RU2714853C1 - Method of controlling access between devices in inter-machine data networks - Google Patents
Method of controlling access between devices in inter-machine data networks Download PDFInfo
- Publication number
- RU2714853C1 RU2714853C1 RU2018147090A RU2018147090A RU2714853C1 RU 2714853 C1 RU2714853 C1 RU 2714853C1 RU 2018147090 A RU2018147090 A RU 2018147090A RU 2018147090 A RU2018147090 A RU 2018147090A RU 2714853 C1 RU2714853 C1 RU 2714853C1
- Authority
- RU
- Russia
- Prior art keywords
- access
- devices
- network
- information
- sending device
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Multimedia (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
Изобретение относится к технике связи и может использоваться при построении межмашинных сетей передачи данных с возможностью контроля доступа между устройствами.The invention relates to communication technology and can be used to build inter-machine data networks with the ability to control access between devices.
Развитие сетей передачи данных, появление беспроводных самоорганизующихся одноранговых сетей устройств, а также кибернетизация средств перемещения привели к проникновению сетевых технологий в сферу коммуникаций цифровых исполнительных устройств, контроллеров, цифровых датчиков и транспортных средств, которые поддерживают коммуникационные связи друг с другом и при этом могут перемещаться в пространстве. К новому типу сетей – межмашинным сетям передачи данных (M2M-сетям, от англоязычного обозначения разновидности сетевого взаимодействия «machine-to-machine», то есть «машина-машина») – относятся сети VANET (vehicular adhoc network, сети передачи данных между автомобилями), сети FANET (flying adhoc network, сети передачи данных между летательными аппаратами), сети MARINET (marine adhoc network, сети передачи данных между плавательными средствами), сети MANET (mobile adhoc network, сети передачи данных между перемещающимися цифровыми терминалами), сети IoT (Internet of Things, интегральные сети физических предметов «Интернет вещей»), WSN (wireless sensor network, беспроводные сети датчиков).The development of data transmission networks, the emergence of wireless self-organizing peer-to-peer device networks, as well as the cybernization of means of movement, have led to the penetration of network technologies in the field of communications of digital actuators, controllers, digital sensors and vehicles that support communication with each other and can be moved to space. A new type of network - inter-machine data networks (M2M networks, from the English language designation of the kind of machine-to-machine network interaction, that is, machine-to-machine) - includes VANET (vehicular adhoc network, data networks between cars) ), FANET networks (flying adhoc network, data networks between aircraft), MARINET networks (marine adhoc network, data networks between vehicles), MANET networks (mobile adhoc network, data networks between moving digital terminals), IoT networks (Internet of Things, Integrated Networks of Physical Objects s "Internet of Things»), WSN (wireless sensor network, wireless sensor network).
Мобильность устройств, образующих межмашинную сеть передачи данных, определяет высокую динамику изменений связей между устройствами и количества устройств в сетевой топологии, в которой все устройства в сети являются одноранговыми узлами сети, связанными друг с другом через соседние устройства и образующими ячеистую среду передачи данных. В такой сети каждое устройство помимо основной своей функции также является динамическим сетевым маршрутизатором при передаче данных между устройствами-соседями, каждый раз заново строя сетевые маршруты для пересылаемых через них сетевых пакетов непосредственно в процессе своего перемещения в пространстве, при этом устанавливая новые связи при подключении к сети новых устройств и разрывая старые связи при отключении удаляющихся устройств. The mobility of the devices forming the inter-machine data network determines the high dynamics of changes in the connections between the devices and the number of devices in the network topology, in which all the devices in the network are peer-to-peer network nodes connected to each other through neighboring devices and forming a cellular data transfer medium. In such a network, each device, in addition to its main function, is also a dynamic network router when transferring data between neighboring devices, each time re-building network routes for network packets sent through them directly during their movement in space, while establishing new connections when connecting to networks of new devices and breaking old connections when disconnecting retreating devices.
В результате возможности открытого доступа всех устройств ко всем другим устройствам, неупорядоченности сетевой топологии в результате постоянного перемещения узлов сети и постоянной переконфигурации сетевых связей между устройствами, в межмашинных сетях возможен несанкционированный доступ одних устройств к другим устройствам и к данным, которые на них хранятся и обрабатываются, и, как следствие, возможно раскрытие данных, в том числе системных, неавторизованное управление устройствами, нарушение работы маршрутизации при передаче сетевых пакетов через сеть связанных устройств, изоляция и отключение отдельных устройств сети и отказ межмашинной сети в целом. Для повышения устойчивости и защиты межмашинных сетей передачи данных в условиях несанкционированного доступа при сетевом взаимодействии между устройствами необходимо решать задачу контроля доступа между устройствами в межмашинных сетях передачи данных.As a result of the possibility of open access of all devices to all other devices, disordered network topology as a result of constant movement of network nodes and constant reconfiguration of network connections between devices, unauthorized access of some devices to other devices and to the data stored and processed on them is possible in inter-machine networks , and, as a result, it is possible to disclose data, including system data, unauthorized device management, disruption of routing during transmission from network packets through a network of connected devices, isolation and disconnection of individual network devices and the failure of the inter-machine network as a whole. To increase the stability and protection of inter-machine data transmission networks in the conditions of unauthorized access during network interaction between devices, it is necessary to solve the problem of access control between devices in inter-machine data transmission networks.
Известна математическая модель ролевого разграничения доступа (Девянин П.Н. Модели безопасности компьютерных систем: Учеб. пособие для студ. высш. учеб. заведений / П. Н. Девянин. – М.: Изд. центр «Академия», 2005. – 144 с., глава 5, с. 88), которая представляет собой развитие дискреционного разграничения доступа, при этом права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли. Указано, что ролевое разграничение доступа наиболее эффективно используется в компьютерных системах, для пользователей которых четко определен круг их должностных полномочий и обязанностей. Представлена формальная модель контроля доступа для компьютерной системы, в которой участниками взаимодействия являются пользователи, для которых в компьютерной системе открываются сессии, в рамках которых доступ регламентируется ролевым составом. Ограничения на доступ определяются ролями, их длительность действия – сессией работы пользователя с компьютерной системой, объектом доступа являются информационные контейнеры (файлы и устройства компьютера), а субъектами доступа – пользователи, представленные вычислительными процессами и осуществляющие работу с объектами доступа. Недостатком данного ролевого контроля доступа является то, что он представлен описанием математической модели, которая при исполнении в конкретной компьютерной системе должна быть уточнена и реализована в условиях и с объектами конкретной системы, кроме того, описанная модель ограничена тем, что в ней множество пользователей, ролей и назначенных роли видов доступа и пользователей не меняется с течением времени, множество ролей модифицируется самим пользователем, сессии активизируются самим пользователем, что делает ее неприменимой в данном виде для динамически изменяемой среды передачи данных, которой является межмашинная сеть устройств.The mathematical model of role-based access control is known (PN Devyanin. Computer systems security models: Textbook for students of higher educational institutions / P. N. Devyanin. - M.: Academiya Publishing Center, 2005. - 144 p.,
Известна система контроля доступа, в которой получают от учетной записи пользователя запрос на доступ (чтение или запись) к данным в базе данных. При этом проверяется идентификатор учетной записи пользователя, набор ролей, связанных с учетной записью пользователя, а также правила доступа на чтение и запись, которая применяется к ресурсу, и тогда правило доступа применяется к пользовательским ролям для проверки легитимности запроса данных, хранящихся в виде записей данных в базе данных, к которой осуществляет доступ пользователь (US2016328575, G06F17/30; G06F19/00; G06F21/60; G06F21/62). Данное изобретение ограничено двумя видами доступа на чтение и запись со стороны учетных записей пользователей к информационным записям в компьютерных базах данных и не позволяет контролировать доступ между перемещающимися устройствами в рамках самоорганизующихся одноранговых сетей передачи данных, так как контроль доступа в указанном способе ведется только по парам «учетная запись пользователя-запись в базе данных», оба компонента в которой жестко фиксированы, информационные потоки, которые устанавливаются при чтении и записи компьютерной базы данных, заранее известны. В межмашинной сети при постоянном перемещении передающих и принимающих узлов сети на протяжении всего времени и сетевых маршрутов передачи данных в виде потоков сетевых пакетов последовательность и состав таких взаимодействующих пар узлов постоянно меняется, что не позволяет осуществлять контроль доступа на самих узлах и применять изменяемые со временем правила доступа для всех пар взаимодействующих узлов с учетом переконфигурации связей между устройствами в межмашинной сети.A known access control system in which a request is received from a user account for access (read or write) to data in a database. This verifies the user account identifier, the set of roles associated with the user account, as well as the read and write access rules that apply to the resource, and then the access rule applies to user roles to verify the legitimacy of the request for data stored as data records in the database to which the user accesses (US2016328575, G06F17 / 30; G06F19 / 00; G06F21 / 60; G06F21 / 62). This invention is limited to two types of read and write access from user accounts to information records in computer databases and does not allow access control between moving devices in the framework of self-organizing peer-to-peer data transfer networks, since access control in this method is carried out only in pairs " user account-entry in the database ”, both components in which are rigidly fixed, information flows that are set when reading and writing com yuternoy database, known in advance. In the inter-machine network, with the constant movement of the transmitting and receiving network nodes throughout the time and the network data transfer routes in the form of network packet streams, the sequence and composition of such interacting pairs of nodes constantly changes, which does not allow access control on the nodes themselves and the rules change over time access for all pairs of interacting nodes, taking into account the reconfiguration of communications between devices in the inter-machine network.
Технической проблемой является создание способа контроля доступа между устройствами в межмашинных сетях передачи данных с обеспечением устойчивого и безопасного взаимодействия устройств, исключающего несанкционированный доступ устройств друг к другу, за счет контроля доступа для всех пар взаимодействующих устройств межмашинной сети, между которыми устанавливается связь, с соблюдением правил доступа, а именно разрешения или отказа доступа устройству, запросившему доступ в виде пересылки сетевых пакетов к другому устройству межмашинной сети, в соответствии с матрицей контроля доступа, сформированной на основе выделения рабочих функций (ролей) устройств и видов доступа между устройствами на чтение, запись, управление.The technical problem is the creation of a method for controlling access between devices in inter-machine data networks with stable and safe interaction of devices, eliminating unauthorized access of devices to each other, by controlling access for all pairs of interacting devices of the inter-machine network, between which communication is established, in compliance with the rules access, namely permission or denial of access to the device that requested access in the form of forwarding network packets to another intermash device network, in accordance with the access control matrix, formed on the basis of the allocation of working functions (roles) of devices and types of access between devices for reading, writing, control.
Решение поставленной технической проблемы обеспечивается тем, что в способе контроля доступа между устройствами в межмашинных сетях передачи данных в межмашинной сети, включающем использование набора ролей, в сеть дополнительно вводят узел контроля доступа – контроллер программно-конфигурируемой сети (ПКС-контроллер), на котором получают от всех устройств межмашинной сети, в которой каждое устройство является динамическим сетевым маршрутизатором, пересылаемые сетевые пакеты; в каждом поступающем сетевом пакете выделяют адрес устройства-отправителя и адрес устройства-получателя, по заданным рабочим функциям (ролям) устройства-отправителя и устройства-получателя и заданной матрице контроля доступа, сформированной для заданных ролей устройства-отправителя и устройства-получателя, определяют разрешенные между устройствами виды доступа; формируют на устройстве-отправителе, передавшем на ПКС-контроллер сетевой пакет, запись в таблице маршрутизации, в результате чего устройство-отправитель перенаправляет разрешенные первый и последующие сетевые пакеты по разрешенному маршруту; The solution of the technical problem posed is provided by the fact that in the access control method between devices in the inter-machine data networks in the inter-machine network, including the use of a set of roles, an access control node is additionally introduced into the network — a software-configured network controller (PKS controller), on which from all devices of the inter-machine network in which each device is a dynamic network router, forwarded network packets; in each incoming network packet, the address of the sending device and the address of the receiving device are allocated, according to the specified working functions (roles) of the sending device and the receiving device and the specified access control matrix generated for the specified roles of the sending device and the receiving device, the allowed types of access between devices; form on the sending device, the network packet transmitted to the PKS controller, an entry in the routing table, as a result of which the sending device redirects the allowed first and subsequent network packets along the allowed route;
при этом в межмашинной сети передачи данных каждому устройству назначают роль;in the inter-machine data network, each device is assigned a role;
на устройстве-отправителе формируют новый или получают от соседнего устройства сетевой пакет, содержащий запрос на доступ (чтение, запись, управление) к устройству-получателю и осуществляют определение дальнейшего сетевого маршрута для пересылки данного сетевого пакета, сначала осуществляя поиск маршрута для сетевого пакета в таблице маршрутизации на устройстве-отправителе, при этом если маршрут найден – пересылая сетевой пакет далее по указанному в таблице маршрутизации маршруту, а если маршрут не найден, то передавая ПКС-контроллеру сетевой пакет для контроля доступа;a new network packet is generated on the sending device or a network packet is received from the neighboring device containing a request for access (read, write, control) to the receiving device and the further network route is determined for forwarding the given network packet, first searching for the route for the network packet in the table routing on the sending device, in this case, if the route is found - sending the network packet further along the route specified in the routing table, and if the route is not found, then transmitting the PKS controller have a network packet for access control;
на ПКС-контроллере получают сетевой пакет, содержащий адрес устройства-отправителя, адрес устройства-получателя, определяют по адресам назначенные роль устройства-отправителя и роль устройства-получателя для проверки запрошенного вида доступа;on the PKS controller, a network packet is received containing the address of the sending device, the address of the receiving device, the assigned roles of the sending device and the role of the receiving device are determined by addresses to verify the requested type of access;
на ПКС-контроллере проверяют, указан ли запрошенный устройством-отправителем вид доступа к устройству-получателю в матрице контроля доступа, в которой строке соответствуют роли устройств, запросившего доступ, столбцу соответствуют роли устройств, к которым осуществляется доступ, в ячейке матрицы на пересечении строки и столбца размещено правило доступа как множество разрешенных видов доступа для соответствующей пары ролей устройств в виде комбинации допускаемых видов доступа (разрешений) из множества чтение, запись, управление, означающей наличие у данной роли, и, соответственно, у сопоставленных данной роли устройств, только перечисленных видов доступа;on the PKS controller, check whether the type of access to the recipient device requested by the sending device is indicated in the access control matrix, in which the row corresponds to the roles of the devices that requested access, the column corresponds to the roles of the devices to be accessed, in the matrix cell at the intersection of the row and the column contains the access rule as the set of allowed types of access for the corresponding pair of device roles in the form of a combination of allowed types of access (permissions) from the set of reading, writing, control, ayuschey presence in this role, and, accordingly, the role of the mapped devices, only these types of access;
если запрошенный вид доступа для пары устройства-отправителя и устройства-получателя разрешен правилом доступа, то есть указан в соответствующей ячейке матрицы контроля доступа для соответствующих ролей устройств, на ПКС-контроллере формируют команду, направляемую устройству-отправителю, посредством которой в таблицу маршрутизации устройства-отправителя добавляется новая запись, которая указывает маршрут пересылки сетевого пакета от устройства-отправителя к устройству-получателю, а если запрошенный доступ для пары устройств не указан среди разрешенных, то на ПКС-контроллере формируют команду, которой информируют устройство-отправителя об отказе в доступе к другому устройству, и таблицу маршрутизации устройства-отправителя при этом не изменяются;if the requested type of access for the pair of the sending device and the receiving device is allowed by the access rule, that is, it is indicated in the corresponding cell of the access control matrix for the corresponding device roles, a command is sent to the sending device to the sending device, through which the device a new entry is added to the sender, which indicates the route for forwarding the network packet from the sending device to the receiving device, and if the requested access for a pair of devices is not coupled among authorized, then the SCC controller generates a command which inform the sender device to deny access to another device, and the routing table of the sending device is not changed;
если маршрут для пересылки сетевого пакета между устройствами сформирован, то на устройстве-отправителе пересылают сетевой пакет по данному маршруту, указанному в таблице маршрутизации, если от ПКС-контроллера получен отказ в доступе, то сетевой пакет от устройства-отправителя к устройству-получателю не пересылают;if the route for forwarding the network packet between the devices is formed, then the network packet is forwarded to the sending device on the given route indicated in the routing table, if access is denied from the PKS controller, the network packet is not forwarded from the sending device to the receiving device ;
данные действия выполняют повторно для всех сетевых пакетов и всех пар взаимодействующих устройств-отправителей и устройств-получателей в каждой новой последовательности узлов в сети, через которые пересылают сетевые пакеты между взаимодействующими устройствами, в каждом новом состоянии сетевой топологии, в результате чего достигают безопасного взаимодействия всех устройств в составе межмашинной сети передачи данных, где каждое устройство получает доступ к другим устройствам, если соблюдены правила доступа, указанные в матрице контроля доступа, и получает отказ в доступе к другим устройствам, если не соблюдены правила доступа, указанные в матрице контроля доступа. these actions are repeated for all network packets and all pairs of interacting sender and recipient devices in each new sequence of nodes in the network through which network packets are forwarded between interacting devices in each new state of the network topology, as a result of which all devices in the inter-machine data network, where each device gains access to other devices, if the access rules specified in the matrix Rola access, and is denied access to other devices, if not complied with the access rules referred to in the access control matrix.
Повышение устойчивости и безопасности межмашинной сети передачи данных обеспечивается устранением возможности несанкционированного доступа устройств сети друг к другу за счет добавления специального узла контроля доступа (ПКС-контроллера), который управляет передачей сетевых пакетов между устройствами в контролируемой межмашинной сети, разграничивая их доступ соответственно матрице контроля доступа, сформированной на основе выделения рабочих функций (ролей) устройств и видов доступа одних ролей к другим.Improving the stability and security of the inter-machine data network is achieved by eliminating the possibility of unauthorized access of network devices to each other by adding a special access control node (PKS-controller), which controls the transmission of network packets between devices in a controlled inter-machine network, delimiting their access accordingly to the access control matrix formed on the basis of the allocation of working functions (roles) of devices and types of access of one role to another.
Контроль доступа в межмашинной сети передачи данных позволяет обеспечить конфиденциальность – доступ к прочтению информации на другом устройстве получает только то устройство, которому разрешен вид доступа чтение, целостность – модификацию информации на другом устройстве может выполнить только то устройство, которому разрешен вид доступа запись, и доступность – функциональные настройки другого устройства, определяющие его работу, открыты только тому устройству, которому разрешен вид доступа управление.Access control in the inter-machine data network allows for confidentiality - access to reading information on another device is obtained only by a device that is allowed to read access, integrity - only information on a device that is allowed to write access can be modified on another device, and accessibility - the functional settings of another device that determine its operation are open only to that device that is allowed access control type.
Изобретение поясняется фиг. 1, фиг. 2 и фиг. 3, на которых показано:The invention is illustrated in FIG. 1, FIG. 2 and FIG. 3, which show:
фиг. 1 – схема способа контроля доступа между устройствами в межмашинных сетях передачи данных;FIG. 1 is a diagram of a method for controlling access between devices in inter-machine data networks;
фиг. 2 – размещение узла контроля доступа (ПКС-контроллера) в межмашинной сети;FIG. 2 - placement of the access control node (PKS-controller) in the inter-machine network;
фиг. 3 – пример матрицы контроля доступа.FIG. 3 is an example of an access control matrix.
Поскольку одноранговые межмашинные (machine-to-machine, M2M) сети передачи данных – разновидность компьютерных сетей с динамически изменяемой топологией, то данные пересылаются по заранее неизвестным маршрутам и контроль доступа в такой сети является основной характеристикой устойчивости и безопасности сети. Нарушение доступа устройств сети – разновидность сетевых атак на сети такого типа, которая направлена на нарушение ее работы и безопасности информации в этой сети. Это связано с тем, что среда передачи информации является открытой, все устройства могут передавать сетевые пакеты друг другу и иметь полный доступ к информации на других устройствах, в том числе и к системной, включая настройки запуска, рабочие конфигурации, параметры функционирования. В межмашинных сетях динамические маршруты постоянно меняются вследствие перемещения узлов сети, а устройства, образующие сеть, не обладают ресурсами, позволяющими в них самих реализовать контроль доступа как это традиционно делается в стационарных компьютерных системах и сетях. Нарушения доступа между устройствами вызывают раскрытие обрабатываемой и пересылаемой информации, важных данных об устройствах, об их режимах работы, собираемых ими данных, что позволяет нарушителям целенаправленно влиять на работу межмашинных сетей и отдельных устройств в сети.Since peer-to-peer machine-to-machine (M2M) data networks are a type of computer network with dynamically changing topology, data is sent along previously unknown routes and access control in such a network is the main characteristic of network stability and security. Disruption of access to network devices is a type of network attack on a network of this type, which is aimed at disrupting its operation and the security of information in this network. This is due to the fact that the information transmission medium is open, all devices can transmit network packets to each other and have full access to information on other devices, including the system one, including startup settings, operating configurations, and operating parameters. In inter-machine networks, dynamic routes are constantly changing due to the movement of network nodes, and the devices that make up the network do not have resources that allow them to implement access control themselves, as is traditionally done in stationary computer systems and networks. Violations of access between devices cause disclosure of processed and transmitted information, important data about devices, about their operating modes, data collected by them, which allows violators to purposefully influence the operation of inter-machine networks and individual devices on the network.
В способе контроля доступа между устройствами в межмашинных сетях передачи данных (фиг.1) выполняют на устройстве получение сетевого пакета 1, поиск маршрута сетевого пакета в таблице маршрутизации устройства 2, если маршрут для передачи пакета не задан – передают сетевой пакет на ПКС-контроллер 3, затем на ПКС-контроллере сопоставляют запрошенный вид доступа с матрицей контроля доступа 4 по информации в сетевом пакете об отправителе и получателе, их заданных ролях и заданной матрице контроля доступа, и далее, если доступ отклонен (вид доступа не указан в матрице контроля доступа для отправителя и получателя), то отказывают в доступе 5, а если разрешение на доступ получено (вид доступа указан в матрице контроля доступа для отправителя и получателя), то дают команду на устройство 6, по которой на устройстве добавляют маршрут сетевого пакета в таблицу маршрутизации устройства 7 и пересылают сетевой пакет по этому маршруту 8. Если маршрут в таблице маршрутизации на устройстве задан изначально, то после поиска маршрута сетевого пакета в таблице маршрутизации устройства 2 пересылают сетевой пакет по маршруту 8. В последующем повторяют данные этапы для всех сетевых пакетов и всех пар взаимодействующих устройств-отправителей и устройств-получателей в каждой новой цепочке пересылки сетевых пакетов между взаимодействующими устройствами межмашинной сети в каждом новом состоянии изменяющейся сетевой топологии.In the method of access control between devices in inter-machine data transfer networks (Fig. 1), the
Таблицы маршрутизации на устройствах при этом не увеличиваются до бесконечности, поскольку при перемещении устройств, образовании новых связей и разрыве старых, в межмашинной сети таблицы маршрутизации на всех устройствах регулярно автоматически сбрасываются, при этом способ контроля доступа выстраивает новые таблицы маршрутизации по мере изменения сетевой топологии с учетом заданной матрицы контроля доступа. In this case, the routing tables on devices do not increase indefinitely, because when moving devices, creating new connections and breaking old ones on the inter-machine network, routing tables on all devices are automatically automatically reset, and the access control method builds new routing tables as the network topology changes with Given a given access control matrix.
В межмашинную сеть передачи данных дополнительно вводят узел контроля доступа, который контролирует доступ устройств друг к другу – ПКС-контроллер, которые размещают так, чтобы он был доступен всем устройствам сети. An access control node is additionally introduced into the inter-machine data network, which controls the access of the devices to each other - the PKS controller, which is placed so that it is accessible to all network devices.
Устройство-отправитель формирует новый или получает от соседнего устройства сетевой пакет, содержащий запрос на доступ (чтение, запись, управление) к устройству-получателю и осуществляет определение дальнейшего сетевого маршрута для пересылки данного сетевого пакета, сначала осуществляя поиск маршрута для сетевого пакета в своей таблице маршрутизации, при этом если маршрут найден – пересылая сетевой пакет далее по указанному в таблице маршрутизации маршруту, а если маршрут не найден, то передавая ПКС-контроллеру доступа сетевой пакет для его дальнейшей обработки.The sending device generates a new one or receives from a neighboring device a network packet containing a request for access (read, write, control) to the receiving device and determines the further network route for forwarding this network packet, first searching for the route for the network packet in its table routing, in this case, if the route is found - forwarding the network packet further along the route specified in the routing table, and if the route is not found, then passing the network packet to the ACL controller for further processing.
ПКС-контроллер получает от устройств запросы на предоставление доступа к другим устройствам в виде пересылаемых сетевых пакетов, для которых не определены маршруты в таблицах маршрутизации устройств. Для каждого полученного сетевого пакета ПКС-контроллер выделяет в нем, используя штатную информацию из заголовка сетевого пакета, адрес устройства-отправителя и адрес устройства-получателя. По данным адресам в ПКС-контроллере определяют назначенные роль устройства-отправителя и роль устройства-получателя для проверки разрешения запрошенного вида доступа текущим правилам доступа, заданным в матрице контроля доступа. The PKS controller receives requests from devices to provide access to other devices in the form of forwarded network packets for which routes are not defined in the device routing tables. For each received network packet, the PKS controller selects in it, using the standard information from the network packet header, the address of the sending device and the address of the receiving device. Using these addresses in the PKS controller, the assigned role of the sending device and the role of the receiving device are determined to check the permission of the requested type of access to the current access rules specified in the access control matrix.
Матрица контроля доступа перечисляет роли устройств, осуществляющих доступ, и роли устройств, к которым осуществляется доступ в строках и столбцах, соответственно. В каждой ячейке данной матрицы на пересечении строки и столбца размещается правило доступа – множество разрешенных видов доступа для соответствующей пары ролей устройств. В ячейке указывают комбинацию видов доступа из множества: чтение, запись, управление. Если правило доступа содержит вид доступа из данного множества, то это означает наличие у данной роли, и, соответственно, у сопоставленных данной роли устройств, указанного вида доступа к адресуемой роли, и, соответственно, сопоставленным ей устройствам. Если вид доступа в правиле не указан, это значит, что данный вид доступа не разрешен для данных ролей. Пустая ячейка означает полный запрет всех видов доступа между данными ролями, и, соответственно, сопоставленными им устройствами в сети. The access control matrix lists the roles of devices accessing and the roles of devices that are accessed in rows and columns, respectively. In each cell of this matrix, at the intersection of a row and a column, an access rule is placed - the set of allowed types of access for the corresponding pair of device roles. In the cell indicate a combination of types of access from the set: read, write, control. If an access rule contains an access type from a given set, then this means that this role, and, accordingly, the devices associated with this role, have the specified type of access to the addressed address, and, correspondingly, the devices associated with it. If the type of access is not specified in the rule, this means that this type of access is not allowed for these roles. An empty cell means a complete prohibition of all types of access between these roles, and, accordingly, the devices associated with them on the network.
Если запрошенный вид доступа для пары устройства-отправителя и устройства-получателя разрешен правилом доступа, то есть указан в соответствующей ячейке матрицы контроля доступа, ПКС-контроллер формирует команду, направляемую устройству-отправителю, в результате которой в таблицу маршрутизации устройства-отправителя добавляется новая запись, которая указывает маршрут пересылки сетевого пакета от устройства-отправителя к устройству-получателю. If the requested type of access for the pair of the sending device and the receiving device is allowed by the access rule, that is, indicated in the corresponding cell of the access control matrix, the PKS controller generates a command sent to the sending device, as a result of which a new entry is added to the routing table of the sending device , which indicates the route for forwarding the network packet from the sending device to the receiving device.
Если запрошенный доступ для пары устройств не указан среди разрешенных, ПКС-контроллер доступа формирует отказ в доступе к другому устройству. Таблица маршрутизации устройства-отправителя при этом не изменяется.If the requested access for a pair of devices is not listed among the allowed, the PKS access controller generates a denial of access to another device. The routing table of the sending device does not change.
Далее, если маршрут для пересылки сетевого пакета между устройствами сформирован, то устройство-отправитель в свою очередь пересылает сетевой пакет по данному маршруту, указанному в таблице маршрутизации. Если устройством получен отказ, то маршрут пересылки не устанавливается, и сетевой пакет от устройства-отправителя к устройству-получателю не пересылается.Further, if a route for forwarding a network packet between devices is formed, the sending device, in turn, forwards the network packet along this route specified in the routing table. If the device fails, then the forwarding route is not established, and the network packet from the sending device to the receiving device is not forwarded.
Данные действия выполняются повторно для всех формируемых и пересылаемых между устройствами сетевых пакетов и для всех пар взаимодействующих устройств-отправителей и устройств-получателей в каждой последовательности пересылки сетевых пакетов между взаимодействующими устройствами межмашинной сети в границах каждого состояния изменяемой сетевой топологии. These actions are repeated for all network packets generated and sent between devices and for all pairs of interacting sender and receiver devices in each sequence of sending network packets between interacting devices of the inter-machine network within the boundaries of each state of a variable network topology.
Таким образом, ПКС-контроллер разделяет межмашинную сеть на изолированные сетевые сегменты согласно ролям устройств, что позволяет контролировать взаимодействие между устройствами разных рабочих функций (ролей), а все сетевые потоки передачи данных, представленные в сети множеством пересылаемых между устройствами сетевых пакетов, ПКС-контроллер разделяет на запрещенные и разрешенные потоки данных по видам доступа (граф сети на фиг. 2 в правой части изображения).Thus, the PKS controller divides the inter-machine network into isolated network segments according to device roles, which allows you to control the interaction between devices of different working functions (roles), and all network data streams represented on the network by a multitude of network packets sent between devices, PKS controller divides into forbidden and allowed data streams by types of access (network graph in Fig. 2 on the right side of the image).
В результате достигается безопасное взаимодействие всех устройств в составе межмашинной сети передачи данных, где каждое устройство может получить доступ к другим устройствам, если соблюдены правила доступа, указанные в матрице контроля доступа, и получить отказ в доступе к другим устройствам, если не соблюдены правила доступа.As a result, the safe interaction of all devices within the inter-machine data network is achieved, where each device can access other devices if the access rules specified in the access control matrix are followed and denied access to other devices if the access rules are not followed.
В качестве примера рассмотрим межмашинную сеть, представленную на фиг. 2 в левой части изображения, в которой взаимодействие устройств осуществляется без контроля доступа. Узлы этой сети – устройства 1…6 (вершины графа сети на фиг. 2) – взаимодействуют друг с другом, отправляя сетевые пакеты по установленным связям (соединительные дуги графа сети на фиг. 2 в левой части изображения). As an example, consider the inter-machine network shown in FIG. 2 on the left side of the image, in which the interaction of devices is carried out without access control. The nodes of this network -
Роль – набор рабочих функций, который определяется на уровне авторизации: например, в сети VANET роль 1 – обычный автомобиль, роль 2 – автомобиль полиции. Зададим роли устройств следующим образом: устройствам 1, 2, 4 назначена роль 1 (закрашенные вершины графа сети в правой части изображения на фиг. 2), устройствам 3, 5, 6 – роль 2 (незакрашенные вершины графа сети в правой части изображения на фиг. 2). A role is a set of work functions that is defined at the authorization level: for example, in VANET,
Вид доступа – разрешенное для роли действие: чтение – обозначение r; запись – обозначение w; управление – обозначение c. Разрешенные виды доступа устройств к устройствам заданы в виде матрицы контроля доступа, в которой строкам матрицы соответствуют роли устройств, осуществляющих доступ, столбцам соответствуют роли устройств, к которым производится доступ, в каждой ячейке матрицы на пересечении соответствующего строки и столбца размещается правило доступа одной роли к другой – множество разрешенных видов доступа для соответствующей пары ролей устройств. Соответственно, если в ячейке указано множество видов доступа, то у данной роли, а значит и устройств, ассоциированных с ролью, имеется разрешение на перечисленные виды доступа к другой роли и соответствующих устройств. Если вид доступа в ячейке не указан, то у роли нет разрешения на данный вид доступа. Пустая ячейка указывает отсутствие всех видов доступа.Access type - action allowed for the role: reading - designation r; record - designation w; management - designation c. Allowed types of device access to devices are defined as an access control matrix in which the rows of the matrix correspond to the roles of the devices that access, the columns correspond to the roles of devices to be accessed, in each cell of the matrix at the intersection of the corresponding row and column there is a rule for access of one role to the other is the set of allowed access types for the corresponding pair of device roles. Accordingly, if many types of access are indicated in the cell, then this role, and therefore the devices associated with the role, has permission for the listed types of access to another role and the corresponding devices. If the type of access is not specified in the cell, then the role does not have permission for this type of access. An empty cell indicates the absence of all types of access.
Пример матрицы контроля доступа указан в фиг. 3. Предположим, устройством 2 запрашивается доступ на чтение данных с устройства 5. Согласно матрице контроля доступа (фиг. 3) устройство 2 не имеет доступа к устройству 5 (граф сети в правой части изображения фиг. 2). Предположим, устройством 1 запрашивается доступ на чтение данных с устройства 4. Соответственно матрице контроля доступа (фиг. 3) такой доступ может быть предоставлен (граф сети в правой части изображения фиг. 2). Предположим, устройство 5 запрашивает доступ на запись данных в устройство 4. Такой вид доступа запрещен (граф сети в правой части изображения фиг. 2) согласно матрице контроля доступа (фиг. 3). An example of an access control matrix is indicated in FIG. 3. Suppose that device 2 requests access to read data from
Таким образом, в рассматриваемом примере относительно видов доступа ПКС-контроллер выделяет потоки передачи данных между всеми устройствами в межмашинной сети согласно матрице контроля доступа (фиг. 2 в правой части изображения): Thus, in this example, regarding access types, the PKS controller allocates data flows between all devices in the inter-machine network according to the access control matrix (Fig. 2 in the right part of the image):
поток 1 (вид доступа чтение, r) – взаимодействие только устройств согласно ролям: роль 1-роль 1, роль 2-роль 1, роль 2-роль 2;stream 1 (read access type, r) - interaction of devices only according to roles: role 1-
поток 2 (вид доступа запись, w) – взаимодействие только устройств согласно ролям: роль 1-роль 1, роль 2-роль 2;stream 2 (access type record, w) - interaction of only devices according to roles: role 1-
поток 3 (вид доступа управление, c) – взаимодействие только устройств согласно ролям: роль 1-роль 1, роль 2-роль 2. stream 3 (type of access control, c) - interaction of only devices according to roles: role 1-
Разрешенные виды доступа, согласно матрице контроля доступа (фиг. 3), указаны направленными стрелками на графе сети, изображенной в правой части фиг. 2, где сплошной стрелкой показан запрос на доступ чтение, запись и управление – обозначение rwc, пунктирной стрелкой показан вид доступа чтение – обозначение r. The permitted types of access, according to the access control matrix (FIG. 3), are indicated by directional arrows on the network graph shown on the right side of FIG. 2, where the solid arrow shows the request for access to read, write, and control — the designation rwc, the dashed arrow shows the type of access — read — the designation r.
Если в качестве экземпляра межмашинной сети рассмотреть сеть автотранспортных средств VANET, которая описана графом сети на фиг. 2, в которой роль 1 – обычный автомобиль, роль 2 – автомобиль полиции, то приведенное в примере распределение сетевых пакетов по потокам, а устройств по ролям, означает, что обычный автомобиль не имеет доступа к важной информации в полицейском автомобиле, а полицейский автомобиль может получить доступ к необходимой для оперативных расследований информации, хранящейся в обычном автомобиле. Сегментирование сети на сегменты устройств согласно ролям и изоляция информационных потоков между ними, достигаемое за счет внедрения способа контроля доступа между устройствами в межмашинных сетях передачи данных, позволяет управлять взаимодействием устройств на уровне беспроводных цифровых коммуникаций и обеспечивает кибербезопасность активно развивающегося беспилотного транспорта, «умных домов», промышленного Интернета вещей, сенсорных сетей.If we consider the VANET vehicle network, which is described by the network graph in FIG. 2, in which
Способ контроля доступа между устройствами в межмашинных сетях передачи данных обеспечивает в межмашинной сети передачи данных конфиденциальность – доступ к прочтению информации на устройстве получает только то устройство, которому разрешен вид доступа чтение, целостность – модификацию информации на устройстве может выполнить только то устройство, которому разрешен вид доступа запись, а также доступность – функциональные настройки устройства, определяющие его работу, открыты только тому устройству, которому разрешен вид доступа управление. Тем самым способ контроля доступа между устройствами в межмашинных сетях передачи данных предотвращает раскрытие данных, в том числе системных, неавторизованное управление устройствами, нарушение работы маршрутизации при передаче сетевых пакетов через сеть связанных устройств, изоляцию и отключение отдельных устройств сети, и отказ межмашинной сети в целом. The method of access control between devices in inter-machine data networks ensures confidentiality in the inter-machine data network - access to reading information on the device is granted only to the device that is allowed to read, integrity - only the device that is allowed to view information on the device can be modified access record, as well as accessibility - the device’s functional settings that determine its operation are open only to the device that is allowed access board. Thus, the method of access control between devices in inter-machine data networks prevents the disclosure of data, including system data, unauthorized device management, disruption of routing when transmitting network packets through a network of connected devices, isolation and disconnection of individual network devices, and the failure of the inter-machine network as a whole .
Claims (7)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2018147090A RU2714853C1 (en) | 2018-12-27 | 2018-12-27 | Method of controlling access between devices in inter-machine data networks |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2018147090A RU2714853C1 (en) | 2018-12-27 | 2018-12-27 | Method of controlling access between devices in inter-machine data networks |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU2714853C1 true RU2714853C1 (en) | 2020-02-19 |
Family
ID=69626055
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2018147090A RU2714853C1 (en) | 2018-12-27 | 2018-12-27 | Method of controlling access between devices in inter-machine data networks |
Country Status (1)
| Country | Link |
|---|---|
| RU (1) | RU2714853C1 (en) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2310998C2 (en) * | 2003-08-11 | 2007-11-20 | Моторола, Инк. | Method and device for redirecting information from a wireless device |
| RU2359319C2 (en) * | 2007-05-11 | 2009-06-20 | Закрытое акционерное общество "Информационная внедренческая компания" (ЗАО "ИВК") | Method of integrating information resources of heterogeneous computer network |
| RU2008134897A (en) * | 2005-02-15 | 2010-03-10 | Квэлкомм Инкорпорейтед (US) | METHODS AND DEVICE FOR INTERMACHINE COMMUNICATIONS |
| RU2402881C2 (en) * | 2008-11-10 | 2010-10-27 | Общество с ограниченной ответственностью "НеоБИТ"(ООО "НеоБИТ") | Method and facility for control of data streams of protected distributed information systems in network of coded communication |
| US7975051B2 (en) * | 2006-05-03 | 2011-07-05 | Cloud Systems, Inc. | System and method for managing, routing, and controlling devices and inter-device connections |
-
2018
- 2018-12-27 RU RU2018147090A patent/RU2714853C1/en active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2310998C2 (en) * | 2003-08-11 | 2007-11-20 | Моторола, Инк. | Method and device for redirecting information from a wireless device |
| RU2008134897A (en) * | 2005-02-15 | 2010-03-10 | Квэлкомм Инкорпорейтед (US) | METHODS AND DEVICE FOR INTERMACHINE COMMUNICATIONS |
| US7975051B2 (en) * | 2006-05-03 | 2011-07-05 | Cloud Systems, Inc. | System and method for managing, routing, and controlling devices and inter-device connections |
| RU2359319C2 (en) * | 2007-05-11 | 2009-06-20 | Закрытое акционерное общество "Информационная внедренческая компания" (ЗАО "ИВК") | Method of integrating information resources of heterogeneous computer network |
| RU2402881C2 (en) * | 2008-11-10 | 2010-10-27 | Общество с ограниченной ответственностью "НеоБИТ"(ООО "НеоБИТ") | Method and facility for control of data streams of protected distributed information systems in network of coded communication |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Lu et al. | Federated learning for data privacy preservation in vehicular cyber-physical systems | |
| CN112586004B (en) | Systems, methods, and media for enabling private communication within a group of user equipment | |
| US11025627B2 (en) | Scalable and secure resource isolation and sharing for IoT networks | |
| US20160366183A1 (en) | System, Apparatus And Method For Access Control List Processing In A Constrained Environment | |
| US20210195414A1 (en) | Network access control | |
| US9438630B2 (en) | Network access control using subnet addressing | |
| US20200076815A1 (en) | Dynamic access policy provisioning in a device fog | |
| CN107637043B (en) | Service providing method, system and device for resource management in constraint environment | |
| CN107819732A (en) | The method and apparatus of user terminal access local network | |
| US20180018471A1 (en) | Location and time based mobile app policies | |
| CN114846764A (en) | Method, apparatus and system for updating anchor keys in a communication network for encrypted communication with service applications | |
| US11240207B2 (en) | Network isolation | |
| Mendiboure et al. | A scalable blockchain-based approach for authentication and access control in software defined vehicular networks | |
| CN104917761A (en) | General access control method and device | |
| CN101651697A (en) | Method and equipment for managing network access authority | |
| CN113747371A (en) | Management method and device for local area network communication | |
| Doumiati et al. | Analytical study of a service discovery system based on an LTE-A D2D implementation | |
| Ma et al. | A mutation-enabled proactive defense against service-oriented man-in-the-middle attack in kubernetes | |
| US20240089300A1 (en) | Applying overlay network policy based on users | |
| US10958622B2 (en) | Hierarchical security group identifiers | |
| RU2714853C1 (en) | Method of controlling access between devices in inter-machine data networks | |
| CN113938874A (en) | Data processing method, device, equipment and system | |
| RU2714217C1 (en) | Method of implementing security policy rules in peer-to-peer communication networks of cyber physical devices | |
| Varadharajan et al. | Securing communication in multiple autonomous system domains with software defined networking | |
| Maity et al. | Enforcement of access control policy for mobile ad hoc networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| QB4A | Licence on use of patent |
Free format text: LICENCE FORMERLY AGREED ON 20201229 Effective date: 20201229 |