводную передачу данных в точку доступа Wi-Fi 261 и на распределенную систему через Ethernet 265, а нижняя часть фигуры соответствует случаю, когда данные из распределенной системы направляются в точку доступа Wi-Fi 261 через Ethernet 265, а затем отправляются по беспроводной линии связи в ноутбук 260.

Как представлено на верхней части фигуры, во время работы данные отправляются из Wi-Fi радиомодуля в ноутбук 260 с использованием радиосигнала 264, передаваемого от антенны 262А и принимаемого антенной 262B подсистемы базовой станции (BSS) в точке доступа Wi-Fi 261, которая, в свою очередь, отправляет пакет в распределенную систему через Ethernet 265. В этом случае последовательность 238 содержит биты "к/от распределенной системы", показанные в таблице 263, где для бита "к распределенной системе" установлено значение 1, а для бита "от распределенной системы" устанавливается значение 0. В таком случае адрес 1 в блоке 235 - MAC-адрес получателя в системе радиосвязи - содержит адрес приемника BSS Wi-Fi; адрес 2 в блоке 236 - MAC-адрес отправителя в системе радиосвязи - содержит адрес передающего радиомодуля ноутбука и адрес 3 в блоке 237 содержит MAC-адрес получателя любого подключенного к распределенной системе сетевого устройства, использующего Ethernet 265.

Как представлено на нижней части фигуры, где поток данных направлен в противоположную сторону, MAC-адреса отправителя и получателя в системе радиосвязи меняются местами, а адрес Интернета изменяется с MAC-адреса получателя на MAC-адрес отправителя. В этом случае последовательность 238 содержит биты "к/от распределенной системы", показанные в таблице 263, где бит "к распределенной системе" устанавливается равным двоичному 0, а бит "от распределенной ситемы" устанавливается равным двоичной 1, при этом адрес 1 в блоке 235 - MAC-адрес получателя в системе радиосвязи - содержит адрес радиоприемного модуля ноутбука, адрес 2 в блоке 236 - MAC-адрес отправителя в системе радиосвязи - содержит адрес передатчика BSS Wi-Fi, а адрес 3 в блоке 237 содержит MAC-адрес отправителя любого сетевого устройства, использующего Ethernet 265. В процессе работы пакеты данных отправляются через распределенную систему от сетевого устройства через Ethernet 265 в подсистему базовых станций (BSS) к точке доступа Wi-Fi 261, которая, в свою очередь, с помощью антенны 262B передает радиосигнал 264, который принимается антенной 262A в Wi-Fi радиомодуле ноутбука 260.

Спецификация Wi-Fi также предусматривает использование Wi-Fi радиомодулей для реализации систем беспроводного распределения (WDS), согласно фигуре 12B. По схеме построения, WDS-системы - это бесроводная реализация проводной сети, т.е. радио аналог сетевого кабеля. Однако для реализации WDS при маршрутизации пакетов требуется дополнительный адрес - адрес 4, содержащийся в блоке 239. В простом представлении маршрутизация пакетов через систему беспроводного распределения Wi-Fi требует последовательного использования четырех MAC-адресов, посредством чего (1) входящий пакет с сетевого MAC-адреса отправителя подключается через Ethernet к (2) MAC-адресу отправителя передающей радиостанции, который, в свою очередь, подключается к (3) MAC-адресу получателя приемной радиостанции, с которого, наконец, пакет отправляется через Ethernet к (4) сетевому MAC-адресу получателя. Для работы Wi-Fi радиомодуля в режиме WDS блок последовательности пакетов Wi-Fi 238 содержит данные, показанные в таблице 263, где для обоих параметров "к/от распределенной системе" устанавливается состояние двоичной 1.

Направление данных пакета при этом легко определяется использованием четырех MAC-адресов, двух для систем беспроводного распределения и двух для Wi-Fi радиомодуля. Как представлено на верхней части фигуры 12B, входящий пакет, принятый по Ethernet 269A, принимается базовой станцией Wi-Fi WDS A 268A, транслируется в виде радиосигнала 264 антенной 262A передающей радиостанции, принимается антенной 262B принимающего радиомодуля базовой станции Wi-Fi WDS B 262B и перенаправляется через Ethernet 269B на MAC-адрес получателя. Для управления маршрутизацией адрес 1 в блоке 235 представляет собой MAC-адрес получателя радиолинии, т.е. адрес Wi-Fi WDS B, адрес 2 в блоке 236 содержит адрес отправителя радиолинии, т.е. адрес Wi-Fi WDS A, адрес 3 в блоке 237 представляет собой MAC-адрес получателя Ethernet, перенаправленный на Ethernet 269B, а адрес 4 в блоке 239 содержит адрес отправителя Ethernet, принятый по Ethernet 269A.

Для передачи данных в обратном направлении от базовой станции Wi-Fi WDS B 268B к базовой станции Wi-Fi WDS A 268A, показанной в нижней части фигуры 12B, адреса отправителя и получателя просто меняются местами, в результате чего адрес 1 в блоке 235 представляет собой MAC-адрес получателя радиолинии, т.е. адрес Wi-Fi WDS A, адрес 2 в блоке 236 содержит адрес отправителя радиолинии, т.е. адрес Wi-Fi WDS B, адрес 3 в блоке 237 представляет собой MAC-адрес получателя Ethernet, перенаправленный на Ethernet 269A, и адрес 4 в блоке 239 содержит адрес отправителя Ethernet, принятый по Ethernet 269B.

При этом пакет Wi-Fi является зеркальным отражением кадра данных Ethernet, и содержит адрес 3 в качестве MAC-адреса получателя и адрес 4 в качестве MAC-адреса отправителя, как если бы радиолиния вообще не участвовала в маршрутизации. Таким образом, при маршрутизации пакетов по сети с коммутацией пакетов системы беспроводного распределения, реализованной в виде Wi-Fi, ведет себя аналогично проводной сети. Кроме того, функция управляющих битов "к/от распределенной системы" позволяет одному и тому же Wi-Fi радиомодулю работать в качестве двунаправленного канала передачи данных, т.е. WDS, или в качестве двунаправленной точки доступа к сети.

Телефонная связь четвертого поколения (4G)/стандарт LTE (Long Term Evolution - долговременное развитие) -Аналогично переходу проводной телефонной системы связи от сетей с коммутацией каналов на систему связи с коммутацией пакетов, заменяя обычную телефонную систему (POTS) и абонентскую сеть связи (PSTN) сначала такими цифровыми сетями, как ISDN (англ. Integrated Services Digital Network - цифровая сеть с интеграцией служб), которые в своей работе используют проприетраное оборудование, а позже, IP-сетями с частной облачной инфраструктурой, такой же переход осуществила и беспроводная связь. Согласно фигуре 13, эволюция цифровой сотовой связи начиналась с услуг передачи голосовых и коротких сообщений (системы SMS) 290, передаваемых по сетям с коммутацией каналов, называемым GSM - расшифровка этой аббревиатуры, первоначально означавшая "Groupe Spécial Mobile", впоследствии была изменена на "Global System for Mobile Communications" (Глобальная система мобильной связи). GSM, которая считается вторым поколением (2G) беспроводной телефонной связи, оптимизированным для полнодуплексной речевой связи, заменила первоначальные аналоговые сотовые (1G) сети, построенные на основе протокола множественного доступа с разделением по времени (TDMA). Следующее усовершенствование телефонной связи, показанное блоком 291, появилось с целью расширения возможностей GSM, обеспечивая более высокую пропускную способность и добавляя такие функции, как передача мультимедийных сообщений (MMS). Все еще полагаясь на сетевые технологии с коммутацией каналов, усовершенствованные сети рассматривались как переходные, что получило отражение в их названии - 2.5G.

Первый шаг к мобильной телефонной связи поколения 3G был сделан с внедрением "пакетной радиосвязи общего пользования" (GPRS) путем перехода как беспроводной инфраструктуры, так и программного обеспечения телефона в сеть связи с коммутацией пакетов, улучшения услуг голосовой связи, SMS и MMS с помощью стандарта PTT (Push To Talk - нажми и говори), постоянного доступа к Интернету, протокола для приложений беспроводной связи (WAP) и т.д., согласно блоку 292. На основе множественного доступа с кодовым разделением каналов (CDMA) GPRS также улучшает качество связи, увеличивает пропускную способность сети и повышает производительность системы. Например, доставка SMS-сообщений через GPRS осуществляется со скоростью, по меньшей мере, в три раза превышающей скорость GSM. При скорости 384 Кбит/с производительность CDMA была в 40 раз выше, чем для предыдущих решений на основе GSM.

Переход на CDMA стал значительным событием, поскольку он включал замену и переустановку инфраструктуры мобильной связи всего мира с использованием новых приемопередатчиков и антенн. После развертывания технологии WCDMA (широкополосного множественного доступа с кодовым разделением каналов) был сделан второй, еще более важный шаг в 3G-телефонии с внедрением UMTS ("универсальной системы мобильной связи") - стандарта, разработанного в рамках проекта партнерства третьего поколения (3GPP), реализующего глобальный и всеобъемлющий подход к определению и развертыванию действительно универсальной сети и стандартизованного протокола. Чтобы расширить свои возможности и повысить пропускную способность сети, в стандарте UMTS принят новый протокол - широкополосный множественный доступ с кодовым разделением каналов (технология радиодоступа WCDMA), предлагающий повышение спектральной эффективности и пропускной способности операторам сетей мобильной связи, не требуя от них дополнительных инвестиций в оборудование для технологии 3G. В первых сетях максимальная скорость передачи данных в нисходящей линии связи составляла 3,6 Мбит/с.

Одновременно, разработка белого светодиода и эффективной миниатюрной схемы управления светодиодом впервые дала возможность использования цветных дисплеев в мобильных устройствах и способствовала появлению смартфона. Смартфон был критическим катализатором для коммерческого использования пропускной способности сети, поскольку цветные дисплеи повышенного качества незамедлительно создавали спрос на быстрый доступ в Интернет, загрузку фильмов, фотосъемку с высоким разрешением, мультимедийное вещание и даже на ограниченное онлайн-видео в реальном времени. Чтобы удовлетворить этот спрос, в обновленных сетях был развернут высокоскоростной пакетный доступ (HSPA), также известный как 3.5G, повышающий как скорость загрузки и скорость передачи данных в нисходящей линии связи, в то же время, используя способы модуляции WCDMA. Развертывание происходило по этапам - сначала была запущена технология высокоскоростной пакетной передачи данных от базовой станции к мобильному телефону (HSDPA) как версия 3GPP Release 5, а вскоре после этого появилась технология высокоскоростной пакетной передачи данных от мобильного телефона к базовой станции (HSUPA) как версия 3GPP Release 6. Максимальная скорость передачи данных повысилась приблизительно до 14 Мбит/с в нисходящей линии связи и приблизительно до 5,8 Мбит/с в восходящей линии связи, но она существенно отличается в зависимости от географического положения инфраструктуры.

Еще до широкого разворота HSUPA провайдеры сотовой связи перешли на технологию HSPA+, впервые определенную и стандартизованную в версии 3GPP Release 8, также известной как "Долговременное развитие 3GPP" (LTE). Эта технология представляет собой сеть с коммутацией пакетов, основанную на "множественном доступе с мультиплексированием с ортогональным частотным разделением каналов" (OFDMA) на основе того же способа OFDM, который используется в Wi-Fi и обсуждался ранее. Хотя OFDM была разработана для однопользовательской связи "один-к-одному", OFDMA можно рассматривать как многопользовательскую версию, поскольку в ней предусмотрена возможность динамически назначать подмножество поднесущих для отдельных пользователей.

При первоначальном развертывании LTE на базе HSPA+ скорость передачи данных составляла 21 Мбит/с. В 2008 году в секторе радиосвязи Международного союза электросвязи (ITUR) был определен набор требований к стандартам 4G, названный спецификацией IMTA (International Mobile Telecommunications Advanced - улучшенной международной мобильной связи), устанавливающий минимальные требования к максимальной скорости передачи данных для службы 4G на уровне 100 Мбит/с для связи с системами с высокой мобильностью, например, с поездами и автомобилями, и 1 Гбит/с для связи с объектами с низкой мобильностью, такими как пешеходы и стационарные пользователи.

Поскольку ранние системы LTE на основе HSPA+ не соответствовали спецификации IMTA по скорости передачи данных, такие ранние попытки создания систем 4G официально не признавались несмотря на то, что они использовали модуляцию OFDMA и сети с коммутацией пакетов. Вследствие этого не существует единого мнения о том, к какой категории следует относить технологию HSPA+ - к телефонной связи позднего 3G или раннего 4G с коммутацией пакетов. Было даже предложено название 3.9G. Независимо от названия, 4G-телефония, показанная в блоке 293, сегодня считается связью с коммутацией пакетов на основе OFDMA-модуляции и различных ее реализаций. Несмотря на технические и исторические изменения протоколов данных и использование неоднородных беспроводных сетей, в среде специалистов термины 4G, LTE и 4G/LTE используются неоднозначно и могут подменять друг друга.

Высокая скорость передачи данных и относительно высокая производительность 4G/LTE-телефонии во многом обязаны способам модуляции и структуре кадров данных. Согласно фигуре 14А, модуляция в системах 4G осуществляется в полосе частот 20 МГц вокруг центральной несущей частоты, обычно в диапазоне от 700 МГц до 2,6 ГГц, которая подразделяется на полосы частот поднесущих, где для нисходящей линии связи предусмотрено множество узких диапазонов 296А-296N для каналов поднесущих, требуемых OFDMA. Для экономии электроэнергии в мобильных устройствах для восходящей линии связи предусмотрено меньшее количество широких диапазонов 295A-295N и используется одноканальная версия технологии множественного доступа с частотным разделением каналов (SC-FDMA). Разные частотные диапазоны 295A-295N используются для одновременной поддержки нескольких пользователей, но в отличие от OFDMA, они не используются для разделения одного высокоскоростного потока данных на несколько. В результате скорость передачи данных по восходящей линии связи для SC-FDMA неизбежно меньше, чем скорость передачи данных по нисходящей линии связи в системе на основе OFDMA.

Лицензионные несущие частоты, приведенные ниже в таблице, меняются в зависимости от региона, где телефоны из одной страны могут не работать в другой стране, если не используется многодиапазонный или общемировой телефон, предназначенный для глобального роуминга.

Регион Частоты, МГц Диапазоны
Северная Америка 700, 750, 800, 850, 1900, 1700/2100 (AWS), 2500, 2600 4, 7, 12, 13, 17, 25, 26, 41
Южная Америка 2500 3, 7, 20
Европа 800, 900, 1800, 2600 3, 7, 20
Азия 1800, 2600 1, 3, 5, 7, 8, 11, 13, 40
Австралия/Новая Зеландия 1800, 2300 3, 40

Вышеупомянутые лицензионные частоты могут быть изменены решениями комиссий по связи, управляющих лицензированием радиочастот в различных регионах.

На фигуре 14В показан физический уровень 4G включающий в себя пачку радиоимпульсов длительностью 10 мс, образующих 4G-пакет или кадр 300. Каждый кадр 300 делится на 20 интервалов длительностью 0,5 мс, содержащих 7 OFDM-символов 302. Каждый символ 304 отделен от других циклическим префиксом 303 и содержит пятьдесят ресурсных блоков 305, пронумерованных от 0 до 49, при этом каждый блок 306 содержит 84 ресурсных элемента 307, включающих 7 символов и 12 поднесущих. Эта структура данных поддерживает гибкую кодировку, используемую для реализации высокой скорости передачи данных, обеспечения избыточности и уменьшения количества ошибок.

На фигуре 15 показано наполнение контентом канального уровня 2 в кадре данных 4G 299 для OFDMA-модуляции, используемой для загрузки данных 4G. Подобный пакет данных 4G существует для выгрузки данных SC-FDMA, но не включен в настоящее описание, поскольку он аналогичен приведенному пакету. Согласно фигуре, каждый пакет данных физического уровня 1 или "кадр данных" 299 содержит кадр 300 длительностью 10 мс с двадцатью интервалами 301 длительностью 0,5 мс, образующими канальный уровень 2. Контент канала передачи данных уровня 2 в пакете 4G имеет три уровня вложения, содержащие

● подуровень MAC (Media Access Control) управления доступом к мультимедиа;

● подуровень RLC (Radio Link Control) "управления радиоканалом";

● подуровень PDCP (Packet Data Convergence Protocol) "протокола конвергенции пакетных данных".

Подуровень MAC уровня 2 содержит заголовок MAC 303, одиночный кадр блоков служебных данных (SDU) MAC 304 и неинформативный временной интервал 305, где термин SDU (Service Data Unit) -сокращенное название блока служебных данных. Заголовок MAC 303 включает в себя необходимые MAC-адреса отправителя и получателя для осуществления радиосвязи. Каждый одиночный кадр блоков служебных данных SDU MAC 304, в свою очередь, содержит блоки данных протокола управления радиоканалом (RLC PDU) 306 уровня 2, сокращение RLC PDU (Radio Link Control Protocol Data Unit) означает "блок данных протокола управления радиоканалом", используемый для управления работой радиоканала. В частности, PDU RLC 306 содержат заголовок RLC 307, указывающий информацию о работе радиосвязи и протоколах, а также вмещают информацию блока служебных данных управления радиоканалом, т.е. одиночный кадр SDU RLC 308 в качестве вложенной полезной нагрузки. После завершения передачи SDU RLC 308 в момент времени 309 и после кратковременной задержки 310 начинается передача новых данных управления радиолинией с заголовком RLC 311 и другим набором SDU RLC. В результате формируется последовательный поток данных многокадровых RLC SDU 319, данные для K-го и (K+1)-го блоков 313 и 314 передаются исключительно однокадровыми RLC SDU 308 и где (K+2)-й блок 314 состоит из обоих блоков - 308 из текущего кадра и 312 из следующего.

На подуровне протокола преобразования данных пакетов уровня 2 каждый блок SDU содержит комбинацию заголовка PDCP и PDCP SDU. Например, K-й блок 313 содержит заголовок PDCP 312A и PDCP SDU 323, (K+1)-й блок 314 содержит заголовок PDCP 321B и PDCP SDU 324, а (K+2)-й блок 315 содержит заголовок PDCP 321C и PDCP SDU 325, совместно формируя PDCP PDU 320. Контент PDCP SDU 323, 324, 325 в свою очередь содержит полезную нагрузку 330 пакета 4G, а именно блоки данных 333, 334 и 335, включая данные сетевого, транспортного и прикладного уровня. Сегодня вся вышеупомянутая обработка, необходимая для сборки, передачи, приема и декодирования связи 4G/LTE, выполняется в одной проприетарной коммуникационной микросхеме или цифровом сигнальном процессоре (DSP).

Использование вышеупомянутого протокола уровня 2 позволяет системе 4G реализовать многочисленные усовершенствования по сравнению с предшествующими сетями и стандартами связи, в том числе:

● возможность использования технологии MIMO (Multiple Input Multiple Output - "многоканальный вход - многоканальный выход") для максимизации скорости передачи данных и обеспечения связи с высоким качеством обслуживания;

● использование программно-управляемых радиостанций для одновременного подключения к нескольким сетям радиосвязи с целью динамического определения наиболее подходящих параметров обслуживания, в том числе, например, стоимости, качества обслуживания и пропускной способности, для данного приложения;

● использование базовых станций, поддерживающих внутрисетевое и межсетевое переключение, обеспечивающее непрерывность обслуживания с нулевым или минимальным прерыванием без заметной потери качества обслуживания;

● возможность одновременного доступа к услугам и приложениям в разных мобильных и беспроводных сетях.

Приложения связи 4G/LTE включают онлайн-видео высокой и сверхвысокой четкости, облачные вычисления, хранение большого объема данных в облачном хранилище и резервное копирование в режиме онлайн, ускоренный доступ к Интернету, возможность отправки и получения больших файлов электронной почты и многое другое.

DOCSIS3/Кабельные и волоконно-оптические сети - До недавнего времени распределенные системы кабельного телевидения и волоконно-оптического видео с коммутацией пакетов отставали от остальных систем отрасли связи в использовании цифрового вещания и технологии с коммутацией пакетов. Однако благодаря быстрому внедрению третьего поколения "спецификации интерфейса передачи данных по кабелю" (DOCSIS3), возможности кабельной сети значительно улучшились и предоставляют уникальную возможность одновременно обслуживать большое количество клиентов по нескольким каналам связи с высокой пропускной способностью. DOCSIS3 одновременно обеспечивает цифровую полнодуплексную связь с высокой пропускной способностью и доступ в Интернет, технология VoIP, а также поддерживает многоканальную передачу потокового видео высокой четкости, включая сотни широковещательных телевизионных каналов и каналов класса премиум, одностороннее телевидение с услугой платного телевидения и загрузкой IP-телевидения.

Пример кабельной и волоконно-оптической сети на основе DOCSIS3, поддерживающей нескольких независимых пользователей, показан на фигуре 16. При распределении кабельных каналов трансляцией контента и клиентской связью управляет центральное устройство кабельного головного узла, называемое "системой подключения кабельных модемов" (CMTS) 350. В CMTS 350 поступает контент от различных устройств, включая головной узел видео 351, предоставляющий информацию сетевого телевидения; систему IPTV 352, обеспечивающую одностороннюю передачу услуги платного телевидения, а также загрузку IPTV и фильмов; технологию VoIP 353 для телефонной связи и Интернет 20 для подключения к облачным системам и сети Интернет. Совокупная информация, включающая высокоскоростные цифровые данные (HSD), технологию VoIP, вещания и IPTV, отправляется клиентам как несколько каналов 354 по одному коаксиальному или волоконно-оптическому кабелю.

Пакеты данных, распределяемые CMTS 350, затем передаются большому количеству абонентов, а устройства, включающие кабельный модем, объединенный с телевизионной приставкой КМ/ТВП 357, подключаются к телевизору высокой четкости 39, или кабельный модем КМ 358 передает сигналы голосовой связи на телефон 37, и обеспечивают высокоскоростную цифровую связность со стационарным компьютером 38 и домашним Wi-Fi передатчиком 26. Подобно тому, как это делается в сетях с шинами и концентраторами, весь совокупный контент, передаваемый по каналам 354, передается по одному кабелю или волоконно-оптической линии связи и принимается всеми сетевыми устройствами, подключенными к CMTS.

С помощью DOCSIS3 система подключения кабельных модемов CMTS 350 стала абонентской сетью, где все содержимое не обязательно направляется каждому абоненту. Эта функция, известная как "связывание", позволяет CMTS 350 управлять каналами, которые могут приниматься различными сетевыми устройствами абонента. Согласно фигуре, связанные каналы 355 передают контент для телевизора 39 и IP-телевидения, а связанные каналы 356 передают высокоскоростные цифровые данные и голос. Объединенные кабельный модем и телевизионная приставка КМ/ТВП 359 имеют доступ к двум группам каналов 355 и 356, которые можно использовать в телевизоре 39 - это смарт-телевизор, в то время как кабельный модем КМ 360, используемый для стационарного компьютера 36, телефона 37 и домашней сети Wi-Fi 26, подключен только к связанным каналам HSD/технология VoIP 356, поскольку для него не требуется подключение видео.

Как и в предыдущих примерах для Ethernet, Wi-Fi и 4G/LTE, распространение контента с использованием DOCSIS3 по кабелю и волоконно-оптической линии связи обеспечивает возможность работы в полнодуплексном режиме, при этом реализуется технология с коммутацией пакетов. Благодаря использованию оптического излучения вместо электрических или радиорелейных сигналов для передачи информации на физическом уровне, волоконно-оптическая линия связи, в частности, обеспечивает значительно большую пропускную способность по сравнению с другими видами связи. Стек связи OSI для DOCSIS3 в кабельной распределенной системе показан на фигуре 17 и иллюстрирует связи физического уровня 1, канальный уровень 2 и вышележащий сетевой уровень 3 как для устройства подключения кабельных модемов CMTS 101, так и для примеров сетевых устройств, например, кабельного модема КМ 103 или телевизионной приставки ТВП 102. В частности, устройство подключения кабельных модемов CMTS 101 содержит сетевой интерфейс 361 физического уровня 1, подключенный к облачным серверам 22 и Интернет 20, или, как альтернатива, с головным узлом 351, системой IP-телевидения 352 или технологией VoIP 353, показанными на предыдущем фигуре. Комбинация сетевого интерфейса 361 и канального уровня 366 образует стек связи интерфейса устройства для CMTS 101.

На канальном уровне 2 данные передаются из стека связи сетевого интерфейса в стек связи кабельного сетевого интерфейса с помощью функции переключения 370, в частности, на подуровень управления логическим звеном (LLC) 369 канального уровня. Подуровень LLC 369 образует независимый от оборудования протокол, определенный в соответствии со спецификацией IEEE 802.2. Затем пакетные данные модифицируются средствами защиты канала 368, чтобы обеспечить ограниченную защиту пакетов, в первую очередь для предотвращения несанкционированного просмотра такого контента, как односторонее вещание с услугой платного телевидения. Затем пакеты данных форматируются в соответствии с DOCSIS3 для включения кабельных MAC-адресов 367 способом, подобным показанному в примере для моста Wi-Fi радиомодуля на фигуре 10. После этого кабельный интерфейс 362 физического уровня 1 отправляет кадры данных через распределенную сеть 102, содержащую либо коаксиальный кабель 104 или волоконно-оптический кабель 91, соответствующему кабельному интерфейсу 363 физического уровня 1 в кабельном модеме КМ 103 или телевизионной приставке ТВП 102. Кабельный интерфейс 363 представляет собой физический уровень стека связи кабельного сетевого интерфейса кабельного модема КМ 103 или телевизионной приставки ТВП 102.

После приема пакета данных кабельный MAC интерфейс 371 интерпретирует кабельные MAC-адреса, передавая их полезную нагрузку средствам защиты канала 372 для дешифрования и, наконец, независимому от оборудования интерфейсу подуровня управления логическим звеном (LLC) 372 для интерпретации. Затем входные данные передаются в стек связи кабельной сети КМ или ТВП через прозрачный мост 374 в стек связи интерфейса устройства КМ или ТВП, в частности, на независимый от устройства подуровень LLC 375 в соответствии со спецификацией IEEE 802.2. Затем пакет передается либо в блок MAC HSD и IPTV 376, либо в блок MAC Wi-Fi 802.11 377 для обновления MAC-адресов пакета. В случае Wi-Fi-подключения пакет данных передается из блока 802.11 MAC 377 на радиоинтерфейс 365 физического уровня 1 Wi-Fi для передачи по Wi-Fi радиомодулю 26. В случае проводного подключения пакет данных передается из блока MAC HSD и IPTV 376 в интерфейсный блок 364 Ethernet или HDMI для подключения к телевизору 39 или стационарному компьютеру 36.

Подобно OFDM, используемому в сети Wi-Fi или OFDMA, используемому в системе связи 4G/LTE, система связи DOCSIS3 использует несколько ортогональных, т.е. неперекрывающихся, частот в радиорелейном либо в оптическом спектре электромагнитного излучения, в котором она кодирует и передает свою информацию. Вместо того чтобы специально назначать контент для каждого канала, DOCSIS3 поддерживает "решетчатое кодирование" - возможность динамически распределять и перераспределять контент, включая видео, высокоскоростные данные и голос, по всем доступным частотным каналам. Согласно нескольких примеров кодирования на фигуре 18 с использованием 1-6 каналов, пакеты данных, представляющие данный тип контента, могут быть назначены одному каналу или распределены по нескольким каналам. Данные распределяются как по каналам 385, так и по временным интервалам 386. В примере, обозначенном m=1 (QPSK), временные интервалы t0-t8 кодируются в одном канале для доставки контента от одного источника №1. В примере, обозначенном m=2 (8-QAM), два канала, закодированные с использованием алгоритма 8-QAM, используются для доставки контента от двух источников. Способ модуляции - квадратурная амплитудная модуляция (QAM) -тот же, что используется Wi-Fi, он уже обсуждался ранее и повторно рассматриваться не будет. Источник №1 передает данные в интервале времени от t0 до t4, затем передает данные источник №2 в интервале от t4 до t8. В примере, обозначенном m=3 (16-QAM), три канала, закодированные с использованием алгоритма 16-QAM, используются для доставки данных от трех источников. Параллельно с источником №2, передающим контент 390 по каналу m=1 в интервале времени от t0 до t8, источник №1 передает контент 391a в интервале времени от t0 до t4 по каналам m=2, а источник №2 передает контент 391b в интервале времени от t4 до t8.

В примере, обозначенном m=5 (64QAM), шесть каналов, закодированных с использованием алгоритма 64QAM, используются для доставки контента от пяти источников. Например, по двум подканалам m=5, обозначенным m=2, контент от источника №3 передается в интервале времени от t0 до t4, а контент от источника №5 передается в интервале времени от t4 до t8. В это же время по подканалам, обозначенным m=4, контент от источника №1 передается по четырем каналам в интервале времени от t0 до t2, а затем только по трем каналам в интервале времени от t2 до t3. Передача контента от источника №2 начинается в момент времени t=t2 только на одном из четырех каналов, а затем в момент времени t3 это число каналов увеличивается до m=4. В примере, обозначенном m=6 (128QAM), контент 389 от источника №3 передается по двум каналам из шести в интервале времени от t0 до t4, в то время как остальные четыре канала используются для передачи контента 388a от источника №1 в интервале времени от t0 до t2 и для передачи контента 388b от источника №2 в интервале времени от t2 до t4. В приведенных примерах решетчатое кодирование предоставляет кабельному провайдеру максимальную гибкость при управлении пропускной способностью и распределении контента.

В соответствующем пакете данных, используемом в DOCSIS3, показанном на фигуре 19, физический уровень 1 образует кадр 390 физического носителя данных переменной длины и продолжительности, содержащий данные MAC канального уровня 2, включающие преамбулу 391, полезную нагрузку переменной длины или кодовые слова 392 и защитный временной интервал 393. Преамбула 391 содержит либо преамбулу для восходящего направления, либо преамбулу для нисходящего направления, в зависимости от направления передачи. В преамбуле для восходящего направления преамбула 391 содержит заголовок физического носителя (PMD) 398, заголовок MAC 399 и протокол управления радиоканалом (PDU) данных 400. В преамбуле для нисходящего направления преамбула 391 содержит заголовок формата MPEG 401, заголовок MAC 399 и PDU данных 400. Контент полезной нагрузки 392 переменной длины может содержать короткое кодовое слово 394 или длинное кодовое слово 397.

Короткое кодовое слово 394 содержит полезную нагрузку 395A, включающую данные A и блоки исправления ошибок 396A, содержащие FEC A. Для длинного кодового слова 397 полезная нагрузка делится на несколько блоков полезной нагрузки 395A, 395B и 395C, содержащих данные A, данные B и данные C, соответственно, при этом для каждого блока полезной нагрузки предусмотрены свои собственные блоки проверки ошибок 396A, 396B и 396C, включающие соответствующие данные FEC A, FEC B и FEC C. После контроля ошибок передаваемые данные DOCSIS3 содержат блоки данных 395A, 395B и 395C для длинного кодового слова и только блок данных 295А для короткого кодового слова.

Таким образом, DOCSIS3 обеспечивает гибкость передачи данных по кабельной сети, используя протокол передачи данных с коммутацией пакетов.

Уровень 3 модели OSI - сетевой (Интернет) уровень

Как было описано ранее, полезная нагрузка данных может быть передана с использованием нескольких аппаратных конфигураций физического уровня 1 и протоколов интерфейса канального уровня 2. Несмотря на то, что уровни 1 и 2 специфичны для устройств, уровень 3 - сетевой уровень - обеспечивает независимую от устройства форму связи, единую и инвариантную к физической сети, используемой для передачи сигналов и данных. Связь уровня 3 иллюстрирует фигура 20, на котором три сетевых устройства 420A, 420B и 420C, реализующие функции 423A, 423B или 423C вычислений и хранения данных, осуществляют совместную работу с Интернет-подключением 421. Таким образом, соответствующий устройству стек связи 422A, 422B и 422C соединяет устройства друг с другом с использованием сетевого уровня 3 421, которым, за исключением проприетарных систем, обычно является Интернет.

Чтобы обеспечить возможность совместной работы в сетях с коммутацией пакетов, работающих с разными аппаратными платформами, сетями и системами, модель OSI предписывает четко определенный протокол, организованный на семи уровнях, согласно фигуре 21. Как уже упоминалось ранее, пакеты данных или "датаграммы" для сетей с коммутацией пакетов устроены аналогично матрешке, когда уровень 1 - пакет физического уровня или "кадр" - содержит все остальные уровни в своей полезной нагрузки, включая канальный уровень 2, в который, в свою очередь, вложена полезная нагрузка, содержащаяся на уровнях 3-7, в том числе пакеты сетевого уровня 4 и т.д.

Рассматривая эту картину более подробно, следует указать, что кадр уровня 1 430 содержит все данные физического (PHY) уровня, в том числе электрические, радио и оптические сигналы. В данные физического уровня 430 вложена информация управления доступом к среде передачи данных или информация канального уровня 2, содержащая заголовок MAC 431, полезную нагрузку MAC 432 и нижний колонтитул MAC 433. В полезную нагрузку MAC 432 вложен сетевой (Интернет) уровень или пакет IP на уровне 3, содержащий заголовок интернет-протокола (IP) 434 и полезную нагрузку IP 435. В полезную нагрузку IP 435 вложена датаграмма транспортного уровня или данные уровня 4, содержащие заголовок транспортного уровня 436 и полезную нагрузку транспортного уровня 437. Далее в полезную нагрузку транспортного уровня 437 вложены все данные приложений 438 для прикладных уровней 5-7 в соответствии с моделью OSI, показанной ранее на фигуре 4.

В процессе работы после приема пакета данных IP, показанного на фигуре 21, сетевое устройство и его микропрограммное обеспечение интерпретируют данные уровня 1 и уровня 2 и игнорируют любую информацию, содержащуюся в полезной нагрузке MAC 432. Сетевое программное обеспечение, в свою очередь, интерпретирует данные IP-адресов, маршрутизации и управления, содержащиеся в IP уровня 3, но игнорирует содержимое полезной нагрузки IP 435. Затем программное обеспечение транспортного уровня 4 интерпретирует данные, содержащиеся в полезных нагрузках IP 435, как "датаграмму" транспортного уровня, содержащую заголовок транспортного уровня 436 и полезную нагрузку транспортного уровня 437, обеспечивая требуемое квитирование между сторонами, обменивающимися информацией, чтобы обеспечить надежную передачу IP-пакета. В полезную нагрузку транспортного уровня 437 вложена информация, содержащая прикладные данные 438 для остальных приложений верхнего уровня, включая пакеты, содержащие данные для сеансового уровня 5, представительского уровня 6 и прикладного уровня 7. Если резюмировать изложенное выше, уровни 1 и 2 связаны с установлением физического соединения и правил для сетевых устройств, уровни 3 и 4 связаны с идентификацией получателя IP-пакета и подтверждением его доставки, а уровни 5-8 содержат фактические данные, передаваемые в качестве полезной нагрузки. Соответственно, оборудование и микропрограммное обеспечение уровня 1 и уровня 2 не интересуются содержимым отправляемых данных и их приложениями, сетевое программное обеспечение уровня 3 и уровня 4 не касается того, какие физические устройства отправляют пакеты, и что содержится в этих пакетах, а уровни 5-7 не заботятся о том, как был отправлен пакет и подтвержден ли его прием. Таким образом, в сетях с коммутацией пакетов маршрутизацией датаграммы неизвестного контента можно управлять, не касаясь вопросов, связанных с оборудованием, используемым при отправке пакета или назначением данных пакета.

Чтобы обеспечить совместимость, пакеты, отправляемые по сетям, используют стандартизованный формат, называемый интернет-протоколом (IP), даже в тех случаях, когда фактическая сеть непосредственно не подключена к Интернету. Связь уровня 3 может включать в себя любой набор сетевых устройств, подключенных к общей сети с коммутацией пакетов, использующей IP-пакеты, включая связь через (1) хост-сервер или выделенный сервер, подключенный непосредственно к Интернету; (2) частные закрытые сети или "интранет", не подключенные к Интернету или (3) закрытые сети, подключенные к Интернету через "преобразование сетевых адресов" (NAT), рассматриваемые ниже в этом документе. В первом случае любой IP-адрес, используемый в Интернете, должен быть зарегистрирован и лицензирован для клиента как эксклюзивный и действительный интернет-адрес. В последних двух случаях IP-адрес применяется только в изолированной сети, где он выделен для использования, и не зарегистрирован в качестве интернет-адреса. При попытке использовать незарегистрированные IP-адреса в Интернете будет фиксироваться ошибка подключения.

Согласно фигуре 22, каждый IP-пакет содержит два элемента - заголовок IP 434 и полезную нагрузку IP 435. Заголовок IP 434 обычно содержит данные об одной из двух широко используемых версий - "интернет-протокола версии 4" (IPv4) или "интернет-протокола версии 6" (IPv6). Первые 4 бита заголовка IP 434 в преамбуле заголовка 440 или 444 содержат двоичный код интернет-версии пакета, где 0100 - это поле данных 447, определяющее версию 4, а 0110 - поле данных 448, определяющее версию 6. В случае выбора IPv4, преамбула 440 представляет собой поле длиной 12 байтов, включающее в себя биты номера версии 447, за ним следуют адрес отправителя 441 длиной 4 байта, адрес получателя 442 длиной 4 байта и поле опций 443 длиной 8 байтов. В случае выбора IPv6, преамбула 444 представляет собой поле длиной 8 байтов, включающее в себя биты номера версии 448, за ним следуют адрес отправителя 445 длиной 16 байтов и адрес получателя 446 длиной 16 байтов. В отличие от IPv4, версия 6 не имеет поля опций.

Важно отметить, что преамбула 440 IPv4 и преамбула 444 IPv6 отличаются по длине, содержанию и формату и должны рассматриваться отдельно. Кроме того, поле IP-адреса IPv6 имеет длину 16 байтов, что позволяет однозначно указывать практически несчетное количество IP-адресов, т.е. 2128. Для сравнения, в IPv4 его длина составляет 4 байта и позволяет указывать только 232 адреса. Из-за ограниченного количества комбинаций в IPv4 требуется другая информация для идентификации и отделения сетей от клиентов, как указано в преамбуле 440. Для IPv6 нет необходимости в таком разграничении. Большинство современных сетей и IP-маршрутизаторов в настоящее время поддерживают как IPv4, так и IPv6.

Интернет-протокол IPv4 - Рассмотрим более подробно структуру пакета данных датаграммы 450 IPv4. На фигуре 23 показано двумерное графическое представление, упорядоченное по времени последовательно слева направо по столбцам и сверху вниз по строкам. В частности здесь время, соответствующее каждой строке, представляется байтами или октетами от 0 до 3 (или битами от 0 до 31), а каждая строка с верхней до нижней отмечена октетом смещения, при этом самая верхняя строка имеет отметку "0", за ней следует строка с отметкой "4", затем "8", затем "12" и т.д. Чтобы правильно считать последовательность данных из датаграммы 450, нужно начинать считывать пакет в строке октета смещения с отметкой "0", где слева направо первые отправленные или полученные данные содержат преамбулу 451, включающую вышеупомянутое поле "Версия", за которым следуют поля "IHL" (Internet Header Length - размеры заголовка), "DSCP" (Differentiated Services Code Point - точка кода дифференцированных услуг), "ECN" (Explicit Congestion Notification - явное уведомление о перегрузке) и "Общая длина". Сразу же после этого считываются данные по смещению следующей строки, отмеченной октетной строкой смещения "4", содержащей поля, обозначенные "Идентификация", "Флаги", "Смещение фрагмента". Наконец, последняя строка с отметкой "8" в преамбуле 450 содержит поля "Время жизни", "Протокол" и "Контрольная сумма". После преамбулы в датаграмме располагается исходный IP-адрес отправителя длиной 4 байта, IP-адрес получателя длиной 4 байта и строка, отмеченная как 20 в столбце "Смещение, Октет" - поле "Опции". Последнее поле в датаграмме 450 содержит пакет полезной нагрузки 435 переменной длины. Несмотря на то, что в примере показана длина полезной нагрузки 4 байта, эта длина является переменной.

В таблице 451 представлены краткие сводные данные об информации, содержащейся в полях датаграммы IPv4. Как было указано ранее, в четырехбитном поле версии устанавливается двоичный код 0100 для версии 4 интернет-протокола. Поле IHL указывает количество 32-битных слов в заголовке 434 IP, длину пакета IPv4 450 без учета полезной нагрузки 435 в диапазоне значений от 20 до 62 байтов. DSCP представляет собой поле длиной 6 бит, определяющее дифференцированные службы для контроля технологии QoS. ECN представляет собой поле длиной 4 бита для явных уведомлений о перегрузке (ECN), описывающих состояние загруженности сети. Поле "Общая длина" определяет общую длину датаграммы пакета IPv4, включающую в себя как заголовок IP 434, так и полезную нагрузку IP 435, при этом его минимальная длина составляет 20 байтов, а максимальная - 65 535 байтов. Максимальная длина пакета может быть ограничена меньшими датаграммами по протоколу канального уровня 2 для конкретной физической среды. Поле "Идентификация" длиной 2 байта однозначно идентифицирует группу фрагментов одной IP-датаграммы, чтобы разрешить повторную сборку пакета с принятыми в неправильном порядке сегментами совместно с полями "Флаги" длиной 3 бита и "Смещение флагов" длиной 13 битов, используемыми для управления фрагментацией пакетов. Поле TTL (Time To Live - Время жизни) длиной 1 байт ограничивает время жизни датаграмм в сети, чтобы предотвратить "бессмертие" - наличие пакетов, которые не могут быть доставлены в пункт назначения, но и никогда не прекращают свое существование. Поле TTL указывает максимальное количество маршрутизаторов, через которые может пройти любой конкретный пакет, прежде чем он будет отброшен по причине невозможности его доставки. Каждый раз, когда пакет проходит маршрутизатор, счетчик TTL уменьшает свое значение на единицу.

Поле 460 - поле "Протокол" длиной 1 байт - описывает тип данных, содержащихся в полезной нагрузке 435 пакета IPv4. В некоторых случаях эти данные содержат конкретные инструкции, например, для проверки состояния сети или задержки распространения, которые должны выполняться как пакет уровня 3, а в других случаях полезная нагрузка может быть идентифицирована как содержащая транспортный протокол уровня 4, используемый для управления передачей и подтверждения доставки, в том числе стандартные транспортные протоколы ICMP, IGMP, TCP, UDP или другие проприетарные форматы. По сути, поле протокола представляет собой описание датаграммы уровня 4 в пакете IPv4 уровня 3, тесно привязывая уровень 3 модели OSI к уровню 4 в интернет-протоколе. Поле контрольной суммы заголовка используется для обеспечения правильности данных заголовка, чтобы пакет не доставлялся не тому получателю. Оно содержит 16-разрядную контрольную сумму, используемую для обнаружения ошибок и отбрасывания данных. В совокупности вышеупомянутые поля образуют преамбулу 440 пакета IPv4.

Следующие два поля - IP-адрес отправителя и IP-адрес получателя - имеют длину 4 байта и могут быть представлены в нескольких форматах. Обычный формат, называемый форматом "точка - десятичное число", содержит четыре десятичных числа, разделенных точками, например, 192.0.2.235 или в шестнадцатеричной форме с точкой в качестве разделителя - 0xC0.0×00.0×02.0xEB, где каждому байту, то есть октету, предшествует 0x, при этом он индивидуально преобразовывается в шестнадцатеричную форму. 32-разрядный адрес также может быть преобразован в десятичный эквивалент 3221226219 или в одно шестнадцатеричное число 0xC00002EB путем конкатенации октетов из шестнадцатеричного формата с точкой в качестве разделителя. Дополнительную информацию о форматах адресов IPv4 можно получить, перейдя по ссылке http://en.wikipedia.org/wiki/IPv4 или другим аналогичным ссылкам. Поле "Опция" длиной 4 байта, активное только тогда, когда в поле "IHL" установлено значение от 6 до 15, редко используется из-за того, что создает угрозу для безопасности.

Интернет-протокол IPv6 - Нехватка IP-адресов в имеющемся виде подтолкнула к созданию нового набора IP-адресов, называемого версией 6 интернет-протокола. Конструкция пакета данных датаграммы IPv6 453, показанная на фигуре 24, как и ее предшественницы, версии 4, содержит два элемента: заголовок IP 434 и полезную нагрузку IP 435, при этом следует учесть, что заголовок значительно проще и IP-адреса значительно длиннее. В частности, преамбула IPv6 444 имеет длину всего 8 байтов, тогда как адреса IPv6 445 и 446 имеют длину 16 байтов.

В таблице 454 представлены краткие сводные данные об информации, содержащейся в полях датаграммы IPv6. Как было указано ранее, в четырехбитном поле версии устанавливается двоичный код 0110 для версии 6 интернет-протокола. Поле "Класс трафика" длиной 1 байт включает в себя подполе длиной 6 бит, определяющее дифференцированные службы, и поле длиной 2 бита для явных уведомлений о перегрузке (ECN), аналогичные версии 4. Поле "Метка потока" длиной 20 бит минимизирует фрагментацию, поддерживая путь данных, чтобы избежать реорганизацию в приложениях реального времени. Поле "Длина полезной нагрузки" величиной 2 байта определяет длину полезной нагрузки 435 в байтах (октетах). Поле "Следующий заголовок" 460 длиной 1 байт указывает тип содержимого в полезной нагрузке 435. Как и поле "Протокол" в IPv4, поле "Следующий заголовок" в IPv6, по сути, предоставляет данные о содержании полезной нагрузки IP 435. В некоторых случаях это содержимое представляет собой действие, например, проверить задержки в сети, и содержит данные уровня 3. В других случаях это содержимое представляет собой транспортный протокол уровня 4, используемый для управления передачей и подтверждения доставки, в том числе стандартные транспортные протоколы ICMP, IGMP, TCP, UDP или другие проприетарные форматы. Как и "Время жизни" в IPv4, поле "Лимит переходов" длиной 1 байт в пакете IPv6 указывает максимальное количество маршрутизаторов, которые пакет может пройти, прежде чем он будет отброшен как "бессмертный". Каждый раз, когда пакет проходит маршрутизатор, этот счетчик уменьшает свое значение на единицу.

Следующие два поля, каждое из которых имеет длину 16 байтов, определяют IP-адрес отправителя 445 и IP-адрес получателя 446. Как было указано ранее, целью использования более длинных IP-адресов является преодоление нехватки IP-адресов, возникающей в IPv4. Эта проблема иллюстрируется фигурой 25 для IP-адресов 469 путем сопоставления трех классов 4-байтовых адресов IPv4 с адресом IPv6 458 длиной 16 байтов без разбиения на классы. Поскольку адрес IPv6 способен образовывать 2128 или 3,403×1038 уникальных комбинаций, нет необходимости делить адреса на классы, специально предназначенные для сетей и клиентов. Напротив, из-за ограниченного количества комбинаций, доступных в IPv4, адреса были разделены на "классы", и сегодня они от класса А до класса С все еще широко распространены.

Согласно фигуре, класс А содержит поле сети 456А длиной 1 байт и поле клиента 457А длиной 3 байта, имеющее адреса IPv4 от 0.0.0.0 до 127.255.255.255, обеспечивающие поддержку 128 сетей и 16 777 216 (приблизительно 224) клиентов. Пользователем класса А может быть любой крупный интернет-провайдер, телефонная компания или провайдер видеоконтента. Адреса класса B содержат поле сети длиной 2 байта, обозначенное 456B, и поле клиента длиной 2 байта, обозначенное 457B, имеющее адреса IPv4 от 128.0.0.0 до 191.255.255.255, обеспечивающие поддержку 16 384 (около 214) сетей и 65 536 (около 216) клиентов. Пользователями класса B могут быть компании с большим количеством сайтов. Адреса класса C содержат поле сети длиной 3 байта, обозначенное 456C, и поле клиента длиной 2 байта, обозначенное 457C, имеющее адреса IPv4 от 192.0.0.0 до 223.255.255.255, обеспечивающие поддержку 2 097 152 (около 221) сетей и 256 (т.е. 28) клиентов. Пользователями класса C обычно являются субъекты малого бизнеса.

Во время маршрутизации пакета через сеть или Интернет обработка каждого поля в IP-заголовке 434 происходит на основе необходимого знания. Например, каждый маршрутизатор должен знать версию IP, длину пакета и контрольную сумму пакета для контроля ошибок. Точно так же время переходов или время жизни обязательно обрабатываются промежуточными маршрутизаторами для отбрасывания "бессмертных" пакетов. Однако промежуточные маршрутизаторы не должны интерпретировать каждое поле заголовка IP 434. В частности, поле 460 - поле "Протокол" в IPv4 или "Следующий заголовок" в IPv6 имеют значение только для IP-адресов отправителя и получателя. Промежуточные маршрутизаторы не должны знать содержание полезной нагрузки IP 435 и, следовательно, не должны обрабатывать эту информацию. Только тогда, когда пакет, наконец, достигает IP-адреса своего получателя, назначенное устройство или сервер получателя считывают значение поля 460 в заголовке 434 IP, чтобы интерпретировать, какие данные вложены в полезную нагрузку IP 435. Согласно фигуре 26, любое действительное значение в поле 460 может привести к действию, относящемуся к полезной нагрузки сетевого уровня - уровня 3 - или, в противном случае, к полезной нагрузки транспортного уровня - уровня 4. В случае если код, содержащийся в поле 460, не распознается IP-адресом получателя, сервер или устройство получателя будут отбрасывать этот пакет как содержащий ошибки.

В тех случаях, когда поле 460 содержит полезную нагрузку сетевого уровня - уровня 3 - как инструкции, подлежащие исполнению, полезная нагрузка IP 435 указывает сети задачу, которая должна выполняться. Например, когда поле 460 содержит эквивалент десятичных чисел 1 или 2 в полях протокола или следующего заголовка 461 или 462, полезная нагрузка IP 435 будет содержать соответствующие инструкции для сетевых утилит ICMP или IGMP (протокол управления группами пользователей в сети Интернет), соответственно. Если поле 460 вместо этого содержит эквивалент десятичного числа 6 в поле протокола или следующего заголовка 463, полезная нагрузка IP 435 будет содержать данные 475 для полезной нагрузки, использующей транспортный протокол TCP уровня 4. Аналогично, если поле 460 вместо этого содержит эквивалент десятичного числа 6 в поле протокола или следующего заголовка 464, полезная нагрузка IP 435 будет содержать данные 476 для полезной нагрузки, использующей транспортный протокол UDP уровня 4. Полезная нагрузка уровня 4 будет рассматриваться в следующем разделе данного документа. Существуют и другие менее распространенные и проприетарные коды. Если поле 460 содержит код протокола или следующего заголовка, который является стандартизированным зарегистрированным кодом, то общедоступные сети, по меньшей мере, теоретически, должны соответствующим образом реагировать на код и правильно интерпретировать полезную нагрузку. В тех случаях, когда код является проприетарным, только проприетарные сети и настраиваемый маршрутизатор могут интерпретировать этот код и выполнять соответствующие действия надлежащим образом.

В случае, когда поле 460 содержит эквивалент десятичного числа 1 в как поле протокола или следующего заголовка, полезная нагрузка IP 435 содержит конкретную сетевую утилиту 435, называемую ICMP или "протокол управления сообщениями в сети Интернет", используемую такими сетевыми устройствами, как серверы, маршрутизаторы, точки доступа и т.д. для доступа к задержкам распространения сети; для указания, что запрошенная услуга недоступна, или определения, что маршрутизатор или хост не могут быть достигнуты. Его назначенный идентификатор протокола или следующего заголовка, десятичное число 1, отличается от UDP и TCP в том, что ICMP обычно не используется для обмена информацией между системами или приложениями конечного пользователя, за исключением случая, когда выполняется определенная сетевая диагностика. Согласно фигуре 26 для IP-пакета, соответствующего данным 461, пакет ICMP содержит заголовок, состоящий из четырех частей, которыми являются тип 465, код 466, контрольная сумма 467 и остальная часть заголовка ICMP 468, за которой следуют данные ICMP 469.

Поля "Тип" 465 и "Код" 466 совместно облегчают доставку различных управляющих сообщений. Можно уточнить, что тип 3 управляющих сообщений означает, что получатель IP недоступен, при этом код указывает, почему он недоступен, например: код 0 означает, что была недоступна сеть получателя; код 1 означает, что был недоступен хост получателя; код 3 означает, что был недоступен порт получателя; а код 9 означает, что доступ к сети административно запрещен и т.д. Тип 5 означает, что пакет может быть переадресован, при этом код 0 означает перенаправлению датаграммы для сети, код 1 означает перенаправлению датаграммы для хоста и т.д. Тип 8 - "эхо-запрос", за которым следует тип 0 - "эхо-ответ", совместно выполняют важную и известную функцию "ping", аналогичную акустическому зондированию подводной лодки гидролокатором, чтобы проверить задержку распространения сети. Можно указать еще несколько важных функций: "трассировка маршрута" (код 30), "запрос доменного имени" (код 37), "ответ на запрос доменного имени" (код 38), "запрос метки времени" (код 13), "ответ на запрос метки времени" (код 14). Для задач доставки код 11 означает, что "время доставки превышено"; код 12 означает "неверный IP заголовок", а код 4 или "отключение источника" используется в случае контроля перегрузки. Контент данных ICMP 469 может содержать сообщения или может использоваться просто для загрузки сети более крупными пакетами, чтобы исследовать, в частности, могут ли возникать проблемы при передаче большого объема полезной нагрузки.

Также на фигуре 26 показано, что, когда поле 460 содержит эквивалент десятичного числа 2 в поле протокола или следующего заголовка, полезная нагрузка IP 435 содержит конкретную сетевую утилиту 435, называемую IGMP (Internet Group Management Protocol - протокол управления группами пользователей в сети Интернет). В отличие от протокола ICMP, используемого при диагностике сетей IPv4 и IPv6, IGMP используется только при мультивещании IPv4 для сетевых приложений "один-ко-многим", таких как игры или онлайн трансляции. Однако термин IGMPv4 не используется, поскольку IGMP обязан своим происхождением более ранним реализациям Интернета. В настоящее время поддерживаются только протоколы IGMPv2 и IGMPv3. Кроме того, в IPv6 мультивещание осуществляется через встроенный в ICMPv6 протокол определения получателей мультивещательных запросов (Multicast listener discovery), а не непосредственно через чистое вложение IGMP. Пакет IGMP содержит заголовок, состоящий из четырех полей, которыми являются "Тип" 470, "MRT" 471, "Контрольная сумма" 472 и "Адрес группы IGMP" 473, за которыми следуют данные IGMP 474.

В IGMP поле "Тип" 470 описывает природу пакета как команды "Запрос членства", "Отчет о членах группы" или "Покинуть группу"; "Максимальное время ответа" (Maximum Response Time) 471 или максимальное время ответа устанавливает максимальное время для получения отчета до 100 мс, а контрольная сумма 472 представляет собой дополнение до единицы 16-разрядной суммы всего пакета IGMP. Для широковещательной передачи IGMPv2 отправляет пакет IGMP и данные IGMP со своей полезной нагрузкой 474 по адресу группы IGMP 473 в соответствии с настройкой типа 470, где "общий запрос" осуществляет мультивещание всем хостам, например, 224.0.0.1, а команда "Покинуть группу" аналогично отправляет сообщение всем маршрутизаторам, например, 224.0.0.2. В "запросе определенной группы" и "отчете о членах группы" IGMPv2 в информационном обмене задействуется только запрашиваемая группа. В IGMPv3 возможен более полный запрос членства, определяющий все подключенные стороны.

Другие датаграммы могут содержать не только ICMP и IGMP, а и проприетарные протоколы, где IP-адреса отправителя и получателя должны предусматривать связь с использованием уникального формата, в противном случае полезная нагрузка 435, как правило, будет содержать данные, соответствующие протоколам TCP или UDP транспортного уровня 4.

Уровень 4 модели OSI - транспортный уровень

Функция транспортного уровня 4 модели OSI иллюстрируется фигурой 27, где три сетевых устройства 480A, 480B и 480C, содержащие блоки 483A, 483B и 483C для выполнения вычислений и хранения данных с соответствующими стеками связи 482A, 482B и 482C, совместно используют общую сеть 481. Транспортный уровень гарантирует, что связь 484 осуществляется только между стеком связи 482А в устройстве A и стеком связи 482B в устройстве B. Задача транспортного уровня заключается в управлении связью между этими двумя сетевыми устройствами и обеспечении контекста для типа прикладных данных, которые должны быть доставлены пакетами IP, и услуги, которая должна быть выполнена. Таким образом, по сути, сеть 481 уровня 3 модели OSI позволяет подключать любую комбинацию устройств, а транспортный уровень уровня 4 модели OSI, обеспечивает связь двух конкретных устройств.

Двумя преобладающими транспортными протоколами, используемыми в настоящее время, являются TCP и UDP. В "протоколе управления передачей данных" (TCP) установление связи между устройствами гарантируется процедурой подтверждения установления связи, которая подтверждает, что IP-пакет был надежно и точно доставлен по сети с коммутацией пакетов перед отправкой следующего пакета. Благодаря предусмотренной в TCP процедуре подтверждения установления связи, "подключение" может гарантироваться даже в системе связи с коммутацией пакетов "без организации соединения", содержащей локальную сеть, интрасеть или общедоступный Интернет. TCP обеспечивает надежную, контролирующую наличие ошибок доставку в надлежащем порядке последовательности цифровых байтов с высокой точностью, но без гарантии своевременной доставки. TCP используется для передачи нечувствительной ко времени доставки полезной нагрузки, в том числе большого количества различных компьютерных программ, файлов, текстовых, видео и голосовых сообщений, включая электронную почту, передачу файлов, веб-браузеры, функции удаленных терминалов и защищенные оболочки. Для чувствительной ко времени доставки полезной нагрузки предпочтительны другие протоколы, более подходящие для приложений реального времени, например, UDP.

Протокол управления передачей данных (TCP) -TCP, работающий на транспортном уровне 4 модели OSI, занимает промежуточный уровень между сетевым (Интернет) уровнем 3, и верхними прикладными уровнями. При передаче IP-пакетов TCP может корректировать непредсказуемое поведение сети вследствие перегрузки сети, отбрасывания пакетов, уравновешивания нагрузки трафика и доставки в неправильном порядке. TCP обнаруживает эти и другие проблемы, запрашивает повторную передачу потерянных данных по мере необходимости, восстанавливает организацию данных, принятых в неправильном порядке, и даже смягчает последствия умеренной перегрузки сети, насколько это возможно. IP-пакеты, передаваемые транспортным уровнем TCP, могут называться датаграммами TCP/IP. Во время передачи пакета используется таймер для контроля времени доставки. В случае, когда это время истекает до доставки пакета, выполняется запрос на повторную передачу пакета. Пакеты TCP вложены в полезную нагрузку IP-пакетов. Полученные пакеты TCP буферизуются и повторно собираются для доставки приложениям.

Чтобы идентифицировать приложение или услугу, для которых предназначен пакет TCP, TCP использует цифровую идентификацию под названием "порт". Порт - это номер, используемый для уникальной идентификации передачи по сети, путем указания как хоста, так и задействованной службы. Порты используются протоколом TCP или UDP для распознавания различных IP-служб и приложений, таких как веб-служба (HTTP), почтовая служба (SMTP) и служба передача файлов (FTP). Устройства связи используют комбинацию IP-адресов уровня 3 и портов уровня 4 для управления обменом информацией по физической сети, содержащей физический уровень 1 и канальный уровень 2, с верхними прикладными уровнями модели OSI, начиная с уровня 5 и выше.

Каждый пакет TCP 500, показанный на фигуре 28A, содержит заголовок TCP 506 и полезную нагрузку TCP 507. Подробные данные о функциях заголовка TCP 506 сведены в таблицу 508, показанную на фигуре 28B, где заголовок TCP 506 содержит порт отправителя 501, порт получателя 502, порядковый номер 503, номер подтверждения 504, а также поля "Смещение", "Резервирование", "Флаги", "Размер окна", "Указатель срочности" и "Опции". Он также содержит контрольную сумму 505 для подтверждения целостности пакета. Порядковый номер 503 используется для отслеживания порядка поступления нескольких пакетов и зависит от состояния флага SYN в поле "Флаги" заголовка TCP 506. Поле "Подтверждение" используется в процессе подтверждения установления связи. Если для флага ACK в поле "Флаги" заголовка TCP 506 установлено значение двоичной единицы, поле подтверждения содержит очередной порядковый номер, ожидаемый приемником, после приема которого подтверждается получение всех последующих пакетов.

Данные поля "Смещение" определяют размер заголовка TCP 506, т.е. длину заголовка от начала датаграммы TCP 500 до начала полезной нагрузки TCP 507, которое указывается количеством 2-байтовых (32-разрядных) слов в диапазоне от 5 до 15 слов двухбайтовой длины. Зарезервированные биты в настоящее время не используются. Поле флагов содержит девять двоичных флагов, связанных с сокрытием информации, перегрузкой, срочностью, подтверждением пакета, функцией "push-функцией", сбросом соединения, управлением последовательностью действий и отсутствием данных от отправителя. Размер окна определяет максимальное количество байтов, которое отправитель предписывает получить в одном пакете. Контрольная сумма представляет собой контрольную сумму длиной 2 байта (16 бит) для контроля ошибок заголовка TCP 506 и полезной нагрузки TCP 507. Если для флага URG установлено значение двоичной единицы, в поле "Указатель срочности" указывается последний байт данных, подлежащий срочной отправке.

В связи с коммутацией пакетов на основе TCP/IP подтверждение установления связи является ключевой функцией для обеспечения целостности данных. Согласно фигуре 29 в момент времени t=0 ноутбук 510 отправляет пакет TCP/IP веб-серверу 531, отправляя заголовок TCP 512A, полезную нагрузку TCP 513A и время перемещения 514A, для которых требуется общая длительность Δta, за ними следует подтверждение от веб-сервера 511 ноутбуку 510, содержащее заголовок TCP 512B и нулевое поле 513B, для которых требуется общая длительность Δtb. Общая величина объединенного интервала t1=Δta+Δtb представляет собой минимально необходимое время для отправки и подтверждения пакета TCP/IP, что примерно в два раза превышает время первоначальной доставки пакета. После этого, и только после этого может передаваться второй пакет, содержащий заголовок TCP 512C и полезную нагрузку TCP 513C. В случае если пакет поврежден или потерян, этот пакет должен быть отправлен и подтвержден повторно, что увеличивает продолжительность доставки с t1 до 2t1. Если пакет потребует повторения передачи "n" раз, продолжительность передачи только одного пакета составит nt1. Переменная временная задержка при использовании транспортного протокола TCP создает серьезные проблемы при передаче чувствительных ко времени доставки пакетов, например, видео или технология VoIP.

Таким образом, пакеты TCP/IP имеют следующие характеристики:

● Надежность - TCP/IP гарантирует доставку за счет управления подтверждением, контроля ошибок, запросов на повторную передачу и функций перерыва.

● "Тяжеловесность" - TCP/IP использует большой пакет транспортного уровня с длинным сложным заголовком и требует по меньшей мере трех пакетов только для того, чтобы установить соединение между хостом и клиентом.

● Переменная/низкая скорость передачи данных - Из-за подтверждения установления связи скорость передачи данных TCP/IP изменяется и становится значительно меньше, чем для UDP, что делает протокол TCP непривлекательным для таких приложений реального времени, как передача видеоконтента и технологии VoIP.

● Правильный порядок - TCP буферизует и реорганизует все пакеты, принятые в неправильном порядке.

● Контроль перегрузки - TCP предоставляет несколько функций управления перегрузкой, отсутствующих в UDP.

● Контроль ошибок - Пакеты TCP/IP проверяются на целостность, если они принимаются и передаются повторно, если какие-либо пакеты отбрасываются или поступают в поврежденном виде.

Протокол пользовательских датаграмм (UDP) -В качестве альтернативы протоколу управления передачей данных (TCP), протокол пользовательских датаграмм (UDP) использует режим передачи без установления соединения, с минимальным составом протокола: без установления соединения и без подтверждения доставки пакета. Обладая чувствительностью к нестабильности, свойственной сети, UDP не предлагает никаких средств подтверждения доставки, а также никакого упорядочивания пакетов и дублирующей защиты. Тем не менее, он использует контрольные суммы для подтверждения целостности данных. UDP лучше всего подходит для приложений, чувствительных к времени передачи, или для целей, когда контроль и исправление ошибок либо не являются необходимыми, либо выполняются постфактум в приложении, исключая расход ресурсов на такую обработку на сетевом уровне.

Пакет UDP 529, показанный на фигуре 30, содержит заголовок UDP 520 и полезную нагрузку UDP 524. Заголовок UDP 520, описанный в таблице 525, содержит всего четыре поля: адрес порта отправителя 521 длиной 2 байта, адрес порта получателя 521 длиной 2 байта, поле "Длина" 523 и "Контрольная сумма" 523. Адреса портов UDP используют тот же формат, что и пакеты TCP/IP. Поле длины пакета UDP 523 в IPv6 изменяется по длине от минимального значения 8 байтов до максимального значения 65 535 байтов. По практическим соображениям наибольшая длина контрольной суммы в протоколе IPv4 ограничена немного меньшим значением 65 507 байтов.

Контрольная сумма 523 длиной 2 байта используется для обнаружения ошибок общей длины полезной нагрузки UDP 524 вместе с данными от заголовка UDP 520, алгоритмически преобразованного в псевдозаголовок для включения IP-адресов и других полей, заимствованных из заголовка IP. Псевдозаголовок никогда не существует в датаграмме в явном виде, но создается, т.е. алгоритмически синтезируется из данных, имеющихся в заголовке IP и заголовке UDP, только для целей контроля ошибок. Формат псевдозаголовка и значения контрольной суммы отличаются для пакетов UDP на основе IPv4 и IPv6. В IPv4 функция контрольной суммы является необязательной, тогда как в IPv6 ее использование является обязательным. Когда она не используется, это поле заполняется цифровым значением 0. После заголовка UDP 520 следует полезная нагрузка UDP 524, длина которой в IPv4 является переменной от 0 до 65 507 байтов.

Таким образом, на транспортном уровне 4 для передачи IP-пакета по сети связи с коммутацией пакетов могут использоваться как UDP, так и TCP/IP. Пакеты UDP имеют следующие характеристики:

● Ненадежность - UDP не гарантирует доставку и нечувствителен к потере пакетов. В UDP отсутствуют механические средства для идентификации потери пакетов, для запроса повторной передачи или для контроля состояния перерыва во время передачи.

● Легковесность - UDP использует небольшой транспортный уровень с заголовком минимального размера, в котором отсутствуют многие функции TCP и связанные с ними свойства пакета.

● Высокая скорость - Вследствие их небольшого размера, пакеты UDP могут передаваться быстро и не требуют квитирования доставки или повторной передачи потерянных или поврежденных пакетов. Минимальная скорость передачи данных вдвое выше, чем у TCP, и в четыре раза выше, чем в случаях, связанных с повторной передачей пакетов TCP. В нестабильных сетях запрос на повторную передачу может полностью остановить доставку TCP-пакетов

● Неупорядоченность - порядок, в котором принимаются пакеты, может не соответствовать порядку, в котором они были отправлены. Приложение должно быть достаточно интеллектуальным, чтобы обеспечить правильный порядок следования пакетов.

● Отсутствие контроля перегрузки - даже если не учитывать, что это является следствием небольших ресурсов, выделяемых на пакет, UDP не исключает возможность перегрузки, если только функция контроля перегрузки не реализована на прикладном уровне.

● Контроль ошибок - Пакеты UDP проверяются на целостность только после их получения. При обнаружении ошибок эти пакеты отбрасываются без какого-либо запроса на повторную передачу.

Использование портов уровня 4 - Порты играют важную роль в реализации уровня 4 - транспортного уровня - в сети связи с коммутацией пакетов. Среди других преимуществ порты помогают идентифицировать приложения или службы, предоставляемые сервером или устройством, они помогают разрешить нескольким пользователям взаимодействовать с одним и тем же сервером, не смешивая коммуникации отдельного клиента, они предоставляют средства для поддержки полнодуплексной связи с использованием разных пар портов для обмена "хост-клиент" и "клиент-хост", и они помогают облегчить работу NAT, чтобы увеличить количество доступных IP-адресов для пользователей, одновременно ограничивая стоимость и количество необходимых подключений непосредственно в Интернете.

Пример обмена датаграммами хоста и клиента иллюстрируется фигурой 31A, где клиентское устройство 526B - планшет или ноутбук - запрашивает веб-страницу с хоста 526A, которым, как правило, является веб-сервер. В процессе обмена клиент 526B отправляет IP-датаграмму, содержащую заголовок IP 529 уровня 3, имеющий IP-адрес 527B с числовым значением "IP-адрес B", на хост-сервер по IP-адресу 527A, имеющему числовое значение "IP-адрес A". Вложенный в полезную нагрузку датаграммы уровня 3 клиент также отправляет заголовок транспортного уровня 4 530, содержащий свой собственный номер порта отправителя 528A со специальным значением 9999. Запрос порта отправляется на порт 80 хоста - зарезервированный HTTP-порт 528A, используемый для загрузки веб-страниц в веб-браузер. Поэтому, несмотря на то, что номер запрашиваемого порта 9999 назначается произвольно специальным образом как номер следующего открытого порта, порт получателя 80 имеет конкретное значение для запрашиваемой услуги, а именно, запроса веб-страницы.

Простая версия IP-датаграммы, используемой для этого запроса веб-страницы, иллюстрируется в нижней части фигуры 31А и содержит заголовок IP уровня 3 529, заголовок транспортного уровня 4 530 и полезную нагрузку 536 IP-пакета. В заголовке 529 IP уровня 3 IP-адрес отправителя 531 имеет числовое значение "IP-адрес B", а IP-адрес получателя 532 имеет значение "IP-адрес A". В заголовке 530 транспортного уровня 4 числовое значение номера порта отправителя 533 равно "9999", а числовое значение номера порта получателя 534 равно "80". Полезная нагрузка 536 IP-пакета включает поле полезной нагрузки (данных) 535, содержащее данные прикладных уровней 5-7.

На фигуре 31B показан ответ на запрос клиента на предоставление услуг. Согласно фигуре, все направления стрелок меняются на противоположные, а все IP-адреса отправителя и получателя и номера портов меняются друг с другом, по сравнению с предыдущим фигурой. В процессе обмена IP-датаграмма, содержащая заголовок IP 537 уровня 3, отправляется с IP-адреса отправителя 531 с числовым значением "IP-адрес A" на IP-адрес получателя 532, имеющий числовое значение "IP-адрес B". Вложенный в датаграмму уровня 3 заголовок транспортного уровня 4 538 включает в себя порт отправителя 533, имеющий числовое значение номера порта "80" и порт получателя 534, имеющий числовое значение номера порта "9999". Встроенный в полезную нагрузку 539 IP-пакета ответ на запрос предоставления услуг представляет собой полезную нагрузку (данные) 536, которая может содержать HTML-код для создания веб-страницы.

Таким образом, несмотря на то, что некоторые номера портов свободны и назначаются по мере необходимости при выборе сервера, другие номера зарезервированы для использования в пакетах UDP, в пакетах TCP или в обоих из них. Список обычно официально зарезервированных номеров портов приведен на фигуре 31C, в их число входят известный порт 80 для просмотра веб-страниц HTTP с использованием только TCP, порт 20 для передачи файлов, порт 23 для работы с telnet, порт 110 для получения электронной почты по протоколу POP3 только для TCP, порт 220 для получения электронной почты по протоколу IMAP3, а также порты для большого количества защищенных версий протоколов, таких как HTTPS, IMAPS, FTP через TSL/SSL и т.д. Однако недавно было обнаружено, что безопасность SSL - внутреннего способа защиты транспортного уровня - имеет уязвимые места для определенных видов атак, как указано в одном из заголовков в начале этого документа. Порт 7, используемый для функций "echo" и "ping" уровня 4, был в значительной степени заменен функцией ICMP уровня 3.

В таблице, приведенной на фигуре 31D, показаны диапазоны номеров портов и данные об их использовании. Согласно фигуре, номера зарезервированных портов обычно находятся в диапазоне от 0 до 1023 для "системных портов", а номера портов более 49 152 обычно свободны и доступны. В промежуточном диапазоне номеров портов от 1024 до 49 151 крупные блоки свободны и доступны для динамического распределения портов, но некоторые зарезервированные порты там также присутствуют. Широко распространена практика, когда крупные корпорации могут сообщать о выборе выделенных портов в своем программном обеспечении, но не регистрировать эти номера портов официально. Несмотря на это, "официальные" и зарезервированные номера портов, хотя они и не строго контролируются, находят широкую поддержку, потому что компании хотят обеспечить совместимость своих систем и программного обеспечения с Интернетом и с продукцией других предприятий.

Порты также используются для облегчения работы "межсетевого экрана", предотвращения или, по меньшей мере, запрещения несанкционированного доступа к компьютеру, серверу или устройству для конкретной услуги. Например, любой сервер, расположенный в интрасети, то есть в частной сети, расположенной за преобразованием сетевых адресов (NAT) или защищенный выделенным блоком сетевой безопасности, может быть ограничен конкретными типами запросов на обслуживание, инициированных из Интернета. Например, межсетевой экран может быть настроен на блокировку запросов через порт 80, отключение запросов HTTP-сервиса и предотвращение загрузки веб-страниц из Интернета. В качестве альтернативы, межсетевой экран может быть настроен на разрешение запросов на предоставление услуг из Интернета только через порт 25, без предоставления таких прав для других портов. В таких случаях межсетевой экран разрешает запросы на обслуживание для протокола SMTP (простой протокол передачи почты), позволяя отправлять электронную почту из интрасети в Интернет и обратно, но блокирует все остальные типы транзакций. Такие строгие меры со стороны межсетевого экрана создают проблемы, потому что дополнительная защита блокирует многие действительные транзакции, не позволяя сотрудникам и провайдерам на местах получать доступ к важной информации, необходимой для выполнения своей работы.

Другое направление использования портов - помочь задержать процесс образования нехватки IP-адресов в IPv4. Вместо того чтобы назначать для каждого персонального устройства несколько выделенных IP-адресов, Интернет-провайдеры (ISP), такие как провайдеры кабельных сетей, общедоступных сетей Wi-Fi, сотовой телефонной связи и другие, имеют возможность организовать динамическое циклическое использование IP-адресов Интернета и использовать IP-адреса частных сетей для связи между своим интернет-шлюзом и своими частными клиентами. Таким образом, один IP-адрес в Интернете может обслуживать до 65 534 пользователей подсети класса B или 254 пользователей подсети класса C при условии, что пропускная способность восходящего канала достаточно высока для поддержки трафика.

Устройство, которое выполняет двунаправленное преобразование и информационный обмен через этот один IP-адрес со многими IP-адресами, называется "преобразованием сетевых адресов " (NAT). Показанный на фигуре 32A преобразотель сетевых адресов (NAT) 550 содержит блок преобразования IP-адреса и номера порта 554 и два стека связи, в том числе подключенный к Интернету стек связи 553A и стек связи подсети класса C 553B. Подключенный к Интернету стек связи 553А устанавливает связь со всеми остальными сетевыми устройствами, подключенными к Интернету, такими как сервер 22А, маршрутизатор 27 и веб-сервер 511, через общедоступную сеть 531. На транспортном уровне 4 стек связи 553А управляет параллельной связью с несколькими устройствами, например, 557А и 557В. В приведенном примере локальная сеть 552 подключает различные домашние устройства, например, ноутбук 35, холодильник 34, стационарный компьютер 35 и маршрутизатор домашней сети Wi-Fi 62A, к стеку связи подсети класса C 553B. В этой частной сети транспортные протоколы уровня 4 управляют связью между стеком связи 553B и сетевыми устройствами, например, соединениями 556A и 556B уровня 4. При поддержке обмена информацией между частной и общедоступной сетями блок преобразования IP-адреса и порта 554 динамически строит специальную таблицу пересылки 555 для перенаправления передачи каждого пакета частной сети в общедоступную сеть и наоборот.

Работа NAT иллюстрируется фигурой 32B, на котором стационарный компьютер 36 и ноутбук 35, подключенные к частной сети "за NAT", пытаются одновременно обмениваться данными с подключенными к Интернету веб-сервером 21A и сервером электронной почты 27 только через один общедоступный IP-адрес для подключения к Интернету. В приведенном примере ноутбуку 35 выделен IP-адрес, обозначенный "NB" и назначен динамический порт, стационарному компьютеру 36 выделен IP-адрес, обозначенный "DT" и назначен динамический порт, веб-серверу 21A выделен IP-адрес, обозначенный "S1" и предоставлен порт 80 для сервиса веб-страниц на основе HTTP, а серверу электронной почты 27 выделен IP-адрес, обозначенный "S2", и предоставлен порт 110 для услуг электронной почты на основе IMAP. NAT 550 имеет общедоступный IP-адрес "N" в Интернете и использует назначенный динамический порт.

Во время работы ноутбук 35 инициирует запрос веб-страницы 560A IP-пакетом с IP-адреса отправителя NB и произвольного номера порта 9999 веб-серверу 21A на IP-адрес получателя S1 и номер порта 80. Одновременно стационарный компьютер 36 инициирует запрос электронной почты 561A IP-пакетом с IP-адреса отправителя DT и произвольного номера порта 10200 почтовому серверу 27 на IP-адрес получателя S2 и номер порта 110. После приема этих запросов NAT 550 перенаправляет входящие сообщения на исходящее Интернет-соединение, осуществляя трансляцию адреса в соответствии с таблицей трансляции 555. Затем NAT отправляет запрос от ноутбука 35, сохраняя IP-адрес получателя S1 и номер порта 9999, но заменяя информацию об отправителе от ноутбука 35 на NAT 550 с транслированным IP-адресом отправителя "N" и номером порта отправителя 20000 для создания IP-пакета Интернета 560B.

Аналогичным образом NAT 550 транслирует запрос от стационарного компьютера 36 серверу электронной почты 27, сохраняя IP-адрес получателя S2 и номер порта 9999, но заменяя информацию об отправителе от стационарного компьютера 36 на NAT 550 с транслированным IP-адресом отправителя "N" и номером порта отправителя 20400 для создания IP-пакета Интернета 561B. Таким образом, веб-сервер 21A и сервер электронной почты 27 считают, что они обмениваются данными с NAT 550 и понятия не имеют о запросе, поступающем от ноутбука 35 и стационарного компьютера 36. Вообще-то, такие IP-адреса, как "NB" или "DT", используемые устройствами, подключенными к подсети NAT, не являются допустимыми адресами в Интернете и не могут быть использованы для подключения напрямую без вмешательства NAT 550.

После приема веб-сервером 21А запрашиваемого 560B IP-пакета, он отправляет в ответ HTML-код для построения веб-страницы по маршруту 560C IP-пакета с IP-адреса отправителя "S1" и порта "80" на IP-адрес получателя "N" и номер порта 20000. Обращаясь к таблице трансляции 555, NAT знает, что ответы на номер порта 20000 соответствуют запросу из ноутбука 35 и перенаправляет сообщение, заменяя IP-адрес получателя и номер порта на данные ноутбука, а именно IP-адрес "NB" и номер порта 9999, для создания ответного 560D IP-пакета.

Параллельно с этой транзакцией после получения запроса в виде 560B IP-пакета от NAT 550 сервер электронной почты 27 отправляет в ответ IMAP-код, содержащий адрес электронной почты, по маршруту 561C IP-пакета с IP-адреса отправителя "S2" и номера порта 110 на IP-адрес получателя "N" и номер порта 20400. Обращаясь к таблице трансляции 555, NAT знает, что ответы на номер порта 20400 соответствуют запросу от стационарного компьютера 36 и перенаправляет сообщение, заменяя IP-адрес получателя и номер порта на данные стационарного компьютера, а именно IP-адрес "DT" и номер порта 10200 для создания ответного 561D IP-пакета. Таким образом, несколько пользователей могут отдельно обращаться к нескольким сетевым устройствам, подключенным к Интернету и сайтам через один IP-адрес.

Другие протоколы транспортного уровня 4 - Относительно других известных протоколов транспортного уровня, кроме TCP и UDP, нет единого мнения о том, работают ли они как уникальные и независимые протоколы уровня 4, или они работают как улучшенная версия TCP и UDP уровня 4, или это просто прикладные программы верхнего уровня, работающие поверх UDP и TCP.

Один из таких протоколов - протокол DCCP (Datagram Congestion Control Protocol - протокол управления перегрузкой датаграммы) -является ориентированным на сообщения протоколом транспортного уровня для управления контролем перегрузки, который полезен для приложений с ограничениями времени доставки данных, таких как онлайн-мультимедиа и многопользовательские онлайн-игры, но он не имеет средств упорядочения пакетов, принимаемых в неправильном порядке, которые имеются в TCP. Несмотря на возможность использования на автономной основе, протокол DCCP применяется по другому назначению - для выполнения функций управления перегрузкой для приложений на основе UDP. Кроме трафика передаваемых данных, DCCP содержит трафик подтверждения, информирующий отправителя, когда пакет прибыл, и были ли отмечены "явные уведомления о перегрузке" (ECN).

Еще одной попыткой управлять своевременной доставкой пакетов, в частности текста, является технология LCM (Lightweight Communication and Marshaling - легковесная связь и маршалинг) на основе опции многоадресной рассылки UDP. По сравнению с одноадресной рассылкой UDP, многоадресная рассылка UDP обладает одним преимуществом, которое заключается в том, что несколько приложений могут стабильно работать на одном хосте или распределяться по нескольким платформам. Помимо стремления минимизировать задержку сети, некоторые протоколы уровня 4 используются для "туннелирования" данных при создании виртуальных частных сетей (VPN), работающих в Интернете и через Интернет. Такими протоколами на основе UDP являются протокол GRE (Generic Routing Encapsulation - общая инкапсуляция маршрутов), протокол PPTP (Point-to-Point Tunneling Protocol - протокол туннелирования точка-точка), протокол SSTM (Secure Socket Tunneling Mechanism - защищенный механизм туннелирования сокетов), протокол SSH (Secure Shell - защищенная оболочка) и другие. Некоторые реализации VPN предназначены для повышения безопасности, однако в действительности они увеличивают сетевую задержку.

Кроме вышеупомянутых стандартизованных протоколов UDP и TCP транспортного уровня 4, неясно, какова степень восприятия проприетарных протоколов и какие компромиссы они предлагают для снижения сетевой задержки за счет повреждения IP-пакетов или повышения безопасности за счет увеличения задержки.

Уровни 5, 6 и 7 модели OSI - прикладные уровни

В то время как порт # определяет тип запрашиваемой службы, приложение должно понимать природу данных, инкапсулированных как полезную нагрузку уровня 4. Принятие мер на основе содержимого доставленного пакета является задачей верхних прикладных уровней модели OSI - уровней 5, 6 и 7. Взаимосвязь нескольких устройств на прикладном уровне графически иллюстрируется на блок-схеме, приведенной на фигуре 33, где три устройства 570A, 570B и 570C, каждое из которых имеет свои средства выполнения вычислений и хранения данных 573A, 573B и 573C, соединены соответствующими стеками связи 572A, 572B и 572C, совместно использующими связь на прикладном уровне 571. В действительности эти устройства имеют связи на всех уровнях модели OSI, но для простоты показывается только соединение прикладного уровня.

Кроме подключения к сети с коммутацией пакетов, основное правило для установления связи устройств на прикладном уровне заключается в том, что на всех коммуникационных устройствах должно существовать одно и то же или совместимое приложение. Например, банковская программа не может понять программу видеоигр, программа САПР не может интерпретировать онлайн-видео высокой четкости, музыкальный проигрыватель не может заниматься торговлей на фондовом рынке и т.д. В то время как многие прикладные программы являются проприетарными и принадлежащими одной компании или провайдеру, некоторые приложения и сервисы являются широко распространенными, а в некоторых случаях даже имеют правительственные полномочия для работы в среде с открытым исходным кодом. Например, когда компания Microsoft попыталась привязать свой почтовый сервер Outlook только и исключительно к операционной системе Microsoft Windows, в Европейском Союзе на основании судебных решений постановили, что такие действия нарушают антимонопольные законы и заставили Microsoft опубликовать свое почтовое приложение как отдельную программу с четко определенными подключениями к операционной среде, в которой оно работает. Вскоре после этого на нескольких вычислительных платформах появилось множество конкурирующих почтовых программ, использующих почтовые протоколы и функции Microsoft.

Различие между прикладными уровнями 5, 6 и 7 является малозаметным. Как следствие, многие называют эти уровни в семиуровневой модели OSI одним общим термином - "прикладные уровни", "верхние уровни" или даже просто "уровень 7". В последней интерпретации уровень 7 рассматривают как истинное приложение, а уровни 5 и 6 считают вспомогательными уровнями, используемыми для его обслуживания, аналогично вызову подпрограмм в компьютерной программе. Чтобы еще более запутать ситуацию, альтернативное пятиуровневое описание сетей с коммутацией пакетов, конкурирующее с семиуровневой моделью OSI, объединяет все три прикладных уровня в один уровень, называемый уровнем 5, хотя по структуре он ближе к уровню 7 в модели OSI.

Сеансовый уровень 5 - В семиуровневой модели OSI уровень 5 называется "сеансовым уровнем" и координирует диалоги между приложениями и внутри них, включая управление дуплексной, полудуплексной и симплексной связью, а также обеспечение проверки контрольных точек, восстановления и правильного завершения сеансов TCP. Он также устанавливает, управляет и завершает подключение для удаленных приложений непосредственно в среде приложений, которые используют "удаленные вызовы процедур" или RPC (от англ. Remote Procedure Call). Уровень 5 также связан с управлением сеансами кросс-приложений, когда одно приложение запрашивает доступ к процессу другого приложения, например, импортирует диаграмму из Excel в PowerPoint. Еще одно приложение уровня 5 - протокол SOCKS (SOCKet Sequre - "защищенный сокет") - это интернет-протокол, используемый для маршрутизации IP-пакетов между сервером и клиентом через прокси-сервер и для выполнения "проверки подлинности", чтобы ограничить доступ к серверу только авторизованным пользователям. Опираясь на идентификацию пользователя для предоставления или запрета доступа и привилегий, SOCKS обеспечивает столь же надежную защиту, как и используемые процессы аутентификации.

В процессе работы SOCKS действует как прокси-сервер, осуществляя маршрутизацию TCP-соединения через произвольный IP-адрес и предоставляя услуги пересылки для UDP-пакетов. В случаях, когда клиенту блокируется доступ к серверу через межсетевой экран, с помощью SOCKS клиент может связаться с прокси-сервером SOCKS в сети клиента и запросить соединение, которое клиент хочет установить, чтобы связаться с сервером. После получения доступа к серверу прокси-сервер SOCKS открывает соединение через межсетевой экран и осуществляет обмен данными между сервером и клиентом так, как будто межсетевой экран отсутствует. Действуя на более низком уровне, чем прокси-серверы на основе HTTP, SOCKS использует способ квитирования для информирования программного обеспечения прокси-сервера о соединении, которое клиент пытается установить без интерпретации или перезаписи заголовков пакетов. После выполнения подключения SOCKS работает незаметно для пользователей сети. В более новой версии SOCKS, называемой SOCKS4, расширены возможности программного обеспечения, при этом клиенты могут указывать доменное имя получателя, а не требуемый IP-адрес.

Поскольку SOCKS не более надежен, чем процесс аутентификации, используемый для идентификации авторизованного пользователя, он может быть превращен хакерами и преступниками в средство для преодоления защиты межсетевого экрана. Для борьбы с этим воздействием была разработана версия SOCKS5, предлагающая большее количество вариантов аутентификации, а также дополнительно предоставляющая поддержку перенаправления UDP с использованием запросов DNS (сервера доменных имен). SOCKS5 также был обновлен для поддержки IP-адресов IPv4 и IPv6. Во время подтверждения установления связи и согласования сеанса клиент и сервер идентифицируются по номеру способа, применяемого для аутентификации, а именно:

● 0×00: Аутентификация не выполняется

● 0×01: Способы GSSAPI

● 0×02: Имя пользователя/пароль

● 0×03-0×7F: Способы, назначенные IANA (Управлением по присвоению интернет-номеров)

● 0×80-0xFE: Способы, зарезервированные для частного использования

После завершения переговоров и выбора способа аутентификации можно начинать информационный обмен. Доказано, что простейшая процедура аутентификации "имя пользователя/пароль" по своей сути небезопасна и легко взламывается, особенно при четырехсимвольном пароле. В качестве альтернативы применяется "универсальный прикладной программный интерфейс службы безопасности" (GSSAPI), который сам по себе является не способом защиты, а стандартизованным интерфейсом IETF, вызывающим библиотеку программного обеспечения, содержащую код безопасности и способы проверки подлинности, в основном написанные провайдерами услуг безопасности. Используя GSSAPI, пользователи могут изменять свои способы защиты, не переписывая текст прикладной программы. Вызовы процедуры включают в себя получение доказательства идентичности пользователя или секретного криптографического ключа, генерирование токена клиента или отправки вызова на сервер и получения ответного токена, преобразования данных приложения в защищенный или зашифрованный токен и его восстановление и т.д. В качестве альтернативы, Управление по присвоению интернет-номеров (IANA), являющееся подразделением некоммерческой интернет-корпорации по присвоению имен и номеров (ICANN), в соответствии со своим уставом, назначает определенные способы для обеспечения стабильности и безопасности сети.

Представительский уровень 6 - Уровень 6 управляет синтаксическим представлением данных и объектов, включая поддержку соглашения по кодированию символов, аудио, видео и графическим форматам. По сути,, представительский уровень, иногда называемый синтаксическим уровнем, подготавливает или преобразует файлы и встроенные объекты в форму, используемую данным приложением, и "представляет" данные на прикладной уровень 7. Например, если графический объект принят в формате, непонятном данному приложению, программное обеспечение представительского уровня, по возможности преобразует или трансформирует этот формат в приемлемый для данного приложения. И наоборот, уровень 6 может преобразовывать специально форматированные объекты в стандартные форматы и вкладывать их перед передачей на сеансовый уровень 5. Таким образом, уровень 6 устанавливает синтаксический контекст между различными приложениями для перемещения данных вверх и вниз по стеку связи и протокола. Например, графический объект, созданный в Adobe Illustrator или AutoCAD, может быть импортирован и встроен в презентацию PowerPoint или в документ электронной почты на основе HTTP.

Уровень 6 также отвечает за шифрование, то есть форматирование и шифрование данных перед отправкой по сети, и, наоборот, за дешифрование данных и их переформатирование перед представлением на прикладной уровень. Например, после получения файла с разделителями позиций табуляции, отправленного в зашифрованном формате через Интернет, уровень 6, после расшифровки файла в соответствии с установленными ключами дешифрования, может переформатировать данные для импорта в электронную таблицу на основе строк и столбцов, например, Excel, или такой реляционной базы данных, как Oracle. Для повышения безопасности шифрование и дешифрование на уровне 6 может быть ограничено авторизованными отправителями и получателями, чья идентичность подтверждена априори с помощью процедуры аутентификации уровня 5. Безопасность такой связи не выше, чем при шифровании, используемом для обеспечения конфиденциальности файла данных, и при аутентификации, используемой для подтверждения права пользователя на доступ к файлу данных.

Несмотря на то, что программное обеспечение представительского уровня может быть разработано как заказное для конкретного устройства или операционной системы, для обеспечения транспортабельности и функциональной совместимости программа может быть построена с использованием базовых правил кодирования ASN.1 (Abstract Syntax Notation, version 1 - абстрактная синтаксическая нотация, версия 1), в том числе таких возможностей, как преобразование текстового файла с кодировкой EBCDIC в файл с кодировкой ASCII или сериализация объектов и других структур данных из XML и в XML. Как протокол представительского уровня 5 ASN.1 сопоставляет структурированные данные с конкретными правилами кодирования, например, преобразуя целое число в битовую строку, подлежащую передаче, и аналогично декодирует битовую строку, используя "правила кодирования XML", также известные как XER. Примеры различных форматов, охватываемых операциями уровня 6:

● текст, в том числе в форматах ASCII и EBCDIC;

● графическая информация, в том числе в форматах PNG, JPG, GIF, BMP, EPS;

● звук и видео, в том числе в форматах MP4, WMV, MOV, AVI, MIDI;

● документы, в том числе в форматах PDF, DOC, PPT, HTML, XML, MIME, архивы (например, ZIP);

● потоковые данные, в том числе в форматах RTP, RTSP, RTMP;

● зашифрованные данные, в том числе в форматах TLS/SSL, SSH.

Прикладной уровень 7 - В семиуровневой модели OSI "прикладной" уровень 7 упрощает интерфейс между пользователем, клиентом или устройством с хостом, сервером или системой. Поскольку прикладной уровень ближе всего к пользователю, он упрощает интерфейс между пользователем и хостом. В случае, когда пользователь - это человек, а хост - электронное устройство, например, сотовый телефон или компьютер, этот интерфейс упрощается за счет нажатия клавиш, касания или жестов с использованием клавиатуры или сенсорного экрана или иногда с помощью голоса. Интерфейсы сенсорного экрана, первоначально называемые GUI (Graphical User Interface - графический интерфейс пользователя), в значительной степени уступили место устройствам, называемым термином UI/UX (User-Interface/User-Experience - интерфейс пользователя/взаимодействие с пользователем) -конструкции интерфейса, основанной на изучении взаимодействия человека и машины. В M2M-подключениях и машинно-инфраструктурных (M2X) системах интерфейс человека заменяется разнородными аппаратными устройствами, говорящими на разных машинных языках.

Независимо от этих различий, прикладной уровень должен позволять человеку и машине или нескольким машинам разговаривать друг с другом в распознаваемой форме. Поскольку модель OSI работает со стеком связи и протокола, эти интерфейсы выходят за рамки модели OSI, но все же играют важную роль в обсуждении предмета переговоров, включая идентификацию партнеров по связи, определение доступности ресурсов и синхронизацию связи. При идентификации партнеров по связи уровень 7 должен определить, имеет ли другая сторона установленное программное обеспечение, разрешено ли устанавливать связь, и вводит правильные учетные данные.

В некоторых случаях может потребоваться, чтобы уровень 5 сначала подтвердил идентичность другой стороны, прежде чем инициировать обмен данными. Это подтверждение может быть выполнено во время запроса на обмен информацией или установлено априори посредством процесса привязки или с использованием проверки AAA - трехэтапной процедуры, означающей аутентификацию, авторизацию и администрирование. В коммуникационных приложениях, таких как сотовая телефонная связь с использованием технологии VoIP, прикладное программное обеспечение также должно проверить наличие подтверждения в сети и достаточную стабильность для размещения вызова, т.е. установить, что последовательность IP-пакетов отправлена и получена с достаточно малой задержкой, чтобы говорить о приемлемом уровне качества обслуживания. При синхронизации связи весь информационный обмен между приложениями требует совместных действий, управляемых прикладным уровнем.

Примерами реализации задач на прикладном уровне являются эмуляция терминалов, почтовые службы, управление сетью, веб-браузеры, управление файлами, резервное копирование и облачные сервисы хранения, драйверы периферийных устройств, в том числе:

● управление файлами, в том числе FTP, FTAM, SFTP, NNTP, IRC, SIP, ZIP;

● веб-браузеры, в том числе HTTP (например, Safari, Firefox, Chrome, Outlook, Netscape и т.д.);

● почтовые службы, в том числе SMTP, IMAP, POP3, а также Microsoft Outlook, Apple Mail, Google Gmail, Yahoo, Hotmail и т.д.;

● службы связи и вещания, в том числе SIP, NNTP, IRC и OTT ("over-the-top") пользовательские реализации;

● управление сетью, в том числе DNS, SNMP, DHCP, SNMP, BGP, LDAP, CMIP;

● эмуляция терминалов, в том числе Telnet;

● службы резервного копирования и облачного хранения, в том числе NFS и коммерческие версии Android, iOS, Apple Time Machine, Apple iCloud, Carbonite, Barracuda, Dropbox, Google Drive, Microsoft One Drive, Box;

● драйверы периферийных устройств, в том числе принтеров, сканеров, камер, флэш-карт;

● приложения безопасности, например, Symantec, Norton, AVG.

Подчеркнутые примеры наиболее распространенных приложений для компьютеров и смартфонов включают передачу файлов, передачу гипертекста для просмотра веб-страниц, службы электронной почты и поисковые запросы DNS для преобразования доменных имен в IP-адреса. Благодаря их широкому распространению у этих общеизвестных приложений есть выделенные порты, назначенные для таких служб.

Приложения управления файлами - Одно общеизвестное приложение уровня 7 - это программа передачи файлов (FTP), используемая для отправки файлов или загрузки данных. Файлы после загрузки "записываются" в энергонезависимый накопитель для последующего использования. Если в этих файлах содержится исполняемый код, программа загрузки и установки вместе с операционной системой устройства открывает и устанавливает программное обеспечение в каталог приложений на компьютере или мобильном устройстве.

Этот процесс иллюстрирует фигура 34, где ноутбук 35, которому выделен числовой IP-адрес "NB" и назначен динамический порт, запрашивает файл с файлового сервера 21A путем отправки 580 IP-пакета как запроса FTP с использованием транспортного протокола TCP на номер порта 21 - управляющего порта FTP файлового сервера. Результирующий 580 IP-пакет включает в себя IP-адрес получателя "S1", номер порта получателя 21, а также свой IP-адрес отправителя "NB" и номер своего специального порта 9999. Поскольку порт №21 - это порт управления для запроса услуг передачи файлов, файловый сервер 21A знает, что ноутбук 35 запрашивает файл и ожидает регистрационную информацию для подтверждения IP-адреса и номера порта получателя пакета.

Затем в активном сеансе FTP ноутбук 35 отправляет адрес получателя и номер порта получателя для запрошенного файла, аналогично платежным реквизитам для банковского перевода, содержащих SWIFT-код и номер счета. Результирующий 581 IP-пакет включает в себя IP-адрес ноутбука "NB" и номер его порта 9999 как информацию об отправителе, и IP-адрес сервера "S1" как получателя. Номер порта получателя пакета изменяется на порт №20 для установления канала данных FTP отдельно от подключения команд.

Затем в качестве ответа файловый сервер 21А открывает полезную нагрузку IP-пакета для определения имени файла и, необязательно, пути к запрашиваемому файлу, и после определения местонахождения файла 583 вкладывает его в ответный 582 IP-пакет и отправляет пакет обратно по указанным данным ноутбуку 35 путем замены местами IP-адресов и портов, т.е. получателем становится IP-адресом "NB" с номером порта 9999, а отправителем становится IP-адрес "S1" и порт №20. Как и в предыдущих двух транзакциях, IP-пакет использует TCP как транспортный механизм.

Как только ноутбук 35 получает файл, его извлекают из полезной нагрузки пакета 582 и, возможно, преобразуют с использованием представительского уровня 6 в файл данных 583 для хранения или для загрузки в операционную систему 585 ноутбука. В последнем случае эта программа или другая программа - утилита в операционной системе - загружает исполняемый код файла 583 для создания прикладной программы 586.

Для первоначальной реализации активной передачи файлов FTP сохраняются две проблемы. Во-первых, поскольку порт команд FTP (порт №21) является открытым стандартом, хакеры часто используют его, чтобы попытаться подставить свои идентификационные данные и загрузить файлы, доступ к которым для них является несанкционированным, или иным образом осуществить атаку типа "отказ в обслуживании", которая лишает устройство возможности работать. Другой проблемой активной передачи FTP является то, что 582 IP-пакет, отправляемый с файлового сервера, может блокироваться NAT или межсетевым экраном, которые перехватывают его доставку ноутбуку 35. Вариант этой процедуры, называемый пассивным FTP, может обойти проблему межсетевого экрана, но в настоящее время большинство маршрутизаторов с NAT совместимы с FTP и поддерживают передачу файлов с надлежащими учетными данными или аутентификацией.

В дополнение к FTP-сервисам, доступным для порта №20, или вместо них применяется "защищенный протокол передачи файлов", также известный как протокол передачи файлов SSH. Эта передача использует защищенную оболочку или порт SSH (порт №22) -это тот же порт, который используется для защищенных логинов и защищенной перенаправление портов. К альтернативным приложениям для передачи файлов относится менее популярный протокол FTAM (File Transfer, Access and Management - передача, доступ и управление файлами), а также процедуры сжатия данных с использованием ZIP и других алгоритмов.

Веб-браузеры и веб-серверы - Еще один широкий класс приложений уровня 7 включает программы, которые используют специальную технологию форматирования под названием "гипертекст". Эти приложения включают "веб-серверы", которые хранят гипертекстовые документы; "веб-браузеры", которые читают и отображают их; а также проприетарный протокол передачи сообщений с назначенными выделенными зарегистрированными портами для облегчения быстрого доступа. Ключевым компонентом является веб-браузер - графически ориентированная коммуникационная программа, предназначенная для загрузки и отображения гипертекстовых документов из Интернета, интрасети или других сетей с коммутацией пакетов. Сетевым компаньоном браузера является веб-сервер - быстродействующий компьютер, используемый для распространения гипертекстовых документов в браузерах, запрашиваемых доступ к их файлам. Гипертекст также может использоваться для отображения электронных писем со встроенным форматированием, недоступным для простых устройств просмотра электронной почты.

В процессе работы браузеры не устанавливают прямое соединение друг с другом, а обмениваются информацией через посредников, содержащих один или несколько веб-серверов, доступных для обоих. Чтобы опубликовать документ, пользователь просто "отправляет" документ или изображение на "веб-страницу", размещенную на любом сервере, подключенном к Интернету или к любой другой частной или общедоступной сети или облаку. Пользователь, инициирующий передачу документа, решает, кто имеет доступ к опубликованным файлам, и имеют ли они права на чтение или редактирование. Веб-сервер, на котором размещаются документы, может принадлежать издателю документа, или находиться под его управлением, или может представлять незаинтересованную сторону, не связанную с размещенным контентом и дизайном веб-страницы.

В документах на основе гипертекста используется специальный язык форматирования документа, называемый HTML (HyperText Markup Language - язык разметки гипертекста) для отображения текстового, графического и видеоконтента способом, который динамически настраивается так, чтобы наилучшим образом соответствовать окну, в котором он будет отображаться. Функция HTML заключается в загрузке материала для отображения и его динамическом форматировании на каждой странице. Каждая страница может содержать как статические, так и динамически изменяемые размерные поля с текстом, загруженным из жестко запрограммированного программного обеспечения или загружаемым из файла или базы данных. Несмотря на сложность разработки и записи, преимущество использования базы данных для содержимого HTML-страницы заключается в том, что база данных может обновляться часто или регулярно, при этом веб-страница будет настраиваться автоматически. В противном случае каждую веб-страницу нужно будет перерабатывать при изменении контента. HTML также определяет местоположение объектов, в том числе нижних и верхних колонтитулов, боковых панелей и полей с фиксированным местоположением, а также плавающих объектов, которые динамически обтекаются текстом.

Сами объекты могут представлять собой статические графические объекты или фотографии, анимированную графику, флэш-видео, аудиофайлы, видеоролики и фильмы с высокой четкостью изображения и многое другое. Как и текст, форматирование может быть жестко закодировано или динамически связано. Связанные объекты могут быть динамически преобразованы из одного формата или типа объекта в другие с помощью функций представительского уровня 5. Например, заданное поле в электронной таблице может быть преобразовано в статический снимок или графический объект во время рисования страницы. Другие объекты также могут содержать прямые ссылки на другие серверы и веб-сайты, а при щелчке можно передавать информацию о компьютере пользователя, просматривающего веб-страницу, личную и контактную информацию, предпочтения и интересы с предварительным одобрением или без предварительного одобрения пользователем, просматривающим веб-страницу. По сути, щелчок по ссылке считается молчаливым согласием с условиями хоста связанной веб-страницы. Например, щелчок на рекламном объявлении нового автомобиля может отправить информацию в базу данных людей, заинтересованных в покупке новых автомобилей, и привести к получению нежелательного "спама" по электронной почте о новых рекламных акциях, отправляемых на личный адрес электронной почты пользователя. С этого времени на динамических веб-страницах может автоматически запускаться содержимое полей баннерной рекламы, отображающее автомобильную рекламу - все это последствия одного единственного действия - щелчка пользователя на ссылке и просмотра рекламы. Компании интернет-маркетинга продают такую информацию о пользователях торговцам и рекламодателям, даже не зная, отражают ли их данные о поведении пользователя его намерения или они случайные.

Важно отметить, что в документах на основе гипертекста большая часть текста и почти все объекты, используемые для создания запрашиваемой веб-страницы, не включаются в начальную HTML загрузку веб-страницы, а загружаются после загрузки начальной HTML-страницы. Документы и объекты не загружаются с использованием вышеупомянутого протокола FTP, но вместо этого используют более динамичный процесс, называемый HTTP (HyperText Transfer Protocol - протокол передачи гипертекста). HTTP представляет собой приложение и формат данных, работающие на представительском уровне 6 и обслуживающие приложения уровня 7, например, веб-браузеры.

На уровне 4 - транспортном уровне - для доступа к сети HTTP пользуется своим собственным зарезервированным номером порта, а именно - портом №80. Поскольку порт №80 часто авторизован и разблокирован межсетевыми экранами или программным обеспечением безопасности, например, портом 21 FTP, порт 80 является излюбленной целью для хакеров, желающих получить несанкционированный доступ или документы, или для запуска атак типа "отказ в обслуживании", вредоносной атаки на сервер, чтобы устранить его от поддержки обычных функций, заставляя его обслуживать бессмысленные FTP- или HTTP-запросы от хакера или противника.

Процедуру загрузки веб-страницы по протоколу HTTP иллюстрирует фигура 35A, где ноутбук 35, которому выделен IP-адрес "NB" и назначен специальный порт №9999, запрашивает HTML-документ с веб-сервера 21A по IP-адресу "S1" с помощью 590 IP-пакета. Для запроса веб-страницы 590 IP-пакет указывает порт №80 веб-сервера. Затем в качестве ответа веб-сервер 21A прикрепляет полезную нагрузку HTML и возвращает 591 IP-пакет, заменяя адреса и номера портов на данные пакета 591, а именно, отправителем теперь является порт №80 на IP-адресе 9999, а получателем теперь является порт №9999 на IP-адресе "NB". Данные HTML передаются с использованием соединения на основе TCP для обеспечения высокой надежности доставки полезной нагрузки.

После получения кода HTML браузер в ноутбуке считывает HTML-файл и поочередно идентифицирует IP-вызовы для загрузки контента на веб-страницу. В показанном примере первый вызов для графической информации заключается в загрузке контента с того же веб-сервера 21A, что и при первой загрузке, поэтому ноутбук 35 снова готовит 592 IP-пакет для IP-адреса получателя "S1" и порта №80. Поскольку порт ноутбука назначается динамически, для отправителя 592 IP-пакета он изменяется на специальный порт №10001, но сохраняется IP-адрес "NB". В качестве ответа веб-сервер 21А вкладывает JPEG-файлы в полезную нагрузку 539 IP-пакета, заменяя адреса отправителя и получателя так, чтобы отправителем был порт №80 с IP-адреса "S1", а получателем - порта 10001 на IP-адресе "NB". Получив 593 IP-пакет, браузер в ноутбуке разворачивает полезную нагрузку, преобразует графический формат с использованием представительского уровня 6 в совместимый с браузером формат, затем размеры и устанавливает изображения на страницу браузера, т.е. прикладной уровень 7.

Согласно фигуре, следующий запрос на загрузку объекта на странице HTML поступает не с веб-сервера S1, а с совершенно другого сервера, в частности с медиасервера 511, имеющего IP-адрес "S5". Таким образом, веб-браузер в ноутбуке 35 подготавливает 594 IP-пакет как другой HTTP-запрос к порту получателя №80, на этот раз по IP-адресу получателя "S5". Несмотря на то, что IP-адрес отправителя "S1" остается прежним, при назначении динамического порта номер порта отправителя снова изменяется, на этот раз, на порт №10020. В ответ медиасервер 511 готовит 595 IP-пакет от отправителя с IP-адресом "S5" и номером порта 80 на самый последний IP-адрес ноутбука "NB" и порт №10030. Прикрепленная полезная нагрузка, вложенная в 595 IP-пакет, содержит данные в формате MPEG. После ее получения представительский уровень 6 готовит файлы, доставляет их на прикладной уровень 7, где приложение браузера устанавливает их, и продолжает считывать HTML-код и собирать веб-страницу до тех пор, пока она не будет заполнена.

Поэтому, при использовании HTML контент веб-страницы не создается из одной загрузки, как файл, отправленный с использованием FTP, а создается с использованием последовательности вызовов на разные серверы, каждый из которых доставляет конкретный контент. Эта концепция иллюстрируется графически на фигуре 35B, где HTML-страница 591, текст и данные в формате JPEG 593 загружаются из порта №80 веб-сервера "S1", видео в формате MPEG 595 загружается из порта №80 медиасервера 511, а фотографии в формате PNG 596 и данные в формате JPEG 597 поступают из порта 80 файлового сервера 27. Таким образом, веб-страница строится по данным из нескольких источников. Кроме кода HTML, запрашиваемего различные текстовые, графические и аудио-видео элементы, нет центрального командного пункта или системы управления, ответственных за создание документа. Если, например, один сервер отвечает медленно из-за собственной загрузки или из-за перегруженности трафика, картинка веб-страницы 591 может зависать, останавливаясь на некоторое время до ее заполнения. Это прерывание может не иметь ничего общего с хостом веб-страницы, например, Yahoo, но может быть вызвано связанными серверами, вызываемыми веб-страницами HTML, например, новостными серверами CNN или Fox.

Один из источников опасности, связанной с веб-страницами HTML - это возможность для хакеров и вредоносного ПО собирать информацию о пользователе, в частности, если соединение перенаправляется на фишинговый пиратский сайт для сбора персональной информации под эгидой действительно этичного бизнеса, для ведения которого действительно требуется домашний адрес пользователя, номер кредитной карты, PIN-код, номер страхового свидетельства и т.д.

Всемирная паутина - Одно чрезвычайно популярное, если не универсальное, приложение HTML представляет собой просмотр веб-страниц с документами, доступными во Всемирной паутине, в частности, по веб-адресам, набор которых в браузере, начинается с букв "www". Во время работы каждый раз, когда пользователь вводит веб-адрес, также известный как URL (Uniform Resource Locator - унифицированный указатель ресурса), в адресную строку браузера, например, "http://www.yahoo.com", браузер отправляет запрос маршрутизатору, расположенному непосредственно над ним, для определения целевого IP-адреса. В этом процессе, проиллюстрированном ранее на фигуре 3, участвует ноутбук 60, отправляющий IP-пакет маршрутизатору 62A с запросом порта №53. Это номер порта, идентифицирующий запрос услуг для поиска сервера доменных имен (DNS). Маршрутизатор 62А перенаправляет запрос DNS на маршрутизатор 62A сервера доменных имен, который, в свою очередь, предоставляет числовое значение IP-адреса целевого домена. Если, например, сервер 66A является веб-сервером Yahoo с числовым значением IP-адреса "S11", то сервер доменных имен (DNS) 71 вернет этот IP-адрес маршрутизатору 62A, а IP-пакет будет построен с IP-адресом "S11" и портом №80 получателя веб-страницы.

Следует отметить, что, хотя во Всемирной паутине доступны многие документы, не все интернет-документы размещаются в ней. Некоторые веб-страницы, например несмотря на то, что они доступны в сетях общего пользования, не используют префикс www, прежде всего, чтобы создать трудности для хакеров при их поиске. Другие веб-серверы используют частные сети или интрасети, скрытые за межсетевым экраном и доступные только за межсетевым экраном или через доступ, использующий зашифрованный канал или туннель, называемый "виртуальной частной сетью" (VPN). Чтобы понять уникальное свойство Всемирной паутины, важно понять ее развитие и эволюцию, которые определяют, как ее преимущества и сильные стороны, так и ее недостатки, и уязвимые места.

Исторически, до изобретения Всемирной паутины и браузера, связь через Интернет главным образом основывалась на электронной почте и на передаче файлов с использованием протокола FTP. Затем в 1989 году Тим Бернерс-Ли продемонстрировал первую успешную интернет-связь между клиентом и сервером, используя протокол HTTP (HyperText Transfer Protocol - протокол передачи гипертекста). После этого в Национальном центре суперкомпьютерных приложений в Университете штата Иллинойс в Урбана-Шампейн Марк Андрисен (Marc Andreesen) разработал первый полнофункциональный браузер под названием Mosaic, известный своим новаторским интуитивным интерфейсом, поддержкой нескольких интернет-протоколов, совместимостью со средами Macintosh и Microsoft Windows, обеспечением обратной совместимости и поддержки более ранних протоколов, таких как FTP, NNTP и gopher, а также простотой установки, стабильностью в жестких условиях эксплуатации и высокой надежностью. Принципиально важно то, что Mosaic был первым браузером для отображения изображений и текста на одной странице, а не открывал графику в отдельном окне.

Mosaic был быстро коммерциализирован в Netscape Navigator и во многом ответственен за подпитывание интернет-революции и широкое использование веб-сайтов для личных и бизнес-приложений. Несмотря на то, что в настоящее время существует бесчисленное множество браузеров, Firefox - прямой потомок Mosaic и Netscape, а также Microsoft Explorer, Apple Safari и Google Chrome сегодня являются наиболее широко используемыми браузерами. Для облегчения поиска документов и контента во Всемирной паутине одновременно появился еще один класс приложений - поисковая система веб. Такие поисковые системы, как Google и Yahoo, сегодня доминируют на рынке.

По мере проникновения бизнеса в Интернет зарождалась электронная коммерция на основе продаж и покупок через Интернет, осуществляемых на специальных сайтах, таких как Amazon, eBay, Barnes & Noble, Best Buy и недавно Alibaba. Вскоре произошла фрагментация рынка, при этом провайдеры стали специализироваться на определенном типе продуктов или услуг, а не предлагать услуги специального веб-сайта электронной коммерции. Например, быстро появились торговые компании, специализирующиеся на сравнительном шопинге при поездках и перевозках, такие как Priceline, Expedia, Orbitz и Sabre, вместе с собственными проприетарными электронными базами. Для пользователей, желающих приобрести музыку, видео, электронные книги, игры и программное обеспечение, предлагают свои онлайн сервисы такие провайдеры, как iTunes и AppStore компании Apple, Walmart, Amazon MP3, Google Play, Sony Unlimited Music, Kindle Fire и Windows Store. Службы онлайн-видео и аудио, например, iTunes, Google Play, Netflix, Hulu Plus, Amazon Prime, а также провайдеры радиовещательных и кабельных программ iHeart, например, Comcast Xfinity, становятся все более популярными, особенно благодаря услугами Wi-Fi, предлагаемым в самолетах, автобусах, лимузинах, а также на вокзалах и в кафе по всему миру.

Несмотря на опасения по поводу конфиденциальности и безопасности, дети и молодежь в настоящее время публикуют огромное количество личной информации на общедоступных веб-сайтах. Индустрия, называемая "социальными сетями", начиналась с веб-сайтов, обеспечивающих удобство публикации, обновления и редактирование документов, в которых люди публиковали свои личные мнения, делились опытом, вели веб-дневники или "блоги". Затем YouTube предоставил начинающим творческим личностям возможность публиковать и распространять домашние видео. Facebook развил эту тенденцию, предлагая функции блога, хронологически объединенные с фото- и видеоматериалами в интерактивном формате, где посетители вашей "домашней страницы" публикуют комментарии и ставят "лайки", когда им нравится то, что они читают или видят. Facebook также расширил возможности управления контактами, просмотра списков контактов для друзей и их добавления в Facebook, и разрешил владельцу учетной записи "дружить" с другими пользователями, запросив доступ к их домашней странице, или игнорировать их. Благодаря расширению возможностей управления персональными контактными людей, число пользователей Facebook выросло во много раз, что позволило людям с устаревшей контактной информацией вновь открыть друг друга в социальных сетях. Затем те же способы социальных сетей были адаптированы для знакомств, поиска партнеров или получения сексуальных услуг (легальных или нелегальных), а в мире профессионалов для контактов с коллегами по отрасли, например, используя LinkedIn.

Поскольку Всемирная паутина основана на той же философии с открытым исходным кодом, что и сети Internet и OSI с коммутацией пакетов, в ней нет центрального командного пункта или системы управления, и, как таковая, она остается нерегулируемой, что затрудняет каким-либо правительственным или регулирующим организациям осуществлять контроль, вводить ограничения или подвергать цензуре ее контент. Более того, благодаря публикации личной информации, преступникам стало легче "следить" за людьми, собирая их публичную информацию, чтобы было легче подбирать их пароли, следить за их действиями и даже отслеживать их местонахождение, где бы они не находились, по данным GPS и информации о транзакциях. В некоторых случаях, например, в контактной и справочной службе с открытым исходным кодом, называемой списком Крейга, сексуальные маньяки и убийцы скрывают свою личность и намерения, чтобы найти жертв своих преступлений. Кроме преступников и хакеров, использующих Всемирную паутину и социальные сети для наблюдения за своими целями, недавние новостные откровения показали, что правительства также отслеживают и контролируют электронные письма граждан, телефонные разговоры, веб-сайты, блоги и даже ежедневное перемещение без видимой причины и разрешения для выполнения этих действий. Один из аргументов, используемых для оправдания такого вторжения, заключается в том, что использование информации, свободно распространяемой на публичном сайте или в общедоступной сети, является "честным занятием" и что необходимо заранее предотвращать преступные и террористические действия до того, как они произойдут, что во многом подобно "будущему преступлению" в популярном фильме "Особое мнение", и само по себе является оправданием такого агрессивного наблюдения и шпионажа.

В качестве реакции на кражу идентификационной информации и такого нежелательного вторжения со стороны правительственных организаций, потребители переходят на такие сайты, как Snapchat, и телефонные службы, гарантирующие повышенную безопасность и конфиденциальность, требующие подтверждения или "аутентификации" другой стороны как того, кого вы знаете и кому доверяете. Тем не менее, такие "зоны доверия", как их теперь называют, зависят от способов защиты, доступных для сетей связи с коммутацией пакетов. Как видно из данных, приведенных во вступительном разделе данного документа, эти сети, протоколы связи, веб-сайты и хранилище данных все-таки не являются совершенно безопасными, иначе в прессе сегодня не было бы так много сообщений о кибер-преступности.

Приложения электронной почты - Одним из наиболее распространенных и самых старых приложений в сетях с коммутацией пакетов является электронная почта или "email". Этот процесс иллюстрирует фигура 36, где ноутбук 35, которому выделен числовой IP-адрес "NB" и назначен динамический порт, загружает IP-пакет электронной почты 601 на сервер электронной почты 600. В дополнение к вложенной полезной нагрузки электронной почты SMTP, IP-пакет электронной почты на основе протокола TCP 601 включает в себя IP-адрес получателя "S9", порт получателя №21 или, как вариант, порт №465 со своим IP-адресом отправителя "NB" и его проприетарным портом №10500. Порт №21 представляет почтовые службы, использующие простой протокол передачи почты (SMPT), а порт №465 представляет собой "защищенную" версию SMTPS на основе технологии SSL. Однако в недавних новостях сообщили, что SSL признан уязвимым и не полностью защищен от хакеров.

В ответ на получение IP-пакета электронной почты 601 сервер электронной почты 600 подтверждает его прием, возвращая 602 IP-пакет, содержащий подтверждение SMTP, отправляемое на IP-адрес получателя "NB" и порт 10500 с сервера электронной почты 600 с IP-адресом отправителя "S9" с использованием порта №21 или порта SSL №46. Между тем сервер электронной почты 600 одновременно передает электронное письмо как сообщение IMAP в 605 IP-пакете с IP-адреса отправителя "S9" и порта IMAP №220 стационарному компьютеру 36 на IP-адрес получателя "DT" и специальный порт №12000. После получения сообщения электронной почты стационарный компьютер 36 подтверждает сообщение IMAP серверу электронной почты 600 IP-пакетом 604 с IP-адреса отправителя "DT" и порта №12000 на IP-адрес получателя "S9" и порт 220. Таким образом, в транзакции по доставке электронной почты задействованы три стороны, в том числе отправитель - ноутбук 35, сервер электронной почты 600 и получатель - стационарный компьютер 36. В ходе информационного обмена отправитель использует протокол SMTP, а получатель сообщения использует протокол IMAP для подтверждения сообщения. Обмен по протоколу IMAP обновляет базу данных на сервере и на стационарном компьютере, чтобы обеспечить соответствие записей их файлов. Поскольку сервер электронной почты выступает в качестве посредника, есть возможность перехватить сообщение либо путем перехвата 601 IP-пакета между ноутбуком и сервером, либо 605 IP-пакета между сервером и стационарным компьютером, либо путем взлома файла, хранящегося на сервере электронной почты 600. В альтернативном варианте, для доставки почты также может использоваться приложение POP3 (обычное почтовое отделение), но без синхронизации файлового сервера.

Другие приложения уровня 7 - Кроме системы управления файлами, веб-браузеров, серверов DNS и функций электронной почты, существует множество других приложений, в том числе эмуляция терминалов с использованием Telnet, управление сетью, драйверы периферийных устройств, утилиты резервного копирования, программы обеспечения безопасности, а также приложения для связи и вещания. Например, приложения резервного копирования включают в себя "сетевую файловую систему" (NFS) на основе TCP, теперь в своей четвертой версии, а также коммерческое программное обеспечение резервного копирования, включая пользовательские версии для Android, iOS, Apple Time Machine, Apple iCloud, Carbonite, Barracuda, Dropbox, Google Drive, Microsoft One Drive, Box. Во время работы облачное хранилище хранит данные на сетевом накопителе аналогично серверу электронной почты. Эти данные могут быть получены владельцем файла или, если позволяют предоставленные права, третьей стороной. Аналогично транзакциям электронной почты, существует множество возможностей взлома данных во время транспортирования и при их хранении на сервере.

Приложения передачи данных и широковещательные приложения включают SIP (англ. Session Initiation Protocol - протокол установления сеанса) -широковещательный протокол сигнализации, который используется для управления сеансами передачи мультимедийных сообщений, таких как голос и технология VoIP (англ. Voice-over-Internet Protocol - передача голоса с помощью интернет-протокола); IRC (англ. Internet Relay Chat - ретранслируемый интернет-чат) -протокол прикладного уровня для передачи сообщений в виде текста, а также NNTP (англ. Network News Transfer Protocol - протокол передачи сетевых новостей) -прикладной протокол, используемый для передачи новостей между новостными серверами и для публикации статей. OTT-провайдеры, такие как Skype, Line, KakaoTalk, Viper, WhatsApp и другие, используют настраиваемые приложения для доставки текста, изображений и голоса через Интернет с использованием технологии VoIP.

Другие приложения включают настраиваемые драйверы периферийных устройств для принтеров, сканеров, камер и т.д. Сетевые приложения включают SNMP (англ. Simple Network Management Protocol - простой протокол сетевого управления) -протокол интернет-стандарта для управления устройствами в IP-сетях, в том числе маршрутизаторами, коммутаторами, группой модемов и серверами; приложения BGP (англ. Border Gateway Protocol - протокол пограничного шлюза) в качестве стандартизованных внешних шлюзов для обмена информацией о маршрутизации и достижимости между автономными интернет-системами, а также LDAP (англ. Lightweight Directory Access Protocol - облегченный протокол доступа к каталогам) для управления каталогами, позволяющий обмениваться информацией об услугах, пользователях, системах, сетях и приложениях, доступных во всех частных сетях и интрасетях. Одна из особенностей приложений, связанных с LDAP, заключается в том, что один логин обеспечивает доступ к нескольким устройствам, подключенным через одну интрасеть. К другим сетевым приложениям относится CMIP (англ. Common Management Information Protocol - протокол общей управляющей информации).

Еще одним важным сетевым приложением является DHCP (англ. Dynamic Host Configuration Protocol - протокол динамической настройки узла). DHCP используется для запроса IP-адресов с сетевого сервера, начиная от домашних сетей и маршрутизаторов Wi-Fi до корпоративных сетей, университетских сетей и региональных ISP (англ. Internet Service Providers - Интернет-провайдер). DHCP используется как для IPv4, так и для IPv6.

Качество обслуживания

Рассматривая качество работы сети, оценивают несколько факторов, а именно:

● скорость передачи данных, т.е. пропускную способность;

● качество обслуживания;

● защищенность сети и данных;

● конфиденциальность пользователей.

На основании приведенных выше соображений скорость передачи данных оценивается миллионами бит в секунду (Мбит/с). Кроме того, QoS учитывает еще несколько факторов, в том числе задержку, качество звука, стабильность сети, прерывистость работы или частые прерывания для обслуживания, нарушения синхронизации или подключения, низкую мощность сигнала, снижение скорости работы приложений и функциональную сетевую избыточность в условиях чрезвычайной ситуации.

Для программ, файлов и проверок, связанных с безопасностью, определяющим фактором является точность данных. Важность факторов зависит от характера полезной нагрузки, передаваемой по сети с коммутацией пакетов. Напротив, для голоса и видео, включающих приложения реального времени, ключевыми являются факторы, влияющие на время доставки пакета. Показатели качества и их влияние на различные приложения, такие как видео, голос, данные и текст, в качественном виде приведены в таблице, показанной на фигуре 37. Хорошее состояние сети, характеризуемое приемлемой формой сигнала 610A IP-пакета с высокой скоростью передачи данных - это состояние, отличающееся минимальными временными задержками, чистым сильным сигналом, отсутствием искажений сигнала, стабильной работой и отсутствием потерь передачи пакетов. Прерывистые сети, характеризуемые формой сигнала 610B пакета с пониженной скоростью передачи данных со случайными прерываниями, наиболее существенно влияют на функции видео, вызывая болезненно медленную загрузку обычного видео и неприемлемое качество онлайн-видео. Перегруженные сети, работающие с пониженной эффективной скоростью передачи данных с регулярными кратковременными прерываниями, для которых пример формы сигнала 610C IP-пакета показан на фигуре, не только серьезно ухудшают качество видео из-за рваных прерывистых движений, размытого изображения и неправильной цветопередачи и яркости, но и начинают также ухудшать качество звуковой или голосовой связи из-за искажений, эха и даже выпадения целых предложений из беседы или саундтрека. Однако в перегруженных сетях данные все-таки могут быть доставлены при использовании протокола TCP посредством повторных запросов на ретрансляцию.

Нестабильные сети, иллюстрируемые формой сигнала 610D IP-пакета, демонстрируют низкую пропускную способность с многочисленными остановками и непредсказуемой продолжительностью передачи данных. Нестабильные сети также содержат поврежденные IP-пакеты, заштрихованные темным цветом на фигуре с изображением формы сигнала 610D, которые при передаче на основе протокола TCP должны быть отправлены повторно, а при передаче на основе протокола UDP просто отбрасываются как поврежденные или неправильные данные. При снижении качества сети до определенного уровня даже электронные письма становятся прерывистыми, и нарушается синхронизация IMAP (англ. Internet Message Access Protocol - протокол доступа к электронной почте Интернета). Благодаря облегченному формату данных, большинство SMS и текстовых сообщений будут доставлены, хотя и с некоторой задержкой, даже при серьезной перегрузке сети, но вложения загружаться не будут. В нестабильных сетях может произойти нарушение работы любого приложения и даже приостановка нормальной работы компьютера или мобильного телефона в ожидании доставки файла. В таких случаях видео зависает, звук настолько изменяется, что становится неразборчивым, VoIP-соединения многократно отбрасываются, иногда даже более десятка раз в течение нескольких минут вызова, а в некоторых случаях не удается подключиться вообще. Аналогично, передача электронных писем останавливается или зависает, а круглые значки на экране компьютера вращаются бесконечно. Индикаторы выполнения задачи останавливаются вообще. Даже текстовые сообщения отбрасываются и становятся "не доставляемыми".

Несмотря на то, что нестабильность сети может возникать под влиянием большого количества факторов, в том числе неисправностей электропитания серверов управления ключами и "суперточек присутствия", перегрузки по числу вызовов, передачи огромных файлов данных или UHD-фильмов, и во время активных DoS-атак (англ. Denial of Service - "отказ в обслуживании") на выбранные серверы или сети, ключевыми факторами, используемыми для отслеживания QoS сети, являются частота отбрасывания пакетов и задержка пакетов. Отбрасывание пакетов происходит тогда, когда IP-пакет не может быть доставлен и по превышению лимита времени определяется как "бессмертный", или, когда маршрутизатор или сервер обнаруживает ошибку контрольной суммы в заголовке IP-пакета. Если при передаче пакета используется протокол UDP, этот пакет теряется, при этом прикладной уровень 7 должно быть достаточно интеллектуальным, чтобы узнать, что что-то было потеряно. Если при передаче пакета на транспортном уровне 4 используется протокол TCP, будет сформирован запрос для повторной передачи пакета, что увеличит нагрузку на уже потенциально перегруженную сеть.

Другой фактор, определяющий QoS - задержку распространения - можно количественно измерить несколькими способами: либо как задержку передачи IP-пакета от узла к узлу или, при однонаправленной передаче, от отправителя к получателю, либо, в альтернативном варианте, как время приема-передачи от отправителя к получателю и обратно к отправителю. Сравнение влияния задержки распространения на доставку пакетов при использовании протоколов передачи данных UDP и TCP показано на фигуре 38. По мере увеличения межмодовой задержки распространения в сети увеличивается необходимое время приема-передачи, например, во время разговора с использованием технологии VoIP. В случае UDP-передачи 621 время приема-передачи увеличивается линейно с задержкой распространения. Поскольку большие задержки распространения связаны с более высокой частотой ошибок по битам, количество потерянных UDP-пакетов увеличивается, но поскольку UDP запрашивает повторную передачу отброшенных пакетов, линейная зависимость времени приема-передачи от задержки сохраняется при увеличении задержки. TCP-передача 620 показывает значительно более длительное время приема-передачи для каждого отправленного пакета, чем UDP, из-за необходимости подтверждения установления связи для подтверждения доставки пакета. Если частота ошибок по битам остается низкой, и большинство пакетов не требуют повторной отправки, то задержка распространения TCP увеличивается линейно с межмодовой задержкой распространения, но с большей скоростью, то есть крутизной линии TCP 620. Если, однако, сеть связи становится нестабильной, по мере увеличения задержки распространения, то время приема-передачи, связанное с передачей по протоколу TCP, показанное линией 622, экспоненциально возрастает из-за предусмотренной протоколом необходимости повторной передачи отброшенных пакетов. Таким образом, применение TCP противопоказано для приложений, чувствительных ко времени передачи, таких как технология VoIP и онлайн-видео.

Поскольку вся пакетная связь имеет статистический характер, и в ней нет двух пакетов с одинаковым временем распространения, наилучшим способом оценки сетевой задержки для однонаправленной передачи является измерение времени приема-передачи большого количества IP-пакетов одинакового размера с последующим делением пополам для оценки задержки однонаправленной передачи. Задержка до 100 мс считается отличной, до 200 мс - очень хорошей и до 300 мс - еще допустимой. Задержки распространения величиной 500 мс, с которыми часто сталкиваются запускаемые в Интернете приложения OTT, создают некомфортные условия для пользователей и мешают нормальному разговору. В частности, в процессе голосовой связи такие длительные задержки распространения создают "плохое" звучание и могут приводить к возникновению реверберации, создавая "звонкий" или металлический звук, прерывая нормальный разговор, когда другая сторона ждет ответа на свой последний комментарий, и в результате речь становится искаженной или неразборчивой.

Чтобы внести ясность, задержка при однонаправленной передаче данных отличается от результата ping-теста, выполняемого с помощью утилиты ICMP уровня 3 (например, программы бесплатного тестирования сети на сайте http://www.speedtest.net) частично из-за того, что ICMP-пакеты обычно менее объемные, по сравнению с реальными IP-пакетами, поскольку в ping-тесте не используется функция TCP "запрос на повторную отправку", а также потому, нет никакой гарантии, что при передаче по общедоступной сети Интернета маршрут ping-теста будет соответствовать фактическому маршруту пакета. По сути, получается, что если сигнал ping-теста приходит с большой задержкой, то это значит, что что-то не так с сетью или с какой-либо связью между устройством и сетью, например, в маршрутизаторе Wi-Fi или на участке последней мили, но хороший результат ping-теста сам по себе не может гарантировать малую величину задержки распространения реального пакета.

В целях повышения защищенности сети часто используются способы шифрования и верификации для предотвращения взлома, перехвата или шпионажа. Но сложное шифрование и протоколы шифрования с несколькими ключами постоянно подтверждают идентичность собеседников, создают дополнительные задержки и тем самым увеличивают эффективную задержку сети, снижая качество обслуживания за счет повышения защищенности.

Информационная безопасность и конфиденциальность информации

К основным понятиям в области связи относятся информационная безопасность и конфиденциальность информации. Эти два понятия, хотя они и связаны, несколько отличаются друг от друга. "Информационная безопасность, включающая сетевую безопасность, компьютерную безопасность и защищенную связь, охватывает способы, используемые для контроля, перехвата и предотвращения несанкционированного доступа, неправильного использования, модификации или отказа от обслуживания компьютера или сети связи, доступных для сети ресурсов или данных, содержащихся в сетевых устройствах. Такие данные могут включать в себя личную информацию, биометрические данные, финансовые записи, записи о здоровье, личные сообщения и записи, а также частные фотографии и видеозаписи. К сетевым устройствам относятся сотовые телефоны, планшеты, ноутбуки, стационарные компьютеры, файловые серверы, серверы электронной почты, веб-серверы, базы данных, хранилища персональных данных, облачные хранилища, подключенные к Интернету бытовые приборы, обладающие сетевыми возможностями автомобили, а также общедоступные устройства, используемые отдельными лицами, такие как кассовые аппараты или POS-терминалы, бензоколонки, банкоматы и т.д.

Очевидно, что кибер-преступники и компьютерные хакеры, пытающиеся получить несанкционированный доступ к защищенной информации, совершают преступление. Если незаконно полученные данные содержат личную информацию, атака также является нарушением неприкосновенности личной жизни жертвы. Однако, с другой стороны, нарушения конфиденциальности могут происходить без нарушения закона и фактически не могут быть предотвращены. В сегодняшнем сетевом мире несанкционированное использование личной информации человека может осуществляться без нарушения требований к информационной безопасности. В ряде случаев компании, собирающие данные для какой-либо одной цели, могут продать свою базу данных другим клиентам, заинтересованным в использовании этих данных для другой цели. Даже когда Microsoft купила Hotmail, было хорошо известно, что список рассылки был продан рекламодателям, заинтересованным в рассылке информации потенциальным клиентам. Считаются ли такие действия нарушением конфиденциальности информации, остается спорным вопросом.

"Конфиденциальность информации", включающая конфиденциальность в Интернете, конфиденциальность компьютера и частное общение, подразумевает персональное право личности или полномочия распоряжаться своей личной и конфиденциальной информацией и ее использованием, в том числе на сбор, хранение, совместное использование или обмен информацией с другими. Конфиденциальная информация может включать информацию, идентифицирующую личность, в том числе рост, вес, возраст, отпечатки пальцев, группу крови, номер водительского удостоверения, номер паспорта, номер карты социального страхования или любую личную информацию, полезную для идентификации человека без знания его имени. В будущем даже карта ДНК человека может стать предметом юридической регистрации. Кроме личной идентификационной информации, существует неличная конфиденциальная информация, которая может включать бренды одежды, которые мы покупаем; веб-сайты, которые мы часто посещаем; курим ли мы; употребляем ли алкоголь; владеем ли пистолетом; на каком автомобиле ездим; какими заболеваниями переболели в течение жизни; есть ли в нашей семье наследственные заболевания или недуги, и даже каким людям мы нравимся.

Эта конфиденциальная информация в сочетании с публичными отчетами, касающимися личного дохода, налогов, имущественных документов, судимости, нарушений правил дорожного движения, а также любая информация, размещенная на сайтах социальных сетей, образуют мощный набор данных для заинтересованных сторон. Технология преднамеренного сбора больших наборов данных, фиксирующих демографическую, личную, финансовую, биомедицинскую и поведенческую информацию, а также анализ этих данных по шаблонам, тенденциям и статистической корреляции, сегодня известна как "большие данные". Система здравоохранения, в том числе страховые компании, медицинские работники, фармацевтические компании и даже адвокаты подозреваемых в преступной халатности врачей, проявляют очень большой интерес к личной информации, хранящейся в виде больших данных. Автомобильные компании и производители товаров широкого потребления также хотят получить доступ к таким базам данных, чтобы направлять свою рыночную стратегию и рекламный бюджет. Даже политики в ходе недавно состоявшихся выборов начали искать большие данные, чтобы лучше понять мнения избирателей и предметы политических споров, которых следует избегать.

Проблема конфиденциальности информации заключается не в том, что сегодня большие данные фиксируют личную информацию (это уже стандартная процедура), а в том, сохраняет ли этот набор данных ваше имя или достаточную личную идентификационную информацию, чтобы идентифицировать вас, даже не зная вашего имени. Например, изначально правительство США заявило, что личная информация, собранная веб-сайтом healthcare.gov, используемая для подписания Закон о доступном медицинском обслуживании, будет уничтожена после создания частных медицинских счетов. Затем недавно оно откровенно признало, что сторонняя корпорация, помогавшая правительству США выполнять сбор данных, ранее подписала правительственный контракт, дающий ей право сохранить и использовать собранные данные, а это означает, что конфиденциальные личные данные, ставшие известными правительству США, в действительности не являются конфиденциальными.

И наконец, следует отметить, что наблюдение практикуется как правительствами, так и преступными синдикатами, использующими аналогичные технологические способы. Конечно, преступники явно не имеют законного права на сбор таких данных, но случаи несанкционированного наблюдения со стороны государства являются более мрачной практикой, существенно отличающейся в разных странах. Например, Агентство национальной безопасности США неоднократно оказывало давление на Apple, Google, Microsoft и другие компании, требуя обеспечить доступ к их облакам и базам данных. Прослушивались и перехватывались даже разговоры и заявления правительственных официальных лиц. На вопрос, отслеживает ли Skype, являющийся подразделением Microsoft, содержимое передач своих абонентов, IT-директор Skype неожиданно ответил: "Без комментариев".

Способы кибер-преступности и кибер-наблюдения - Сосредоточившись на теме кибер-безопасности, следует отметить, что существует множество средств для получения несанкционированного доступа к данным устройства, сети и компьютера. В качестве примера на фигуре 39 показано большое количество вредоносных и хакерских технологий, используемых для совершения кибер-преступлений и несанкционированного проникновения в якобы защищенные сети.

Например, человек с планшетом 33, подключенным к Интернету, может захотеть позвонить на телефон 9 бизнес-офиса, отправить сообщение на телевизор 36, позвонить другу за город по обычной телефонной сети с коммутацией каналов на телефон 6, или загрузить файлы из веб-хранилища 20, или отправить электронную почту через почтовый сервер 21A. Несмотря на то, что все эти приложения - это обычные приложения Интернета и глобальных систем связи, на разных участках сети существует большое количество возможностей для наблюдения, кибер-преступности, мошенничества и кражи личных данных.

Например, для планшета 33, подключенного к сети через антенну 18 сотовой радиостанции и базовую станцию 17 LTE или через антенну 26 радиосистемы ближнего действия и общедоступную базовую станцию 100 сети Wi-Fi, злоумышленник может контролировать радиолинию. Аналогично, вызов 28 LTE можно контролировать или анализировать перехватывающим радиоприемником или сниффером 632. Тот же перехватчик 632 может быть настроен для контроля передачи данных по каналу Wi-Fi 29 и на принимающей стороне по кабелю 105 между передающей системой кабельного модема (CMTS) 101 и кабельным модемом 103.

В некоторых случаях вызов LTE также может быть перехвачен ложной пиратской вышкой 638 путем перенаправления канала связи 639 между планшетом 38 и вышкой сотовой связи 18. Передача данных по сети с коммутацией пакетов в маршрутизатор 27, сервер 21A и сервер 21B, а также облачное хранилище 20, также уязвима для атак "человек посередине" 630. Подключения к проводной линии 637 могут перехватывать вызовы на линии обычной телефонной сети (POTS) от шлюза 3 абонентской сети связи (PSTN) до телефона 6, а также на линии корпоративной АТС от сервера АТС 8 до офисного телефона 9.

Благодаря ряду брешей в защите, шпионское ПО 631 может установиться на планшет 33, на маршрутизатор 27, на мост PSTN 3, на облачное хранилище 20, на устройство подключения кабельных модемов (CMTS) 101 или на стационарный компьютер 36. Троян 634 может установиться на планшет 33 или стационарный компьютер 36 для фишинга паролей. Червь 636 также может использоваться для атаки на стационарный компьютер 36, особенно если на компьютере установлена операционная система Microsoft с включенной функцией active X. Наконец, для запуска атак типа "отказ в обслуживании" вирус 633 может атаковать любое количество сетевых устройств, включая серверы с номерами 21A, 21B и 21C, стационарный компьютер 36 и планшет 33.

На фигуре 40 графическая часть упрощена и отображается применительно к тому, в какой части сети связи и инфраструктуры работает каждый вид вредоносного ПО. В показанном облаке 22, содержащем сервер 21А, волоконно-оптическую линию связи 23 и сервер 21В, кибер-атаки могут включать вирус 633, атаку "человек посредине" 630, правительственный надзор 640 и атаку "отказ в обслуживании" 641. Последняя миля сети связи предоставляет еще более обширные возможности для вредоносных программ и кибер-атак и делится на три секции: местная телефонная компания/сеть, последнее звено и устройство. Местная телефонная компания/сеть, согласно фигуре, содержит высокоскоростной волоконно-оптический кабель 24, маршрутизатор 27, устройство подключения кабельных модемов (CMTS) 101, коаксиальный/волоконно-оптический кабель 105, кабельный модем 103, антенну Wi-Fi 26 и вышку радиосвязи LTE 25. В этой части сети может применяться перехват радиоканала 632, шпионское ПО 631, вирус 633 и атака "человек посередине" 630.

В последнем звене - местном подключении к устройству - сетевое подключение включает проводную линию 104, соединение Wi-Fi 29 и соединение LTE/радио 28 и подвергается воздействию шпионского ПО 631, перехвата радиоканала 632, прослушивания 637 и ложной вышки 638. Само устройство, в том числе, например, планшет 33, ноутбук 35, стационарный компьютер 36, а возможно также смартфоны, смарт-телевизоры, POS-терминалы и т.д., подвергается множеству атак, включая шпионское ПО 631, троян 634, вирус 633 и червь 636.

Такие способы наблюдения и шпионские устройства легкодоступны на коммерческом и онлайн-рынке. На фигуре 41А показаны два таких устройства: устройство 650, используемое для контроля трафика в локальных сетях Ethernet, и устройство 651, обеспечивающее те же функции для контроля данных Wi-Fi. Два доступных для приобретения устройства, 652 и 653, используемые для контроля сотовой связи, показаны на фигуре 41B. Несмотря на то, что на графике сети на фигуре 39 анализ пакетов 632 облачных соединений 23 волоконно-оптическим кабелем не был идентифицирован как угроза, во время исследований стало очевидным, что не инвазивный перехват данных для оптической линии связи, т.е. такой, где волоконно-оптический кабель не нужно обрезать или хотя бы временно нарушать его нормальную работу, уже существует. Согласно фигуре 41C, устройство 655 выполняет анализ трафика волоконно-оптической линии связи путем захвата световой утечки на резком изгибе волоконно-оптического кабеля 656. Если защитная оболочка удалена заранее, вставка волоконно-оптического кабеля 656 в зажим в устройстве 655 обеспечивает малый радиус разворота волоконно-оптического кабеля 656, где происходит утечка света 657 в фотодатчик 659, которая передается по электронному кабелю 660 в ноутбук 661 для анализа.

Помимо использования способов взлома и наблюдения, существует большое количество коммерческих легкодоступных шпионских программ для контроля разговоров по сотовому телефону и передачи данных через Интернет. В таблице, приведенной на фигуре 42, сравниваются свойства 10 лучших шпионских программ, рекламирующих способность успешно следить за своими сотрудниками, детьми и супругом(ой). На удивление обширный набор функций, включающий отслеживание звонков, фотографий и видео, текстовых сообщений SMS/MMS, сторонних мгновенных сообщений, электронных писем, отслеживание координат GPS, использования Интернета, адресной книги, событий календаря, прослушивание, управление приложениями и даже функции удаленного управления, в совокупности содержит пугающе убедительное количество способов нарушения конфиденциальности информации.

На самом деле кибер-атаки стали настолько частыми, что их отслеживают ежедневно. Один из таких сайтов отслеживания, показанный на фигуре 43, отображает бреши в защите и кибер-атаки на карте мира, в том числе место, продолжительность и тип атаки. Для запуска кибер-атаки обычно задействуется несколько этапов или сочетаний способов, в том числе:

● анализ IP-пакетов;

● опрос портов;

● профилирование;

● самозванцы;

● перехват пакетов;

● кибер-инфекция;

● наблюдение;

● пиратское администрирование.

Анализ IP-пакетов - Используя устройства радиоконтроля, кибер-преступник может получить значительный объем информации о пользователе, его транзакциях и его учетных записях. Согласно фигуре 44, содержимое IP-пакета можно получить или проанализировать в любой точке пути между двумя пользователями. Например, когда пользователь 675A отправляет файл, например, фотографию или текст в 670 IP-пакете из своего ноутбука 35 на мобильный телефон 32 своего друга 675B, кибер-пират 630 может обнаружить IP-пакет в одном из нескольких мест, перехватив последнее звено 673A отправителя, перехватив локальную сеть 672A отправителя, контролируя облако 671, перехватив местную телефонную компанию 672B получателя или перехватив последнее звено 673B получателя. В перехваченном 670 IP-пакете доступны для наблюдения следующие данные: MAC-адреса уровня 2 задействованные в информационном обмене устройств, адреса уровня 3 отправителя принимающей стороны, т.е. получателя пакета, включая используемый протокол передачи, например, UDP, TCP и т.д. IP-пакет также содержит номера портов уровня 4 отправляющего и принимающего устройств, потенциально позволяющие определить тип запрашиваемой услуги, а также сам файл данных. Если файл не зашифрован, содержащиеся в файле данные также могут быть просто считаны кибер-пиратом 630.

Если полезная нагрузка не зашифрована, текстовая информация, например, номера учетных записей, логины и пароли, могут быть считаны и, если они представляют ценность, украдены и изменены в преступных целях. Если полезная нагрузка содержит видео или пиктографическую информацию, нужно проделать некоторую дополнительную работу, чтобы определить, какой формат прикладного уровня 6 используется для передачи содержимого, но как только он будет идентифицирован, содержимое можно будет просмотреть, опубликовать или даже использовать для шантажа одной или обеих сторон информационного обмена. Такая кибер-атака называется атакой "человек посредине", потому что кибер-пират лично не знаком ни с одной из сторон информационного обмена.

Как было указано ранее, маршрутизация IP-пакетов в облаке непредсказуема, поэтому контроль облака 671 является более сложным, потому что кибер-пират 630 должен захватить важную информацию IP-пакета при первой встрече с ним, поскольку последующие пакеты могут не следовать по тому же маршруту, и проанализировать пакет. Перехват данных на последней миле повышает вероятность наблюдения последовательности связанных пакетов из одного и того же разговора, поскольку местные маршрутизаторы обычно следуют предписанной таблице маршрутизации, по меньшей мере, до тех пор, пока пакеты не достигнут точки присутствия (POP) за пределами области обслуживания собственного оператора клиента. Например, клиент Comcast, скорее всего, будет передавать IP-пакеты в цепочку маршрутизации, полностью используя принадлежащую Comcast сеть, пока пакет не будет географически перемещен за пределы доступа и области обслуживания клиентов Comcast.

Если последовательность пакетов, передаваемых между одними и теми же двумя IP-адресами, наблюдается в течение достаточно длительного времени, весь разговор можно воссоздать по частям. Например, если текстовые SMS-сообщения передаются по одной и той же сети на участке последней мили, кибер-пират 630 может идентифицировать через IP-адреса и номера портов, что несколько IP-пакетов, передающих текст, представляют собой разговор между одними и теми же двумя устройствами, т.е. между сотовым телефоном 32 и ноутбуком 35. Поэтому даже если номер учетной записи и пароль были в тексте разных сообщений или были отправлены не полностью и распространились по многим пакетам, совпадение идентификаторов пакетов по-прежнему позволяет кибер-пирату воссоздать разговор и украсть информацию об учетной записи. После того, как данные учетной записи будут украдены, злоумышленники могут либо перевести деньги в оффшорный банк, либо даже узурпировать полномочия учетной записи, изменив пароль учетной записи и параметры безопасности, т.е. используя кражу личных данных на временной основе.

Даже если полезная нагрузка зашифрована, остальная часть 670 IP-пакета, включая IP-адреса и номера портов, не шифруется. После многократного анализа большого количества IP-пакетов кибер-пират, обладающий достаточной вычислительной мощностью, может способом "грубой силы" систематически проверять каждую комбинацию, пока не взломает пароль шифрования. Как только ключ будет взломан, этот пакет и все последующие пакеты могут быть дешифрованы и использованы кибер-пиратом 630. Вероятность взлома пароля входа в систему путем "угадывания пароля" значительно повышается, если анализ пакетов сочетается с описанным ниже "профилированием" пользователя и учетной записи. Следует обратить внимание на то, что атаки "человек посередине" на устройства связи обычно не задействуются, потому что кибер-пират не имеет прямого доступа к ним.

Опрос портов - Еще один способ взлома устройства заключается в том, что по его IP-адресу производится опрос большого количества портов уровня 4 и проверка наличия ответа на направленные запросы. Согласно фигуре 45, когда кибер-пират 680 определяет по результатам анализа пакета или другими средствами, что мобильный телефон 32 с IP-адресом "CP" является целевым устройством, кибер-пират 680 запускает последовательность опросов портам на сотовом телефоне 32 в поисках незащищенного или открытого порта, порта сервисного и технического обслуживания или путей обхода защиты. Пока хакерская программа опроса систематически проверяет каждый номер порта, атаки обычно сосредоточены на таких печально известных портах, как порт №7 для ping-теста, порт №21 для FTP, порт №23 для эмуляции терминала telnet, порт №25 для простой электронной почты и т.д. Согласно фигуре, последовательно отправляя пакеты 680A, 680B, 680C и 680D кибер-пират 660 ожидает ответа сотового телефона 32, который в данном примере произошел по запросу 680D. Каждый раз, когда отправляется ответ, пират узнает больше об операционной системе целевого устройства.

В процессе опроса портов кибер-пират 630 не хочет раскрывать свою реальную идентификацию, поэтому он будут использовать скрытый псевдо-адрес, символически обозначенный здесь как "PA", для приема сообщений, но не прослеживаемый до его персонального устройства. В качестве альтернативы, кибер-преступники могут использовать краденый компьютер и учетную запись, при этом ситуация выглядит так, будто кто-то пытается взломать целевое устройство, но, если его отследить, это приведет следствие к невиновному человеку, а не к злоумышленнику.

Профилирование - Профилирование пользователей и учетных записей - это процесс, в ходе которого кибер-пират проводит исследования с использованием общедоступной информации, чтобы больше узнать о целевом объекте, его учетных записях и его личной истории, чтобы взломать его пароли, идентифицировать учетные записи и определить активы. Как только хакер получает IP-адрес цели по результатам анализа трафика или другими средствами, он может воспользоваться утилитой traceroute для поиска DNS-сервера учетной записи устройства. Затем, используя функцию "Who is" (Кто это) в Интернете, можно узнать имя владельца учетной записи. Затем в процессе профилирования кибер-преступник производит поиск в Интернете для сбора всей имеющейся информации о владельце учетной записи. В качестве источников информации используются такие общедоступные записи, как документы о собственности, данные о регистрации автомобилей, браках и разводах, залоговых правах на имущество в обеспечение уплаты налога, парковочных билетах, нарушениях правил дорожного движения, судимости и т.д. Во многих случаях веб-сайты университетов и профессиональных обществ также содержат домашний адрес, адреса электронной почты, номера телефонов и дату рождения человека. Изучая сайты социальных сетей, такие как Facebook, LinkedIn, Twitter и другие, кибер-преступник может собрать значительную подробную информацию, в том числе о семье и друзьях, имена домашних животных, адреса прежнего места жительства, сведения об одноклассниках, главных событиях в чьей-то жизни, а также фотографии и видеофайлы, в том числе содержащие деликатные подробности, семейные тайны и данные о личных врагах.

Следующим шагом кибер-пирата является использование данных этого профиля для "угадывания" паролей пользователя на основе его профиля для взлома целевого устройства и других учетных записей этого человека. После того, как кибер-преступник подберет пароль одного устройства, велика вероятность того, что он может подойти и к другим учетным записям, потому что люди склонны использовать одни и те же пароли для удобства их запоминания. В этот момент может появиться возможность украсть идентификационные данные человека, перевести деньги, сделать его мишенью полицейских расследований и, по сути, разрушить чью-то жизнь, похитив все его состояние. Например, как описано во вводной части этого документа, собрав длинный список паролей с украденных учетных записей, кибер-преступники использовали эти пароли для незаконной покупки премиум билетов на концерты и спортивные события на несколько миллионов долларов с использованием тех же паролей и логинов.

Самозванцы - Когда кибер-пират выдает себя за кого-то другого, он не использует или использует незаконно полученные защищенные учетные данные, чтобы получить доступ к сообщениям и файлам под ложным предлогом того, что он является уполномоченным агентом или устройством, кибер-пират действует как "самозванец". Кибер-атака типа "самозванец" может возникать, когда у кибер-преступника есть достаточная информация или доступ к учетной записи пользователя, чтобы узурпировать учетную запись жертвы, отправлять от ее имени сообщения и умышленно искажать их смысл от имени владельца взломанной учетной записи. Недавно, например, у близкой знакомой одного из изобретателей была взломана личная учетная запись мессенджера "Line". Получив контроль над учетной записью, кибер-преступник отправил сообщения ее друзьям с ложной информацией о том, что "она попала в автомобильную аварию, и ей срочно нужны деньги в долг", указав платежные реквизиты для отправки денег. Не зная, что учетная запись была взломана, ее друзья подумали, что запрос реален, и бросились спасать ее финансовое положение. Чтобы избежать подозрений, в отправленном каждому другу запросе были указаны суммы менее 1000 долларов США. К счастью, прежде чем отправлять деньги, один из друзей позвонил ей, чтобы перепроверить платежную информацию, и мошенничество было обнаружено. Если бы не этот звонок, никто никогда не узнал бы, что запросы были от самозванца, а владелец учетной записи Line никогда не узнал бы о том, что деньги были отправлены или даже запрошены.

Другая форма введения в заблуждение возникает, когда устройству предоставлены привилегии безопасности и оно имеет возможность обмениваться информацией с сервером или другим сетевым устройством, и при этом каким-то образом устройству кибер-пирата удается выдавать себя за авторизованный сервер, в результате чего устройство жертвы охотно передает файлы и информацию на пиратский сервер, не осознавая, что этот сервер является самозванцем. По имеющимся данным, этот способ использовался, чтобы склонить знаменитостей к резервному копированию личных файлов изображений с помощью iCloud, умолчав, что это резервное облако было самозванцем.

Другая форма самозванца возникает, когда кто-то, имея физический доступ к личному телефону или открытому браузеру человека, выполняет такие мошеннические операции, как отправка электронной почты, ответ на телефонный звонок, отправка текстового сообщения с учетной записи или устройства другого лица. Получатель полагает, что он подключен к известному устройству или учетной записи, и что лицо, управляющее этим устройством или учетной записью, является его владельцем. Самозванец может оказаться шутником, например, другом, выставляющий деликатные комментарии в Facebook, или его действия могут носить более личный характер, когда чей-то супруг отвечает на личные вызовы или перехватывает конфиденциальные текстовые сообщения личного характера. Результатом этого несанкционированного доступа может быть ревность, развод и судебное преследование. Оставляя устройство временно неконтролируемым в офисе или кафе, например, выходя в туалет, вы подвергаетесь дополнительному риску, предоставляя самозванцу возможность быстрого доступа к личной или корпоративной информации, отправки несанкционированных сообщений электронной почты, передачи файлов или загрузки какой-либо вредоносной программы в устройство, как описано в следующем разделе, озаглавленном "Инфекция".

Кибер-атака со стороны самозванца также имеет большое значение при краже устройства. В таких случаях, даже, несмотря на то, что устройство вышло из системы, у вора достаточно времени, чтобы подобрать логин. Функция "find my computer" (найти мой компьютер), которая должна найти украденное устройство в сети и стереть файлы компьютера при первом входе кибер-пирата в систему на этом устройстве, больше не работает, потому что высокотехнологичные преступники сегодня знают, как активировать только само устройство без сотового или Wi-Fi-соединения. Этот риск особенно велик для сотовых телефонов, где безопасность входа обеспечивает простой четырехзначный идентификационный номер или PIN-код. Подбор PIN-кода - это всего лишь вопрос времени, поскольку есть только 9999 возможных комбинаций.

Ключевой проблемой для защиты любого устройства является предотвращение доступа для самозванцев. Предотвращение вмешательства самозванцев требует надежных средств аутентификации личности пользователя через определенные промежутки времени и подтверждения того, что только они имеют право на доступ к информации и привилегиям, в которых они нуждаются. Защита устройства часто является самым слабым звеном в этой цепочке. После преодоления защиты устройства необходимость в надежной сетевой безопасности является спорной.

Перехват пакетов - Перехват пакетов представляет собой кибер-атаку, в ходе которой нормальный поток пакетов через сеть перенаправляется через вредоносное устройство. Этот пример показан на фигуре 46, где ноутбук 35 с IP-адресом "NB" и ad hoc-портом №9999 отправляет файл в виде 670 IP-пакета на сотовый телефон (не показан), имеющий IP-адрес "CP" и FTP-порт данных №20. При нормальных условиях 670 IP-пакет будет передаваться по маршруту от ноутбука 35 до маршрутизатора 26 Wi-Fi и до маршрутизатора 27 с высокоскоростным проводным подключением 24 к серверу 22A в облаке.

Если, однако, целостность маршрутизатора 27 была нарушена кибер-атакой со стороны кибер-пирата 630, 670 IP-пакет может быть перезаписан в 686A IP-пакет, который для ясности показан в сокращенном виде с указанием только IP-адресов и номеров портов. Для перенаправления IP-пакета адрес и номер порта получателя сотового телефона изменяются на соответствующие данные кибер-пиратского устройства 630, а именно - на IP-адрес "PA" и порт №20000. После этого кибер-пиратское устройство 630 получает любую необходимую ему информацию из полезной нагрузки IP-пакета и, возможно, изменяет содержимое полезной нагрузки IP-пакета. Мошенническая полезная нагрузка может использоваться для совершения ряда мошеннических преступлений, для сбора информации или для загрузки вредоносного ПО в сотовый телефон, как описано ниже в разделе "Инфекция".

Затем взломанный пакет 686B IP-пакет переопределяется так, чтобы он выглядел как исходный 670 IP-пакет с IP-адресом отправителя "NB" из порта №9999, отправленный на IP-адрес сотового телефона "CP" в порт №20, за исключением того, что пакет передается по проводному соединению 685B вместо проводного соединения 24. В качестве альтернативы, перехваченный IP-пакет может быть возвращен на взломанный маршрутизатор 27, а затем отправлен в облако через проводное соединение 24. Чтобы максимизировать преступную выгоду от перехвата пакета, кибер-пирату 630 необходимо скрыть свои идентификационные данные при перехвате пакетов, и по этой причине они маскируют истинную маршрутизацию IP-пакета, при этом даже функция "traceroute" ICMP уровня 3 будет испытывать трудности при идентификации истинного пути передачи данных. Если, однако, этот перехват заметно увеличивает задержку при маршрутизации пакетов, эта необычная задержка может быть поводом для исследования со стороны оператора сети.

Кибер-инфекция - Одной из самых коварных категорий кибер-атаки является "кибер-инфицирование" - установка на целевые устройства или в сеть вредоносного ПО, с помощью которого можно собирать информацию, совершать мошеннические действия, перенаправлять трафик, инфицировать другие устройства, нарушать работу или выключать систему, или вызвать отказ в обслуживании. Кибер-инфекция может распространяться через электронные письма, файлы, веб-сайты, системные расширения, прикладные программы или по сетям. Один из основных классов вредоносных программ - "шпионское ПО" - описанный в таблице на фигуре 42, собирает все виды информации о транзакциях и направляет кибер-пирату. В случае "фишинга" веб-страница или оболочка приложения, которая отображается как знакомая страница входа в систему, запрашивает логин учетной записи или личную информацию, а затем передает эту информацию кибер-пирату. Другие вредоносные инфекции могут управлять оборудованием, например, управлять маршрутизатором для выполнения вышеупомянутого перехвата пакетов. В этих случаях кибер-пират пытается получить информацию или получить выгоду для достижения своих целей.

Другой класс кибер-инфекций, содержащий вирусы, черви и трояны, предназначен для перезаписи критических файлов или для повторного выполнения бессмысленных функций, чтобы лишить устройство возможности выполнения своих обычных задач. В основном, чтобы запретить обслуживание, ухудшить качество работы или полностью уничтожить устройство. Эти злонамеренные инфекции по своей сути разрушительны и используются с целью мести, чтобы нарушить нормальную работу бизнеса конкурента или просто ради забавы хакером, желающим увидеть, возможно ли это.

Наблюдение - Подслушивание и наблюдение выходят за рамки кибер-преступности. В таких случаях частного детектива или знакомого нанимают или принуждают установить устройство или программу в личные устройства представляющего интерес субъекта для осуществления контроля над его разговорами, обменом данными и местоположением. Риск быть пойманным увеличивается, потому что детектив должен получить временный доступ к целевому устройству так, чтобы субъект об этом не узнал. Например, в продаже есть SIM-карты, которые могут копировать права доступа к сети телефона, но одновременно передается информация кибер-преступнику, контролирующему вызовы и трафик данных цели.

К другим формам наблюдения относится использование подпольных видеокамер для наблюдения за каждым действием и телефонным звонком человека, во многом аналогично казино. С помощью видеоконтроля пароль или PIN-код устройства можно узнать, просто наблюдая за нажатиями клавиш пользователем во время процесса входа в систему. При достаточно большом количестве камер на месте наблюдения, в конечном счете, рано или поздно будет записан процесс входа в систему. Чтобы получить доступ к сети камер, не вызывая подозрений, кибер-пират может взломать существующую систему видеонаблюдения на зданиях, в магазинах или на улицах, а также через доступ к чужой сети следить за поведением ничего не подозревающих жертв. Объединение видеонаблюдения с анализом пакетов предоставляет еще более полный набор данных для последующего запуска кибер-атак.

Пиратское администрирование (несанкционированное проникновение) -Еще одно средство, благодаря которому кибер-пираты могут получить информацию - это взлом и получение доступа к правам системного администратора устройства, сервера или сети. Таким образом, вместо получения несанкционированного доступа к учетной записи одного пользователя, взломав логин администратора системы, кибер-пират получает гораздо более широкий доступ и привилегии без ведома тех, кто использует систему. Поскольку системный администратор выступает системе в качестве полицейского, никто не может пресечь его преступную деятельность - в сущности, в системе или сети с коррумпированной администрацией никто не может контролировать полицию.

Заключение - Повсеместное распространение и совместимость, которые Интернет, сети с коммутацией пакетов и почти всеобщее признание семиуровневой модели OSI (Open Source Initiative) обрели за последние двадцать лет, позволили расширить глобальную связь в небывалом масштабе, соединив широкий диапазон устройств от смартфона до планшетов, компьютеров, интеллектуальных телевизоров, автомобилей и даже бытовой техники, и лампочек. Глобальное признание интернет-протокола (IP) в качестве основы для подключения к Ethernet, сотовой связи, Wi-Fi и кабельному телевидению не только унифицировало связь, но и значительно упростило проблему для хакеров и кибер-преступников, пытающихся проникнуть в максимально возможное количество устройств и систем. Учитывая множество программных и аппаратных способов, доступных сейчас для атаки современных сетей связи, очевидно, что одного способа защиты недостаточно для полной безопасности. Вместо этого необходим системный подход к защите каждого устройства, последнего звена, местной телефонной компании/сети и облачной сети, чтобы обеспечить их защиту от сложных кибер-атак. Используемые способы должны обеспечивать внутреннюю информационную безопасность и конфиденциальность информации без ущерба для качества обслуживания, задержки сети, качества видео или звука. Несмотря на то, что шифрование должно оставаться важным элементом разработки следующего поколения безопасной передачи и хранения данных, безопасность сети не должна опираться исключительно на способы шифрования.

Сущность изобретения

В соответствии с этим изобретением данные (которые в широком смысле включают в себя текстовые, аудио-, видео-, графические и все другие виды цифровой информации или файлов) передаются через динамическую защищенную коммуникационную сеть и протокол (SDNP) или "облако". Облако SDNP включает в себя множество "узлов", иногда называемых "медиаузлами", которые индивидуально размещаются на серверах или других типах компьютеров или цифрового оборудования (в совокупности именуемых здесь как "серверы"), расположенных в любой точке мира. Возможно размещение двух и более узлов на одном сервере. Как правило, данные передаются между медиаузлами светом по волоконно-оптическим кабелям, радиоволнами в высокочастотном или сверхвысокочастотном диапазоне, электрическими сигналами по медным проводам или коаксиальному кабелю, или по каналам спутниковой связи, но в широком смысле изобретение включает в себя любые средства, с помощью которых цифровые данные могут передаваться из одной точки в другую. Сеть SDNP включает облако SDNP, а также каналы "последней мили" между облаком SDNP и клиентскими устройствами, такими как сотовые телефоны, планшеты, ноутбуки и стационарные компьютеры, мобильные потребительские электронные устройства, а также устройства и бытовые приборы Интернета вещей, автомобили и другие транспортные средства. Системы связи последней мили также включают вышки сотовой телефонной связи, кабель или оптоволокно, проложенные в доме, и общедоступные маршрутизаторы Wi-Fi.

При передаче между медиаузлами в облаке SDNP данные представлены в виде "пакетов", дискретных цепочек цифровых битов, которые могут иметь фиксированную или переменную длину, при этом данные замаскированы с использованием следующих способов: скремблирования, шифрования или разделение - или соответствующих обратных процессов: дескремблирования, дешифрования и смешивания. (Примечание. В данном документе, если из контекста не следует иное, слово "или" используется в его конъюнктивном (и/или) смысле.)

Скремблирование подразумевает изменение порядка следования данных в пакете. Например, для сегментов данных A, B и C, которые в исходном пакете следуют в порядке ABC, порядок следования изменится на CAB. Обратная по отношению к скремблированию операция называется "дескремблированием" и подразумевает изменение порядка следования данных в пакете на тот, в котором он первоначально появился - ABC в приведенном выше примере. Объединенная операция дескремблирования, а затем скремблирования пакета данных называется "повторным скремблированием". При повторном скремблировании пакета, который ранее был скремблирован, этот пакет может быть скремблирован тем же самым или другим способом по отношению к предыдущей операции скремблирования.

Вторая операция - "шифрование" - это кодирование данных в пакете и их представление в форме, называемой зашифрованным текстом, которая может быть понятна только отправителю и другим авторизованным сторонам, а также тому, кто должен выполнять обратную операцию - "дешифрование", чтобы сделать это. Объединенная операция дешифрования пакета данных с зашифрованным текстом и его последующего шифрования, как правило, но необязательно с использованием способа, который отличается от способа, используемого при его предыдущем шифровании, в данном документе называется "повторным шифрованием".

Третья операция - "разделение", как следует из названия, означает разделение пакета на два или более пакета меньшего размера. Обратная операция - "смешивание" - определяется как объединение двух или более разделенных пакетов обратно в один пакет. Разделение пакета, который ранее был разделен, а затем смешан, может быть выполнено таким же образом или может отличаться от предыдущей операции разделения. Порядок выполнения операций является обратимым, при этом разделение может быть отменено путем смешивания, и, наоборот, смешивание нескольких входных элементов в один выходной может быть отменено путем разделения для восстановления составляющих компонентов. (Примечание. Поскольку скремблирование и дескремблирование, шифрование и дешифрование, а также разделение и смешивание являются обратными процессами, для выполнения обратной операции необходимо только знание алгоритма или способа, который использовался для прямой операции. Следовательно, когда речь идет о конкретном алгоритме скремблирования, шифрования или разделения, должно быть понятно, что знание этого алгоритма позволяет выполнить обратный процесс).

В соответствии с настоящим изобретением пакет данных, который проходит через облако SDNP, скремблируется или шифруется, или же над ним выполняется одна или обе эти операции в сочетании с разделением. Кроме того, в пакет может добавляться "бесполезные" (т.е. бессмысленные) данные, чтобы сделать пакет более сложным для расшифровки или привести длину пакета в соответствие с установленными требованиями. Кроме того, пакет может быть подвергнут статистическому анализу, т.е. разделен на отдельные куски. На профессиональном языке специалистов по компьютерам проводить синтаксический анализ - это значит разделить оператор компьютерного языка, компьютерную команду или файл данных на части, которые могут быть полезны для компьютера. Синтаксический анализ может также использоваться для затруднения понимания цели команды или пакета данных или для упаковки данных в пакеты, имеющие заданную длину.

Несмотря на то, что формат пакетов данных соответствует интернет-протоколу, в облаке SDNP адреса медиаузлов не являются стандартными интернет-адресами, т.е. они не могут быть идентифицированы каким-либо сервером доменных имен Интернета. Следовательно, несмотря на то, что медиаузлы могут технически получать пакеты данных через Интернет, эти медиаузлы не будут распознавать адреса или отвечать на запросы. Более того, даже если бы пользователям Интернета нужно было связаться с медиаузлом, они не смогли бы получить доступ или просмотреть данные внутри медиаузла, потому что медиаузел может распознать их как самозванцев, не имеющих необходимых идентификационных учетных данных как медиаузла SDNP. В частности, если медиаузел не зарегистрирован как действующий узел SDNP, работающий на сервере, соответствующем требованиям сервера имен SDNP или его эквивалентной функции, пакеты данных, отправляемые с этого узла на другие медиаузлы SDNP, будут игнорироваться и отбрасываться. Аналогичным образом, только клиенты, зарегистрированные на сервере имен SDNP, могут обращаться к медиаузлу SDNP. Подобно незарегистрированным серверам, пакеты данных, полученные из источников, не являющихся зарегистрированными клиентами SDNP, будут игнорироваться и немедленно отбрасываться.

В сравнительно простом варианте осуществления, называемом "одномаршрутным", пакет данных проходит по единственному пути через ряд медиаузлов в облаке SDNP, при этом он скремблируется в медиаузле, в котором он входит в облако и дескремблируется в медиаузле, в котором он выходит из облака (эти два узла называются "шлюзовыми узлами" или "шлюзовыми медиаузлами"). В несколько более сложном варианте осуществления пакет повторно скремблируется на каждом медиаузле с использованием способа скремблирования, отличного от того, который использовался на предыдущем медиаузле. В других вариантах осуществления пакет также шифруется в шлюзовом узле, в котором он входит в облако и дешифруется в шлюзовом узле, в котором он выходит из облака, и, кроме того, пакет может быть повторно зашифрован в каждом медиаузле, через который он проходит в облаке. Поскольку данный узел при скремблировании или шифровании пакета каждый раз использует один и тот же алгоритм, этот вариант осуществления называется "статическим" скремблированием и шифрованием.

В случае, когда выполняется две и более операции преобразования пакета, например, он скремблируется и шифруется, обратные операции рекомендуется выполнять в противоположном порядке, т.е. в обратной последовательности. Например, если пакет скремблируется, а затем шифруется до выхода из медиаузла, то при поступлении на следующий медиаузел, он сначала дешифруется, а затем дескремблируется. Пакет воссоздается в своей исходной форме только в том случае, если он находится в медиаузле. Пока пакет передается между медиаузлами, он находится в скремблированном, разделенном или смешанном либо шифрованном виде.

В другом варианте осуществления, называемом "мультимаршрутной" передачей данных, в шлюзовом узле производится разделение пакета, после чего несколько образовавшихся пакетов пересекают облако по ряду "параллельных" маршрутов, причем ни один из путей не имеет общих медиаузлов с другими, за исключением шлюзовых узлов. Затем эти несколько пакетов смешиваются для воссоздания исходного пакета, как правило, в выходном шлюзовом узле. Таким образом, даже если хакеру удалось понять смысл одного пакета, у него будет только часть всего сообщения. Пакет также может быть скремблирован и зашифрован в шлюзовом узле до или после его разделения, а несколько образовавшихся пакетов могут быть повторно скремблированы или повторно зашифрованы в каждом медиаузле, через который они проходят.

В следующем варианте осуществления изобретения пакеты передаются не только по одному пути или ряду параллельных путей в облаке SDNP, а могут передаваться по разным путям, многие из которых пересекаются друг с другом. Поскольку в этом варианте осуществления изобретения изображение возможных путей напоминает решетку, этот процесс называется "решетчатой передачей". Как и в описанных выше вариантах осуществления изобретения, пакеты могут быть скремблированы, зашифрованы и разделены или смешаны при прохождении через отдельные медиаузлы в облаке SDNP.

Маршруты пакетов через сеть SDNP определяются функцией сигнализации, которая может выполняться либо сегментами самих медиаузлов, либо предпочтительно в "двухканальном" или "трехканальном" вариантах отдельными узлами сигнализации, работающими на выделенных серверах сигнализации. Функция сигнализации определяет маршрут каждого пакета, когда он покидает передающее клиентское устройство (например, сотовый телефон), на основе состояния (например, задержки распространения) сети, приоритета и срочности вызова, и информирует каждый из медиаузлов на маршруте о том, что он должен получить пакет, и указывает узел, которому его нужно отправить. Каждый пакет идентифицируется меткой, а функция сигнализации указывает каждому медиаузлу, какую метку применить для каждого из пакетов, которые он отправляет. В одном варианте осуществления изобретения метка данных включается в заголовок или подзаголовок SDNP, поле данных, прикрепленное к каждому под-пакету данных, используется для идентификации под-пакета. Каждый под-пакет может содержать сегменты данных из одного или нескольких источников, хранящиеся в специальных "слотах" данных в пакете. Несколько под-пакетов могут присутствовать в одном более крупном пакете данных при передаче данных между любыми двумя медиаузлами.

Функция маршрутизации согласуется с функциями разделения и смешивания, так как после разделения пакета необходимо определить соответствующие маршруты каждого из под-пакетов, на которые он разделен, а узлу, в котором эти под-пакеты должны быть восстановлены (смешаны), должно быть дано указание произвести их смешивание. Пакет может быть разделен, а затем смешан один раз, как в мультимаршрутном варианте, или он может быть разделен и смешан несколько раз по мере прохождения по сети SDNP к выходному шлюзовому узлу. Определение узла, в котором будет производиться разделение пакета, на сколько под-пакетов он будет разделен, соответствующие маршруты под-пакетов и узлы, в которых эти под-пакеты будут смешаны, чтобы воссоздать исходный пакет - все эти вопросы находятся под контролем функции сигнализации, независимо от того, выполняется она отдельными серверами сигнализации или нет. Алгоритм разделения может определять, какие сегменты данных при передаче должны быть включены в каждый из под-пакетов, а также порядок и положение сегментов данных в этих под-пакетах. Алгоритм смешивания определяет обратный процесс в узле, где под-пакеты смешиваются, чтобы воссоздать исходный пакет. Разумеется, при наличии соответствующей команды от функции сигнализации, в этом узле пакет может быть снова разделен в соответствии с другим алгоритмом разделения, соответствующим времени или состоянию в момент возникновения разделенного процесса.

Когда медиаузел получает команду от функции сигнализации отправить несколько пакетов в конкретный целевой медиаузел при "следующем переходе" по сети, даже если эти пакеты являются разделенными пакетами (под-пакетами) или относятся к разным сообщениям, этот медиаузел может объединять пакеты в один более крупный пакет, особенно когда несколько под-пакетов должны быть отправлены в один и тот же медиаузел для следующего перехода (аналогично почтовому отделению, в котором помещают пачку писем с одним и тем же адресом получателя в ящик и отправляют этот ящик по адресу).

В "динамических" вариантах осуществления изобретения отдельные медиаузлы в облаке SDNP не пользуются одними и теми же способами и алгоритмами скремблирования, шифрования или разделения для поочередно проходящих через них пакетов. Например, данный медиаузел может скремблировать, шифровать или разделять какой-либо пакет с использованием одного конкретного алгоритма скремблирования, шифрования или разделения, а затем скремблировать, шифровать или разделять следующий пакет с использованием другого алгоритма скремблирования, шифрования или разделения. Работа в "динамическом" режиме значительно увеличивает трудности, с которыми сталкиваются потенциальные хакеры, потому что у них остается короткий промежуток времени (например, 100 мсек), чтобы понять смысловое содержание пакета, и даже если оно будет успешным, полезность этих знаний будет кратковременной.

В динамических вариантах осуществления изобретения каждый медиаузел связан с так называемым "сервером DMZ (англ. DeMilitarized Zone - демилитаризованная зона)", который можно рассматривать как часть узла, которая изолирована от части передачи данных, и в которой есть база данных, содержащая списки или таблицы ("селекторы") возможных алгоритмов скремблирования, шифрования и разделения, которые этот медиаузел может применять к исходящим пакетам. Селектор является частью объема информации, называемого "разделяемыми секретами", поскольку эта информация неизвестна даже медиаузлам и поскольку все серверы DMZ имеют одинаковые селекторы в данный момент времени.

Когда медиаузел принимает пакет, который был скремблирован, в динамических вариантах осуществления изобретения он также получает "начальное состояние", которое используется для указания принимающему узлу, какой алгоритм должен использоваться при дескремблировании пакета. Начальное состояние представляет собой скрытое числовое значение, которое само по себе не имеет смысла, но основано на постоянно изменяющемся состоянии, например, на моменте времени, в который пакет был скремблирован предыдущим медиаузлом. Когда предыдущий узел скремблировал пакет, связанный с ним сервер DMZ сформировал начальное состояние на основе состояния. Разумеется, это состояние также использовалось соответствующим сервером DMZ при выборе алгоритма, который должен применяться при скремблировании пакета, который был передан на отправляющий медиаузел в виде указания о том, как скремблировать пакет. Таким образом, отправляющий узел получил и указания о том, как скремблировать пакет, и начальное состояние, которое должно быть передано на следующий медиаузел. Генератор начальных состояний, работающий на сервере DMZ, генерирует начальное состояние в соответствии с алгоритмом, основанным на состоянии во время выполнения процесса. Несмотря на то, что генератор начальных состояний и его алгоритмы являются частью разделяемых секретов медиаузла, сгенерированное начальное состояние не является секретным, поскольку без доступа к алгоритмам числовое значение начального состояния не имеет смысла.

Таким образом, следующий медиаузел на маршруте пакета получает скремблированный пакет и начальное состояние, которое получено для состояния, связанного с пакетом (например, момента времени, в который было выполнено скремблирование). Начальное состояние может быть включено в сам пакет или может быть отправлено на принимающий узел до отправки пакета, либо по тому же маршруту, что и пакет, либо по какому-нибудь другому маршруту, например, через сервер сигнализации.

Независимо от того, как он получает начальное состояние, принимающий узел отправляет это начальное состояние на свой сервер DMZ. Поскольку на этом сервере DMZ есть селектор или таблица алгоритмов скремблирования, которые являются частью разделяемых секретов и поэтому являются такими же, как и селектор в сервере DMZ отправляющего узла, он может использовать начальное состояние для идентификации алгоритма, который использовался при скремблировании пакета и может указать принимающему узлу, как дескремблировать пакет. Таким образом, принимающий узел воссоздает пакет в дескрембрированном виде, тем самым восстанавливая исходные данные. Как правило, до передачи на следующий узел пакет снова скремблируется в соответствии с другим алгоритмом скремблирования. В этом случае принимающий узел подключается к его серверу DMZ, чтобы получить алгоритм скремблирования и начальное состояние, и процесс повторяется.

Таким образом, когда пакет проходит свой путь по сети SDNP, он скремблируется каждым узлом в соответствии с разными алгоритмами скремблирования, и на каждом узле создается новое начальное состояние, которое позволяет следующему узлу дескремблировать пакет.

В альтернативном варианте осуществления настоящего изобретения фактическое состояние (например, время) может передаваться между узлами (т.е., отправляющему узлу не нужно посылать начальное состояние принимающему узлу). Серверы DMZ, связанные как с отправляющим, так и с принимающим медиаузлом, содержат генераторы скрытых чисел (опять же, являющиеся частью разделяемых секретов), которые содержат одинаковые алгоритмы в любой момент времени. Сервер DMZ, связанный с отправляющим узлом, использует состояние для генерации скрытого числа, а скрытое число - для определения алгоритма скремблирования из селектора или таблицы возможных алгоритмов скремблирования. Передающий узел передает состояние принимающему узлу. В отличие от начальных состояний, скрытые номера никогда не передаются по сети, а передаются исключительно по конфиденциальной линии связи между медиаузлом и его сервером DMZ. Когда принимающий медиаузел принимает состояние для входящего пакета данных, генератор скрытых чисел в связанном с ним сервере DMZ использует состояние для создания идентичного скрытого номера, который впоследствии используется с селектором или таблицей для идентификации алгоритма, в соответствии с которым будет дескремблироваться пакет. Это состояние может быть включено в пакет или может быть передано из отправляющего узла в принимающий узел до передачи пакета или по какой-нибудь другому маршруту.

Способы, используемые для динамического шифрования и разделения, аналогичны способам, используемым при динамическом скремблировании, но вместо "начального состояния" для динамического шифрования используются "ключи". Разделяемые секреты, хранящиеся на серверах DMZ, включают в себя селекторы или таблицы алгоритмов шифрования и разделения, а также генераторы ключей. В случае шифрования c симметричным ключом, отправляющий узел передает ключ принимающему медиаузлу, который может использоваться сервером DMZ принимающего узла для идентификации алгоритма, используемого при шифровании пакета, и тем самым дешифровать файл. В случае шифрования с асимметричным ключом медиаузел запрашивает информацию, т.е. принимающий узел сначала отправляет ключ шифрования узлу, содержащему передаваемый пакет данных. Затем отправляющий медиаузел зашифровывает данные в соответствии с этим ключом шифрования. Только принимающий медиаузел, генерирующий ключ шифрования, имеет соответствующий ключ дешифрования и возможность дешифровать зашифрованный текст, созданный с использованием этого ключа шифрования. Важно отметить, что при асимметричном шифровании доступ к ключу шифрования, используемому для шифрования, не предоставляет никакой информации о том, как расшифровать пакет данных.

В случае разделения медиаузел, в котором пакет был разделен, передает начальное состояние медиаузлу, в котором результирующие под-пакеты будут смешиваться, а сервер DMZ, связанный с узлом смешивания, использует это начальное состояние для идентификации алгоритма разделения и, следовательно, алгоритма, который будет использоваться при смешивании под-пакетов.

Как указано выше, в двух- или трехканальных вариантах осуществления изобретения функция сигнализации выполняется узлом сигнализации, работающим на отдельной группе серверов, называемых серверами сигнализации. В таких вариантах осуществления изобретения начальные состояния и ключи могут передаваться через серверы сигнализации, а не из отправляющего медиаузла непосредственно принимающему медиаузлу. Таким образом, отправляющий медиаузел может отправлять начальное состояние или ключ на сервер сигнализации, а сервер сигнализации может перенаправлять начальное состояние или ключ на принимающий медиаузел. Как было указано выше, серверы сигнализации отвечают за разработку маршрутов пакета, поэтому сервер сигнализации знает следующий медиаузел, которому направляется каждый пакет.

Чтобы усложнить задачу для потенциальных хакеров, список или таблица возможных способов скремблирования, разделения или шифрования в селекторе может периодически (например, ежечасно или ежедневно) "перетасовываться" таким образом, чтобы способы, соответствующие конкретным начальным состояниям или ключам, были изменены. Таким образом, алгоритм шифрования, применяемый данным медиаузлом к пакету, созданному в момент времени t1 в день 1, может отличаться от алгоритма шифрования, который он применяет к пакету, созданному в то же время t1 в день 2.

Каждый из серверов DMZ обычно физически связан с одним или несколькими медиаузлами в одной и той же "группе серверов". Как было указано выше, медиаузел может запрашивать указания о том, что делать с полученным пакетом, предоставляя связанному с ним серверу DMZ начальное состояние или ключ (например, на основе времени или состояния при создании пакета), но этот медиаузел не может получить доступ к разделяемым секретам или каким-либо другим данным или коду на сервере DMZ. Сервер DMZ отвечает на такие запросы, определяя по начальному состоянию или ключу, какой способ должен использовать медиаузел для дескремблирования, дешифрования или смешивания пакета. Например, если пакет скремблирован, и медиаузел хочет знать, как его дескремблировать, сервер DMZ может проверить список (или селектор) алгоритмов скремблирования, чтобы найти конкретный алгоритм, соответствующий данному начальному состоянию. Затем сервер DMZ дает команду медиаузлу дескремблировать пакет в соответствии с этим алгоритмом. Короче говоря, медиаузел передает запросы, содержащиеся в начальных состояниях или ключах, серверу DMZ, а сервер DMZ отвечает на эти запросы выдачей команд.

Несмотря на то, что медиаузлы доступны через Интернет (хотя у них нет IP-адресов, которые распознаются DNS), серверы DMZ полностью изолированы от Интернета, и соединяются только в локальной сети проводами или волоконно-оптическим кабелем с подключенными к этой сети медиасерверами.

В "одноканальных" вариантах осуществления изобретения начальные состояния и ключи передаются между отправляющим медиаузлом и принимающим медиаузлом в составе пакета данных или могут передаваться в отдельном пакете до передачи пакета данных по тому же маршруту, что и пакет данных. Например, при шифровании пакета медиаузел №1 может включить в пакет ключ шифрования на основе момента времени, в который было выполнено шифрование. Когда этот пакет поступает на медиаузел №2, медиаузел №2 передает ключ на соответствующий сервер DMZ, а сервер DMZ может с помощью этого ключа выбрать способ дешифрования в своем селекторе и выполнить дешифрование. Затем медиаузел №2 может направить запрос своему серверу DMZ, как снова зашифровать пакет, прежде чем передать его в медиаузел №3. Сервер DMZ снова обращается к селектору, сообщает медиаузлу №2, какой способ он должен использовать при шифровании пакета, и передает медиаузлу №2 ключ, который отражает состояние, соответствующее способу шифрования. Медиаузел №2 выполняет шифрование и передает зашифрованный пакет и ключ (отдельно или в составе пакета) медиаузлу №3. Затем этот ключ может быть аналогичным образом использован медиаузлом №3 для дешифрования пакета и т.д. В результате нет одного статического способа дешифрования, который хакер мог бы использовать при дешифровании пакетов.

Использование времени или динамического состояния "состояние" в приведенном выше примере для определения способа скремблирования, шифрования или разделения, которое должно быть включено в начальное состояние или ключ, является только иллюстративным. Любой изменяющийся параметр, например, количество узлов, через которые прошел пакет, также может использоваться как "состояние" в начальном состоянии или ключе для выбора конкретного способа скремблирования, шифрования или разделения, который будет использоваться.

В "двухканальных" вариантах начальные состояния и ключи могут передаваться между медиаузлами через второй канал "команд и управления", состоящий из серверов сигнализации, а не передаваться непосредственно между медиаузлами. Узлы сигнализации могут также предоставлять медиаузлам информацию маршрутизации и сообщать медиаузлам на маршруте пакета, как этот пакет должен быть разделен или смешан с другими пакетами, при этом они требуют, чтобы каждый медиаузел применял идентификационную "метку" для каждого передаваемого пакета, чтобы следующий медиаузел (узлы) был способен распознавать пакет(ы). Серверы сигнализации по возможности предоставляют данному медиаузлу информацию только о предыдущем и следующем медиаузлах пакета, проходящего через сеть. Ни один отдельный медиаузел не знает весь маршрут пакета через облако SDNP. В некоторых вариантах осуществления изобретения функция маршрутизации может быть распределена между двумя или более серверами сигнализации, при этом один сервер сигнализации определяет маршрут к конкретному медиаузлу, второй сервер сигнализации определяет маршрут от этого медиаузла к другому медиаузлу и так далее до выходного шлюзового узла. При этом ни один сервер сигнализации тоже не имеет полной информации о маршруте пакета данных.

В "трехканальных" вариантах третья группа серверов, называемая "серверами имен", используется для идентификации элементов в облаке SDNP и для хранения информации, касающейся идентификации устройств, подключенных к облаку SDNP, и их соответствующих IP-адресов или SDNP-адресов. Кроме того, серверы имен постоянно контролируют медиаузлы в облаке SDNP, поддерживая, например, текущий список активных медиаузлов и таблицу задержек распространения для каждой комбинации медиаузлов в облаке. На первом этапе размещения вызова клиентское устройство, например, планшет, может отправить IP-пакет на сервер имен с запросом адреса и другой информации получателя или вызываемого абонента. Кроме того, отдельный выделенный сервер имен используется для работы при первом контакте всякий раз, когда устройство впервые подключается, т.е. регистрируется, в облаке.

В качестве дополнительного преимущества с точки зрения безопасности в одиночном облаке SDNP могут быть предусмотрены отдельные "зоны" безопасности, имеющие разные селекторы, начальные состояния и генераторы ключей и другие разделяемые секреты. Смежные зоны соединяются мостовыми медиаузлами, которые содержат разделяемые секреты обеих зон и имеют возможность преобразовывать данные, отформатированные в соответствии с правилами для одной зоны, в данные, отформатированные в соответствии с правилами для другой зоны, и наоборот.

Аналогичным образом, для связи между различными облаками SDNP, обслуживаемыми, например, различными провайдерами услуг, между интерфейсными мостовыми серверами в каждом облаке формируется дуплексный канал связи. Каждый интерфейсный мостовой сервер имеет доступ к соответствующим разделяемым секретам и другим элементам безопасности для каждого облака.

Подобные способы безопасности обычно могут применяться на "последней миле" между облаком SDNP и клиентским устройством, например, сотовым телефоном или планшетом. Клиентское устройство обычно помещается в отдельную зону безопасности от облака и сначала должно стать авторизованным клиентом SDNP, что предполагает установку на клиентском устройстве специального программного пакета для зоны безопасности устройства, как правило, путем загрузки с сервера администрирования SDNP. Клиентское устройство связано с облаком SDNP через шлюзовой медиаузел в облаке. У шлюзового медиаузла есть доступ к разделяемым секретам, относящимся как к облачной зоне безопасности, так и к зоне безопасности клиентского устройства, но клиентское устройство не имеет доступа к разделяемым секретам, относящимся к облаку SDNP.

Для повышения уровня безопасности клиентские устройства могут обмениваться начальными состояниями и ключами напрямую друг с другом через серверы сигнализации. Таким образом, передающее клиентское устройство может отправлять начальное состояние и/или ключ прямо принимающему клиентскому устройству. В таких вариантах осуществления изобретения пакет, принятый принимающим клиентским устройством, будет находиться в той же скремблированной или зашифрованной форме, что и пакет, выходящий из отправляющего клиентского устройства. Таким образом, принимающее клиентское устройство может использовать начальное состояние или ключ, который оно получает от отправляющего клиентского устройства, чтобы дескремблировать или дешифровать пакет. Обмен начальными состояниями и ключами непосредственно между клиентскими устройствами дополняет собственное динамическое скремблирование и шифрование сети SDNP, и, таким образом, представляет собой дополнительный уровень безопасности, называемый вложенной безопасностью.

Кроме того, клиентское устройство или шлюзовой узел, с которым оно обменивается данными, могут смешивать пакеты, которые представляют собой данные одного и того же вида - например, голосовые пакеты, файлы текстовых сообщений, документы, части программного обеспечения, или которые представляют собой информацию разного типа, например, один голосовой пакет и один текстовый файл, один текстовый пакет и одно видео или фотоизображение - до того, как пакеты достигнут сети SDNP, а выходной шлюзовой узел или клиентское устройство получателя может разделять смешанный пакет для восстановления исходных пакетов. Это дополняет скремблирование, шифрование или разделение, которое происходит в сети SDNP. В таких случаях отправляющее клиентское устройство может отправить принимающему клиентскому устройству начальное состояние, в котором указывается, как разбить пакет, чтобы воссоздать исходные пакеты, которые были смешаны в отправляющем клиентском устройстве или шлюзовом медиаузле. Выполнение последовательного смешивания и разделения может включать в себя линейную последовательность операций или, как вариант, использовать вложенную архитектуру, где клиенты принимают свои собственные меры безопасности, и облако SDNP тоже.

Важным преимуществом настоящего изобретения является то, что в сети SDNP нет единого пункта управления и что ни один узел и ни один сервер в этой сети не имеет полного представления о том, как происходит передача данных или как она может динамически меняться.

Например, узлы сигнализации, работающие на серверах сигнализации, знают маршрут (или, в некоторых случаях, только часть маршрута), по которому происходит передача данных, но они не имеют доступа к содержимому передаваемых данных и не знают, кто является истинным вызывающим абонентом или клиентом. Кроме того, узлы сигнализации не имеют доступа к разделяемым секретам на серверах DMZ медиаузла, поэтому они не знают, как шифруются, скремблируются, разделяются или смешиваются пакеты данных во время передачи.

Серверы имен SDNP знают истинные номера телефонов или IP-адреса вызывающих абонентов, но не имеют доступа к передаваемым данным или маршрутизации различных пакетов и под-пакетов. Как и узлы сигнализации, серверы имен не имеют доступа к разделяемым секретам на серверах DMZ медиаузла, поэтому они не знают, как шифруются, скремблируются, разделяются или смешиваются пакеты данных во время передачи.

Медиаузлы SDNP, фактически передающие медиаконтент, не имеют представления о том, кто является отправителем информации, и не знают маршрут, по которому проходят различные фрагментированные под-пакеты через облако SDNP. В действительности, каждый медиаузел знает только, какие пакеты данных ожидать (идентифицируются своими метками или заголовками) и куда их отправлять дальше, т.е. "следующий переход", но медиаузлы не знают, как данные шифруются, скремблируются, смешиваются или разделяются, а также не знают, как выбрать алгоритм или дешифровать файл, используя состояние, числовое значение начального состояния или ключ. Знания, необходимые для правильной обработки сегментов данных входящих пакетов, известны только серверу DMZ, использующему свои разделяемые секреты, алгоритмы, недоступные по сети или самому медиаузлу.

Другим оригинальным аспектом настоящего изобретения является его способность уменьшать сетевую задержку и минимизировать задержку распространения для обеспечения QoS, а также исключать эхо-сигналы или отбрасывание вызовов путем управления размером пакетов данных, т.е. одновременно отправляя небольшие пакеты данных через облако, а не полагаясь на одно высокоскоростное соединение. Динамическая маршрутизация сети SDNP использует свои знания о задержках распространения между узлами сети для динамического выбора наилучшего маршрута для передачи данных в этот момент времени. В другом варианте осуществления изобретения для высокоприоритетных клиентов сеть может облегчать маршрутизацию передачи, отправляя дублированные сообщения во фрагментированном виде через облако SDNP, выбирая только самые быстрые данные для восстановления исходного звука или содержимого данных.

Среди многих преимуществ системы SDNP в соответствии с данным изобретением в вариантах с параллельной и "решетчатой передачей" пакеты могут быть фрагментированы при их переходе в облако SDNP, что предотвращает понимание сообщения потенциальными хакерами даже в том случае, если они способны расшифровать отдельный под-пакет или группу под-пакетов, а в "динамических" вариантах способы скремблирования, шифрования и разделения, применяемые к пакетам, постоянно изменяются, что не дает потенциальному хакеру какой-либо значительной выгоды от успешного дешифрования пакета в данный момент времени. Многочисленные дополнительные преимущества вариантов осуществления настоящего изобретения станут очевидны специалистам в данной области техники после ознакомления с приведенным ниже описанием.

Краткое описание чертежей

На приведенных ниже чертежах компонентам, которые имеют общее сходство, присвоены подобные числовые обозначения. Однако следует отметить, что не каждый компонент, которому присвоено определенное числовое обозначение, обязательно идентичен другому компоненту с тем же числовым обозначением. Например, операция шифрования, имеющая конкретное числовое обозначение, необязательно идентична другой операции шифрования с тем же числовым обозначением. Более того, группы компонентов, например, серверы в сети, которые имеют одно общее идентификационное числовое обозначение, необязательно идентичны друг другу.

На фигуре 1 схематически показана телефонная сеть с коммутацией каналов.

На фигуре 2 схематически показана сети связи с коммутацией пакетов.

На фигуре 3 схематически показана маршрутизация пакетов в сети связи с коммутацией пакетов.

На фигуре 4 в графическом виде показана конструкция IP-пакета для связи по сети с коммутацией пакетов.

На фигуре 5A схематически показана сеть связи, иллюстрирующая примеры физического уровня 1 соединения с высокой пропускной способностью.

На фигуре 5B схематически показана сеть связи, иллюстрирующая примеры физического уровня 1 соединения последней мили.

На фигуре 6A схематически показано соединение между двумя устройствами на физическом уровне 1.

На фигуре 6B схематически показано соединение между тремя устройствами на общем физическом уровне 1.

На фигуре 7A схематически показано соединение канального уровня 2 между тремя устройствами с использованием шинной архитектуры.

На фигуре 7B схематически показано соединение канального уровня 2 между тремя устройствами с использованием архитектуры с концентратором.

На фигуре 7C схематически показано соединение канального уровня 2 между тремя устройствами с использованием архитектуры последовательной цепи (daisy chain).

На фигуре 8A схематически показано соединение канального уровня 2 между тремя устройствами с сетевым коммутатором.

На фигуре 8B схематически в простом виде показан сетевой коммутатор.

На фигуре 8C схематически показана работа сетевого коммутатора.

На фигуре 9 в графическом виде показана конструкция канального уровня 2 IP-пакета с использованием протокола Ethernet.

На фигуре 10 схематически в простом виде показан сетевой мост Ethernet-радио.

На фигуре 11 в графическом виде показана конструкция канального уровня 2 IP-пакета с использованием протокола Wi-Fi.

На фигуре 12A схематически показана двунаправленная работа точки доступа к сети Wi-Fi.

На фигуре 12B схематически показана двунаправленная работа преобразователя Wi-Fi.

На фигуре 13 в графическом виде показана эволюция телефонной связи, передачи текста и данных по сетям сотовой связи.

На фигуре 14A в графическом виде показано распределение по частоте в сетях связи 4G/LTE.

На фигуре 14B в графическом виде показано кодирование при мультиплексировании с ортогональным частотным разделением каналов (OFDM), используемом в радиосвязи 4G/LTE.

На фигуре 15 в графическом виде показана конструкция канального уровня 2 IP-пакета с использованием протокола 4G/LTE.

На фигуре 16 схематически показана сети связи кабельного модема.

На фигуре 17 схематически показана конструкция канального уровня 2 сети связи кабельного модема.

На фигуре 18 в графическом виде показана конструкция решетчатой кодировки, используемой в кабельных модемах на основе DOCSIS.

На фигуре 19 в графическом виде показана конструкция канального уровня 2 пакета связи с использованием протокола DOCSIS.

На фигуре 20 схематически показано сетевое соединение уровня 3 между тремя устройствами.

На фигуре 21 в графическом виде показаны пакеты связи, сформированные в соответствии с семиуровневой моделью OSI.

На фигуре 22 в графическом виде показана конструкция сетевого уровня 3 для сравнения пакетов связи IPv4 и IPv6.

На фигуре 23 в графическом виде показан IP-пакет в соответствии с протоколом IPv4.

На фигуре 24 в графическом виде показан IP-пакет в соответствии с протоколом IPv6.

На фигуре 25 в графическом виде показаны поля адреса, построенные в соответствии с протоколами IPv4 и IPv6.

На фигуре 26 в графическом виде показано поле протокола/следующего заголовка в IP-пакете и его соответствующая полезной нагрузке.

На фигуре 27 схематически показан транспортный уровень 4 соединения между тремя устройствами.

На фигуре 28A в графическом виде показана конструкция транспортного уровня 4 IP-пакета с использованием протокола TCP.

На фигуре 28B приведена таблица, описывающая поля протокола TCP.

На фигуре 29 в графическом виде показана последовательности передачи TCP-пакета.

На фигуре 30 в графическом виде показана конструкция транспортного уровня 4 IP-пакета с использованием протокола UDP.

На фигуре 31A схематически показана передача данных на транспортном уровне 4 от клиента к хосту.

На фигуре 31B схематически показана передача данных на транспортном уровне 4 от хоста к клиенту.

На фигуре 31C приведена таблица, описывающая обычно используемое распределение портов UDP и TCP.

На фигуре 31D приведена таблица, описывающая выделенные блоки для адресов, зарезервированных и ad hoc-портов, используемых UDP и TCP.

На фигуре 32A схематически показан преобразователь сетевых адресов (NAT).

На фигуре 32B схематически показана работа преобразователя сетевых адресов.

На фигуре 33 схематически показаны три устройства, подключенные на прикладном уровне 5, уровне 6 и уровне 7.

На фигуре 34 схематически показана загрузка содержимого с использованием приложения уровня 7 для протокола передачи файлов (FTP).

На фигуре 35A схематически показана загрузки веб-страниц с использованием приложения уровня 7 для протокола передачи гипертекста (HTTP).

На фигуре 35B в графическом виде показана веб-страница HTML, созданная путем загрузки с различных серверов.

На фигуре 36 схематически показана приложения уровня 7 для электронной почты на основе протокола IMAP.

На фигуре 37 показана таблица, в которой сравнивается QoS для различных состояний сети.

На фигуре 38 показан график зависимости времени приема-передачи (RTT) от задержки распространения внутри узла сети.

На фигуре 39 схематически показаны различные примеры вредоносного ПО в сети связи.

На фигуре 40 в простом виде представлено сетевое соединение облака и последней мили, а также вредоносные программы, используемые при кибер-атаках.

На фигуре 41A показаны электронные устройства, способные контролировать связь по Ethernet и Wi-Fi.

На фигуре 41B показаны электронные устройства, способные контролировать сотовую телефонную связь.

На фигуре 41C показано электронное устройство, способное отслеживать связь по волоконно-оптическому кабелю.

На фигуре 42 показана таблица, в которой сравниваются десять имеющихся в продаже шпионских программ.

На фигуре 43 приведена карта мира, на которой показаны инциденты, связанные с проведением кибер-атак всего за один день.

На фигуре 44 показана возможность анализа IP-пакетов и проведения атак "человек посередине" в сети с коммутацией пакетов.

На фигуре 45 показана кибер-атака с использованием обнаружения на основе опроса портов.

На фигуре 46 показана кибер-атака, использующая захват IP-пакетов.

На фигуре 47 схематически показано шифрование с двумя ключами.

На фигуре 48A схематически показана виртуальная частная сеть.

На фигуре 48B показан стек связи виртуальной частной сети.

На фигуре 48C схематически показан VoIP-вызов по специальной VPN.

На фигуре 49A схематически показан OTT VoIP-вызов через Интернет.

На фигуре 49B схематически показан VoIP-вызов по одноранговой сети.

На фигуре 50 схематически показана обычная передача пакетов по сети.

На фигуре 51A схематически показан процесс скремблирования пакета.

На фигуре 51B схематически показан процесс дескремблирования пакетов.

На фигуре 51C схематически показаны различные алгоритмы скремблирования пакетов.

На фигуре 51D схематически показано статическое параметрическое скремблирование пакетов.

На фигуре 51E схематически показано динамическое скремблирование со скрытым числом.

На фигуре 51F схематически показано динамическое скремблирование пакетов с подмешиванием псевдослучайного сигнала.

На фигуре 52 схематически показано статическое скремблирование пакетов в линейной сети.

На фигуре 53 схематически показан процесс повторного скремблирования пакетов.

На фигуре 54 схематически показано динамическое скремблирование пакетов в линейной сети.

На фигуре 55A схематически показан процесс шифрования пакетов.

На фигуре 55B схематически показан процесс дешифрования пакетов.

На фигуре 56 схематически показан процесс скремблирования с шифрованием и его обратная функция.

На фигуре 57 схематически показано статическое скремблирование с шифрованием в линейной сети.

На фигуре 58 схематически показан процесс повторного пакетирования данных DUSE, включающий повторное скремблирование и повторное шифрование.

На фигуре 59 схематически показано динамическое скремблирование с шифрованием в линейной сети.

На фигуре 60A схематически показан процесс разделения пакетов фиксированной длины.

На фигуре 60B схематически показан процесс смешивания пакетов фиксированной длины.

На фигуре 61A схематически показаны различные способы смешивания пакетов.

На фигуре 61B схематически показано смешивание пакетов с конкатенацией.

На фигуре 61C схематически показано смешивание пакетов с чередованием.

На фигуре 62A схематически показан способ смешивания с последующим скремблированием.

На фигуре 62B схематически показан способ скремблирования с последующим смешиванием.

На фигуре 63 схематически показано статическое скремблирование с последующим смешиванием в линейной сети.

На фигуре 64 схематически показано динамическое скремблирование с последующим смешиванием в линейной сети.

На фигуре 65 схематически показаны различные процессы обработки зашифрованных пакетов.

На фигуре 66A схематически показано динамическое смешивание зашифрованных скремблированных данных в линейной сети.

На фигуре 66B схематически показано статическое смешивание скремблированных данных с динамическим шифрованием в линейной сети.

На фигуре 66C схематически показано динамическое смешивание, скремблирование и шифрование в линейной сети с использованием способа "возврат к нормальному состоянию".

На фигуре 66D схематически показан способ DUS-MSE возврата к нормальному состоянию.

На фигуре 67A схематически показано смешивание пакетов с одним выходом.

На фигуре 67B схематически показана смешивание пакетов с несколькими выходами.

На фигуре 67C схематически показано разделение пакетов переменной длины.

На фигуре 67D схематически показано разделение пакетов фиксированной длины.

На фигуре 67E показана блок-схема, иллюстрирующая алгоритм смешивания.

На фигуре 67F показана блок-схема, иллюстрирующая алгоритм разделения.

На фигуре 67G схематически показана блок-схема, иллюстрирующая двухступенчатый алгоритм смешивания и скремблирования.

На фигуре 67H показана блок-схема, иллюстрирующая гибридный алгоритм смешивания/скремблирования.

На фигуре 67I показана блок-схема, иллюстрирующая идентификацию меток.

На фигуре 68A схематически показана различные типы маршрутизации пакетов.

На фигуре 68B схематически показана одномаршрутная или линейная передача.

На фигуре 68C схематически показана мультимаршрутная или параллельная передача.

На фигуре 68D схематически показана передача по решетчатому маршруту.

На фигуре 68E схематически показан альтернативный вариант осуществления передачи по решетчатому маршруту.

На фигуре 69 схематически показана статическая мультимаршрутная передача.

На фигуре 70 схематически показано статическое мультимаршрутное скремблирование.

На фигуре 71A схематически показано динамическое мультимаршрутное скремблирование.

На фигуре 71B схематически показаны различные комбинации скремблирования и разделения.

На фигуре 71C схематически показано вложенное смешивание, разделение, скремблирование и шифрование.

На фигуре 72 схематически показан способ статического скремблирования с последующим разделением и динамическим шифрованием.

На фигуре 73 схематически показана мультимаршрутная передача статических скремблированных данных с динамическим шифрованием.

На фигуре 74 схематически показаны различные комбинации способов разделения, скремблирования и шифрования.

На фигуре 75 схематически показана статическая решетчатая маршрутизация данных переменной длины.

На фигуре 76 схематически показана статическая скремблированная решетчатая маршрутизация данных переменной длины.

На фигуре 77A схематически показано смешивание и разделение для решетчатой передачи данных переменной длины.

На фигуре 77B схематически показано смешивание и разделение для решетчатой передачи данных фиксированной длины.

На фигуре 77C схематически показаны различные комбинации возможностей подключения узла связи в решетчатой сети.

На фигуре 77D схематически показаны возможности подключения узла не планарной решетчатой сети.

На фигуре 78A схематически показано смешивание и разделение повторно скремблированных данных.

На фигуре 78B схематически показано смешивание дескремблированных данных решетчатых входов.

На фигуре 78C схематически показана операция разделения и скремблирования для решетчатых выходов.

На фигуре 78D схематически показано повторное скремблирование и повторное смешивание для решетчатой передачи.

На фигуре 79A схематически показано смешивание и разделение скремблированных данных фиксированной длины для решетчатой передачи.

На фигуре 79B схематически показан альтернативный вариант смешивания и разделения скремблированных данных фиксированной длины для решетчатой передачи.

На фигуре 80 схематически показана статическая скремблированная решетчатая маршрутизация данных переменной длины.

На фигуре 81A схематически показано смешивание и разделение зашифрованных данных.

На фигуре 81B схематически показано смешивание дешифрованных данных решетчатых входов.

На фигуре 81C схематически показано разделение и шифрование для решетчатых выходов.

На фигуре 82A схематически показан зашифрованный пакет с повторным скремблированием для решетчатой передачи.

На фигуре 82B схематически показана операция дешифрования, дескремблирования и смешивания (DUM) для решетчатых входов.

На фигуре 82C схематически показана операция разделения, скремблирования и шифрования (SSE) для решетчатых выходов.

На фигуре 83A схематически показан медиаузел SDNP для решетчатой передачи.

На фигуре 83B схематически показан одномаршрутный медиаузел SDNP.

На фигуре 83C схематически показан одномаршрутный проходной медиаузел SDNP.

На фигуре 83D схематически показан медиаузел SDNP для избыточного дублирования маршрута.

На фигуре 83E схематически показан медиаузел SDNP, выполняющий одномаршрутное скремблирование.

На фигуре 83F схематически показан медиаузел SDNP, выполняющий одномаршрутное дескремблирование.

На фигуре 83G схематически показан медиаузел SDNP, выполняющий повторное одномаршрутное скремблирование.

На фигуре 83H схематически показан медиаузел SDNP, выполняющий одномаршрутное шифрование.

На фигуре 83I схематически показан медиаузел SDNP, выполняющий одномаршрутное дешифрование.

На фигуре 83J схематически показан медиаузел SDNP, выполняющий повторное одномаршрутное шифрование.

На фигуре 83J схематически показан медиаузел SDNP, выполняющий одномаршрутное шифрование скремблированных данных.

На фигуре 83L схематически показан медиаузел SDNP, выполняющий одномаршрутное дешифрование дескремблированных данных.

На фигуре 83M схематически показан медиаузел SDNP, выполняющий повторное одномаршрутное пакетирование.

На фигуре 83N схематически показан решетчатый вход шлюза SDNP.

На фигуре 83O схематически показан решетчатый выход шлюза SDNP.

На фигуре 83P схематически показан скремблированный вход шлюза SDNP и дескремблированный выход шлюза SDNP.

На фигуре 83Q схематически показан зашифрованный вход шлюза SDNP и дешифрованный выход шлюза SDNP.

На фигуре 83R схематически показана скремблированный зашифрованный вход шлюза SDNP и дескремблированный дешифрованный выход шлюза SDNP.

На фигуре 83S схематически показана шлюзы SDNP, выполняющие решетчатое повторное скремблирование и решетчатое повторное шифрование

На фигуре 84A схематически показаны соединения медиаузла SDNP.

На фигуре 84B схематически показано облако SDNP.

На фигуре 84C схематически показана шифрованная связь между медиаузлами SDNP.

На фигуре 84D схематически показана межузловая шифрованная связь SDNP.

На фигуре 85A схематически показано облако SDNP с возможностью подключения последней мили к клиенту сотового телефона.

На фигуре 85B схематически показан шлюз SDNP с незащищенным соединением последней мили.

На фигуре 85C схематически показан шлюз SDNP с защищенным соединением последней мили.

На фигуре 85D схематически показан альтернативный вариант осуществления шлюза SDNP с защищенным соединением последней мили.

На фигуре 86 схематически показаны различные клиенты, подключенные к облаку SDNP.

На фигуре 87 схематически показана маршрутизация пакетов в облаке SDNP.

На фигуре 88A схематически показана маршрутизация пакетов, начинающаяся в облаке SDNP.

На фигуре 88B схематически показана маршрутизация пакетов первого облачного перехода в облаке SDNP.

На фигуре 88C схематически показана маршрутизация пакетов второго облачного перехода в облаке SDNP.

На фигуре 88D схематически показана маршрутизация пакетов третьего облачного перехода в облаке SDNP.

На фигуре 88E схематически показана маршрутизацию пакетов из шлюза облака SDNP.

На фигуре 88F схематически показана сводная информация о маршрутизации пакетов в облаке SDNP для конкретного сеанса.

На фигуре 89A схематически показана маршрутизация пакетов, начинающаяся в облаке SDNP, для альтернативного сеанса.

На фигуре 89B схематически показана маршрутизация пакетов первого облачного перехода в облаке SDNP для альтернативного сеанса.

На фигуре 89C схематически показана маршрутизация пакетов второго облачного перехода в облаке SDNP для альтернативного сеанса.

На фигуре 89D схематически показана маршрутизация пакетов третьего облачного перехода в облаке SDNP для альтернативного сеанса.

На фигуре 89E схематически показана маршрутизация пакетов четвертого облачного перехода в облаке SDNP для альтернативного сеанса.

На фигуре 89F схематически показана маршрутизацию пакетов из шлюза облака SDNP для альтернативного сеанса.

На фигуре 89G схематически показана сводная информация о маршрутизации пакетов в облаке SDNP для альтернативного сеанса.

На фигуре 90 схематически показано содержимое пакетов SDNP, доступное для проведения атак типа "человек посередине" и анализа пакетов.

На фигуре 91A в графическом виде схематически показана передача пакетов SDNP во времени.

На фигуре 91B схематически показана передача пакетов SDNP во времени в виде таблицы.

На фигуре 91C в графическом виде схематически показан пакет SDNP для альтернативного сеанса передачи пакетов во времени.

На фигуре 92A схематически показано управление входящими пакетами SDNP для медиаузла SDNP.

На фигуре 92B схематически показано управление исходящими пакетами SDNP для медиаузла SDNP.

На фигуре 93 схематически показан выбор алгоритма SDNP.

На фигуре 94 схематически показана регулярная перестановка алгоритма SDNP.

На фигуре 95A схематически показано многозонное облако SDNP.

На фигуре 95B схематически показано многозонное управление защищенностью SDNP.

На фигуре 95C схематически показан многозонный дуплексной мост SDNP.

На фигуре 95D схематически показана многозонная сеть SDNP, содержащая несколько облаков.

На фигуре 95E схематически показана незащищенная связь между облаками SDNP.

На фигуре 95F схематически показана использование многозонных дуплексных мостов SDNP для защищенных каналов связи между облаками.

На фигуре 96A схематически показан защищенный шлюз SDNP и канал последней мили к планшету клиента.

На фигуре 96B схематически показаны функции облачного интерфейса.

На фигуре 96C схематически показаны функции клиентского интерфейса.

На фигуре 96D схематически показаны функции клиента.

На фигуре 97A схематически показаны функциональные элементы защищенного шлюза облака SDNP.

На фигуре 97B схематически показана взаимосвязь функциональных элементов в защищенном шлюзе облака SDNP.

На фигуре 98 схематически показан клиентский интерфейс в защищенном шлюзе облака SDNP.

На фигуре 99A схематически показано управление ключами при многозонной передаче.

На фигуре 99B схематически показано управление ключами при многозонной передаче с использованием скремблирования при передаче в облаке SDNP.

На фигуре 99C схематически показано управление ключами при многозонной передаче с использованием скремблирования при передаче в облаке SDNP и на одиночном маршруте последней мили.

На фигуре 99D схематически показано управление ключами при многозонной передаче со сквозным скремблированием.

На фигуре 99E схематически показано управление ключами при многозонной передаче с использованием скремблирования при передаче в облаке SDNP и на одиночном маршруте последней мили с повторным скремблированием.

На фигуре 99F схематически показано управление ключами при многозонной передаче с повторным скремблированием, специфическим для зоны.

На фигуре 100A схематически показана доставка и установка кода SDNP.

На фигуре 100B схематически показана доставка и многозональная установка кода SDNP.

На фигуре 101A схематически показана доставка секретных данных SDNP на сервер DMZ.

На фигуре 101B схематически показана связь по медиаканалам секретных данных.

На фигуре 101C схематически показана передача секретных данных и ключей по медиаканалу SDNP.

На фигуре 102 схематически показано динамическое управление SDNP через сервер сигнализации SDNP.

На фигуре 103A схематически показана доставка ключей и начальных состояний SDNP через сервер сигнализации SDNP.

На фигуре 103B схематически показан альтернативный вариант осуществления доставки ключей и начальных состояний SDNP через сервер сигнализации SDNP.

На фигуре 104 схематически показана доставка клиенту SDNP.

На фигуре 105A схематически показана одноканальная доставка ключей и начальных состояний SDNP клиенту.

На фигуре 105B схематически показан альтернативный вариант осуществления одноканальной доставки ключей и начальных состояний SDNP клиенту.

На фигуре 106 схематически показана клиентская перестановка алгоритма SDNP.

На фигуре 105A схематически показана двухканальная доставка ключей и начальных состояний SDNP клиенту.

На фигуре 108 схематически показана доставка открытого ключа клиенту SDNP.

На фигуре 109 схематически показана одноканальная решетчатая передача данных SDNP.

На фигуре 110A показана блок-схема специальной связи по медиаканалу SDNP, часть 1.

На фигуре 110B показана блок-схема специальной связи по медиаканалу SDNP, часть 2.

На фигуре 110C показана блок-схема специальной связи по медиаканалу SDNP, часть 3.

На фигуре 110D показана блок-схема специальной связи по медиаканалу SDNP, часть 4.

На фигуре 110E показана блок-схема специальной связи по медиаканалу SDNP, часть 5.

На фигуре 110F показана блок-схема специальной связи по медиаканалу SDNP, часть 6.

На фигуре 111A приведена блок-схема, содержащая сводные данные о специальной последовательности отправки пакета SDNP.

На фигуре 111B показана карта сети, содержащая сводные данные о маршрутизации отправки в SDNP.

На фигуре 112A приведена блок-схема, содержащая сводные данные о специальной последовательности ответа пакета SDNP.

На фигуре 112B показана карта сети, содержащая сводные данные о маршрутизации ответа в SDNP.

На фигуре 113A схематически показана подготовка пакета SDNP.

На фигуре 113B схематически показан альтернативный вариант осуществления подготовки пакета SDNP.

На фигуре 114 показана таблица, содержащая сводные данные об одном из вариантов реализации архитектуры пакета SDNP.

На фигуре 115 схематически показан вариант осуществления двухканальной решетчатой передачи данных SDNP, в котором функция сигнализации внутри облака реализуется теми же серверами, которые действуют как медиаузлы, а функция сигнализации на участках первой и последней мили реализуется отдельными серверами сигнализации.

На фигуре 116 схематически показан альтернативный вариант осуществления двухканальной решетчатой передачи данных SDNP, в котором функция сигнализации, как в облаке, так и на участках первой и последней мили реализуется отдельными серверами сигнализации.

На фигуре 117 схематически показана трехканальная решетчатая передача данных SDNP.

На фигуре 118 схематически показан узел SDNP и регистрация устройств.

На фигуре 119 схематически показан контроль задержки распространения в SDNP в режиме реального времени.

На фигуре 120 показан график, иллюстрирующий контроль задержки распространения тестового пакета.

На фигуре 121 схематически показана трехканальная решетчатая передача данных SDNP.

На фигуре 122 схематически показаны резервные серверы имен SDNP.

На фигуре 123 схематически показаны резервные серверы сигнализации SDNP.

На фигуре 124A показана блок-схема трехканальной связи SDNP, часть 1.

На фигуре 124B показана блок-схема трехканальной связи SDNP, часть 2.

На фигуре 124C показана блок-схема трехканальной связи SDNP, часть 3.

На фигуре 124D схематически показана блок-схема, показывающая трехканальную связь SDNP, часть 4.

На фигуре 124E схематически показана блок-схема, показывающая трехканальную связь SDNP, часть 5.

На фигуре 125A приведена блок-схема, содержащая сводные данные о трехканальной последовательности отправки пакета SDNP.

На фигуре 125B показана карта сети, содержащая сводные данные о маршрутизации трехканальной отправки пакетов SDNP.

На фигуре 126A приведена блок-схема, содержащая сводные данные о трехканальной ответной последовательности пакетов SDNP.

На фигуре 126B показана карта сети, содержащая сводные данные о маршрутизации трехканальной ответной последовательности пакетов SDNP.

На фигуре 126C приведена блок-схема, содержащая сводные данные об альтернативном варианте осуществления трехканальной ответной последовательности пакетов SDNP.

На фигуре 127 схематически показана предварительная обработка пакета узла SDNP.

На фигуре 128 схематически показано повторное пакетирование SDNP.

На фигуре 129A схематически показано восстановление пакетов последнего узла в реальном времени.

На фигуре 129B схематически показано восстановление пакетов буферизованного последнего узла.

На фигуре 129C схематически показано восстановление пакетов буферизованного клиента.

На фигуре 129D показана блок-схема, содержащая сводные данные о конструкции клиентского пакета.

На фигуре 130 схематически показана команда SDNP и пакеты сигналов управления.

На фигуре 131 схематически показано определение динамического маршрута SDNP.

На фигуре 132A приведена блок-схема, показывающая пакеты сигналов управления и команд, путь 1-1.

На фигуре 132B приведена блок-схема, показывающая пакеты сигналов управления и команд, путь 1-2.

На фигуре 132C схематически показано восстановление пакета SDNP.

На фигуре 133A схематически показано представление уровней OSI фрагментированной передачи SDNP.

На фигуре 133B схематически показано представление уровней модели OSI для туннельной фрагментированной передачи SDNP.

На фигуре 134 схематически показана маршрутизация передачи пакетов SDNP.

На фигуре 135 показана таблица, сравнивающая связь по сети SDNP со связью по другим сетям с коммутацией пакетов.

Описание изобретения

После почти полутора веков использования телефонных сетей с коммутированными каналами современные системы и сети связи за период времени длительностью всего лишь в какое-то десятилетие перешли к использованию способа пакетной коммутации данных с использованием протокола сети Интернет, с передачей данных через сети стандартов Ethernet, Wi-Fi, 4G/LTE и DOCSIS3 по обычным и оптоволоконным кабелям. Можно назвать много преимуществ технологии совместной передачи голосовых, текстовых данных, компьютерных данных, а также статических и видеоизображений; среди них - использование резервных трактов передачи данных для гарантирования надежной доставки IP-пакетов (что является причиной, по которой Интернет изначально и создавался), а также беспрецедентный уровень взаимодействия и возможностей по объединению сетей в масштабах всего мира. Однако, как и в случае с любыми инновациями, степень сложности задач, которые приходится решать в связи с введением в действие новых технологий, сопоставима с количеством предоставляемых ими преимуществ.

Недостатки существующих провайдеров услуг связи

Как было описано во вступительной части данного повествования, современные системы связи характеризуются многими недостатками. Самые производительные системы связи сегодня, состоящие из созданного по особому заказу цифрового оборудования, которое находится в собственности крупнейших мировых провайдеров услуг дальней связи, таких как AT&T, Verizon, NTT, Vodaphone и т.д., как правило, обеспечивают превосходное качество передачи голоса, но по высокой стоимости, которая включает в себя высокие тарифы ежемесячной абонплаты, тарифы на подключение услуг, тарифы на использование дальней связи, сложные планы учета различных скоростей передачи данных, оплату роуминговых услуг при использовании дальней связи, а также различные тарифы на использование услуг по техническому обслуживанию оборудования. Так как форма собственности указанных сетей является частной, информация о фактической безопасности передачи данных не находится в общественном доступе; и факты нарушения безопасности данных, совершения хакерских атак и несанкционированного вмешательства в работу систем не обнародуются публично. С учетом количества фактов подслушивания телефонных разговоров и нарушения права на неприкосновенность частной жизни, о которых средства массовой информации сообщают ежедневно, существуют серьезные сомнения в безопасности процесса связи, обеспечиваемого частными провайдерами соответствующих услуг - под угрозой может находиться безопасность передачи данных, находящихся если не в частном облаке указанных провайдеров, то, по меньшей мере, в процессе их передачи с использованием соединений "последней мили".

"Интернет-провайдеры" являются еще одним звеном в глобальной сети коммуникаций. Как описано в предисловии к данному изобретению, процесс передачи голосовых сообщений по сети Интернет с использованием технологии VoIP характеризуется множеством проблем, связанных с QoS, включая следующие:

● Интернет, будучи сетью с пакетной коммутацией данных, не предназначен для регулярной во времени передачи IP-пакетов, или же для поддержки приложений в режиме реального времени с низкими значениями временных задержек и высоким качеством обслуживания

● Характер маршрутизации IP-пакета является непредсказуемым, что приводит к возникновению задержек постоянно меняющейся величины, внезапным "выбросам" большого количества ошибок передачи данных, а также неожиданным "провалам" в передаче голосовых данных

● Маршрут передачи IP-пакета выбирается по усмотрению Интернет-провайдера, который определяет конкретную сеть, через которую будет осуществляться передача пакетных данных, и может регулировать процесс маршрутизации с учетом балансирования загрузки своей собственной сети или же лучшего обслуживания своих VIP-клиентов за счет ухудшения качества соединения основной массы своих клиентов - общего трафика в своей сети.

● Провайдеры услуг "низкого качества" ("OTT providers"), такие как, например, Line, KakaoTalk, Viber и т.д., используют свободные, "открывающиеся" в конкретный момент времени случайным образом каналы передачи данных в сети Интернет, путешествуя по нему "автостопом" и, таким образом, не имея возможности контролировать факторы, обеспечивающие качество передачи данных в сети.

● Использование тяжеловесных аудиокодеков, которые не способны обеспечить разборчивость передаваемых голосовых данных даже при умеренных скоростях передачи данных

● Использование технологии передачи голосовых данных, базирующейся на применении протокола передачи данных TCP, приводит к высоким временным задержкам и снижению качества аудиопотока, что связано с наличием задержек, вызванных использованием протоколов "рукопожатия" и процессами повторной передачи IP-пакетов. При использовании в процессе передачи данных только протокола UDP без вспомогательных средств, отсутствуют гарантии сохранения целостности полезной нагрузки.

Вдобавок к вопросам низкого качества обслуживания, уровень безопасности сегодняшних устройств и сетей является совершенно неприемлемым и не соответствует нуждам будущих глобальных коммуникаций. Как описано во вступлении и было ранее показано на фигуре 40, уровень безопасности сетей перед лицом большого количества осуществляемых кибернетических атак с использованием коммуникационных устройств, включая те, на которых установлено шпионское программное обеспечение, троянские программы, программы-вирусы и программы для фишинга, является неадекватным; среди опасностей, поджидающих пользователя на уровне "последнего звена" - шпионское программное обеспечение, перехват пакетов, подслушивание телефонных разговоров и перехват разговоров с использованием ложных пиратских базовых станций; на уровне местной сети или части сети, обслуживаемой местными телефонными компаниями (соединения "последней мили") - шпионское программное обеспечение, перехват пакетов, вирусные программы и пиратские "атаки посредников". К самому облаку может осуществляться несанкционированный доступ, сопровождающийся взломом средств обеспечения безопасности на любом из шлюзов - здесь вступают в действие такие факторы, как использование вирусного программного обеспечения, атаки кибер-пиратов ("атаки посредников"), DoS-атаки, а также несанкционированная правительственная слежка. Подытожив, можно сказать, что безопасность сегодняшнего процесса связи находится под угрозой с учетом многочисленных уязвимостей, с легкостью используемых кибер-пиратами и обеспечивающих возможность совершения кибер-преступлений или нарушения приватности пользователей в кибернетическом пространстве; среди указанных видов уязвимости можно назвать следующие:

● Наличие открытой информации о получателе IP-пакета, включая IP-адрес получателя, номер порта получателя и MAC-адрес получателя.

● Наличие открытой информации об источнике IP-пакета, включая IP-адрес источника, номер порта источника и MAC-адрес источника.

● Наличие открытой информации о типе используемого транспортного уровня Слоя 4, а также (на основе информации о номере порта) -о типе запрашиваемой услуги и данных приложения, заключенных внутри полезной нагрузки IP-пакета

● При использовании незашифрованных файлов - наличие доступа ко всем данным приложения и файловым данным, заключенным внутри полезной нагрузки IP-пакета, -включая личную и конфиденциальную информацию, данные входа в систему, пароли приложений, финансовые данные, а также видео- и фото-данные

● Наличие диалога связи, что дает возможность кибер-преступнику осуществлять повторные попытки взлома зашифрованных файлов

● Наличие многочисленных возможностей по установке вредоносного ПО (включая шпионское ПО, программы для фишинга и троянские программы) на устройства связи и маршрутизаторы с использованием путей проникновения вирусов через протокол FTP, сообщения электронной почты и веб-страницы.

Повторяя ключевое положение, можно заявить, что фундаментально присущий сетям с пакетной коммутацией, использующим Интернет-протокол (показано на фигуре 44), недостаток заключается в том, что любая враждебно настроенная сторона или кибер-пират, перехватившие 670 IP-пакет, могут видеть, какие устройства участвовали в процессе создания данных, входящих в состав IP-пакета, откуда пришел этот IP-пакет, куда он пересылается сейчас, как происходит процесс передачи данных (т.е., используется ли протокол UDP или же используется протокол TCP), а также запрос на предоставление какой услуги был отправлен (т.е., данные приложения какого типа содержатся внутри полезной нагрузки). В данном отношении, кибер-пират способен определить "контекст" разговора, что облегчает ему процесс взлома используемого кода шифрования, компрометации безопасности используемого пароля и получения несанкционированного доступа к файлам, данным и содержанию полезной нагрузки.

Шифрование - Для защиты от различного рода описанных кибер-атак, современные сетевые администраторы, специалисты по информационным технологиям и сами программные приложения могут использовать, в основном, лишь одно средство защиты - шифрование. Шифрование является средством преобразования обычного, легкоузнаваемого текста (текста, предназначенного для чтения, текста исполняемых программ, предназначенных к просмотру видеофайлов, файлов изображений или же предназначенных к прослушиванию аудиофайлов) в альтернативные типы файлов, известные под названием "зашифрованный текст", которые представляются в виде потоков бессмысленных текстовых символов.

Процесс шифрования, преобразования незащищенного файла в зашифрованный файл, включает в себя использование логических или математических алгоритмов, которые называются "кодом", что позволяет преобразовать данные в эквивалентные текстовые элементы без демонстрации какой-либо очевидной модели процесса преобразования, протекающего во время шифрования. После этого зашифрованный файл пересылается по сети связи или же с использованием какого-либо компьютерного носителя на устройство-получатель. После получения файла получающее устройство декодирует зашифрованное сообщение с использованием процесса, известного под названием "дешифрование", для отображения оригинального содержимого файла. Дисциплина, изучающая процессы шифрования и дешифрования и известная под общим наименованием "криптография", соединяет в себе элементы математики (включая теорию чисел, теорию множеств и теорию разработки алгоритмов), компьютерной науки и электротехники.

При использовании простых технологий шифрования, с применением "одного ключа" или "симметричного ключа", для разблокировки процесса шифрования и дешифрования файла может использоваться одно ключевое слое или одна ключевая фраза, заранее известная обеим сторонам, обменивающимся информацией. Например, во время Второй мировой войны подводные лодки и морские суда обменивались сообщениями по открытым каналам радиосвязи с использованием технологии шифрования сообщений. В самом начале, в процессе шифрования использовался лишь один ключ. Путем анализа моделей кода, криптологи Альянса иногда могли вычислить ключевое слово или модель, использовавшиеся в процессе шифрования, и, таким образом, тайно прочитать зашифрованные сообщения. По мере усложнения способов шифрования процесс взлома кода вручную все более усложнялся.

Код шифрования эволюционировал в шифры, основывающиеся на применении механических машин, что являлось ранней формой компьютерных вычислений. В то время единственным способом взлома кода являлась кража шифровального аппарата и использование для дешифровки сообщений тех же самых инструментов, которые использовались и для их шифрования. Самой трудной задачей было выкрасть шифровальный аппарат и не быть пойманным при выполнении этой задачи. Если врагу становилось известным, что тайна шифровальной машины была нарушена, он просто изменял используемый код (шифр) и обновлял с учетом этого изменения уже функционирующие шифровальные аппараты. Данный принцип все еще практикуется и сегодня - самой эффективной кибер-атакой является та, которая не была обнаружена.

С появлением компьютерных технологий и наступлением времен Холодной войны процесс шифрования стал более сложным, однако скорость работы компьютеров, используемых в процессе взлома кодов шифрования, также увеличилась. На каждой стадии развития процесса безопасной связи технологии и практические навыки шифрования информации и возможности по взлому кода шифрования развивались практически параллельно друг другу, с одной и той же скоростью. Важный следующий шаг в развитии технологий шифрования был предпринят в 70-х годах, когда была представлена инновационная технология шифрования на двойном ключе; этот принцип используется и по сей день. Одним из наиболее известных способов шифрования на двойном ключе является использование криптосистемы открытого ключа RSA-кодирования - способа, названного по первым буквам имен его разработчиков: Rivest, Shamir и Adleman. Несмотря на то, что в развитии указанного способа официально признаны заслуги лишь указанных разработчиков, многие из их современников независимо от них также пришли к использованию аналогичного способа. Способ RSA использует два криптографических ключа, в основе которых лежат два больших простых числа, которые не разглашаются публично. Один из алгоритмов используется для преобразования указанных двух простых чисел в ключ шифрования, который в этом документе обозначается как E-key; другой математический алгоритм используется для преобразования тех же двух тайных простых чисел в тайный ключ дешифрования, который в данном документе обозначается также как D-key. Пользователь системы RSA, который выбрал тайные простые числа (в данном документе обозначается как "владелец ключа"), распространяет, или "публикует" данный ключ E-key, сгенерированный с использованием соответствующего алгоритма и имеющий размер, который, как правило, варьируется от 1024 бит до 4096 бит, всем, кто желает зашифровать свой файл. В связи с тем, что этот ключ отправляется многим пользователям в незашифрованном виде, ключ E-key известен под названием "открытого ключа".

Стороны, желающие поддерживать связь с владельцем ключа, затем используют указанный открытый ключ E-key в сочетании с доступным алгоритмом, находящимся в открытом доступе, который, как правило, предлагается в форме коммерческого программного обеспечения, в процессе осуществления шифрования любого файла, который предполагается переслать конкретному владельцу ключа. При получении зашифрованного файла владелец ключа использует тайный ключ D-key для дешифрования указанного файла; в процессе данного действия файл преобразуется в обычный незашифрованный текст. Уникальностью способа двойного ключа, в общем случае, и, конкретно, алгоритма RSA является тот факт, что открытый ключ E-key, используемый для шифрования файла, не может использоваться для дешифрования. Для дешифрования может быть использован только тайный ключ D-key, которым располагает владелец ключа.

Концепция использования двойного ключа, раздельного ключа или "множественного" ключа при шифровании и дешифровании файлов не ограничивается способом RSA или любым другим алгоритмическим способом, но, с методологической точки зрения, описывает способ осуществления связи в качестве определенной последовательности этапов. Фигура 47, например, иллюстрирует процесс обмена двумя ключами во время процедуры обмена информацией средствами сети с коммутируемыми пакетами данных. Согласно иллюстрации, ноутбук 35, который "желает" получить защищенный файл с сотового телефона 32, сначала генерирует два ключа - ключ E-key 690 для шифрования и ключ D-key 691 для дешифрования, с использованием конкретного алгоритма. Ноутбук 35 затем пересылает ключ E-key 690 на сотовый телефон 32 с использованием общественной сети 692, через которую передается 695 ip-пакет. Процесс пересылки 695 IP-пакета, очевидно, иллюстрирует использование незашифрованной формы, MAC-адреса, IP-адреса источника (NB) и адреса порта №9999 ноутбука 35, а также IP-адреса получателя (CP), порта №21 сотового телефона 32 и протокола передачи данных TCP, а также зашифрованной копии ключа E-key 690 в качестве своей полезной нагрузки.

Используя заранее согласованный алгоритм шифрования или программный пакет, сотовый телефон 32 затем обрабатывает незашифрованный текстовый файл 697А с использованием алгоритма шифрования 694А и ключа шифрования E-key 690, что дает на выходе зашифрованный файл, а именно, зашифрованный текст 698, который передается в качестве полезной нагрузки 696 IP-пакета в процессе защищенной передачи данных 693 с сотового телефона 32 на ноутбук 35. При получении 696 IP-пакета, для дешифровки файла с использованием секретного ключа дешифрования (например, ключа D-key 691) используется алгоритм 694В. Так как обеспечивается согласование ключа D-key 691 с ключом E-key 690, то, по сути, при работе алгоритма 694В для дешифровки зашифрованного текста 698 используется информация об обоих ключах; в процессе обеспечивается создание незашифрованного обычного текста 697В. В то время как полезная нагрузка 696 IP-пакета защищена в форме зашифрованного файла (т.е., зашифрованного текста 698), остальная часть IP-пакета по-прежнему пересылается в незашифрованной форме (что открывает возможность ее перехвата), открытой к прочтению любым кибер-пиратом, включая информацию об IP-адресе источника (СР) и номере порта (№20), а также об IP-адресе получателя (NB) и связанном номере порта (№9999). Итак, даже если полезная загрузка сама по себе и не может быть открыта, другие составляющие процесса обмена информацией по-прежнему могут отслеживаться.

Виртуальные частные сети - Другим способом обеспечения безопасности, также основанным на использовании процедуры шифрования, является использование так называемой виртуальной частой сети" (VPN). При использовании VPN в сети, где происходит передача зашифрованных IP-пакетов, формируется "туннель" или "безопасный канал". При использовании VPN шифруется не только лишь полезная нагрузка, но также и содержимое всего IP-пакета, который затем "встраивается" в другой незашифрованный IP-пакет, выполняя функцию "переносчика" данных, при помощи которого инкапсулированный пакет передается от одного шлюза VPN к другому. Первоначально, виртуальные частные сети использовались для объединения неравноправных локальных сетей в одно целое на большом расстоянии - например, когда компании-владельцы частных сетей в Нью-Йорке, Лос-Анджелесе и Токио хотели объединить свои различные локальные сети в одну с использованием такой же функциональности, как будто бы это была одна глобальная частная сеть.

Основной принцип работы виртуальных частных сетей показан на фигуре 48А, где сервер 700, будучи частью одной локальной сети, поддерживающей определенное количество устройств в беспроводном режиме с использованием радиосоединений 704 и в проводном режиме с использованием соединений 701, соединяется при помощи "виртуальной частной сети" (VPN), состоящей из контента 706 и VPN-туннеля 705, со вторым сервером 707, который имеет проводные соединения 708 с настольными компьютерами 709А через 709С, с ноутбуком 711, а также с базовой станцией Wi-Fi 710. В добавление к указанным соединениям, характеризующимся относительно низкой пропускной способностью, сервер 707 соединен также с суперкомпьютером 713 посредством высокоскоростного соединения 712. В процессе функционирования данной системы, внешний 714 IP-пакет с сервера А (с указанием IP-адреса источника (S8) и номера порта (№500)) отсылается на сервер В с IP-адресом получателя S9 и номером порта 500. Указанный внешний 714 IP-пакет описывает процесс формирования серверами 700 и 707 зашифрованного "туннеля" передачи данных между ними в прямом и обратном направлении. Полезная нагрузка VPN внешнего пакета 714 содержит в своем составе 715 IP-пакет "последней мили", что обеспечивает непосредственный обмен информацией между настольным компьютером 702В с IP-адресом источника DT и соответствующим специально созданным для этой цели портом №17001, а также ноутбуком 711 с IP-адресом источника NB и соответствующим специально созданным для этой цели портом №21; указанный пакет несет в себе запрос на передачу файлов.

Для того чтобы осуществить указанную передачу данных в безопасном режиме с использованием виртуальной частной сети, был создан туннель VPN 705, и инициировано открытие сеанса еще до того, как произошла фактическая передача данных. При использовании в корпоративном окружении, туннель VP 705 не пересылается через Интернет с использованием специально созданных для этого портов, но, в общем случае, пересылается с использованием специально выделенного провайдера Интернет-услуг или провайдера связанных услуг, имеющего в своем распоряжении собственный волоконно-оптический кабель и сеть аппаратных средств. Провайдер услуг часто заключает с компанией ежегодные или долгосрочные контакты, по условиям которых гарантируется определенная пропускная способность VPN-серверов за определенную плату. В идеальном случае указанный выделенный высокоскоростной канал связи используется для прямого соединения серверов 700 и 707 без промежуточных соединений (или "соединений последней мили"), применение которых могло был негативно отразиться на скорости передачи данных через виртуальную частную сеть, качестве предоставляемых услуг или безопасности передаваемых данных.

На практике, использование обычных виртуальных частных сетей требует наличия двухступенчатого процесса - на первой стадии создается виртуальная частная сеть или осуществляется "вход" в нее, а на втором - происходит передача данных внутри безопасного канала, или "туннеля". Концепция туннелирования иллюстрируется иерархически на фигуре 48В, где внешние IP-пакеты, переносимые стеками передачи данных 720 и 721, формируют VPN-соединение 722 на слоях с 1 по 4, используют Слой 5 для создания виртуального VPN-сеанса 723 и используют Слой 6 - слой презентации - для содействия процессу шифрования 725, для обеспечения процесса передачи информации между шлюзами с использованием VPN-канала 705 между серверами 700 и 707. В то время как VPN-соединение 722 использует Интернет-протокол для пересылки IP-пакетов, Слой 1 протокола физического уровня VPN и Слой 2 канала передачи данных VPN, в общем случае, поддерживаются выделенным провайдером услуг и не используют непредсказуемых маршрутов передачи данных через сеть Интернет. Данные Слоя 6 приложения, передаваемые в качестве потока информации "от устройства к устройству" 706 между, например, настольными компьютерами 702С и 709А, передаются в качестве инкапсулированных (туннелированных) данных 726, включая все семь слоев OSI, необходимых для установления связи так, как будто бы виртуальной частной сети не существовало.

В процессе функционирования внешний IP-пакет из стека передачи данных 720 сразу после его пересылки на сервер 707 открывается для выявления инкапсулированных данных 726 - истинного содержимого пакета. Таким образом, в процессе сквозной передачи данных в сети не выявляются подробности формирования VPN-туннеля, за исключением того факта, что VPN-туннель должен быть образован прежде, чем будет осуществлена какая-либо попытка передачи данных, и должен быть закрыт после окончания разговора. Если VPN-туннель не будет открыт до начала указанного процесса, это приведет к тому, что будет осуществляться незашифрованная передача 715 IP-пакета, данные которого могут быть перехвачены, похищены, заражены вирусом и т.д. Если VPN-туннель не будет закрыт после окончания разговора, это может предоставить кибернетическому преступнику возможность скрыть свою противозаконную деятельность внутри чьего-либо VPN-туннеля и, в случае ее обнаружения, может привести к тому, что подозрение в совершении уголовного преступления будет предъявлено невиновному лицу.

В то время как использование виртуальных частных сетей является обычным способом обеспечения соединения множественных частных локальных сетей друг с другом с использованием частных соединений с выделенной пропускной способностью и шириной пропускания, использование виртуальных частных сетей в составе общественных сетей и Интернета является проблематичным при общении между двумя заинтересованными сторонами. Одной из проблем использования виртуальных частных сетей является то, что VPN-соединение должно быть установлено заранее, еще до того, как оно сможет быть использовано, а не на основе взаимного обмена пакетами данных. Например (согласно фигуре 48С на примере звонка с использованием передачи голоса по IP-протоколу (технология VoIP) с соединением, реализованным средствами сети с пакетной коммутацией данных), перед тем как будет обеспечено соединение сотового телефона 730 с адресатом (сотовым телефоном 737), сначала должен быть создан VPN-сеанс с использованием этапа 740 простого алгоритма, согласно иллюстрации. При этом сотовый телефон 730 с VPN-приложением отсылает IP-пакеты на VPN-хост 733 с использованием любого доступного маршрута "последней мили" (в данном случае - радиоканала связи 741А на базовую станцию Wi-Fi 731, после чего информация отсылается с использованием проводных систем связи 741В на маршрутизатор 732, а затем, с использованием проводных систем связи 741С - на VPN-хост 733). Как только сеанс связи между сотовым телефоном 730 и VPN-хостом 733 будет открыт, сотовый телефон 730 выдаст инструкцию VPN-хосту 733 по созданию VPN-туннеля 741, ведущего к VPN-хосту 734; происходит согласование параметров между сеансом Слоя 5 и туннелем, зашифрованным с использованием Слоя 6.

Как только VPN-соединение будет установлено, сотовый телефон 730, в соответствии с инструкциями приложения 745, начинает осуществлять звонок с использованием любого приложения телефонии на базе IP (технология VoIP). При выполнении данной инструкции приложение должно установить соединение "вызова" с использованием систем "последней мили" между VPN-хостом 734 и сотовым телефоном 737. Если VoIP-приложение не может этого сделать или не имеет соответствующих прав на проведение подобных действий, звонок не состоится - он будет немедленно прерван. В противном случае внутренний IP-пакет установит сеанс связи Слоя 5 приложения между вызывающим сотовым телефоном 730 и сотовым телефоном-адресатом 737, а также подтвердит тот факт, что тестовые IP-пакеты надлежащим образом дешифрованы и разборчивы.

Для того чтобы осуществить звонок в соответствии с этапом 745, звонок обязательно должен быть инициирован Слоем 7 приложения, работающего на телефоне, а не обычными телефонными функциями набора номера, т.к. SIM-карта провайдера услуг телефонии, установленная в телефоне, не совместима с функциями VPN-туннеля. Как только вызов будет осуществлен, сотовый телефон 730 будет передавать последовательность IP-пакетов, представляющую собой малые фрагменты (или "отрывки") голосовой информации, отобранные в соответствии с установленным на телефоне приложением связи. В приведенном примере эти фрагменты отсылаются приложением, установленным на телефоне вызывающего абонента 730, через канал Wi-Fi 746A на базовую станцию Wi-Fi 731, а затем через проводное соединение 746В - на маршрутизатор 732 и, наконец, через проводное соединение 746С - на VPN-хост 733. После этого данные пересылаются через защищенный канал связи посредством соединения 747 на VPN-хост 735 через VPN-туннель 742. Как только данные покинут VPN-туннель, VPN-хост перешлет данные на проводное соединение 748А, на маршрутизатор 735, а затем, через проводное соединение 748В - на систему сотовой связи и вышку 736, которая, в свою очередь, осуществляет вызов 737 в качестве обычного телефонного вызова. Процесс осуществления вызова с приложения сотового телефона на телефон, на котором не установлено аналогичное приложение, носит название процесса "внешнего" вызова.

Из приведенного выше примера можно видеть, что существует еще одна проблема при подключении к виртуальной частной сети с использованием общественной сети - соединения "последней мили", как между вызывающим абонентом (сотовым телефоном 730) и VPN-хостом 733, так и между VPN-хостом 734, осуществляющим "внешний" вызов, и принимающим абонентом (сотовым телефоном 737), не являются составной частью виртуальной частной сети и, следовательно, не гарантируют надлежащей безопасности, скорости соединения или же надлежащего качества услуг. Выражаясь более конкретно, "последняя миля" вызывающего абонента, состоящая из соединений 746А, 746В и 746С, а также соединения "внешнего" вызова 748А, 748В и 748С, открыта перехвату данных и кибер-атакам.

Как только звонок был завершен, и сотовый телефон 737 был отключен от связи, виртуальная частная сеть 742 должна быть закрыта в соответствии с этапом 749, где Слой 5 виртуальной частой сети осуществляет координацию процесса закрытия VPN-сеанса, и сотовый телефон 730 отключается от VPN-хоста 733.

Даже если все указанные инструкции были выполнены, все равно нет гарантии того, что попытка осуществления телефонного звонка или пересылки документов через виртуальную частную сеть не окажется безуспешной по нескольким причинам, включая следующие:

● Задержка передачи данных в виртуальной частной сети может оказаться слишком большой, что сделает невозможной работу приложений в режиме реального времени, передачу голоса по IP-протоколу или передачу потока видеоданных;

● Задержка передачи данных в соединении "последней мили" виртуальной частной сети между звонящим абонентом и шлюзом VPN или между шлюзом VPN и адресатом телефонного звонка может оказаться слишком большой, что сделает невозможной работу приложений в режиме реального времени, передачу голоса по IP-протоколу или передачу потока видеоданных;

● Ближайший к звонящему абоненту или к абоненту-адресату шлюз VPN (т.е., соединение "последней мили") может оказаться расположенным на слишком большом расстоянии - возможно, даже превышающем расстояние до абонента-адресата, действительное в том случае, если бы виртуальная частная сеть не использовалась, что приведет к значительной задержке передачи данных внутри соединения, нестабильной работе сети, неконтролируемой маршрутизации с использованием неизвестных сетей, варьированию технологии QoS и многочисленным возможностям осуществления атак посредников с использованием незащищенных сегментов соединения;

● Соединение "последней мили" виртуальной частной сети между шлюзом VPN и абонентом-адресатом вызова может не поддерживать функцию "внешнего" вызова и передачи пакетов, или же не поддерживать соединения с местными телефоными компаниями;

● Местные провайдерыуслуг или правительственные цензоры могут блокировать вызовы, приходящие от неизвестных шлюзов VPN, или же процесс установления соединения с такими шлюзами по причинам, связанным с необходимостью обеспечения национальной безопасности или соответствия нормам законодательства;

● При использовании корпоративных виртуальных частных сетей возможность осуществления вызовов с использованием функциональности технологии VoIP может предоставляться только сотрудникам компании или четко определенным уполномоченным категориям пользователей; процессы проведения финансовых транзакций или просмотра онлайн-видео могут быть заблокированы; могут быть заблокированы серверы передачи частных почтовых сообщений в общественную сеть, такие как, например, Yahoo, Google и т.д.; а также может быть заблокирован доступ к многочисленным веб-сайтам, таким как YouTube, программам онлайн-чатов, или же, например, сервису Twitter - в соответствии с политикой компании;

● В случае нестабильной работы сетей, виртуальная частная сеть по завершении звонка может остаться в открытом состоянии, что выразится в поддержании открытого сеанса в непрерывном режиме с выходом на устройство звонившего абонента до тех пор, пока не будет осуществлен сброс соединения VPN-провайдером в ручном режиме. Это может привести к потере части пропускной способности при осуществлении последующих звонков или же к необходимости выплаты больших сумм по тарифам за незакрытое соединение.

Сравнение сетей - сравнение коммуникаций, предлагаемых "over-the top" или ОТТ-провайдерами, показанное на фигуре 49А, с системами связи, использующими общедоступные сети для подключения к специальному VPN, показанным ранее на фигуре 48С, быстро выявляет, что помимо самой VPN-связи, большинство обеих систем связи имеют почти идентичные компоненты и соединения. В частности, "последняя миля" вызывающего абонента, имеющего сотовый телефон 730, радиосвязь Wi-Fi 746A, базовую станцию Wi-Fi 731, проводные соединения 746B и 746C и маршрутизатор 732, представляют собой ту же связь "последней мили" в обеих реализациях. Аналогично, на "последней миле" другой стороны, сотовый телефон 737, соединение сотового телефона 748C, базовая станция сотовой связи и вышка 736, проводные соединения 748A и 748B и маршрутизатор 735 идентичны для версий Интернета и VPN. Основное различие заключается в том, что в общедоступной сети VPN-туннель 742 с защищенной связью 747 между VPN-узлами 733 и 734 заменяется серверами/маршрутизаторами 752 и 754, обеспечивающими небезопасное коммуникационное соединение 755. Другое различие заключается в связи OTT, вызов доступен мгновенно, как описано в шаге 750, где для использования VPN необходимы дополнительные шаге 740 и 749 для настройки VPN и завершение сеанса VPN перед следующим вызовом.

В обоих примерах соединения "последней мили" предлагают непредсказуемое качество услуг связи, возможность перехвата пакетов и риск кибер-атак. Поскольку серверы/маршрутизаторы 752 и 774, вероятно, управляются разными провайдерами в разных локальных сетях, можно интерпретировать серверы как существующие различные облака, т.е. облака 751 и 753. Например, публично открытые сети, принадлежащие и управляемые Google, Yahoo, Amazon и Microsoft, могут рассматриваться как разные облака, например, "облако Amazon", хотя все они связаны Интернетом.

Конкурирующая сетевая топология, одноранговая сеть или PPN, показанная на фигуре 49B, включает сеть, состоящую из большого числа одноранговых узлов с маршрутизацией пакетов, управляемых PPN, а не маршрутизатором или провайдером. В то время как одноранговые сети существовали на аппаратных средствах в течение десятилетий, именно Napster популяризировал эту концепцию как средство избежать контроля, затрат и регулирования Интернет-провайдеров. Подвергаясь преследованиям в судебном порядке со стороны правительственных органов США за нарушение авторских прав на музыку, основатели Napster были вынуждены объявить о банкротстве компании; в это же время, OTT-оператор Skype только начинал развиваться. Позже, сеть Skype отошла от обычной OTT модели сети к пиринговой, предложенной компанией Napster.

В PPN-коммутации каждое устройство, которое подключается для входа в PPN, становится еще одним узлом в PPN. Например, если в сети с топологией 761 сотовый телефон 730 с установленным ПО PPN регистрируется в одноранговой сети, он, как и все другие подключенные устройства в регионе, становится частью сети. Вызовы, выдаваемые любыми устройствами, переходят с одного устройства на другое, чтобы добраться до пункта назначения, другого устройства, подключенного к PPN. Например, если в сети с топологией 761 сотовый телефон использует свое соединение PPN для вызова другого устройства с подключенным PPN, например, сотового телефона 768, вызов следует обходным путем через любое устройство (устройства), физически расположенное в PPN между этими двумя устройствами. Как показано на фигуре, вызов, исходящий от сотового телефона 730, соединяется Wi-Fi 731 через базовую станцию Wi-Fi 731 с настольным компьютером 765A, затем с ноутбуком 766A, со стационарным компьютером 765B, затем со стационарным компьютером 765C и, наконец, с сотовым телефоном 768 через базовую станцию сотового телефона и вышку 767. Таким образом, вся маршрутизация контролируется PPN, а Интернет не участвует в управлении маршрутизацией. Поскольку задействованы обе стороны, ПО PPN, используемое для подключения к сети, также выступает в качестве приложения для голосовой связи на основе технологии VoIP.

В случае, когда сотовый телефон 730 пытается вызвать сотовый телефон 737 с устройством не на основе PPN на противоположном конце земли, маршрутизация должна обязательно включать передачу данных по Интернету, используя точки доступа, особенно при передаче пакетов через океаны или горные хребты. Первая часть маршрутизации в сети с топологией 761 протекает аналогично предыдущему примеру, начиная с сотового телефона 730 и проводит маршрут через базовую станцию 731 Wi-Fi, настольный компьютер 765А, ноутбук 766А, настольные компьютеры 765В и 765С. На данный момент, если ноутбук 766B подключен к сети, вызов будет проложен через него, в противном случае вызов должен быть направлен через базовую станцию сотового телефона и вышку 767 на сотовый телефон 768, а затем обратно на базовую станцию сотового телефона и вышку 767 перед отправкой.

Если вызов пересекает Тихий океан, тогда компьютеры и сотовые телефоны не могут переносить трафик через океан, поэтому звонок затем обязательно маршрутизируется в Интернет на сторонний сервер/маршрутизатор 770 в облаке 763 и далее через соединение 747 на сторонний сервер/маршрутизатор 771 в облаке 764. Затем вызов выходит из Интернета и входит в PPN в сети с топологией 762 сначала через стационарный компьютер 772, который, в свою очередь, подключается к Wi-Fi 773, к ноутбуку 776 и к базовой станции 736. Поскольку Wi-Fi 733 не запускает приложение PPN, фактический пакет, входящий в Wi-Fi 773, должен отправиться на планшет 775 или сотовый телефон 774 и обратно на Wi-Fi 773, прежде чем отправляться на базовую станцию сотового телефона и вышку 736 через проводное соединение. Наконец, вызов сотового телефона 748C подключается к сотовому телефону 737, который не является устройством с поддержкой PPN. Таким образом, соединение является "вызовом" для PPN, поскольку оно выходит из сети с топологией 762 PPN. Используя этот подход PPN, VPN сначала регистрирует вызывающее устройство в сети PPN согласно этапу 760, выполнив авторизацию PPN. После этого вызов может быть выполнен через приложение PPN согласно этапу 769. Преимущество такой пиринговой сети в том, что для передачи вызова на большие расстояние необходимости в дополнительном оборудовании нет, и каждое устройство, подключенное к PPN, регулярно обновляет провайдер PPN в отношении его статуса, загрузки и задержки, провайдер PPN может управлять маршрутизацией пакета для минимизации задержки.

Недостатки такого подхода в том, что пакеты пересекают сеть, содержащую множество неизвестных узлов, представляющих потенциальную угрозу безопасности и имеющих непредсказуемое влияние на задержку и качество обслуживания вызовов. Таким образом, за исключением Skype, одноранговые сети, работающие на уровне 3 и выше, обычно не используются в сетях связи с коммутацией пакетов.

Сравнительная сводка провайдеров специальных VPN, Интернет-провайдеров OTT и одноранговых сетей PPN дана ниже.

Сеть Виртуальная частная сеть VPN OTT-интернет Одноранговая сеть PPN
Узлы Общедоступные/хост-серверы Общественные маршрутизаторы/серверы Пользователи PPN
Пропускная способность узла Известная инфраструктура Известная инфраструктура Смешанная, неизвестная
Облачная пропускная способность Гарантированная Непредсказуемая Непредсказуемая
Пропускная способность "последней мили" Зависит от провайдера Зависит от провайдера Зависит от PPN
Задержка Неуправляемое Неуправляемое Оптимальный вариант
Стабильность сети Неуправляемая Неуправляемая, избыточная Оптимальный вариант
Настройка вызова Комплексный вход Не требуется Авторизация
Идентификатор пользователя Имя пользователя Номер телефона Имя пользователя
Качество обслуживания технологии VoIP От переменного до хорошего Переменное Переменное
Облачная безопасность Только зашифрованная полезная нагрузка Незашифрованная Незашифрованная
Защита "последней мили" Незашифрованная Незашифрованная Незашифрованная
Прослушиваемая Заголовок пакета (облачный)
Весь пакет (последняя миля)
Весь пакет Весь пакет

Как показано на фигуре, в то время как VPN и Интернет имеют фиксированную инфраструктуру, узлы одноранговой сети различаются в зависимости от того, кто зарегистрирован и какие устройства подключены к PPN. Облачная пропускная способность, определенная в контексте этой таблицы как высокоскоростные междугородные соединения сетей, например, сети, пересекающие океаны и горные цепи, гарантируется по контракту только в случае VPN, а иначе непредсказуема. Пропускная способность "последней мили" - это локальный провайдер, зависящий как от Интернет-провайдеров, так и от VPN, но для PPN полностью зависимый от того, кто вошел в систему.

Задержка распространения последовательных IP-пакетов неуправляема для OTT и VPN, поскольку провайдер не контролирует маршрутизацию в "последней миле", но вместо этого зависит от местных операторов телефонной или сетевой сети, тогда как PPN имеют ограниченные возможности, используя оптимальные варианты для прямого трафика между узлами, которые в данный момент находятся в сети в определенной географии. Аналогично, для устойчивости сети PPN имеют возможность перенаправлять трафик, чтобы поддерживать сеть, но полностью зависят от того, кто входит в систему. Интернет, с другой стороны, является внутренне избыточным и почти уверенно гарантирует доставку, но не обязательно своевременную. Устойчивость сети для специального VPN зависит от количества узлов, разрешенных для подключения к хосту VPN. Если эти узлы отключены, VPN будет непригоден.

С точки зрения настройки вызова Интернет всегда доступен, PPN требуют дополнительной инструкции для входа в PPN до совершения вызова, а VPN могут включать сложную процедуру входа в систему. Более того, большинство пользователей считают использование OTT телефонных номеров, а не отдельных идентификаторов входа, используемыми VPN и PPN, в качестве важного преимущества для простоты пользования. Все перечисленные три сети страдают от неустойчивого качества технологии VoIP, в целом отставая от коммерческих операторов связи.

С точки зрения безопасности все три варианта не могут выступать в качестве соединений "последний мили", так как подвержены перехвату пакетов с открытыми адресами и полезными нагрузками. VPN обеспечивают шифрование облачного соединения, но все же предоставляют IP-адреса хостов VPN. Таким образом, никакая сетевая опция не считается безопасной. Таким образом, шифрование используется различными приложениями для предотвращения взлома и кибер-атак, либо как протокол уровня 6, либо как внедренная часть самого приложения уровня 7.

Излишнее доверие шифрованию. Независимо от того, используется ли она для шифрования IP-пакетов или создания VPN, сегодняшняя сетевая безопасность зависит почти исключительно от шифрования и представляет собой одну слабую сторону в современных сетях связи на основе пакетной коммутации. Например, было проведено множество исследований по способам совершения атак на шифрование RSA. Хотя ограничение простых чисел на большие размеры значительно снижает риск "взлома" кода D-ключа дешифрования с использованием способов "грубой силы", способы полиномиального коэффициента успешно продемонстрировали взлом ключей на основе меньших простых чисел. Существуют опасения, что эволюция "квантовых вычислений" в конечном итоге приведет к практическим способам "взлома" ключей RSA и других ключей шифрования при кибер-атаке.

Для борьбы с постоянно присутствующим риском "взлома" кода появились новые алгоритмы и способы шифрования "большего ключа", такие как "улучшенный стандарт шифрования" или шифр AES, утвержденный US NIST в 2001 году. Принцип проектирования, основанный на шифре Rijndael, известном как подстановочно-перестановочная сеть, сочетает в себе как замену символов, так и перестановку с использованием разных размеров ключа и блока. В своем нынешнем воплощении алгоритм содержит фиксированные размеры блоков 128 бит с ключами, включающими в себя различные длины 128 бит, 192 бита и 256 бит, с соответствующим количеством повторений, используемых при преобразовании входного файла, варьирующихся в круглых числах в 10, 12, и 14 степенях соответственно. В практическом плане шифр AES можно эффективно и быстро выполнять как в программном, так и в аппаратном обеспечении для любого размера ключа. В криптографическом языке шифрование на основе AES с использованием ключа 256b называется "шифрованием AES256". Также доступно шифрование AES512 с использованием ключа 512b.

В то время как каждое новое поколение поднимает планку криптографии, чтобы улучшить способы шифрования и, чтобы быстрее ее разбить, заинтересованные в прибыли кибер-преступники часто концентрируются на своих целях, вместо того, чтобы использовать вычисления для взлома зашифрованного файла. Как описано ранее, используя перехват пакетов и опрос портов, кибер-пират может получить ценную информацию о разговоре, корпоративном сервере или даже VPN-шлюзе. Вместо атаки на сеть, кибер-анализ позволяет атаковать персональные компьютеры, ноутбуки и мобильные телефоны Главного или Финансового директора компании. Как только сотрудники компании переходят по ссылке, вложенной в электронные письма, автоматически устанавливается вредоносное и шпионское ПО, которое полностью обходит защиту межсетевого экрана, поскольку таким образом вредоносные программы получают доступ "изнутри".

Вероятность взлома шифра также увеличивается, если данные перемещаются по сети без изменения, то есть статически. Например, в сети на фигуре 50 базовые данные в пакетах 790, 792, 794 и 799 остаются неизменными по мере того, как пакеты перемещаются по сети. Каждый показанный пакет данных содержит последовательность данных или звука, расположенных последовательно по времени или страниц, неизмененных от исходного порядка, когда он был создан. Если содержимое пакета данных является текстовым, чтение незашифрованного текстового файла в последовательности 1A-1B-1C-1D-1E-1F приведет к "разборчивому" тексту для коммюнике номер "1". Если содержимое пакета данных представляет собой аудио, преобразование, т.е. "воспроизведение", незашифрованного текстового файла в последовательности 1A-1B-1C-1D-1E-1F через соответствующий аудиокодек, по сути, основанный на программном обеспечении ЦАП, приведет к звуку для номера звукового файла номер "1".

В любом случае во всем этом раскрытии каждый интервал данных, представленный блоками фиксированного размера, содержит заданное количество бит, например, два байта (2В). Точное количество бит на каждый интервал является гибким только в том случае, если каждый узел связи в сети знает, какой размер каждого информационного интервала. В каждом интервале данных содержатся аудио-, видео- или текстовые данные, обозначенные на чертежах как число, за которым следует буква. Например, как показано на фигуре, первый интервал пакета 790 данных содержит контент 1А, где число "1" указывает конкретную связь №1, а буква "А" представляет первую часть данных в сообщении №1. Аналогично, второй интервал пакета 790 данных содержит содержимое 1В, где число "1" указывает, что оно является частью одного и того же сообщения №1, а буква "В" представляет вторую часть данных в сообщении №1, последовательно следуя за 1А.

Если, например, один и тот же пакет данных предположительно включает в себя контент "2А", данные представляют первый пакет "А" в другом сообщении, в частности для связи №2, не связанного с сообщением №1. Пакеты данных, содержащие однородные сообщения, например, где все данные для связи №1 легче анализировать и читать, чем те, которые смешивают разные сообщения. Данные, упорядоченные последовательно в правильном порядке, позволяют кибер-атакующему интерпретировать природу данных, будь то аудио, текст, графика, фотографии, видео, исполняемый код и т.д.

Более того, в показанном примере, поскольку IP-адреса источника и назначения пакета остаются постоянными, то есть когда пакеты остаются неизмененными во время транспортировки по сети в той же форме, что и данные, входящие или выходящие из шлюзовых серверов 21A и 21F, поскольку базовые данные не изменяются, у хакера больше шансов перехватить пакеты данных и получить больше шансов проанализировать и открыть файлы или прослушать разговор. Простая транспортная и одномерная безопасность, то есть полагающаяся только на шифрование для защиты, увеличивает риск кибер-атаки, потому что вероятность успеха выше при таком чрезмерно простом использовании Интернета в качестве сети с коммутацией пакетов.

Защита сетей реального времени и сетевых устройств

Для того, чтобы улучшить качество обслуживания телефонии, видео и передачи данных, одновременно устраняя множество уязвимых мест в системе безопасности, создающих проблемы современным сетями с коммутацией пакетов, необходим новый и инновационный системный подход к управлению маршрутизацией IP-пакетов, который управляет глобальной сетью, которая включает разрозненные технологии и одновременно способствующая сквозной безопасности. Задачи такой инновационной сети с коммутацией пакетов включают следующие критерии:

1. Обеспечить безопасность и качество обслуживания глобальной сети или провайдеру услуг дальней связи, включая динамическое управление маршрутизацией трафика голоса, видео и данных в режиме реального времени в сети;

2. Обеспечить безопасность и качество обслуживания "локальной сети или телефонной компании" в последней миле сети связи;

3. Обеспечить безопасность и качество обслуживания "последнего звена" сети связи, включая обеспечение безопасной связи, проходящей по незащищенным линиям;

4. Обеспечить безопасность коммуникационных устройств и аутентифицировать пользователей для предотвращения несанкционированного или мошеннического доступа или использования;

5. Во избежание предотвращения несанкционированного доступа содействовать безопасному способу хранения данных на устройстве, в онлайн, в сети или в облачном хранилище данных;

6. Обеспечение безопасности и конфиденциальности всей непубличной личной информации, включая все финансовые, личные, медицинские и биометрические данные и записи;

7. Обеспечение безопасности и конфиденциальности всех финансовых транзакций, связанных с онлайн-банкингом и покупками, кредитными картами и электронной оплатой; и

8. Обеспечение безопасности, конфиденциальность и анонимности в проведении транзакций и обмене информацией при межмашинном (M2M), межтранспортном (V2V) и межмашинно-транспортном (V2X) взаимодействии.

Из вышеизложенных целей содержание изобретения, содержащееся в данной сообщаемой информации, относится к первой теме, описанной в пункте №1, то есть "обеспечить безопасность и качество обслуживания глобальной сети или провайдеру услуг дальней связи, включая динамическое управление маршрутизацией трафика голоса, видео и данных в режиме реального времени в сети". Данный вопрос можно рассматривать как достижение безопасности сети или облака без ущерба для эксплуатационных характеристик связи в реальном времени.

Глоссарий

Если контекст не требует иного, термины, используемые в описании динамической защищенной коммуникационной сети и протокола, имеют следующие значения:

Анонимные пакеты данных: Пакеты данных, не содержащие информации о первоначальном отправителе или конечном получателе.

Дешифрование: Математическая операция, используемая для преобразования пакетов данных из зашифрованного текста в незашифрованный текст.

Сервер DMZ (англ. Demilitarized Zone - демилитаризованная зона): Компьютерный сервер, недоступный непосредственно из сети SDNP (англ. Secure Dynamic Network And Protocol - динамическая защищенная коммуникационная сеть и протокол) или Интернета, используемый для хранения селекторов, генераторов начальных состояний, генераторов ключей и других разделяемых секретов.

Динамическое шифрование/дешифрование: Шифрование и дешифрование, основанные на ключах, которые динамически изменяются по мере прохождения пакета данных через сеть SDNP.

Динамическое смешивание: Процесс смешивания, когда алгоритмы смешивания (обратные по отношению к алгоритмам разделения) динамически изменяются в зависимости от начального состояния на основе состояния, например, времени, состояния и зоны, когда создается смешанный пакет данных.

Динамическое скремблирование/дескремблирование: Скремблирование и дескремблирование, основанные на алгоритмах, которые динамически изменяются в зависимости от состояния, например, когда создается пакет данных или зона, в которой он создается.

Динамическое разделение: Процесс разделения, когда алгоритмы разделения динамически изменяются в зависимости от начального состояния на основе состояния, например, времени, состояния и зоны, когда пакет данных разделяется на несколько под-пакетов.

Шифрование: Математическая операция, используемая для преобразования пакетов данных из незашифрованного текста в зашифрованный текст.

Передача фрагментированных данных: Маршрутизация разделенных и смешанных данных по сети SDNP.

Удаление бесполезных данных (или "удаление информационного мусора"): Удаление бесполезных данных из пакетов данных для восстановления исходных данных или восстановления исходной длины пакета данных.

Вставка бесполезных данных (или "вставка информационного мусора"): Преднамеренное введение в пакет данных бессмысленной информации, либо для затруднения понимания реального содержимого данных, либо для управления длиной пакета данных.

Ключ: Скрытое цифровое значение, которое генерируется путем ввода состояния, например, времени, в генератор ключей, который генерирует ключ по секретному алгоритму. Ключ используется для выбора алгоритма для шифрования данных в пакете из селектора. Ключ можно использовать для безопасной передачи информации о состоянии по публичным или незащищенным линиям.

Сервер обмена ключами: Компьютерный сервер, часто принадлежащий сторонней организации и независимый от оператора сети SDNP, используемый для распространения ключей общего доступа для клиентов и, при необходимости, для серверов с использованием симметричных ключей шифрования, особенно при работе с ключами, управляемыми клиентом, т.е. на основе сквозного шифрования клиентом, чтобы предотвратить возможность шпионажа со стороны оператора сети.

Последнее звено: Сетевое соединение между устройством клиента и первым устройством в сети, с которым он обменивается информацией, как правило, это вышка радиосвязи, маршрутизатор Wi-Fi, кабельный модем, телевизионная приставка или соединение Ethernet.

Последняя миля: Сетевое соединение между шлюзом SDNP и клиентом, включая последнее звено.

Смешивание: Объединение данных из разных источников и типов данных для создания одного длинного пакета данных (или ряда меньших под-пакетов) с нераспознаваемым содержимым. В некоторых случаях ранее разделенные пакеты данных смешиваются для восстановления исходного содержимого данных. Операция смешивания может также включать в себя вставку и удаление бесполезных данных и синтаксический анализ.

Синтаксический анализ: Числовая операция, при которой пакет данных разбивается на более короткие под-пакеты для хранения или для передачи.

Скремблирование: Операция, в которой порядок или последовательность сегментов данных в пакете данных изменяется по отношению к его естественному порядку и приобретает нераспознаваемую форму.

Разделение: Операция, в которой пакет данных (или несколько последовательных пакетов данных) разбивается на несколько под-пакетов, которые направляются нескольким адресатам. Операция разделения также может включать в себя вставку и удаление бесполезных данных.

Программный коммутатор: Программное обеспечение, содержащее исполняемый код, выполняющий функции коммутатора и маршрутизатора.

SDNP: Аббревиатура (англ. Secure Dynamic Network And Protocol - Динамическая защищенная коммуникационная сеть и протокол), означающая гиперзащищенную сеть связи, выполненную в соответствии с настоящим изобретением.

Сервер администрирования SDNP: Компьютерный сервер, используемый для распространения исполняемого кода и разделяемых секретов по серверам SDNP в глобальном пространстве или в определенных зонах.

Узел моста SDNP: Узел SDNP, соединяющий одно облако SDNP с другим, имеющим разные зоны и учетные данные безопасности.

Клиент или клиентское устройство SDNP: Сетевое устройство, обычно - сотовый телефон, планшет, ноутбук, стационарный компьютер или устройство IoT, работающее с приложением SDNP для подключения к облаку SDNP, обычно подключаемое на последней миле этой сети.

Облако SDNP: Сеть взаимосвязанных серверов SDNP, запускающих исполняемый код программного коммутатора для выполнения операций узла связи SDNP.

Шлюзовой узел SDNP: Узел SDNP, соединяющий облако SDNP с последней милей SDNP и клиентом. Шлюзовые узлы SDNP требуют доступа, по меньшей мере, к двум зонам - к облаку SDNP и последней миле.

Медиаузел SDNP: Исполняемый код программного коммутатора, который обрабатывает входящие пакеты данных с определенными идентификационными метками в соответствии с инструкциями сервера сигнализации или другого компьютера, выполняющего функцию сигнализации, в том числе шифрование/дешифрование, скремблирование/дескремблирование, смешивание/разделение, теговую разметку и генерирование заголовков и подзаголовков SDNP. Медиаузел SDNP отвечает за идентификацию входящих пакетов данных, имеющих определенные метки, и за пересылку вновь созданных пакетов данных следующему адресату.

Медиасервер SDNP: Компьютерный сервер, на котором размещается программный коммутатор, выполняющий функции медиаузла SDNP при двухканальной и трехканальной связи, а также выполняющий задачи узла сигнализации SDNP и узла сервера имен SDNP при одноканальной связи.

Сервер имен SDNP: Компьютерный сервер, на котором размещен программный коммутатор, выполняющий функции узла сервера имен SDNP при трехканальной связи.

Узел сервера имен SDNP: Исполняемый код программного коммутатора, который управляет динамическим списком каждого устройства SDNP, подключенного к облаку SDNP.

Сеть SDNP: Вся гиперзащищенная сеть связи, распространяющаяся от клиента к клиенту, в том числе охватывающая участки связи последнего звена и последней мили, а также облако SDNP.

Узел SDNP: Узел связи SDNP, содержащий программный коммутатор, запускаемый на компьютерном сервере или на аппаратном устройстве, подключенном к сети SDNP, функционирующем как узел SDNP - медиаузел, узел сигнализации или узел сервера имен.

Сервер SDNP: Компьютерный сервер, представляющий собой либо медиасервер SDNP, либо сервер сигнализации SDNP, либо сервер имен SDNP и реализующий соответствующие функции программного коммутатора для работы в качестве узла SDNP.

Узел сигнализации SDNP: Исполняемый код программного коммутатора, который инициирует вызов или связь между сторонами, определяет все или часть из нескольких маршрутов для передачи фрагментированных данных на основе критериев вызывающего абонента и динамическую таблицу задержек распространения между узлами, а также формирует команды для медиаузла SDNP, как управлять входящими и исходящими пакетами данных.

Сервер сигнализации SDNP: Компьютерный сервер, на котором размещается программный коммутатор, выполняющий функции узла сигнализации SDNP в двухканальной и трехканальной системах связи SDNP, и также выполняющий функции узла сервера имен SDNP в двухканальных системах связи.

Параметры безопасности: Цифровые значения, например, начальные состояния и ключи, которые генерируются генераторами начальных состояний или генераторами ключей по секретным алгоритмам в сочетании с постоянно меняющимся входным состоянием, например, сетевым временем, и которые поэтому можно безопасно передавать по общедоступным или незащищенным линиям связи.

Начальное состояние: Скрытое цифровое значение, которое генерируется путем ввода состояния, например, времени, в генератор начальных состояний, который генерирует начальное состояние по секретному алгоритму. Начальное состояние используется для выбора алгоритма для скремблирования или разделения данных в пакете из селектора. Начальное состояние можно использовать для безопасной передачи информации о состоянии по общедоступным или незащищенным линиям связи.

Селектор: Список или таблица возможных алгоритмов скремблирования, шифрования или разделения, которые являются частью разделяемых секретов и которые используются вместе с начальным состоянием или ключом для выбора конкретного алгоритма скремблирования, дескремблирования, шифрования, дешифрования, разделения или смешивания пакета или пакетов.

Разделяемые секреты: Конфиденциальная информация о работе узлов SDNP, включающая таблицы или селекторы алгоритмов скремблирования/дескремблирования, шифрования/дешифрования и смешивания/разделения, а также алгоритмы, используемые генераторами начальных состояний, генераторами ключей, информацию о зонах и процессы перетасовки алгоритмов, локально хранящиеся на серверах DMZ, недоступных по сети SDNP или через Интернет.

Состояние: Входные данные, например, местоположение, зона или сетевое время, которые используются для динамического генерирования параметров безопасности, например, начальных состояний или ключей, или для выбора алгоритмов для конкретных операций SDNP, например, смешивания, разделения, скремблирования и шифрования.

Время: Универсальное сетевое время, используемое для синхронизации связи в сети SDNP.

Дескремблирование: Процесс, используемый для восстановления сегментов данных в скремблированном пакете данных до их первоначального порядка или последовательности. Дескремблирование - это функция, обратная по отношению к функции скремблирования.

Зона: Сеть определенных взаимосвязанных серверов, совместно использующая общие учетные данные безопасности и разделяемые секреты. Соединения последней мили представляют собой отдельные зоны от тех зон, которые находятся в облаке SDNP.

Разработка динамической защищенной коммуникационной сети и протокола (SDNP)

Для предотвращения кибер-атак и взлома системы связи с коммутацией пакетов при минимальной задержке пакетов в режиме реального времени, обеспечения возможности установления устойчивого соединения и максимальной непрерывности голосовой связи и онлайн-видео, разработана рассматриваемая в настоящем документе динамическая защищенная коммуникационная сеть и протокол (SDNP), основанная на ряде руководящих принципов, а именно:

● Передача данных в режиме реального времени должна всегда происходить по пути наименьшей задержки.

● При несанкционированном исследовании или синтаксическом анализе пакета данных должно быть недоступно содержимое, касающееся того, откуда поступил пакет, куда он направляется и что в нем находится.

● Полезная нагрузка пакета данных должна быть динамически перешифрована, т.е. дешифрована, а затем снова зашифрована с использованием другого алгоритма шифрования, исключая риск взлома в любое разумное время.

● Даже после расшифровки вся полезная нагрузка пакета данных по-прежнему содержит невразумительную информацию, представляющую собой динамически скремблированное сочетание нескольких разговоров и несвязанных данных, смешанных с бессмысленными наполнителями пакета.

Реализация вышеуказанных руководящих принципов включает в себя множество уникальных и обладающих признаками изобретения способов, функций, свойств и реализаций, в том числе полностью или частично в различных вариантах осуществления изобретения:

● SDNP использует одно или несколько выделенных облаков, содержащих телефонную систему, функции программного переключателя, реализованные с использованием проприетарного программного обеспечения управления и контроля, недоступного через Интернет.

● Передача данных внутри облака полностью происходит с использованием выделенной системы маршрутизации пакетов SDNP в проприетарных облаках на основе адресов SDNP и динамических портов (т.е. проприетарных адресов NAT), а не IP-адресов. Адреса SDNP не могут использоваться или маршрутизироваться через Интернет или за пределами облака SDNP.

● Сеть SDNP постоянно идентифицирует и осуществляет динамическую маршрутизацию всей передачи данных в режиме реального времени по имеющимся путям с самой малой задержкой.

● Никакая защищенная или выполняемая в режиме реального времени передача данных не маршрутизируется вне облака SDNP или через Интернет, кроме передачи данных между облаками и на участке последней мили, и кроме того обычно использует маршрутизацию для одного перехода с невидимыми адресами.

● Данные маршрутизации, содержащиеся в пакете данных, идентифицируют маршрут для одного перехода между двумя соседними устройствами, определяя только адреса SDNP или IP-адреса предыдущего и следующего сервера

● Номер телефона или IP-адреса вызывающего абонента и получателя вызова, т.е. соответствующие адреса отправителя и получателя клиента не присутствуют ни в заголовках IP-пакетов, ни в зашифрованной полезной нагрузке.

● Разделяемые секреты, связанные с управлением и контролем, существуют в системном программном обеспечении, установленном на защищенных серверах DMZ, недоступных через Интернет.

● Передача пакетов SDNP может осуществляться по трем независимым каналам, которыми являются "сервер имен", используемый для идентификации элементов в облаке SDNP; "медиасерверы", используемые для маршрутизации содержимого и данных, и "серверы сигнализации", используемые для управления и контроля пакетов и вызовов.

● Информация о маршруте вместе с ключами и числовыми начальными состояниями (при необходимости) предоставляется всем участвующим в обмене медиасерверам по отдельному каналу сигнализации до вызова или установления связи и без содержимого. Сервер сигнализации передает медиасерверам только данные о предыдущем и следующем адресатах пакета, проходящего через сеть.

● Медиапакеты содержат фрагментированные данные, представляющие только часть вызова, документа, текста или файла, динамически смешанные и повторно смешанные с другими пакетами, содержащими фрагментированные данные из других источников и разного типа.

● Для защиты передачи данных на участках первой и последней мили используются специальные способы защиты, в том числе разделение сообщений, связанных с сервером сигнализации, и медиапакетов и связанных с ними пакетов содержимого.

● Передача пакетов зависит от типа содержимого: голосовые сообщения и видео реального времени или онлайн-видео передаются на основе улучшенного протокола UDP, в то время как пакеты сигнализации, пакеты команд и управления, файлы данных, файлы приложений, системные файлы и другие файлы, которые чувствительны к потере пакетов или задержке, используют протокол TCP.

● Для подтверждения того, что устройство является реальным клиентом, а не клоном, и для проверки подлинности того, что участвующее в передаче лицо - это настоящий владелец устройства, а не самозванец, используются специальные способы защиты и проверки подлинности.

Чтобы обеспечить защищенную передачу данных с малой задержкой и высоким качеством обслуживания технологии VoIP и приложениях реального времени, рассматриваемая в этом документе "динамическая защищенная коммуникационная сеть и протокол" (SDNP) использует обладающую признаками изобретения "динамическую многосвязную" сеть, включающую:

● динамическую адаптивную многолучевую и многосвязную маршрутизацию с минимальной задержкой;

● динамическое скремблирование пакетов;

● динамическую фрагментацию с использованием разделения, смешивания, синтаксического анализа пакетов, а также наполнители пакетов бесполезными битами;

● динамическое внутриузловое шифрование полезной нагрузки в сети или облаке;

● динамический сетевой протокол с маскировкой адресов и необходимой информацией маршрутизации;

● многоканальную связь, отделяющую носитель и содержимое от сигнализации, команд и управления и сетевых адресов;

● динамический адаптивный транспортный протокол реального времени с функциями для конкретных типов данных и контекстной маршрутизацией;

● поддержку зашифрованной клиентом полезной нагрузки с управлением ключами пользователя;

● облегченный аудиокодек для повышения качества обслуживания в перегруженных сетях.

Как уже было указано, связь в сети SDNP основана на мультимаршрутной и многосвязной передаче для динамической маршрутизации пакетов данных. В отличие от одноканальной связи с коммутацией пакетов, используемой для передачи данных OTT в Интернет и технологии VoIP, в системе SDNP в соответствии с настоящим изобретением содержимое пакетов данных не передается последовательно целостными пакетами, содержащими информацию из общего источника или от вызывающего абонента, а передается во фрагментированной форме с динамическим смешиванием и повторным смешиванием содержимого, исходящего от нескольких источников и вызывающих абонентов, при котором указанные данные объединяют неполные обрывки данных, содержимого, голоса, видео и файлов с данными разного типа с помощью наполнителей бесполезными данными. Преимущество рассматриваемой реализации фрагментации и передачи данных заключается в том, что даже незашифрованные и не скремблированные пакеты данных почти невозможно интерпретировать, поскольку они представляют собой комбинацию несвязанных данных и типов данных.

Благодаря сочетанию фрагментированного смешивания и разделения пакетов со скремблированием и динамическим шифрованием пакетов, эти гибридные пакеты динамически зашифрованных, скремблированных фрагментированных данных представляют собой бессмысленные пакеты нечленораздельной информации, совершенно непонятные для какой-либо стороны или наблюдателя, не имеющих разделяемых секретов, ключей, числовых начальных состояний, а также переменных состояния и времени, используемых для создания, пакетирования и динамического повторного пакетирования этих данных.

Кроме того, фрагментированное содержимое каждого пакета и секреты, используемые для его создания, остаются в силе всего лишь на долю секунды, прежде чем пакет будет переконструирован новыми фрагментами и новыми мерами защиты, например, измененными начальными состояниями, ключами, алгоритмами и секретами. Ограниченная продолжительность времени, в течение которого у кибер-пирата есть доступ для взлома и вскрытия зависимого от состояния пакета данных SDNP, еще больше повышает защищенность SDNP, при этом имеется одна десятая секунды на то, чтобы выполнить обработку, требующую десятков тысяч лет вычислений, что на двенадцать порядков величины больше времени, доступного для взлома.

Комбинация вышеупомянутых способов задействует многомерную защиту, значительно превосходящую защиту, достижимую при статическом шифровании. По этой причине рассматриваемая динамическая защищенная коммуникационная сеть и протокол в настоящем документе называются "гиперзащищенной" сетью.

Скремблирование пакетов данных - В соответствии с настоящим описанием изобретения защищенная связь по сети с коммутацией пакетов опирается на несколько элементов, позволяющих предотвратить взлом и обеспечить безопасность, одним из которых является скремблирование пакетов SDNP. Скремблирование пакетов SDNP предполагает перегруппировку сегментов данных из последовательности, что делает информацию недоступной для понимания и бесполезной. Согласно фигуре 51A, не скремблированный пакет данных - пакет данных 923 - после выполнения операции скремблирования 924, превращается в скремблированный пакет данных 925. Операция скремблирования может использовать любой алгоритм, численный способ или способ управления последовательностью. Алгоритм может представлять собой статическое уравнение или включать динамические переменные или числовые начальные состояния на основе таких "состояний", как время 920 при скремблировании, и числовое начальное состояние 929, сгенерированное генератором начальных состояний 921, которое может генерировать начальное состояние 929, используя алгоритм, который также зависит от такого состояния, как время 920 при скремблировании. Например, если каждая дата преобразуется в уникальное монотонно возрастающее число, то каждое начальное состояние 929 является уникальным. Время 920 и начальное состояние 929 могут использоваться для выбора конкретного алгоритма и также могут использоваться для выбора или вычисления конкретной операции скремблирования 924, выбранной из списка доступных способов скремблирования, т.е. из алгоритмов скремблирования 922. На схемах потоков данных удобно иллюстрировать эту операцию и последовательность скремблирования пакетов с использованием схематического или символического представления, обозначенного здесь символом 926.

Операция дескремблирования, показанная на фигуре 51B, иллюстрирует функцию, обратную операции скремблирования 924, а именно, операцию дескремблирования 927, где состояние или время 920 и соответствующее начальное состояние 929, используемые для создания скремблированного пакета данных 925, снова используются для отмены операции скремблирования, чтобы получить дескремблированные данные, а именно, дескремблированный пакет данных 923. Если при первоначальном скремблировании пакетов использовалось определенное состояние или время 920, тот же способ скремблирования должен быть снова использован и в операции 927 дескремблирования путем его выбора из списка алгоритмов скремблирования 922. Несмотря на то, что список алгоритмов скремблирования 922 относится к термину "скремблирование", та же таблица алгоритмов используется для идентификации и выбора обратной функции, необходимой для выполнения "дескремблирования", т.е. список алгоритмов скремблирования 922 содержит информацию, необходимую как для скремблирования пакетов данных, так и для дескремблирования пакетов данных. Поскольку эти две функции включают в себя одни и те же инструкции, выполняемые в обратном порядке, список 922 также может быть переименован в список алгоритмов "скремблирования/дескремблирования" 922. Однако для большей наглядности эта таблица отмечена только названием функции без указания ее обратной функции.

Если алгоритм скремблирования, выбранный для реализации операции дескремблирования 927, не соответствует исходному алгоритму, использованному при скремблировании пакетов, или если начальное состояние 929 либо состояние или время 920 не совпадают со временем скремблирования, то операция дескремблирования не сможет восстановить исходный дескремблированный пакет данных 923, и данные пакета будут потеряны. На схемах потоков данных удобно иллюстрировать этот процесс дескремблирования пакетов с использованием схематического или символического представления, обозначенного здесь символом 928.

В соответствии с рассматриваемым изобретением для выполнения операции скремблирования могут использоваться различные алгоритмы при условии, что процесс является обратимым, а это означает, что повторение действий в обратном порядке по отношению к исходному процессу возвращает каждый сегмент данных в исходное и правильное положение в заданном пакете данных. С математической точки зрения допустимыми алгоритмами скремблирования являются те алгоритмы, которые обратимы, т.е. когда функция F(A) имеет обратную функцию F-1(A) или, как вариант, преобразование имеет соответствующую обратную функцию, для которой

F-1[F(A)]=A

Это означает, что при применении функции F к файлу данных, последовательности, строке символов, файлу или вектору A и при последующем применении обратной функции F-1 будут получены исходные входные данные A, не изменившиеся ни по величине, ни по порядку следования элементов.

Примеры таких обратимых функций иллюстрируются статическими алгоритмами скремблирования, показанными на фигуре 51C, в том числе алгоритмами зеркального отражения и фазового сдвига. В алгоритмах зеркального отражения сегменты данных заменяются другими сегментами данных, которые являются их зеркальным отражением относительно оси симметрии, определяемой модулем ("mod") процесса зеркального отражения. При зеркальном отражении по модулю 2, согласно фигуре, каждые два сегмента данных исходного пакета входных данных 930 меняются местами, т.е. меняются местами 1A и 1B, аналогично 1C и 1D, 1E и 1F, и т.д., при этом образуется скремблированный пакет выходных данных 935 с осями симметрии между первым и вторым сегментами данных, между третьим и четвертым сегментами данных и т.д. или, на языке математики, в позициях 1,5; 3,5; 5,5;...; (1,5+2n).

При зеркальном отражении по модулю 3 первый и третий сегменты данных в каждой тройке сегментов данных меняются местами, а средний пакет каждой тройки остается в исходном положении. Соответственно, сегменты данных 1А и 1С меняются местами, а 1В остается в центре тройки; сегменты данных 1D и 1F меняются местами, а 1Е остается в центре тройки и т.д., при этом образуется скремблированный пакет выходных данных 936. При зеркальном отражении по mod3 оси симметрии находятся в позициях 2, 5, 8,..., (2+3n).

При зеркальном отражении по mod4 первый и четвертый, а также второй и третий сегменты данных из каждой четверки сегментов данных меняются местами и т.д., при этом образуется скремблированный пакет выходных данных 937 из пакета входных данных 931. Соответственно, сегмент данных 1А меняется местами с 1D; сегмент данных 1B меняется местами с 1С; и т.д. При зеркальном отражении по mod4 ось симметрии находится между вторым и третьим сегментами данных каждой четверки, т.е. между 2-м и 3-м сегментами данных, 6-м и 7-м сегментами данных и т.д., или, на языке математики, в позициях 2,5; 6,5;...; (2,5+4n). При зеркальном отражении по модулю m m-й сегмент данных входного пакета данных 932 заменяется первым, т.е. 0-м сегментом данных; 0-й сегмент данных заменяется на m-й элемент; и аналогичным образом n-й элемент заменяется на (m-n)-й сегмент данных, при этом образуется скремблированный пакет выходных данных 938.

Другой способ скремблирования, также показанный на фигуре 51С, представляет собой сдвиг кадра, где каждый сегмент данных сдвинут влево или вправо на один, два или более кадров. Например, при фазовом сдвиге на один кадр каждый сегмент данных сдвигается на один кадр, при этом первый сегмент данных сдвигается во вторую позицию; второй сегмент данных сдвигается в позицию третьего кадра и т.д., при этом образуется скремблированный пакет выходных данных 940. Последний кадр входного пакета данных 930, кадр 1F в приведенном примере, смещается в позицию первого кадра, ранее занятую сегментом данных 1A.

При фазовом сдвиге на 2 кадра первый сегмент данных 1А входного пакета данных 930 сдвигается на два кадра в позицию, ранее занятую сегментом данных 1С, четвертый кадр 1D сдвигается в последнюю позицию скремблированного пакета выходных данных 941, предпоследний сегмент данных 1E сдвигается в первую позицию, а последний 1F сдвигается во вторую позицию. Аналогичным образом, при фазовом сдвиге на 4 кадра сегменты данных входного пакета данных 930 сдвигаются на четыре позиции, при этом первый кадр 1А, заменяет кадр, который ранее занимал 1E, 1B заменяет 1F, 1C заменяет 1A, и т.д., при этом образуется скремблированный пакет выходных данных 942. В случае максимального фазового сдвига первый кадр заменяет последний; второй кадр, первоначально занятый сегментом 1B, становится первым кадром пакета выходных данных 943, при этом второй элемент сдвигается в первую позицию, третий - во вторую и т.д. Фазовый сдвиг одного кадра за пределы максимального фазового сдвига приводит к тому, что выходные данные не отличаются от входных. В приведенных примерах фазовый сдвиг данных производится вправо. Алгоритм также работает и при фазовом сдвиге влево, но с другими результатами.

Вышеупомянутые алгоритмы и аналогичные способы в данном описании называются алгоритмами статического скремблирования, поскольку операция скремблирования происходит в один момент времени, и преобразует набор входных данных в уникальные выходные данные. Кроме того, описанные ранее алгоритмы не используют значение пакета данных для определения порядка выполнения скремблирования. Согласно фигуре 51D, в соответствии с рассматриваемым изобретением, параметрическое скремблирование означает, что способ скремблирования выбирается из таблицы возможных алгоритмов скремблирования, например, sort #A, sort #B и т.д. на основе значения, полученного из данных, содержащихся в самом пакете данных. Например, предположим, что каждый сегмент данных может быть преобразован в числовое значение, основанное на вычислении данных, содержащихся в этом сегменте данных. Одним из возможных подходов к определению численного значения сегмента данных является использование десятичного или шестнадцатеричного эквивалента битовых данных в сегменте данных. Если сегмент данных содержит несколько членов, числовой эквивалент можно найти, суммируя числа в сегменте данных. Затем сегмент данных объединяется в одно число или "параметр", по которому затем выбирается способ скремблирования.

В показанном примере на этапе 950 производится параметрическое преобразование не скремблированного пакета данных 930 в таблицу данных 951, содержащую числовое значение для каждого сегмента данных. Согласно фигуре, сегмент данных 1А (0-й кадр) имеет числовое значение 23, сегмент данных 1В (1-й кадр) имеет числовое значение 125 и т.д. Затем на этапе 952 для всего пакета данных 930 извлекается одно значение пакета данных. В приведенном примере сумма 953 представляет собой результат линейного смешивания всех значений сегментов данных из таблицы 951 и равна 1002. На этапе 954 это параметрическое значение, т.е. сумма 953, сравнивается с таблицей условий, например, с имеющимся в программном обеспечении набором предопределенных операторов типа "if-then-else", чтобы сравнить сумму 953 с рядом неперекрывающихся числовых диапазонов в таблице 955, чтобы и определить, какую процедуру сортировки следует использовать. В этом примере параметрическое значение 1002 находится в диапазоне от 1000 до 1499, а это означает, что следует использовать процедуру сортировки sort #C. После выбора процедуры сортировки параметрическое значение больше не требуется. После этого на этапе 956 входные не скремблированные данные 930 скремблируется выбранным способом, при этом образуется скремблированный пакет выходных данных 959. В приведенном примере результат сортировки Sort #C, приведенный в таблице 957, содержит набор относительных перемещений для каждого сегмента данных. Первый сегмент данных скремблированного пакета данных 959 (0-й кадр) определяется перемещением сегмента данных 1D на три позиции влево, т.е. его сдвигом три раза. Первый кадр содержит сегмент данных 1В, он не изменяет свое исходное положение, т.е. перемещается на 0 мест. Второй кадр содержит сегмент данных 1E, сдвинутый на две позиции влево относительно исходного положения. Точно так же третий кадр содержит сегмент данных 1F, сдвинутый на две позиции влево относительно исходного положения. Четвертый кадр скремблированного пакета выходных данных 959 содержит сегмент данных 1С, сдвинутый вправо, т.е. на +2 позиции, относительно своего исходного положения. Пятый кадр содержит сегмент данных 1А, сдвинутый на пять позиций вправо, т.е. на +5 позиций, относительно своего исходного положения.

Таким образом, согласно таблице 957 для процедуры сортировки sort #C, каждый сегмент данных перемещается в однозначно определенную новую позицию, при этом образуется параметрически определенный скремблированный пакет данных 959. Чтобы дескремблировать этот скремблированный пакет данных, процесс выполняется в обратном порядке с использованием того же способа сортировки sort #C. Чтобы гарантировать выбор того же алгоритма для выполнения операции дескремблирования, параметрическое значение 953 пакета данных не может быть изменено в результате операции скремблирования. Например, линейное смешивание параметрического значения каждого сегмента данных дает одно и то же числовое значение независимо от порядка чисел.

Динамическое скремблирование использует состояние системы, например, время, чтобы иметь возможность идентифицировать условия, при которых был скремблирован пакет данных, что позволяет выбрать тот же способ для выполнения операции дескремблирования. В системе, показанной на фигуре 51B, состояние используется для создания замаскированного числового начального состояния, которое передается отправителю или получателю пакета, который затем использует это начальное состояние для выбора алгоритма скремблирования из таблицы. В качестве альтернативы, отправителю или получателю может быть передано само состояние, и это состояние может использоваться генератором скрытых чисел, расположенным у отправителя или получателя, для генерирования скрытого числа, по которому осуществляется выбор алгоритма скремблирования/дескремблирования. Такая компоновка показана на фигуре 51Е, где состояние, например, время 920 используется для генерирования скрытого числа 961 с помощью генератора скрытых чисел 960 и для выбора способа скремблирования из списка алгоритмов скремблирования 962. Используя скрытый номер 961 для выбора алгоритма из таблицы 962 алгоритма скремблирования, операция скремблирования 963 преобразует не скремблированный пакет данных 930 в скремблированный пакет данных 964. Согласно фигуре 51Е, состояние 920 может быть передано генератору скрытых чисел 960 непосредственно, или состояние 920 может быть передано генератору скрытых чисел через генератор начальных состояний 921.

Выбор алгоритма скремблирования по скрытому номеру, а не просто по числовому начальному состоянию, имеет преимущество, заключающееся в том, что он исключает любую возможность преступного воссоздания таблицы скремблирования путем анализа потока данных, т.е. статистического сопоставления повторяющихся наборов скремблированных данных с соответствующими числовыми начальными состояниями. Начальное состояние может быть видимым в потоке данных и, следовательно, уязвимо для шпионажа, в то время как генератор скрытых чисел и скрытое число HN, которое он создает, основываются на разделяемых секретах. Таким образом, скрытое число HN не присутствует в потоке данных, неуязвимо для шпионажа и синтаксического анализа, это означает, что оно не передается по сети, а генерируется локально по числовому начальному состоянию. Таким образом, эта математическая операция - генератор скрытых чисел - обеспечивает повышение уровня защищенности в части предотвращения хакерских атак, потому что назначение числового начального состояния замаскировано.

Сразу после выбора алгоритма числовое начальное состояние также может использоваться как входная переменная в алгоритме процесса скремблирования 963. Двойное назначение числового начального состояния дополнительно запутывает анализ, потому что начальное состояние не напрямую выбирает алгоритм, а работает вместе с ним при определении окончательной последовательности сегментов скремблированных данных. Аналогичным образом, чтобы дескремблировать динамически скремблированный пакет данных, начальное состояние 929 (или, как вариант, состояние или время 920) должно быть передано из узла связи, устройства или программного обеспечения, первоначально выполняющего скремблирование, любому узлу или устройству, желающему его дескремблировать.

В соответствии с рассматриваемым изобретением алгоритм генерации начальных состояний 921, генератор скрытых чисел 960 и список алгоритмов скремблирования 962 представляют собой "разделяемые секреты" - информацию, хранящуюся на сервере DMZ (как описано ниже) и неизвестную ни отправителю, ни получателю пакета данных. Разделяемый секрет устанавливается заранее и не связан с передаваемыми пакетами данных, кроме, возможно, времени установки кода, где используются различные процедуры аутентификации для исключения утечки секрета. Как описано ниже, разделяемые секреты могут быть ограничены "зонами", поэтому знание одного набора украденных секретов по-прежнему не позволяет хакеру получить доступ ко всей сети связи или перехватывать сообщения в реальном времени.

Кроме разделяемых секретов при динамическом скремблировании, где алгоритм скремблирования изменяется во время передачи пакета данных, для скремблирования или дескремблирования данных требуется начальное состояние на основе "состояния". Это состояние, на котором основано начальное состояние, может быть любым физическим параметром, таким как время, номер узла связи, идентификатор сети или даже координаты GPS, при условии, что не существует неопределенности относительно состояния, используемого при генерировании начального состояния, и при условии наличия средств информирования следующего узла о том, какое состояние использовалось при скремблировании предыдущего пакета данных. Алгоритм, используемый генератором начальных состояний для создания начального состояния, является частью общих секретов, и, следовательно, знание начального состояния не позволяет определить состояние, на котором основано это начальное состояние. Начальное состояние можно передавать от одного узла связи к другому, поместив его в сам пакет данных, отправив его через другой канал или путь или применив какую-либо комбинацию этих способов. Например, состояние, используемое при генерировании начального состояния, может представлять собой счетчик, первоначально содержащий случайное число, которое впоследствии увеличивается на постоянную величину при каждом прохождении пакета данных через узел связи, при этом каждое значение счетчика соответствует конкретному алгоритму скремблирования.

В одном из вариантов осуществления динамического скремблирования при первом выполнении операции скремблирования генерируется случайное число для выбора используемого способа скремблирования. Это случайное число помещается в пакет данных в его заголовке или той части пакета данных, которая зарезервирована для команд и управления, и не подвергается скремблированию. Когда пакет данных поступает в следующий узел, это введенное число считывается узлом связи и используется программным обеспечением для выбора надлежащего алгоритма для дескремблирования входящего пакета данных. Затем это число, т.е. "значение счетчика", увеличивается на единицу или какое-нибудь другое заданное целое число, пакет скремблируется в соответствии с алгоритмом, связанным с этим новым числом, а это новое число записывается в выходной пакет данных, взамен предыдущего числа. Следующий узел связи повторяет этот процесс.

В альтернативном варианте осуществления рассматриваемого способа на основе счетчика для выбора алгоритма скремблирования генерируется случайное число для выбора первоначального алгоритма скремблирования, и это число направляется каждому узлу связи, используемому для передачи конкретного пакета данных как "разделяемый секрет". Значение счетчика, например, начиная с 0, помещается в пакет данных в его заголовке или в той части пакета данных, которая зарезервирована для команд и управления, и не подвергается скремблированию. Затем этот пакет данных пересылается на следующий узел связи. Когда пакет поступает на следующий узел связи, сервер считывает значение счетчика, добавляет это значение к первоначальному случайному числу, идентифицирует алгоритм скремблирования, используемый при выполнении предыдущей операции скремблирования пакета данных, и дескремблирует пакет в соответствии с ним. Затем значение счетчика увеличивается на единицу или любое другое заданное целое число, и это значение счетчика снова сохраняется в заголовке пакета данных или той части пакета данных, которая зарезервирована для команд и управления, и не подвергается скремблированию, взамен предыдущего значения счетчика. Случайное число, служащее разделяемым секретом, не передается в пакете данных связи. После того как пакет данных поступает в следующий узел связи, сервер добавляет случайное число, являющееся разделяемым секретом, добавленное к измененному значению счетчика, извлеченному из пакета данных. Этот новое число однозначно идентифицирует алгоритм скремблирования, используемый предыдущим узлом связи для скремблирования входящего пакета. В случае применения этого способа кибер-пиратом может быть перехвачено только неинформативное значение счетчика из незашифрованной части пакета данных, глядя на которое не возникает никаких идей о том, что означают эти данные.

В другом альтернативном способе может использоваться скрытое число для передачи состояния пакета и того, какой алгоритм использовался для его скремблирования. Скрытое число объединяет изменяющееся во времени состояние или начальное состояние с разделяемым секретом, который, как правило, представляет собой числовой алгоритм, при этом они вместе используются для создания конфиденциального числа, т.е. "скрытого числа", которое никогда не передается между узлами связи и, следовательно, не является предметом синтаксического анализа или исследования при проведении атаки "человек посередине" или со стороны кибер-пирата. Затем скрытое число используется для выбора применяемого алгоритма скремблирования. Поскольку состояние или начальное состояние не имеет смысла без знания алгоритма, используемого для вычисления скрытого числа, и поскольку алгоритм, являющийся разделяемым секретом, может храниться за межсетевым экраном, недоступным по сети или Интернету, никакой мониторинг сетевого трафика не сможет обнаружить образец. Для дополнительного усложнения ситуации местонахождение начальных состояний также может представлять собой общий секрет. В одном из вариантов осуществления изобретения число, передаваемое в не скремблированной части пакета данных и доступное для наблюдения и синтаксического анализа данных, например, 27482567822552213, представляет собой длинное число, в котором только его часть является начальным состоянием. Если, например, начальное состояние определяется цифрами с третьей по восьмую, то реальное начальное состояние - это не все число 27482567822552213, а только его часть, выделенная жирным шрифтом, т.е. начальное состояние - это 48256. Затем это начальное состояние вместе с являющимся разделяемым секретом алгоритмом используется для генерирования скрытого числа, а это скрытое число используется для выбора алгоритма скремблирования, динамически изменяющегося по всей сети.

Также в соответствии с рассматриваемым изобретением еще одним возможным динамическим скремблирующим алгоритмом является подмешивание, преднамеренно вводящее предсказуемый шум в поток данных при передаче. Один из возможных способов подмешивания заключается в повторной перестановке двух соседних сегментов данных, происходящих при прохождении пакета по сети. Согласно фигуре 51F, в момент времени t0, соответствующий динамическому состоянию 990 не скремблированный пакет данных 990 скремблируется с помощью операции скремблирования пакетов 926, в результате чего скремблированный пакет данных 1001 в момент времени t1 соответствует динамическому состоянию 991. Пакет данных 1001, входящий в узел связи N1,1, размещенный на сервере 971, представляет собой последовательность сегментов данных, следующих в порядке 1D, 1B, 1E, 1F, 1C, 1A. Пакет данных 1001 преобразуется узлом связи N1,1 в момент времени t2, при этом изменяется порядок следования сегментов данных путем обмена местами сегментов данных 1E и 1B. Результирующий пакет данных 1002, содержащий последовательность сегментов данных 1D, 1E, 1B, 1F, 1C, 1A, затем обрабатывается узлом связи N1,2, размещенным на сервере 972, в момент времени t3, восстанавливая прежнюю последовательность 1D, 1B, 1E, 1F, 1C, 1A. В каждом очередном узле относительные позиции сегментов данных 1B и 1E меняют местами или подмешивают шумоподобный сигнал, исключая образование двух одинаковых последовательных пакетов. Таким образом, исходная последовательность скремблирования содержит пакеты данных 1001, 1003, 1005 и 1007 в соответствующие моменты времени t1, t3, t5 и t7 и измененные пакеты данных 1002, 1004 и 1006 в соответствующие моменты времени t2, t4 и t6. Затем пакет данных 1007, выходящий из узла связи N1,6, размещенного на сервере 972, дескремблируется с помощью операции дескремблирования пакета 928 для восстановления исходной последовательности данных 930 в момент времени tf.

Пример статического скремблирования в соответствии с рассматриваемой динамической защищенной коммуникационной сетью и протоколом, применяемой к пакету данных 930, проходящему по цепочке серверов связи 1010-1015, показан на фигуре 52, где узел связи N0,0, размещенный на сервере 1010, выполняет операцию скремблирования пакета 926, в результате чего образуется скремблированный пакет данных 1008. Затем скремблированный пакет 1008 проходит по сети связи с коммутацией пакетов без каких-либо дальнейших изменений в последовательности сегментов данных, после чего узел связи N0.f, размещенный на сервере 1015, наконец выполняет операцию дескремблирования пакета 928, восстанавливая исходную последовательность сегментов в пакете данных. Эта форма передачи данных представляет собой статическое скремблирование, поскольку пакет данных, изначально скремблированный, не изменяется при прохождении по сети до тех пор, пока не достигнет последнего сервера.

Представленные данные, проходящие по сети, хотя они и скремблированы, можно считать "текстовым файлом", поскольку в пакетах данных присутствуют фактические данные, т.е. пакеты не преобразованы в зашифрованный текст. Напротив, в зашифрованном тексте строка символов, содержащая исходные данные, независимо от того, скремблированы они или нет, преобразуется в ничего не значащую серию бессмысленных символов с помощью ключа шифрования, и не может быть снова преобразована в исходную форму текстового файла без ключа дешифрования. Роль шифрования в рассматриваемой системе связи на основе SDNP обсуждается ниже в разделе "Шифрование".

Чтобы изменить последовательность пакетов данных во время передачи по сети, требуется "ре-скремблирование" пакетов, согласно фигуре 53. Процесс ре-скремблирования пакетов преобразовывает скремблированный пакет данных в его исходное не скремблированное состояние, а затем снова скремблирует его в соответствии с новым алгоритмом скремблирования. Таким образом, используемый здесь термин "ре-скремблирование" означает дескремблирование пакета данных и его последующее повторное скремблирование, как правило, с помощью другого алгоритма или способа скремблирования. Такой подход позволяет исключить риск повреждения данных, возникающий при скремблировании ранее скремблированного пакета и потере контроля над слежением за последовательностью, необходимого для восстановления исходных данных. Согласно фигуре, скремблированный пакет данных 1008, изначально скремблированый с помощью операции скремблирования пакетов 926, "ре-скремблируется", сначала путем его дескремблирования с помощью операции дескремблирования 928, используя обратную операцию алгоритма скремблирования, по которому было выполнено скремблирование данных, а затем скремблирования пакета данных заново с помощью операции скремблирования 926, но по другому алгоритму скремблирования, а не по тому, который использовался в предыдущей операции скремблирования 926. Результирующий ре-скремблированный пакет данных 1009 отличается от предыдущего скремблированного пакета данных 1008. Операция ре-скремблирования 1017 представляет собой последовательное выполнение дескремблирования и последующего скремблирования, и в настоящем документе называется "US ре-скремблированием", где "US" - аббревиатура от англ. Unscrambling-Scrambling, что означает "дескремблирование-скремблирование". Чтобы восстановить исходный пакет данных 930, при операции дескремблирования окончательного пакета 928 необходимо применить обратную функцию того же алгоритма, который использовался для предыдущего ре-скремблирования пакета данных.

Применение US ре-скремблирования в сети связи с коммутацией пакетов на основе SDNP в соответствии с настоящим изобретением иллюстрирует фигура 54, где пакет данных 930, сначала скремблированный с помощью операции скремблирования 926 на сервере 1011, последовательно преобразуется с помощью операции US ре-скремблирования 1017 по мере прохождения пакета данных по сети серверов связи с коммутацией пакетов 1012-1015. Последняя операция дескремблирования 928 происходит на сервере 1016 и восстанавливает исходную последовательность сегментов пакета данных 930. Поскольку ре-скремблирование многократно повторяется и производится в разные моменты времени от t0 до tf, результирующая сеть представляет собой динамически скремблированную сеть связи. В процессе работы не скремблированный пакет данных 930 скремблируется с помощью операции скремблирования 926, реализованной в узле связи N0,0, размещенном на сервере 1011. Используя операцию US ре-скремблирования 1017, реализованную в узле связи N0,1, размещенном на сервере 1012, пакет преобразуется в скремблированный пакет данных 1008 в момент времени t2. Тот же процесс повторяется при каждом прохождении пакета данных через оставшиеся узлы связи. Например, в узле связи N0,2, размещенном на сервере 1013, операция US ре-скремблирования 1017 преобразует ре-скремблированный пакет данных 1008 в новый ре-скремблированный пакет данных 1009.

Каждая операция ре-скремблирования 1017 сначала отменяет предыдущее скремблирование на основе предыдущего состояния поступающего в узел связи пакета, например, если пакет данных 1008 был скремблирован для состояния, соответствующего времени t2, а затем снова производится скремблирование этого пакета для нового состояния, соответствующего времени t3, при этом образуется ре-скремблированный пакет данных 1009. Как было описано ранее, состояние, используемое при определении выполняемого скремблирования, может включать начальное состояние, время или число, связанное с каким-либо физическим параметром, например, временем, номером узла связи, идентификатором сети или даже координатами GPS при условии отсутствия неопределенности относительно того, как выполнялось предыдущее скремблирование. Соответственно, де-скремблирование пакета данных, входящего в узел связи N0,1, размещенный на сервере 1012, зависит от состояния предыдущего сервера, использовавшегося для скремблирования пакета данных, т.е. состояния узла связи N0,0, размещенного на сервере 1011; де-скремблирование пакета данных, входящего в узел связи N0,2, размещенного на сервере 1013, зависит от состояния узла связи N0,1, размещенного на сервере 1012, во время скремблирования; де-скремблирование пакета данных, входящего в узел связи N0,3, размещенный на сервере 1014, базируется на состоянии узла связи N0,2, размещенного на сервере 1013 во время скремблирования и т.д. Последний узел связи в этой сети, в данном случае узел связи N0,f, размещенный на сервере 1016, не выполняет US ре-скремблирование, а вместо этого выполняет операцию де-скремблирования 928, чтобы восстановить первоначальную не скремблированную последовательность сегментов пакета данных 930.

В соответствии с рассматриваемым изобретением статическое и динамическое скремблирование данных лишает интерпретацию не скремблированных данных всякого смысла, превращая звук в неузнаваемый шум, превращая текст в несвязный набор символов, превращая видео в "видео-снег" и код скремблирования в невосстанавливаемый. Само по себе скремблирование обеспечивает высокую степень безопасности. Однако в способе SDNP, рассматриваемом в настоящем документе, скремблирование - это только один из элементов, предназначенных для того, чтобы обеспечить и гарантировать защищенную связь, исключающую вмешательство хакеров, проведение кибер--атак, кибер--пиратство и проведение атак типа "человек посередине".

Шифрование пакетов - В соответствии с настоящим описанием изобретения защищенная связь по сети с коммутацией пакетов опирается на несколько элементов, позволяющих предотвратить взлом и обеспечить безопасность, одним из которых является шифрование SDNP. Как указано выше, слово "шифрование" имеет греческое происхождение, означающее "скрывать, прятать, затемнять", и представляет собой средство преобразования нормальной информации или данных, обычно называемых "текстовым файлом", в "зашифрованный текст", имеющий непонятный формат, который делает данные нечитабельными без секретных знаний. В современной связи эти секретные знания обычно связаны с совместным использованием одного или нескольких "ключей", используемых для шифрования и дешифрования данных. Обычно эти ключи содержат псевдослучайные числа, генерируемые по определенному алгоритму. Сегодня написаны многочисленные статьи и тексты, обсуждающие достоинства и недостатки различных способов шифрования, например: "Криптономикон" Нила Стивенсона, © 1999 г.; "Книга шифров: наука о секретности от Древнего Египта до квантовой криптографии" Саймона Сингха, © 1999 г.; "Практическая криптография" Нильса Фергюсона, © 2013 г. и "Криптоанализ: исследование шифров и их расшифровка", впервые опубликованная в 1939 г.

Несмотря на то, что понятие шифрования или шифров появилось в древние времена и хорошо известно специалистам в данной области, применение криптографии в рассматриваемой динамической защищенной коммуникационной сетью и протоколом является уникальным, оно облегчает как сквозное шифрование, так и динамическое шифрование для одного межузлового перехода применительно к архитектуре самой сети, независимо от собственного шифрования данных любого клиента. Базовый принцип архитектурного проектирования системы передачи данных SDNP состоит в том, что при наличии достаточного времени любой статически зашифрованный файл или сообщение можно в конечном итоге взломать и похитить информацию, независимо от того, насколько сложен шифр. Несмотря на то, что это предположение может не соответствовать действительности, нет необходимости доказывать или опровергать его, потому что противоположный подход, т.е. ожидание сбоя конкретного способа шифрования, может привести к неприемлемым и необратимым последствиям.

Вместо этого система передачи данных SDNP базируется на предпосылке, что все зашифрованные файлы имеют ограниченный "срок хранения", это метафорическое высказывание означает, что зашифрованные данные являются надежными (защищенными) только в течение ограниченного периода времени и что конфиденциальные данные должны быть заново динамически перешифрованы через регулярные интервалы времени, в идеале гораздо меньшие, чем самые оптимистические оценки времени, необходимого для взлома шифра с использованием современных компьютеров. Например, если, по оценке криптологов, крупная серверная ферма криптодвижков может взломать данный шифр за один год, то в системе передачи данных SDNP пакет данных будет перешифровываться через каждую секунду или даже через каждые 100 мс - интервал, величина которого на много порядков короче интервала, в течение которого наилучшая технология способна взломать его. Поэтому шифрование в SDNP обязательно является динамическим, т.е. зависящим от времени, а также может быть зависящим от пространства, т.е. зависящим от местоположения узла связи в сети с коммутацией пакетов или географического положения. Таким образом, используемый здесь термин "перешифрование" относится к расшифрованию пакета данных и его последующему повторному зашифрованию, как правило, с помощью другого алгоритма или способа шифрования.

Следовательно, шифрование в SDNP предусматривает многократное и частое преобразование данных из незашифрованного текстового файла в зашифрованный текст, что делает информацию невразумительной и бесполезной. Даже если шифрование данных конкретного пакета чудесным образом удалось взломать, то при использовании способов динамического шифрования SDNP у следующего пакета данных будет совершенно другой ключ шифрования или шифр, что потребует начинать с самого начала новый процесс взлома его шифрования. Ограничение общего содержимого каждого уникально зашифрованного пакета данных смягчает потенциальный ущерб от несанкционированного доступа, поскольку открытый пакет данных сам по себе содержит слишком маленький файл данных и не представляет особой ценности или пользы для кибер-пирата. Более того, комбинируя динамическое шифрование с вышеупомянутыми способами скремблирования SDNP, можно значительно повысить защищенность связи. Даже в незашифрованном виде перехваченный файл данных содержит лишь небольшой фрагмент данных, голоса или видео, который скремблирование превращает в бессмысленную и невразумительную последовательность сегментов данных.

В соответствии с настоящим изобретением шифрование SDNP является динамическим и зависимым от состояния. Согласно фигуре 55A, незашифрованный пакет данных представляет собой текстовой файл 930, обработанный посредством операции шифрования 1020, при этом образуется зашифрованный пакет данных, содержащий шифротекст 1024 или 1025. В случае шифротекста 1024 весь пакет данных текстового файла 930 зашифрован целиком, при этом сегменты данных от 1A до 1F обрабатываются как один файл данных. В случае шифротекста 1025 каждый сегмент данных текстового файла 930 от 1А до 1F шифруется отдельно и определенно и не объединяется с другими сегментами данных. Первый сегмент данных 1А зашифровывается и помещается в соответствующий первый сегмент данных шифротекста, показанного для наглядности строкой символов, начинающейся с 7$ и представляющего собой длинную строку символов или цифр, которые не показаны. Аналогично, второй сегмент данных 1В текстового файла зашифровывается и помещается во второй сегмент данных шифротекста, представляющего собой длинную строку символов, показанную для наглядности, начиная с *^. Символы 7$ и *^ показаны, чтобы продемонстрировать начальные элементы бессмысленных строк символов, цифр и буквенно-цифровых знаков, и не накладывают никаких ограничений или не содержат никаких конкретных данных об источнике текстового файла или длине зашифрованных строк символов.

Операция шифрования 1020 может использовать любой доступный алгоритм, криптографический способ или способ шифрования. Несмотря на то, что алгоритм может представлять собой статическое уравнение, в одном из вариантов осуществления изобретения операция шифрования использует динамические переменные или "состояния", например, время шифрования 920, а также генератор шифрования 1021 для создания "E-ключа" 1022, который также может зависеть от состояния, например, времени шифрования 920. Например, дата и время шифрования могут использоваться как числовое значение для генерации ключа шифрования, который нельзя воссоздать, даже если был обнаружен алгоритм шифрования. Время 920 или другие "состояния" также могут использоваться для выбора конкретного алгоритма из списка алгоритмов шифрования 1023, который является списком доступных алгоритмов шифрования. На диаграммах потоков данных удобно иллюстрировать эту операцию и последовательность шифрования пакета с использованием схематического или символического представления, обозначенного здесь символом, показанным для операции шифрования 1026. Во всех материалах описания настоящего изобретения символом, представляющим защищенные и зашифрованные данные, может также служить замок. Замок с расположенным над ним циферблатом указывает на защищенный механизм доставки, например, на зашифрованные файлы, которые, если они не будут приняты в течение определенного интервала времени или до определенного момента времени, саморазрушаются и теряются навсегда.

Операция дешифрования, показанная на фигуре 55B, иллюстрирует обратную функцию операции шифрования 1020, а именно, операцию дешифрования 1031, где состояние или время 920 и другие состояния, используемые для создания шифротекста 1024, вместе с ключом дешифрования ("D-ключом") 1030, генерируемым генератором D-ключей 1029, повторно используются для отмены шифрования, то есть расшифрования файла, для получения незашифрованных данных, содержащих исходный пакет данных 990 текстового файла. Если при первоначальном шифровании пакетов использовалось определенное состояние или время 920, та же операция шифрования должна быть снова использована и в операции дешифрования 1031 путем ее выбора из списка алгоритмов шифрования 1023. Несмотря на то, что список алгоритмов шифрования 1023 относится к термину "шифрование", та же таблица алгоритмов используется для идентификации и выбора обратной функции, необходимой для выполнения "дешифрования", т.е. список алгоритмов шифрования 1023 содержит информацию, необходимую как для шифрования, так и для дешифрования пакетов данных. Поскольку эти две функции включают в себя одни и те же инструкции, выполняемые в обратном порядке, таблица 1023 также может быть переименована в таблицу алгоритмов "шифрования/дешифрования" 1023. Однако для большей наглядности эта таблица отмечена только названием функции без указания ее обратной функции.

Если алгоритм шифрования, выбранный для реализации операции дешифрования 1031, не соответствует обратному алгоритму по отношению к исходному алгоритму, использованному в операции шифрования пакетов, или если состояние или время 920 не совпадают со временем шифрования, или если D-ключ 1030 не связан известным числовым соотношением с E-ключом 1022, используемым во время шифрования, то операция дешифрования 1031 не сможет восстановить исходные незашифрованные данные 990, и данные пакета будут потеряны. На схемах потоков данных этот процесс дешифрования пакетов удобно иллюстрировать с использованием схематического или символического представления, обозначенного здесь символом операции дешифрования 1032.

Как уже было указано в этом описании, использование ключей шифрования и дешифрования в криптографии и общие алгоритмы шифрования, такие как симметричное шифрование, с открытым ключом, шифрование по способу RSA (аббревиатура от фамилий Rivest, Shamir и Adleman) и шифрование по способу AES256 (англ. Advanced Encryption Standard - улучшенный стандарт шифрования) и др., являются вопросами, хорошо известными специалистам в данной области. Однако применение таких известных криптографических способов в рассматриваемой системе передачи данных SDNP не так восприимчиво к взлому или расшифровке из-за скрытой информации, разделяемых секретов и зависящих от времени динамических переменных и состояний, уникальных для рассматриваемой системы передачи данных SDNP.

Поэтому даже в маловероятном случае, когда кибер-пират обладает достаточной вычислительной мощью, чтобы в конечном итоге взломать надежную систему шифрования, ему не хватает некоторой информации, включенной в сеть SDNP в качестве непубличных или разделяемых секретов, необходимых для выполнения операции дешифрования, кроме того он должен взломать систему шифрования за долю секунды, пока не изменится шифр. Кроме того, каждый пакет данных, проходящий по рассматриваемой сети SDNP, использует собственный способ шифрования с уникальными ключами и динамическими состояниями. Необходимость одновременного получения недостающей информации, динамических состояний и ограниченного информационного содержимого в любом конкретном пакете делает похищение сколь-нибудь важных данных из любого конкретного пакета данных как вызывающе сложной, так и неблагодарной задачей для кибер-пирата.

Чтобы перехватить весь документ, онлайн-видео или голосовую беседу для восстановления связной последовательных данных, кибер-атака должна последовательно взламывать и расшифровывать не один, а тысячи последовательных пакетов SDNP. Крайне серьезная задача непрерывного взлома последовательности пакетов SDNP еще более усугубляется сочетанием динамического шифрования с ранее описанными способами скремблирования пакетов данных. Согласно фигуре 56, создание зашифрованного скремблированного пакета данных 1024 включает в себя последовательную комбинацию операции скремблирования 926 и операции шифрования 1026 для преобразования не скремблированного пакета данных 990 текстового файла сначала в скремблированный пакет данных 1008 текстового файла, а затем в шифротекст 1024 скремблированного пакета данных. Чтобы восстановить зашифрованный скремблированный пакет, обратные функции должны быть применены в обратной последовательности - сначала операция дешифрования 1032 для восстановления скремблированного пакета данных 1035 текстового файла, а затем операция де-скремблирования 928 для восстановления не скремблированного пакета данных 990 текстового файла.

Согласно фигуре, скремблирование и шифрование представляют собой дополняющие технологии для обеспечения защищенной связи. Незашифрованные скремблированные данные, проходящие по сети, можно считать "текстовым файлом", поскольку в пакетах данных присутствуют фактические данные, т.е. пакеты не преобразованы в шифротекст. Зашифрованные пакеты данных или шифротекст представляют собой скремблированные или не скремблированные строки символов, преобразованные в бессодержательную серию бессмысленных символов с помощью ключа шифрования, и не могут быть восстановлены в исходную форму текстового файла без соответствующего ключа дешифрования. В зависимости от используемого алгоритма ключи шифрования и дешифрования могут представлять собой один и тот же ключ или различные ключи, связанные известной математической зависимостью. Таким образом, скремблирование и шифрование представляют собой дополняющие технологии для обеспечения защищенной связи в соответствии с рассматриваемым изобретением для системы передачи данных SDNP.

Эти два способа, скремблирование и шифрование могут рассматриваться независимо, даже когда они используются в сочетании друг с другом, за исключением того, что последовательность, используемая для восстановления исходного пакета данных из зашифрованного скремблированного пакета данных, должна быть обратной по отношению к последовательности, используемой для его создания. Например, если пакет данных 990 сначала был скремблирован с использованием операции скремблирования 926, а затем зашифрован с использованием операции шифрования 1026, то для восстановления исходного пакета данных зашифрованный скремблированный пакет данных 1024 сначала должен быть дешифрован с использованием операции дешифрования 1032, а затем де-скремблирован с использованием операции де-скремблирования 928. С точки зрения математики, если операция скремблирования F преобразует строку битов или символов в эквивалентную скремблированную версию, а операция де-скремблирования F-1 отменяет это скремблирование, вследствие чего

F-1[F(A)]=A,

и, аналогично, если операция шифрования G преобразует строку текстового файла в эквивалентный шифротекст, а операция дешифрования G-1 отменяет это шифрование, вследствие чего

G-1[G(A)]=A,

то в комбинированном варианте при последовательном выполнении операций скремблирования и шифрования с последующим дешифрованием и де-скремблированием получается исходный аргумент A - не скремблированный пакет данных текстового файла. Соответственно,

F-1{G-1[G(F(A))]}=A

потому что действия выполняются в обратной последовательности, в частности, дешифрование [G-1] зашифрованного скремблированного пакета [G (F (A))] восстанавливает скремблированный пакет данных текстового файла F (A). Последующая операция де-скремблирования F-1 скремблированного пакета текстового файла F(A) восстанавливает исходный пакет данных A.

При использовании линейных способов эта последовательность обратима. Например, если пакет данных сначала зашифрован, а затем скремблирован, то для восстановления исходного пакета данных скремблированный шифротекст должен быть сначала де-скремблирован, а затем дешифрован. Соответственно,

G-1{F-1[F(G(A))]}=A

Изменение последовательности не допускается. Дешифрование пакета данных, который ранее был зашифрован, а затем скремблирован, без предварительного де-скремблирования не восстановит исходный пакет данных, т.е.

F-1{G-1[F(G(A))]} ≠ A

Аналогично, де-скремблирование пакета, который был скремблирован, а затем зашифрован, также не сможет восстановить исходный пакет данных, потому что

G-1{F-1[G(F(A))]} ≠ A

В итоге, если пакет текстового файла скремблируется перед шифрованием, он должен быть дешифрован до де-скремблирования; если пакет текстового файла зашифровывается перед скремблированием, он должен быть де-скремблирован до его расшифрования.

Хотя и понятно, что скремблирование и шифрование могут выполняться в любой последовательности, в одном из вариантов осуществления способов SDNP в соответствии с настоящим изобретением, шифрование и дешифрование во время передачи по сети происходят чаще, чем скремблирование, и поэтому шифрование должно происходить после скремблирования, а дешифрование - до де-скремблирования, согласно фигуре 56, а не наоборот. Для удобства комбинация операции скремблирования пакета 926 с последующей операцией шифрования 1026 определяется как операция шифрования скремблированного пакета 1041, а ее обратная операция - комбинация операции дешифрования 1032 с последующей операцией де-скремблирования пакета 928 - как операция де-скремблирования дешифрованного пакета 1042. Эти гибридные операции могут использоваться в статической и динамической системе передачи данных SDNP в соответствии с настоящим изобретением.

На фигуре 57, на котором представлена система передачи данных SDNP, пакет текстового файла 990 проходит через ряд узлов связи 1011-1016 в сети связи с коммутацией пакетов в статически зашифрованной и скремблированной форме и представляет собой пакет данных шифротекста 1040, который не изменяется от узла к узлу и со временем. Согласно фигуре, на первом сервере - узле связи N0,0 1101 - выполняется операция шифрования-скремблирования 1041 для преобразования исходного пакета данных 990 текстового файла в пакет данных 1040 шифротекста - зашифрованных скремблированных данных. После преобразования в момент времени t1 и соответствующего состояния 991 зашифрованный скремблированный пакет данных остается статическим и неизменным, поскольку пакет данных проходит по сети до тех пор, пока он не достигнет узла связи N0,f 1016, где выполняется обратное преобразование пакета данных в его первоначальную форму - пакет данных текстового файла 990 с помощью операции дешифрования-де-скремблирования 1042 в момент времени tf. Несмотря на то, что комбинация скремблирования и шифрования значительно повышает защищенность, она не является динамически защищенной, поскольку пакеты данных остаются неизменными с течением времени и по мере прохождения по сети.

Одно из средств повышения безопасности в любой реализации с использованием статического скремблирующего шифрования заключается в том, что для каждого отправляемого пакета данных применяются различные способы скремблирования и/или шифрования, включающие изменение состояния, начальных состояний и/или ключей в момент времени t1, когда каждый пакет данных входит в сеть связи.

Однако более надежным является альтернативное решение с динамическим изменением способа шифрования и/или скремблирования пакета данных по мере прохождения пакета по сети во времени. Чтобы облегчить необходимую обработку данных для реализации чисто динамической версии системы связи SDNP, необходимо объединить ранее определенные процессы, чтобы "ре-скремблировать" (т.е. де-скремблировать, а затем скремблировать) и "перешифровывать" (т.е. расшифровывать, а затем зашифровывать) каждый пакет по мере его прохождения через каждый узел связи в сети связи с коммутацией пакетов. В настоящем документе иногда используется термин "перепакетировать" или "перепакетирование" для комбинации "ре-скремблирования" и "перешифрования", независимо от того, дешифруется ли пакет первоначально перед де-скремблированием или де-скремблируется перед дешифрованием. В любом случае операции де-скремблирования и дешифрования в данном узле должны выполняться в порядке, обратном выполнению операций скремблирования и шифрования при выходе пакета из предыдущего узла, т.е., если пакет был скремблирован, а затем зашифрован в предыдущем узле, то в текущем узле он должен быть сначала дешифрован, а затем де-скремблирован. Как правило, пакет после этого скремблируется, а затем зашифровывается, когда покидает текущий узел.

Операция "перепакетирования" в узле связи показана на фигуре 58, где пакет данных входящего шифротекста 1040 сначала дешифруется с помощью операции дешифрования 1032, а затем де-скремблируется с помощью операции де-скремблирования 928 для восстановления пакета не скремблированного текстового файла 990, являющегося содержимым исходного пакета. Если какую-либо информацию в пакете необходимо проверить, произвести разбивку, расщепить или перенаправить, незашифрованный файл текстового файла является наилучшим форматом для выполнения таких операций. Затем пакет данных текстового файла 990 снова скремблируется с помощью операции скремблирования 926, после чего выполняется новое шифрование с помощью операции шифрования 1026 для создания нового скремблированного пакета данных шифротекста 1043. Поскольку операция перепакетирования входящего скремблированного пакета данных шифротекста 1040 осуществляется путем последовательного выполнения дешифрования, де-скремблирования, скремблирования и шифрования, для обозначения рассматриваемой в настоящем документе методики в соответствии с настоящим изобретением используется аббревиатура DUSE (англ. Decryption - дешифрование, Unscrambling - де-скремблирование, Scrambling - скремблирование, Encryption - шифрование). В динамической защищенной коммуникационой сети и протоколе желательно, чтобы состояние или время, ключ дешифрования и любые начальные состояния, используемые для выполнения операции дешифрования 1032 и операции де-скремблирования 928, отличались от состояния или времени, начальных состояний или ключей шифрования, используемых для выполнения операции скремблирования 926 и операции шифрования 1026.

Ранее рассмотренная операция перепакетирования по способу DUSE 1045 может быть реализована как программное обеспечение, микропрограмма или оборудование в любом узле связи. Как правило, для выполнения таких операций предпочитают использовать программное обеспечение, потому что со временем текст программы можно обновлять или улучшать. Применение операции перепакетирования по способу DUSE 1045 в динамической сети показано на фигуре 59, где узел связи N0,0, размещенный на сервере 1011, выполняет операцию шифрования скремблированного пакета 1041, узел связи N0,f, размещенный на сервере 1016, выполняет операцию дешифрования-де-скремблирования 1042, а промежуточные узлы связи от N0,1 до N0,4, размещенные на серверах с 1012 по 1015, соответственно, выполняют операции перепакетирования по способу DUSE 1045. В процессе работы пакет данных текстового файла 990 сначала обрабатывается с помощью операции скремблирования-шифрования 1041 в узле связи N0,0, а затем обрабатывается с помощью операции перепакетирования по способу DUSE 1045 в узле связи N0,1, при этом образуется перепакетированный скремблированный текстовой файл 1008, представляющий собой пакет после дешифрования, де-скремблирования пакета и скремблирования пакета, но еще до шифрования. Затем скремблированный текстовой файл 1008 шифруется, в результате чего формируется шифротекст 1040 в момент времени t2 и соответствующее состояние 992. Процесс снова повторяется в узле связи N0,2, а затем в узле связи N0,3, при этом образуется перепакетированный скремблированный текстовой файл 1009, который зашифровывается и формирует шифротекст 1048 в момент времени t4 и соответствующее состояние 994. Наконец, узел связи N0,f выполняет операцию де-скремблирования-дешифрования 1042 для восстановления не скремблированного текстового файла 990 в момент времени tf.

Смешивание и разделение пакетов - Еще одним ключевым элементом динамической защищенной коммуникационной сети и протокола, рассматриваемым в настоящем документе, является его способность разделять пакеты данных на несколько под-пакетов, направлять эти под-пакеты по нескольким маршрутам и смешивать и воссоединять под-пакеты для восстановления полных пакетов данных. Процесс разделения пакетов показан на фигуре 60A, где пакет данных 1054 разделяется с помощью операции разделения 1051 в сочетании с операцией алгоритмической разбивки 1052 и с операцией добавления «мусорной» информации 1053, которая имеет возможность вставлять или удалять сегменты не являющейся данными (мусор). Аналогично избыточной ДНК, присутствующей в геноме человека, «мусорные» сегменты данных вставляются с помощью операции добавления мусорной информации 1053, для расширения или управления длиной пакета данных или, при необходимости, для их удаления. Операция добавления мусорной информации 1053 особенно важна, когда для заполнения пакета имеется недостаточное количество данных. Наличие сегментов «мусорных» данных, вставленных в пакет данных, также затрудняет для кибер-пиратов возможность отделения реальных данных от шума. В настоящем документе "случайный" пакет или сегмент данных - это пакет или сегмент данных, который целиком состоит из неинформативных данных (битов). Эти случайные биты могут быть введены в поток пакетов данных, окружая реальные данные морем неинформативных битов.

Цель операции разбивки 1052 состоит в том, чтобы разбить пакет данных 1054 на более мелкие пакеты данных, например, под-пакеты данных 1055 и 1056 для обработки каждого из составляющих компонентов. Разбиение пакета данных 1054 на более мелкие части дает такие уникальные преимущества, как поддержка многолучевой передачи, т.е. передачи пакетов данных по нескольким и различным путям, и облегчение уникального шифрования составных частей под-пакетов с использованием разных способов шифрования.

Операция разделения может использовать любой алгоритм, численный способ или способ разбивки. Алгоритм может представлять собой статическое уравнение или включать динамические переменные или числовые начальные состояния или такие "состояния", как время 920 при первом формировании входящего пакета данных 1054 рядом под-пакетов и числовое начальное состояние 929, сгенерированное генератором начальных состояний 921, которое также может зависеть от такого состояния, как время 920 в момент создания пакета данных. Например, если каждая дата преобразуется в уникальное монотонно возрастающее число, то каждое начальное состояние 929 является уникальным. Время 920 и начальное состояние 929 могут использоваться для идентификации конкретного алгоритма, выбранного из списка доступных способов, т.е. из алгоритма 1050. Разделение (не смешивание) пакета представляет собой обратную процедуру по отношению к смешиванию с использованием того же алгоритма, выполняемого в строго обратной последовательности по отношению к используемой ранее для создания конкретного пакета. В конечном счете, все, что было сделано, отменяется, но не обязательно за один шаг. Например, скремблированный зашифрованный пакет данных может быть расшифрован, но остается скремблированным. Обработанный с помощью операции разделения 1051 неразделенный пакет входящих данных 1054 преобразуется в несколько пакетов данных, например, разделяется на пакеты 1055 и 1056 постоянной длины с помощью операции разбивки 1052, чтобы алгоритмически выполнить операцию. На схемах потоков данных операцию разделения пакета 1051, включающую в себя разбивку 1052 и операцию добавления случайной информации 1053, удобно иллюстрировать с использованием схематического или символического представления, обозначенного здесь символом операции разделения 1057.

При этом используемый в настоящем документе термин "разделение" может включать в себя разбивку, которая заключается в разделении пакета на два или более пакета или под-пакета, и кроме того он может включать в себя вставку «мусорных» пакетов или под-пакетов в образовавшиеся при "разбивке" пакеты или под-пакеты или удаление «мусорных» пакетов или под-пакетов из образовавшихся при "разбивке" пакетов или под-пакетов.

Обратная функция - операция смешивания пакетов 1060, показанная на фигуре 60B, объединяет несколько пакетов 1055 и 1056 в один и формирует смешанный пакет 1054. Подобно разделению пакетов, операция смешивания пакетов может использовать любой алгоритм, численный способ или способ смешивания. Алгоритм может представлять собой статическое уравнение или включать динамические переменные или числовые начальные состояния или такие "состояния", как время 920, используемые для задания условий, при которых смешиваются пакеты входящих данных 1055 и 1056. Операция смешивания, используемая для создания пакета данных, может использовать числовые начальные состояния 929, генерируемые генератором начальных состояний 921, которые также могут зависеть от состояния, например, времени 920. Время 920 и начальное состояние 929 могут использоваться для идентификации конкретного алгоритма смешивания, выбранного из списка доступных способов смешивания, т.е. из алгоритмов смешивания 1050. На схемах потоков данных этот процесс смешивания пакетов удобно иллюстрировать с использованием схематического или символического представления, обозначенного здесь символом операции смешивания 1061.

В соответствии с настоящим изобретением смешивание и разделение пакетов могут использовать любой из большого числа возможных алгоритмов. На фигуре 61А показаны три из большого количества возможных способов смешивания, а именно: конкатенация, чередование и алгоритмические способы. В процессе конкатенации последовательность сегментов пакета данных 1056 добавляется в конец пакета данных 1055, при этом образуется смешанный пакет 1054. В процессе чередования сегменты пакетов данных 1055 и 1056 поочередно перемешиваются, например, как 1A, 2A, 1B, 2B и т.д., при этом образуется смешанный пакет данных 1065. Еще одним из способов, используемых для смешивания пакетов, является алгоритм. В показанном примере алгоритм, представляющий собой отражательную симметрию с чередованием, изменяет порядок следования сегментов данных на 1A, 2A, 1B, 2B, 1C, 2C в первой половине смешанного пакета 1066 и на противоположный порядке во второй половине, т.е. 2D, 1D, 2E, 1E, 2F, 1F.

Пример применения смешивания пакетов с использованием конкатенации в соответствии с настоящим изобретением показан на фигуре 61B. Согласно фигуре, в момент времени t0 несмешанные пакеты данных 1055 и 1056 смешиваются в узле связи N0,0, размещенном на сервере 1011, с использованием операции смешивания 1061. Затем образовавшийся объединенный пакет данных 1066, содержащий последовательность сегментов 1A-1F, за которой следуют 2A-2F, передается по сети серверов 1011-1016, при этом он представляет собой неизменяемый текстовой файл, статический по своему составу во все моменты времени 998 до тех пор, пока в узле связи N0, f, размещенном на сервере 1016, операция разделения пакетов 1057 не преобразует компоненты смешанного пакета данных 1066 в исходные пакеты данных 1055 и 1056.

Аналогично, пример применения смешивания с чередованием в соответствии с настоящим изобретением показан на фигуре 61С. Аналогично последовательности из предыдущего примера, образуется смешанный пакет 1066 с последовательностью сегментов 1A, 1B, 2A, 2B, 3A, 3B.... Несмотря на то, что смешанный пакет отличается от показанного в примере с конкатенацией, операция разделения данных пакета 1057 способна восстановить исходные несмешанные пакеты данных 1055 и 1056, поскольку знание алгоритма смешивания и времени, состояния или начальных состояний, используемых в операции смешивания, передается узлу связи N0,f, размещенному на сервере 1016, либо в составе пакета данных 1066, либо до передачи пакета в момент времени t0.

Смешивание со скремблированием - Рассматриваемые способы связи с коммутацией пакетов, использующие разделение и смешивание пакетов данных с различными комбинациями сегментов данных, могут в соответствии с рассматриваемым изобретением объединяться со скремблированием пакетов различными способами. На фигуре 62А пакеты не скремблированного текстового файла 2155 и 1056 смешиваются с использованием операции смешивания 1061, при этом образуется смешанный пакет данных 1067, который в приведенном примере формируется чередованием сегментов текстового файла. После смешивания пакет данных 1067 скремблируется с помощью операции скремблирования 926, при этом образуется скремблированный пакет данных текстового файла 1068. Объединенная последовательность результатов операции смешивания пакетов 1061 и скремблирования пакетов 926 содержит операцию смешивания и скремблирования 1070, представляющую собой смешивание с последующим скремблированием.

В альтернативной реализации в соответствии с настоящим изобретением отдельные пакеты данных сначала скремблируются, а затем смешиваются, согласно фигуре 62B. В этой реализации не скремблированные пакеты данных текстового файла 1055 и 1056 сначала скремблируются отдельными и независимыми операциями скремблирования 926, при этом образуются соответствующие скремблированные пакеты данных текстового файла 1008 и 1009. Эти скремблированные пакеты затем смешиваются друг с другом с помощью операции смешивания 1061, при этом образуется смешанный скремблированный пакет данных 1069.

Совместно используемое смешивание и скремблирование, в соответствии с настоящим описанием, может быть интегрировано в статические или динамические сети связи SDNP. На фигуре 63 пакеты данных текстового файла 1055 и 1056 вводятся в узел связи N0,0, размещенный на сервере 1011, который выполняет операцию смешивания и скремблирования 1070, представляющую собой операцию смешивания 1061, за которой следует операция скремблирования 926, для формирования смешанного скремблированного пакета 1068. Содержимое пакета остается постоянным во все моменты времени tn, пока смешанный скремблированный пакет 1068 проходит серверы 1011-1016. Затем конечный узел связи N0,f, размещенный на сервере 1016, выполняет операцию де-скремблирования 928, за которой следует операция разделения 1057, представленная как операция де-скремблирования и разделения 1044.

На фигуре 64 показан пример динамического смешивания со скремблированием в сети связи SDNP. Как и в предыдущем примере статической SDNP, пакеты данных текстового файла 1055 и 1056 вводятся в узел связи N0,0, размещенный на сервере 1011, который выполняет операцию смешивания и скремблирования 1070, представляющую собой смешивание с последующим скремблированием. Над смешанным скремблированным пакетом выполняется операция US ре-скремблирования 1010 на сервере 1012, при этом формируется смешанный скремблированный пакет 1072 в момент времени t2, соответствующий состоянию 992. Затем сервер