Спосіб довіреної інтеграції систем управління активним мережевим обладнанням розподілені обчислювальні системи та система для його здійснення

 

Винахід відноситься до галузі захисту інформаційних систем, а саме до забезпечення довіреної інтеграції систем управління активним мережевим обладнанням розподілені обчислювальні системи шляхом автоматизованої фільтрації потоків взаємодії між активним мережним устаткуванням і системами управління активним мережевим обладнанням і виявлення несприятливих потоків управління, що виникають внаслідок компрометації систем управління в результаті несанкціонованого доступу або спрацьовування в них програмних закладок.

Сучасні розподілені обчислювальні системи будуються на базі великої кількості активного мережевого обладнання - комутаторів, маршрутизаторів, шлюзів і серверів. Для забезпечення безпеки розподілених обчислювальних систем використовуються штатні механізми захисту: механізми аутентифікації і розмежування доступу до окремих мережевих сервісів. Розподілений характер великих обчислювальних систем і наявність великої кількості різних мережевих пристроїв надзвичайно ускладнює управління ними вручну.

Зазвичай система управління активним мережевим обладнанням являє собою програмно-апаратний ком�ть безліч різних завдань, починаючи з управління конфігурацією мережі і закінчуючи обробкою помилок, що виникають в процесі такого управління. Побудова розподілених обчислювальних систем пов'язане з актуальними питаннями забезпечення захисту від несанкціонованого доступу з управління активним мережевим обладнанням, а відсутність механізмів адміністрування безпеки в системах управління активним мережевим обладнанням приводить до комп'ютерних атак, спрямованих на комутатори і маршрутизатори, які є важливими сполучними ланками вузлів розподіленої обчислювальної системи, оволодівши якими зловмисник може отримати доступ не тільки до мережевих пристроїв, але і до всіх вузлів мережі.

В основу винаходу покладено завдання створення способу довіреної інтеграції систем управління активним мережевим обладнанням розподілені обчислювальні системи і системи для її здійснення, застосування яких забезпечує захищеність активного мережевого обладнання, скорочення часових і ресурсних витрат на забезпечення безпеки доступу до активного мережного обладнання за рахунок можливості застосування одного примірника системи управління для всіх видів активного мережевого обладнання,�екран", при якому на контрольоване активне мережеве обладнання допускаються тільки ті дії, які явно задані адміністратором допомогою інтерактивного інтерфейсу, що надається міжмережевими екранами [http://wiki.mvtom.ru/index.php/Межсетевие_экрани].

Недоліком відомого технічного рішення є відсутність функцій з реалізації захисту від внутрішнього порушника, а також від впливу програм-закладок, здатних внести розлад в процес функціонування обладнання.

Найбільш близьким технічним рішенням є межсетевое екранування з пакетною фільтрацією [http://www.npo-rtc.ru/product/sspt-2/], яке полягає у виконанні наступних дій:

заповнення бази даних, яка містить опис керуючих впливів системи управління активним мережевим обладнанням, включаючи в нього сукупність протоколів, типів команд всередині протоколів, а також команд управління;

заповнення бази даних, яка містить опис множини контрольованого активного мережевого обладнання та систем управління активним мережевим обладнанням, включаючи в нього ідентифікаційні параметри даного обладнання: IP-адреси і мережеві імена;

заповнення бази даних, яка містить опис прав�яющих впливів систем управління і множин контрольованих активних мережевих пристроїв;

фіксація переданих по мережі команд керування, що надходять на активне мережеве обладнання з боку систем управління активним мережевим обладнанням, і їх обробка, виділяючи при цьому ідентифікаційні параметри (IP-адреси і мережеві імена) активного мережевого обладнання та систем управління активним мережевим обладнанням, і фільтрація команд управління, шляхом порівняння дозволених керуючих впливів, зазначених у базі даних, яка містить опис правил фільтрації команд управління, і зафіксованих команд управління, і по різниці двох множин визначення, які керуючі впливи є іншим;

блокування керуючих впливів, якщо вони є іншим, або пересилання керуючих впливів далі на активне мережеве обладнання, якщо вони не є іншим;

циклічне продовження фіксування переданих по мережі команд управління, тим самим забезпечення безперервної фільтрації команд управління активним мережевим обладнанням.

Однак вказане рішення спрямоване на протидію зовнішніх комп'ютерних атак, спрямованих на контрольоване мережеве обладнання, і не забезпечує його захист з боку внумеющихся у складі технічного рішення. Таким чином, існуючі рішення не вирішують задачу повністю, а саме не забезпечують достатній рівень безпеки активного мережевого обладнання.

Технічним результатом запропонованого рішення є забезпечення захищеності активного мережевого обладнання, скорочення часових і ресурсних витрат на забезпечення безпеки доступу до активного мережного обладнання за рахунок можливості застосування одного примірника системи управління для всіх видів активного мережевого обладнання.

Рішення поставленої технічної задачі забезпечується тим, що в способі довіреної інтеграції систем управління активним мережевим обладнанням розподілені обчислювальні системи

фіксують еталонне технічний стан активного мережевого обладнання: перелік мережевих портів, контрольні суми конфігураційних файлів і файлів програмного забезпечення, контрольні суми результатів впливу керуючих впливів системи управління активним мережевим обладнанням;

виконують періодичний контроль технічного стану активного мережевого обладнання шляхом порівняння еталонного та поточного (на момент виконання порівняння) технічну�екущего технічного стану еталонному;

заповнюють базу даних, що містить опис керуючих впливів системи управління активним мережевим обладнанням, включаючи в нього сукупність протоколів, типів команд всередині протоколів, а також команд управління;

заповнюють базу даних, що містить опис множини контрольованого активного мережевого обладнання та систем управління активним мережевим обладнанням, включаючи в нього ідентифікаційні параметри даного обладнання: IP-адреси і мережеві імена;

заповнюють базу даних, що містить опис правил фільтрації команд управління у вигляді записів, які описують відповідні пари множин допустимих керуючих впливів систем управління і множин контрольованих активних мережевих пристроїв;

фіксують передаються по мережі команди управління, що надходять на активне мережеве обладнання з боку систем управління активним мережевим обладнанням, і виконують їх обробку, виділяючи при цьому ідентифікаційні параметри (IP-адреси і мережеві імена) активного мережевого обладнання та систем управління активним мережевим обладнанням, і виконують фільтрацію команд управління, порівнюючи дозволені управляючі дії, зазначені в базі даних, содер� множин визначають, які керуючі впливи є іншим;

блокують керуючі впливи, якщо вони є іншим, або пропускають керуючі впливи далі на активне мережеве обладнання, якщо вони не є іншим;

потім циклічно продовжують фіксувати передаються по мережі команди управління, тим самим забезпечуючи безперервну фільтрацію команд управління активним мережевим обладнанням.

Новими істотними ознаками є:

фіксація еталонного технічного стану активного мережного устаткування, включаючи перелік мережевих портів, контрольні суми конфігураційних файлів і файлів програмного забезпечення, контрольні суми результатів впливу керуючих впливів системи управління активним мережевим обладнанням;

виконання періодичного контролю технічного стану активного мережевого обладнання шляхом порівняння еталонного та поточного (на момент виконання порівняння) технічних станів активного мережевого обладнання та видача повідомлення у разі виявлення факту невідповідності поточного технічного стану еталонному.

Перераховані нові суттєві ознаки у совокупностленние обчислювальні системи, нейтралізуючи як зовнішні загрози, які виходять з боку недоверенного обладнання, так і внутрішні - з боку неавторизованих користувачів, що мають фізичний доступ до контрольованого обладнання.

Система довіреної інтеграції систем управління активним мережевим обладнанням розподілені обчислювальні системи являє собою шлюз, що встановлюється в розрив каналу зв'язку активного мережного обладнання з системою управління активним мережевим обладнанням, до складу якої входять:

модуль контролю технічного стану активного мережевого обладнання, виконує фіксацію еталонного технічного стану активного мережевого обладнання (перелік мережевих портів, контрольні суми конфігураційних файлів і файлів програмного забезпечення, контрольні суми результатів впливу керуючих впливів системи управління активним мережевим обладнанням) і виконує періодичний контроль технічного стану активного мережевого обладнання шляхом порівняння еталонного та поточного (на момент виконання порівняння) технічних станів активного мережевого обладнання;

модуль специфікації керуючих впливів, заполняющийм, включаючи в нього сукупність протоколів, типів команд всередині протоколів, а також окремих команд;

модуль обліку активного мережевого обладнання, заповнює базу даних, що містить опис множини контрольованого активного мережевого обладнання та систем управління активним мережевим обладнанням;

модуль складання правил фільтрації команд управління, заповнює базу даних, що містить опис правил фільтрації команд управління, включаючи в нього записи, що описують відображення безліч дозволених керуючих впливів систем управління на безліч контрольованих активних мережевих пристроїв;

які пов'язані з модулем фільтрації команд управління, які виконують фіксацію переданих по мережі команд керування, що надходять на активне мережеве обладнання з боку систем управління активним мережевим обладнанням, і виконує їх обробку, виділяючи при цьому ідентифікаційні параметри (IP-адреси і мережеві імена) активного мережевого обладнання та систем управління активним мережевим обладнанням, та виконує фільтрацію команд управління, порівнюючи дозволені управляючі дії, зазначені в базі даних, що містить опис правил фільтрації �ляющие впливу є іншим, і блокуючим керуючі впливи, якщо вони є іншим, або пропускає керуючі впливи на активне мережеве обладнання, якщо вони не є іншим (дозволеними керуючими впливами).

Винахід пояснюється з допомогою фіг.1 і фіг.2. На фіг.1 представлена схема способу довіреної інтеграції систем управління активним мережевим обладнанням розподілені обчислювальні системи. На фіг.2 показана модульна схема системи довіреної інтеграції систем управління активним мережевим обладнанням розподілені обчислювальні системи.

У відповідності з цим при здійсненні способу виконується автоматизований аналіз інформаційних потоків, ініційованих системами управління активним мережевим обладнанням, виявлення несприятливих потоків управління, що виникають внаслідок компрометації систем управління за допомогою несанкціонованого доступу або наявності в них програмних закладок, і довірена інтеграція систем управління активним мережевим обладнанням розподілені обчислювальні системи шляхом використання запропонованої системи як довіреної шлюзу між активним мережевим обладнанням і системою управл� з розподіленої обчислювальної системою в обхід даної системи. Для досягнення автоматизації дослідження безпеки розподілених обчислювальних систем спосіб та система для його здійснення, описані в цьому винаході, базуються на застосуванні одного примірника системи для всіх видів активного мережевого обладнання. Крім того, засобами системи реалізуються такі відсутні в активному мережному устаткуванні механізми безпеки, як аудит і контроль технічного стану активного мережевого обладнання.

При здійсненні способу фіксують еталонне технічний стан активного мережевого обладнання шляхом підключення активного мережевого устаткування і зчитування переліку відкритих мережевих портів, конфігураційних файлів і файлів програмного забезпечення за допомогою протоколів передачі файлів, підтримуваних даним обладнанням, обчислення контрольних сум отриманих файлів, відправки на активне мережеве обладнання команд управління по одному з підтримуваних даним обладнанням протоколів управління, отримання результатів виконання даних команд, обчислення контрольних сум отриманих результатів та збереження отриманих контрольних сум на жорсткому диску.

Потім виконують періодичний контролиполнения порівняння) технічних станів активного мережевого устаткування і видають повідомлення у разі виявлення факту невідповідності поточного технічного стану еталонному.

Порівняння контрольних сум виконується послідовно для кожного файлу і для кожного результату виконання команди управління за правилами порівняння рядків.

Потім заповнюють базу даних, що містить опис керуючих впливів системи управління активним мережевим обладнанням, включаючи в нього наступні дані:

безліч протоколів управління, представлене у вигляді сукупності імен, привласнених їм у відповідності зі стандартами RFC;

безліч типів повідомлень протоколів управління, представлене у вигляді сукупності імен, присвоєних у відповідності зі стандартами;

безліч окремих команд протоколів управління.

Потім заповнюють базу даних, що містить опис множини контрольованого активного мережевого обладнання та систем управління активним мережевим обладнанням, включаючи в нього ідентифікаційні параметри даного обладнання: IP-адреси і мережеві імена, представлені у відповідності зі стандартом RFC 1918.

Потім заповнюють базу даних, що містить опис правил фільтрації команд управління, включаючи в нього правила, що відображають безліч керуючих впливів систем управління на безліч контрольованих активних мережевих пристроїв,� принципи іменування і безліч типів команд протоколів управління і окремих команд протоколів управління визначаються реалізацією конкретної інформаційної системи.

Потім фіксують передаються по мережі команди управління, що надходять на активне мережеве обладнання з боку систем управління активним мережевим обладнанням, і виконують їх обробку, виділяючи при цьому ідентифікаційні параметри (IP-адреси і мережеві імена) активного мережевого обладнання та систем управління активним мережевим обладнанням, і виконують фільтрацію команд управління, порівнюючи дозволені управляючі дії, зазначені в базі даних, що містить опис правил фільтрації команд управління, і зафіксовані команди управління, і по різниці двох множин визначають, які команди управління є іншим.

Порівняння дозволених і зафіксованих керуючих впливів виконують за правилами порівняння множин.

Якщо ідентифікаційні параметри активного мережевого обладнання, отримані в результаті фіксації переданих по мережі команд управління, не входять в безліч контрольованого активного мережевого обладнання, поточний керуючий вплив вважається недоверенним.

Якщо ідентифікаційні параметри системи управління активним мережевим обладнанням, отримані в результаті фіксації переданих по мережі команд ѵе вплив вважається недоверенним.

Потім блокують керуючі впливи, якщо вони є іншим, або пропускають керуючі впливи на активне мережеве обладнання, якщо вони не є іншим. Потім циклічно продовжують фіксувати передаються по мережі команди управління, тим самим забезпечуючи безперервну фільтрацію команд управління активним мережевим обладнанням.

Для автоматизації способу довіреної інтеграції системи управління активним мережевим обладнанням розподілені обчислювальні системи застосовують систему (фіг.2), в яку включені модуль контролю технічного стану активного мережевого обладнання, модуль складання правил фільтрації команд керування, модуль фільтрації команд керування, модуль специфікації керуючих впливів і модуль обліку активного мережевого обладнання.

Спосіб довіреної інтеграції систем управління активним мережевим обладнанням розподілені обчислювальні системи реалізують у запропонованій системі наступним чином.

Модуль специфікації керуючих впливів заповнює базу даних, що містить опис керуючих впливів системи управління активним мережевим обладнанням, включаючи в нього сукупно�база допустимих керуючих впливів, надходять зі сторони системи управління активним мережевим обладнанням.

Модуль обліку активного мережевого обладнання виконує збір ідентифікаційних параметрів контрольованого активного мережевого обладнання та системи управління активним мережевим обладнанням, у якості яких використовуються мережеві імена і IP-адреси зазначених пристроїв. При цьому модуль здійснює зберігання ідентифікаційних параметрів пристроїв і підтримує редагування цієї множини, дозволяючи користувачеві додавати і видаляти пристрою зі списку контрольованих. Результатом роботи модуля є безліч параметрів, що описують контрольоване активне мережеве обладнання та систему управління активним мережевим обладнанням.

Модуль складання правил фільтрації команд управління містить опис правил фільтрації команд управління, включаючи в нього правила, що відображають безліч керуючих впливів систем управління на безліч контрольованих активних мережевих пристроїв, тим самим визначаючи безліч дозволених керуючих впливів.

Модуль фільтрації команд управління виконує збір мережевого трафіку, що надходить на вхід шлюзу з боку системи управл�ий стека OSI/ISO, зіставляє отримані ідентифікаційні параметри з безліччю параметрів, що описують контрольоване активне мережеве обладнання та систему управління активним мережевим обладнанням, отриманими в результаті роботи модуля обліку активного мережевого обладнання. Далі модуль веріфіцірует поточні керуючі впливи на відповідність форматів повідомлень протоколу управління, типів команд і окремих команд протоколу управління у відповідності з базою допустимих керуючих впливів, отриманої в результаті функціонування модуля специфікації керуючих впливів. Далі модуль виконує порівняння дозволених значень керуючих впливів, сформульованих в базі даних, що містить опис правил фільтрації, і надаваних системою управління на активне мережеве обладнання, і по різниці двох множин визначає, які керуючі впливи є іншим, блокуючи їх.

Розглянемо приклад реалізації запропонованого технічного рішення при виконанні довіреної інтеграції системи управління активним мережевим обладнанням WhatsUpGold в розподілену обчислювальну систему, що містить у своєму складі мережеві комутатори Alcatel OmniSwitch 6850, состножества контрольованого активного мережевого обладнання та систем управління активним мережевим обладнанням, містить такі ідентифікаційні параметри (IP адреси) активного мережевого обладнання: 192.168.1.1/24, 192.168.1.2/24 і систем управління активним мережевим обладнанням: 10.0.10.1/24.

База даних, що містить опис керуючих впливів системи управління активним мережевим обладнанням WhatsUpGold, включає наступну інформацію:

безліч протоколів управління: SSH, Telnet, SNMP, ICMP;

безліч типів команд управління протоколу SNMP: GetRequest, SetRequest, GetNextRequest, GetResponse, Trap, GetBulRequest, InformRequest, Report;

безліч окремих команд управління протоколу SNMP, записуваних у форматі MIB-2: 1.3.1.6.12.3.1.1.

База даних, що містить опис правил фільтрації команд управління, записується у вигляді правил доступу. Ці правила відображають безліч керуючих впливів систем управління на безліч контрольованих активних мережевих пристроїв, тим самим визначаючи безлічі дозволених керуючих впливів:

10.0.10.1192.168.1.1192.168.1.2
Протокол управлінняSNMPSSH, SNMP
Типи команд1.3.1.6.12.3.1.1-

В правилах фільтрації можна команди керування типу GetRequest по протоколу управління SNMP і команди управління по протоколу SSH, спрямовані на мережевий комутатор з ідентифікатором 192.168.1.2 з боку системи управління з ідентифікатором 10.0.10.1. Також можна команди управління за допомогою команди з ідентифікатором 1.3.1.6.12.3.1.1 управління протоколу SNMP, спрямовані на мережевий комутатор з ідентифікатором 192.168.1.1 з боку системи управління з ідентифікатором 10.0.10.1.

Обробка команд управління, які надходять з боку систем управління активним мережевим обладнанням, включає надання ідентифікаційних параметрів активного мережевого обладнання, на яку спрямовано цей вплив, та ідентифікаційних параметрів системи керування активним мережевим обладнанням, для кожного зафіксованого керуючого впливу. Наприклад, в даному прикладі, зафіксована команда управління і виділені такі ідентифікаційні параметри активного мережевого обладнання: 192.168.1.1; ідентифікаційні параметри системи управління активним мережевим обладнанням: 10.0.10.1.

Зміст зафіксованого потоку управління показалоующей описаної раніше (10.0.10.1); спрямованість даного потоку на активне мережеве обладнання, що входить до складу безлічі контрольованого активного мережевого обладнання (192.168.1.1); по протоколу, який входить у сукупність керуючих впливів системи управління активним мережевим обладнанням (протокол управління SNMP, команда 1.3.1.6.4.1.2.2); що свідчить про те, що поточний потік управління не вважається недоверенним.

Порівняння дозволених значень керуючих впливів, сформульованих в описі правил фільтрації для даного активного мережевого обладнання (протокол управління SNMP, і команда 1.3.1.6.12.3.1.1), і зафіксованих значень керуючого впливу, який пройшов перевірку на відповідність сукупності керуючих впливів системи управління активним мережевим обладнанням (протокол управління SNMP, команда 1.3.1.6.4.1.2.2), показало, що різниця двох множин не є порожнім безліччю. Відповідно, дане керуючий вплив вважається недоверенним і блокується.

У наведеному прикладі керуючий вплив блокується, оскільки команда управління протоколу SNMP не входить в список дозволених.

Винахід дозволяє виконувати довірену інтеграцію систем управління актив�вого обладнання, скорочення часових і ресурсних витрат на забезпечення безпеки доступу до активного мережного обладнання за рахунок можливості застосування одного примірника системи управління для всіх видів активного мережевого обладнання. Фільтрація керуючих впливів на рівні протоколів управління, типів команд протоколів управління і окремих команд протоколів управління є універсальним механізмом по відношенню до різних типів кінцевих пристроїв і, відповідно робить запропонований спосіб довіреної інтеграції систем управління розподілені обчислювальні системи незалежним від типу і призначення активного мережевого обладнання та систем управління, утворюють розподілену обчислювальну систему.

1. Спосіб довіреної інтеграції систем управління активним мережевим обладнанням розподілені обчислювальні системи, що полягає в тому, що заповнюють базу даних, що містить опис керуючих впливів системи управління активним мережевим обладнанням, включаючи в нього сукупність протоколів, типів команд всередині протоколів, а також команд управління, заповнюють базу даних, що містить опис множини контрольованого активного мережевого про�анного обладнання: IP-адреси і мережеві імена, заповнюють базу даних, що містить опис правил фільтрації команд управління у вигляді записів, які описують відповідні пари множин допустимих керуючих впливів систем управління і множин контрольованих активних мережевих пристроїв, фіксують передаються по мережі команди управління, що надходять на активне мережеве обладнання з боку систем управління активним мережевим обладнанням, і виконують їх обробку, виділяючи при цьому ідентифікаційні параметри (IP-адреси і мережеві імена) активного мережевого обладнання та систем управління активним мережевим обладнанням, і виконують фільтрацію команд управління, порівнюючи дозволені управляючі дії, зазначені в базі даних, містить опис правил фільтрації команд управління, і зафіксовані команди управління, і по різниці двох множин визначають, які керуючі впливи є іншим, блокують керуючі впливи, якщо вони є іншим, або пропускають керуючі впливи далі на активне мережеве обладнання, якщо вони не є іншим, потім циклічно продовжують фіксувати передаються по мережі команди управління, тим самим забезпечуючи бе�сируют еталонне технічний стан активного мережевого обладнання: перелік мережевих портів, контрольні суми конфігураційних файлів і файлів програмного забезпечення, контрольні суми результатів керуючих впливів системи управління активним мережевим обладнанням, виконують періодичний контроль технічного стану активного мережевого обладнання шляхом порівняння еталонного та поточного (на момент виконання порівняння) технічних станів активного мережевого устаткування і видають повідомлення у разі виявлення факту невідповідності поточного технічного стану еталонному.

2. Система довіреної інтеграції систем управління активним мережевим обладнанням розподілені обчислювальні системи, що містить модуль контролю технічного стану активного мережевого обладнання, модуль складання правил фільтрації команд керування, модуль фільтрації команд керування, модуль специфікації керуючих впливів і модуль обліку активного мережевого обладнання, при цьому виходи модулів контролю технічного стану активного мережевого обладнання, складання правил фільтрації команд управління, специфікації керуючих впливів та обліку активного мережевого обладнання пов'язані з входом модуля фільтрації команд управління.



 

Схожі патенти:

Система зв'язку, вузол, устрій управління, спосіб зв'язку і програма

Винахід відноситься до засобів управління обробкою пакета. Технічний результат полягає в зменшенні часу встановлення з'єднання. Генерують правило обробки, яке задає правило узгодження і обробку пакета, який знаходиться у відповідності з правилом узгодження. Генерують правила обробки та першого ідентифікатора для ідентифікації згаданого правила обробки, причому правило обробки включає в себе правило узгодження для узгодження з інформацією, зазначеною в пакет, і інструкцію для обробки пакета, який відповідає правилу узгодження. Відправляють правила обробки та першого ідентифікатора вузла, згаданий вузол визначає, обробляти ухвалений пакет згідно інструкції в залежності від того, чи відповідає другий ідентифікатор, прикріплений до прийнятого пакету, першим номером. 7 н. і 14 з.п. ф-ли, 33 іл.

Система і спосіб здійснення оптової торгівлі трафіком на основі програмного комутатора

Винахід відноситься до системи для здійснення оптової торгівлі трафіком на основі програмного комутатора, яка включає програмний комутатор і один або більше шлюзів каналів зв'язку, з'єднаних з програмним комутатором через мережу IP. Технічний результат полягають в поліпшенні ефективності розподілу трафіку. Логічні ресурси програмного комутатора включають одну або більше груп каналів зв'язку, і кожна група каналів зв'язку включає безліч магістральних ліній. Кожен шлюз каналів зв'язку відповідає одній або більше груп каналів зв'язку, і частина або всі основні лінії шлюзів каналів зв'язку встановлюють відповідну взаємозв'язок з магістральними лініями відповідної групи каналів зв'язку. Розподіляються логічні ресурси, що включають групи каналів зв'язку і магістральні лінії груп каналів зв'язку, орендарям і встановлюються завантажувальні та сервісні конфігурації для груп каналів зв'язку, розподілених орендарям. 3 н. і 9 з.п. ф-ли, 2 іл.

Блок зв'язку, система зв'язку, спосіб зв'язку і носій запису

Винахід відноситься до блоку зв'язку, системи зв'язку, способом зв'язку, які вимірюють стан маршруту зв'язку. Технічний результат винаходу полягає в можливості комутувати маршрут на високій швидкості за допомогою сервера керування у відповідності з станом зв'язку мережі. Система зв'язку містить секцію додавання, секцію вимірювання, секцію повідомлення про результати вимірювання, секцію зберігання правила обробки та секцію обробки. Секція додавання додає дані для вимірювання стану зв'язку до кадру прийому, коли блок зв'язку є вхідним граничним вузлом мережі. Секція вимірювання вимірює стан зв'язку на підставі даних вимірювання стану зв'язку, коли блок зв'язку є вихідним граничним вузлом мережі. Секція попередження повідомляє про результат вимірювання блок управління, який керує мережею. Секція зберігання правила обробки звертається до даних ідентифікатора кадру прийому і зберігає правило обробки, співвідносячи дані ідентифікації кадру приймання та обробку кадру прийому. Секція обробки обробляє кадр прийому на підставі правила обробки. 4 н. і 12 з.п. ф-ли, 15 іл.

Зв'язок між пристроями

Винахід відноситься до засобів надання можливості одного пристрою зв'язку одержувати доступ до даних, таким як набір мультимедійних об'єктів, доступних за допомогою іншого пристрою зв'язку. Технічний результат полягає в забезпеченні можливості отримувати доступ до набору мультимедійних об'єктів, доступних за допомогою другового пристрої зв'язку. Передають інформацію розпізнавального коду між першим пристроєм зв'язку, другим пристроєм зв'язку і сервером. Асоціюють, першим пристроєм зв'язку, розпізнавальний код або подання цього розпізнавального коду з набором мультимедійних об'єктів, доступних за допомогою першого пристрої зв'язку, при цьому набір мультимедійних об'єктів асоційований з правами доступу. Відправляють першим пристроєм зв'язку інформацію, що стосується згаданого набору мультимедійних об'єктів, сервера, при цьому інформація включає права доступу. Приймають сервером інформацію, що стосується згаданого набору мультимедійних об'єктів. Генерують сервером облікові дані, що стосуються згаданого набору мультимедійних об'єктів та прав доступу, пов'язаних з ними. Відправляють сервером облікові дані другого пристрою зв'язку. Приймають другим вус�мультимедійних об'єктів. 11 м. та 28 з.п. ф-ли, 9 іл.

Способи та пристрої для обробки розширеного елемента проксі інформації

Винахід відноситься до способів і пристроїв для обробки розширеного елемента проксі інформації. Технічний результат полягає в підвищенні швидкості передачі даних в мережі. Спосіб містить: виявлення зміни в з'єднанні зовнішньої станції (E1) з проксі мережевим шлюзом (G1); формування, якщо виявлено зміну, порядкового номера проксі (PISN) або (i) шляхом збільшення існуючого порядкового номера проксі (EPISN) для специфічної пари MAC адрес (SMACAP) на щонайменше один, або (ii) з використанням порядкового номера повідомлення або елемента, кодованого допомогою стандартного протоколу гібридної бездротовий комірчастої мережі, причому цей порядковий номер більше, ніж порядковий номер раніше сформованого повідомлення або елемента, кодованого допомогою стандартного протоколу гібридної бездротовий комірчастої мережі; формування розширеного елемента проксі (EPI) за допомогою: першого поля (F1), що вказує додавання або видалення з'єднання, присутність третього поля (F3) і присутність п'ятого поля (F5); другого поля (F2), що включає в себе зовнішній MAC адреса (EMACA); третього поля (F3), що включає в себе проксі MAC адреса (PMACA), причому присутність треѾрмации (PISN); п'ятого поля (F5), що включає в себе термін життя проксі (PILIFE), причому присутність п'ятого поля (F5) вказується першим полем (F1). 4 н. і 3 з.п. ф-ли, 5 іл.

Адаптивне повідомлення статусу буфера

Винахід відноситься до способу для передачі інформації в мережі. Технічний результат полягає в можливості повідомлень статусу буфера (BSR) давати достатню інформацію про реальний стан буферів другої станції у випадку її високої активності. Для цього здійснюють передачу з першої станції у другу станцію, причому перша станція містить щонайменше одну буферну пам'ять для збереження пакетів даних, призначених для передачі, причому спосіб містить етапи, на яких (a) перша станція оцінює статус щонайменше однієї буферної пам'яті, (b) перша станція передає щонайменше один пакет статусу буфера, який представляє статус буферної пам'яті, причому спосіб додатково містить етап (з), на якому адаптують значення першого параметра пакетів статусу буфера на підставі характеристики трафіку даних. 2 н. і 11 з.п. ф-ли, 6 іл.

Вибір маршруту в бездротових мережах

Винахід відноситься до бездротових комірчастим/самоорганізованим (ad hoc) мереж, зокрема, до обробки повідомлень запиту маршруту в протоколах маршрутизації на вимогу. Технічним результатом є швидке виявлення маршруту з оптимальною метрикою між вузлом джерела і одним або більше вузлів призначення. Запропоновано спосіб для виявлення маршруту між вузлом джерела і вузлом призначення, що включає установку проміжного прапора відповіді повідомлення запиту маршруту за допомогою вузла джерела, лавиноподібну розсилку в бездротову мережу повідомлення запиту маршруту і відповідь на повідомлення запиту маршруту сполученням відповіді маршруту за допомогою першого проміжного вузла і має дійсний маршрут до місця призначення. Також описані система і спосіб для виявлення найкращого маршруту, при цьому повідомлення відповіді маршруту стає першим повідомленням відповіді маршруту, де здійснюють вибір вузлом призначення найкращого маршруту між собою і вузлом джерела на основі кумулятивних показників, прийнятих в повідомленнях запиту маршруту, прийнятих вузлом призначення, створення додаткового повідомлення відповіді маршруту і одноадресную передачу додаткового повідомлення про

Пристрій для передачі блоку протокольних даних рівня управління доступом до середовища mac pdu

Винахід відноситься до засобів прийому/передачі даних в системі бездротового зв'язку. Технічний результат полягає в зменшенні часу обробки заголовка. Фрагментованість пакету даних в два або більше фрагментів. Конфігурування блоку протокольних даних управління доступом до середовища (MAC PDU), при цьому в блок протокольних даних MAC PDU включають принаймні одне з двох або більше фрагментів, перший заголовок, що містить керуючу інформацію про блок протокольних даних MAC PDU, яка містить, щонайменше, один з двох або більше фрагментів, і розширений заголовок фрагментації (FEH), що надає інформацію по фрагменту пакета даних. При цьому перший заголовок містить індикатор, який вказує, що в розширеному заголовку фрагментації (FEH) представлено перший наступний заголовок. Розширений заголовок фрагментації (FEH) містить поле типу, що ідентифікує тип розширеного заголовка фрагментації (FEH), при цьому розширений заголовок фрагментації (FEH) має змінну довжину, яка залежить від того, чи є фрагментований пакет даних пакетом даних в режимі реального часу або немає. Розширений заголовок фрагментації (FEH) має більш коротку довжину, коли фрагментир�анних не є пакетом даних в режимі реального часу. Передача постійного налаштування блоку протокольних даних MAC PDU на приймаючу сторону. 4 н. і 8 з.п. ф-ли, 13 іл., 17 табл.

Система і спосіб для забезпечення більш швидкого і більш ефективної передачі даних

Винахід відноситься до області інтернет зв'язку. Технічним результатом є зниження перевантаження мережі для власників вмісту і постачальників послуг інтернету. Система використовує мережні елементи, що включають в себе сервер прискорення, клієнтів, агентів і тимчасових учасників, де запити зв'язку з додатками, перехоплюють клієнтом на тому ж самому комп'ютері. Ip-адреса сервера передають сервера прискорення, який забезпечує список агентів для використання ip-адреси. Один або кілька агентів відповідають зі списком тимчасових учасників, які раніше володіли деяким або всім вмістом, яке є відповіддю на цей запит. Потім клієнт завантажує дані з цих тимчасових учасників паралельно і по частинах. 3 н. і 13 з.п. ф-ли, 15 іл.

Спосіб заощадження ресурсів під час передачі обслуговування бездротового зв'язку многорежимного мобільного пристрою

Винахід відноситься до передачі обслуговування між технологіями для багаторежимних мобільних пристроїв і призначена для передачі обслуговування многорежимного мобільного пристрою від першої мережевої технології до другої мережевої технології. Технічний результат - підвищення пропускної спроможності. Для цього спосіб включає в себе ініціювання багаторежимним мобільним пристроєм першого пакетного сеансу зв'язку в першій бездротової мережі в області покриття бездротової зв'язку з безліччю технологій і виявлення багаторежимним мобільним пристроєм другий бездротової мережі, що підтримує технологію мережі доступу іншу, ніж у першій бездротової мережі, визначення вимоги до якості обслуговування для послуг, підтримуваних сеансом зв'язку, здійснення процедур початкового входу в мережу, встановлення сеансу зв'язку багаторежимним мобільним пристроєм для другого сеансу зв'язку у другій бездротової мережі, коли перший сеанс зв'язку включає в себе щонайменше одну з послуг, чутливих до QoS, і послуг у режимі реального часу, першої бездротовою мережею та мобільним пристроєм, і нездійснення процедур початкового входу в мережу і встановлення сеансу зв'язку багаторежимним �рживаются мобільним пристроєм і першої бездротовою мережею. 2 н. і 6 з.п. ф-ли, 4 іл.
Винахід відноситься до обчислювальної техніки. Технічний результат полягає в підвищенні надійності комплексу та забезпечення швидкого введення в експлуатацію втрачених через несправність обладнання ресурсів. Апаратно-обчислювальний комплекс з підвищеними надійністю і безпекою в середовищі хмарних обчислень включає пов'язані між собою та з'єднані за допомогою мережі першу групу робочих ЕОМ і другу групу ЕОМ для зберігання програмних сесій, а також ЗАБЕЗПЕЧЕННЯ управління, через яку пов'язані друга група ЕОМ для зберігання програмних сесій, високопродуктивні обчислювальні ресурси і спільні файлові сховища, причому в нього додатково введені гіпервізор, система безпеки, що включає в себе модуль виявлення і запобігання вторгнень, модуль міжмережевого екранування і модуль захисту від несанкціонованого доступу та система забезпечення відмовостійкості, включає в себе модуль забезпечення відмовостійкості на рівні апаратних ресурсів, модуль моніторингу сервісних віртуальних машин і модуль забезпечення відмовостійкості сервісів.

Спосіб завантаження коду щонайменше одного програмного модуля

Винахід відноситься до обчислювальної техніки. Технічний результат полягає в усуненні порушень в роботі операційної системи за рахунок завантаження коду щонайменше одного програмного модуля в головну пам'ять допомогою процесора системи безпеки. Спосіб завантаження коду програмного модуля в головну пам'ять допомогою процесора системи безпеки, в якому головний завантажувач здійснює завантаження в головну пам'ять коду зазначеного програмного модуля до запуску виконання операційної системи в діапазон адрес головної пам'яті, що знаходиться поза межами діапазону адрес, що використовується операційною системою, і після запуску операційна система переадресує звернення до зазначеного програмного модулю від користувальницької програми за адресою в головній пам'яті, до якої був завантажений код програмного модуля до запуску виконання операційної системи, з використанням файлової системи операційної системи, яка автоматично асоціює адресу програмного модуля в просторі віртуальної пам'яті для користувача програми з фізичною адресою програмного модуля в головній пам'яті. 4 н. і 11 з.п. ф-ли, 5 іл.
Винахід відноситься до обчислювальної техніки і може бути використане для захисту інформації планшетного комп'ютера від витоку оброблюваної чи зберігається на ньому інформації щодо побічних електромагнітних випромінювань і наведенням (ПЕМІН). Технічним результатом є забезпечення захисту планшетного комп'ютера від витоку інформації без використання генератора шуму. За рахунок використання принципу маскування ПЕМІН основного планшетного комп'ютера подібним помилковим ПЕМІН другого планшетного комп'ютера створюють невіддільні від основних ПЕМІН ідентичні помилкові ПЕМІН, що маскують роботу основного планшетного комп'ютера. При цьому використовують повністю однакові по елементній базі і внутрішньої топології основний і додатковий планшетні комп'ютери. Додатковий планшетний комп'ютер розташовується своїм екраном під днищем основного планшетного комп'ютера паралельно і симетрично по однойменних сторонам без взаємного торкання на відстані менше чверті довжини хвилі коливань однакової тактової частоти процесорів.

Спосіб і радіотехнічна система ідентифікації літальних апаратів

Винахід відноситься до радіотехнічним системам вилучення інформації, а саме до радіолокаційних систем з активною відповіддю, і може бути використане для віддаленого ідентифікування літальних апаратів при вирішенні різних завдань, пов'язаних з контролем знаходження літальних апаратів в охоронюваних зонах та/або їх впізнання. Технічний результат - висока захищеність процесу ідентифікації за рахунок інваріантності до перехоплення конфіденційної інформації, а також підвищення завадостійкості системи. Зазначене досягається, головним чином, за рахунок введення інформації про код розпізнавання ідентифікованих об'єктів у відносний часовий зсув шумоподібних сигналів, використовуваних як запитальний і відповідь. Система складається з ідентифікатора, що розміщується на літальному апараті і наземного пристрою розпізнавання. Основними частинами зазначених пристроїв є кореляційні вимірники, службовці для визначення відносних часових зсувів псевдовипадкових сигналів, використовуваних для ідентифікації. 2 н. і 2 з.п. ф-ли, 3 іл.

Спосіб запобігання несанкціонованого використання обладнання транспортного засобу

Винахід відноситься до обчислювальної техніки. Технічний результат полягає в ефективному перешкоджання несанкціонованого використання вкраденого обладнання в іншому транспортному засобі. Спосіб запобігання несанкціонованого використання обладнання транспортного засобу, заснований на використанні програмного забезпечення, в якому визначають за допомогою комп'ютерної системи транспортного засобу, що інформаційно-розважальна система була включена; отримують унікальний ідентифікаційний номер транспортного засобу від мережі транспортного засобу, пов'язаної з транспортним засобом, в якому встановлена інформаційно-розважальна система; порівнюють унікальний ідентифікаційний номер транспортного засобу з збереженим ідентифікаційним номером транспортного засобу, раніше пов'язаним з інформаційно-розважальною системою; надають доступ до інформаційно-розважальної системи тільки у разі, якщо унікальний ідентифікаційний номер транспортного засобу збігається з збереженим ідентифікаційним номером транспортного засобу; в іншому випадку, блокують використання інформаційно-розважально�
Винахід відноситься до обчислювальної техніки. Технічний результат полягає в підтвердженні факту надсилання документа або файлу з зазначенням дати та часу відправлення по електронній пошті. Спосіб електронного нотаріального засвідчення текстової інформації, в якому попередньо проводять реєстрацію контрагента в системі «електронний нотаріус», при відправленні інформації по електронній пошті в полі «копія» вказують адресу автоматичної системи «електронний нотаріус», за отримання копії відправленої інформації автоматична пошта поміщає її в особисті кабінети відправника і одержувача з зазначенням часу відправлення, відправника, адресата, якому направлена інформація, і всіх вкладень, складових інформацію, при цьому автоматична пошта додатково повідомляє адресатові про фіксації факту надсилання інформації та зберіганні завіреної копії відправленої інформації на сайті у вашому особистому кабінеті контрагента. 3 з.п. ф-ли.

Браузер складається з двох частин машиною обробки сценаріїв для захисту конфіденційності

Винахід відноситься до області обробки даних. Технічним результатом є забезпечення захисту конфіденційних даних користувача. Система обробки даних має браузер з засобом машини обробки сценаріїв для виконання сценарію. Засіб машини обробки сценаріїв здійснює відкриту машину обробки сценаріїв і приватну машину обробки сценаріїв. Браузер налаштований для виконання сценарію загальнодоступній машиною обробки сценаріїв, якщо сценарій не вимагає доступу до заздалегідь певного ресурсу в системі. Браузер налаштований для виконання сценарію приватною машиною обробки сценаріїв, якщо сценарій вимагає доступу до заздалегідь певного ресурсу. Тільки приватна машина обробки сценаріїв має інтерфейс для забезпечення можливості сценарієм здійснити доступ до заздалегідь певного ресурсу. Засіб машини обробки сценаріїв конфігурований для запобігання передачі даних приватною машиною обробки сценаріїв у відкриту машину обробки сценаріїв або сервер, зовнішній до системи обробки даних, якщо така передача інформації не була підтверджена. 2 н. і 3 з.п. ф-ли, 1 іл.

Спосіб і пристрій для безпечної передачі даних

Винахід відноситься до способу пам'яті даних для зберігання комп'ютерного програмного продукту і пристрою для безпечної передачі даних. Технічний результат полягає в підвищенні безпеки передачі даних. Пристрій містить блок (2) надання для надання сполук (DV) даних від різних початкових компонентів (SK) через, відповідно, щонайменше, один проміжний компонент (ZK) до загального цільового компоненту (ZK'), блок (3) об'єднання для об'єднання проміжних компонентів (ZK) в залежності від криптографічного захисту інформації (KI) в один проміжний компонент (ZK) через, щонайменше, одного обміну повідомленнями, причому обмін повідомленнями виконується згідно способу з спільно використовуваних ключем, способу http-Дайджест Автентифікації способом запиту-відповіді, ключового хеш-способу, хеш-функції, способу Діффі-Хеллмана і/або способу цифрового підпису та блок (4) передачі для передачі даних (D) від початкових компонентів (SK) через об'єднаний проміжний компонент (ZK) до цільового компоненту (ZK). 3 н. і 11 з.п. ф-ли, 12 іл.

Активація послуги з використанням алгоритмічно заданого ключа

Винахід відноситься до області активації послуг з використанням алгоритмічно заданих ключів. Технічний результат - запобігання порушення безпеки системи обробки даних. Спосіб підписки користувача на послугу містить: ідентифікацію в комп'ютері емітента користувача, який авторизований для підписки на послугу на основі визначених емітентом критеріїв; витяг допомогою комп'ютера емітента даних, асоційованих з користувачем, і спільно використовуваного елемента даних, який спільно використовується комп'ютером емітента та комп'ютером постачальника послуг; формування першого коду активації за допомогою комп'ютера емітента та відправку першого коду активації користувачеві; причому користувач надсилає перший код активації і дані, асоційовані з користувачем комп'ютера постачальника послуг; причому комп'ютер постачальника послуг формує другий код активації і авторизує користувача для підписки на послугу, якщо перший і другий коди активації однакові. 7 н. і 13 з.п. ф-ли, 9 іл.

Управління доступом користувача до мультимедійного контенту

Винахід відноситься до мультимедійного пристрою і системі для управління доступом користувача до мультимедійного контенту. Технічним результатом є управління доступом користувача до мультимедійного контенту, причому доступ дозволяється саме на обраному мультимедійному обладнанні. Запропоновано мультимедійний пристрій (100, 200) для управління доступом користувача до мультимедійного контенту, що містить: засіб виведення (102, 103, 202) ідентифікуючого коду для забезпечення ідентифікуючого коду користувачеві, причому ідентифікуючий код ідентифікує мультимедійний пристрій; генератор (104, 204) керуючого коду для генерації керуючого коду в залежності від згаданого ідентифікуючого коду і права доступу; засіб вводу (106, 107, 206) коду доступу для приймання коду доступу від користувача. Код доступу згенерований в залежності від ідентифікуючого коду і права доступу деяким пристроєм коду доступу, а контролер (108, 208) доступу забезпечує порівняння коду доступу з керуючим кодом і, коли код доступу збігається з керуючим кодом, що дозволяє доступ користувача до мультимедійного контенту у відповідності з правом доступу. 4 н. і 10 з.п. ф-ли, 6 іл.
Up!