×
20.03.2019
219.016.e9e7

СРЕДСТВО УПРАВЛЕНИЯ СЕАНСАМИ ЗАЩИЩЕННОЙ ВИДЕОКОНФЕРЕНЦСВЯЗИ В СЕТИ ШИФРОВАННОЙ СВЯЗИ

Вид РИД

Изобретение

Юридическая информация Свернуть Развернуть
Краткое описание РИД Свернуть Развернуть
Аннотация: Изобретение относится к области обеспечения информационной безопасности, а конкретно к средству управления сеансами в системах защищенной видеоконференцсвязи, построенных с использованием сетей шифрованной связи, с целью предотвращения несанкционированного доступа пользователей к сервисам системы защищенной видеоконференцсвязи посредством распределенного контроля устанавливаемых сетевых соединений. Технический результат заключается в повышении уровня защищенности системы защищенной видеоконференцсвязи. Сущность изобретения заключается в том, что в системе функций распределенного контроля доступа используются механизмы управления сеансами видеоконференцсвязи, основанные на анализе потоков данных, передаваемых по протоколам сигнализации для установления соединений при передаче аудио- и видеоданных в IP-сетях. 2 з.п. ф-лы, 2 ил.
Реферат Свернуть Развернуть

Изобретение относится к области обеспечения информационной безопасности, а именно к средству управления сеансами в системах защищенной видеоконференцсвязи, построенных с использованием сетей шифрованной связи, с целью предотвращения несанкционированного доступа пользователей к сеансам видеоконференцсвязи посредством распределенного контроля устанавливаемых сетевых соединений.

Изобретение может применяться для управления сеансами в системах защищенной видеоконференцсвязи, обладающих следующими свойствами:

- если в качестве транспортных протоколов используются протоколы семейства TCP/IP;

- если система защищенной конференцсвязи построена с использованием терминалов видеоконференцсвязи и устройств организации многоточечной конференцсвязи, осуществляющих сетевое взаимодействие по стандартным протоколам видеоконференцсвязи (ВКС), таким как Н.323, и осуществляющих коммутацию в соответствии со стандартными протоколами сигнализации, такими как Н.225.0 или SIP;

- если все узлы связи соединены посредством сети шифрованной связи.

Функционально наиболее близким к предлагаемому решению является устройство организации многоточечной конференцсвязи Multipoint Control Unit (GB 2443968, H04N 7/15; H04N 7/15, опубл. 2008-05-21), в котором анализируют потоки данных, передаваемые по протоколу Н.323, производят их логическую коммутацию, объединяя их в сеансы видеоконференцсвязи, и производят обработку различных событий, таких как подсоединение и отключение абонентов, переадресация вызова и т.д. При этом устройство организации многоточечных конференций производит мультиплексирование всех проходящих через него потоков информации без ограничений, что приводит к невозможности ограничения доступа абонентов к сеансам видеоконференцсвязи и, как следствие, невозможности создания системы защищенной видеоконференцсвязи без использования дополнительных средств контроля и управления доступом.

Архитектурно наиболее близким к изобретению является сетевой коммутатор (WO 2008077320, H04L 12/28; H04L 29/06; H04L 12/28; H04L 29/06, опубл. 2008-07-03), который осуществляет передачу потоков данных в вычислительной сети путем коммутации сетевых пакетов. В сетевом коммутаторе для определения порта для передачи сетевых пакетов применяется таблица соответствия между портами коммутатора и сетевыми адресами подключенных к ним сетевых устройств. Коммутатор осуществляет коммутацию потоков данных без учета требований безопасности и ограничений на доступ. В большинстве коммутаторов таблица соответствия заполняется динамически в процессе работы, что приводит к возможности переполнения этой таблицы и нарушения нормальной работы сетевого коммутатора.

В основу изобретения положена задача создания средства управления сеансами в системах защищенной видеоконференцсвязи, построенных с использованием сетей шифрованной связи, с целью предотвращения несанкционированного доступа абонентов к сеансам видеоконференцсвязи посредством распределенного контроля устанавливаемых сетевых соединений.

Для решения поставленной задачи предлагается средство управления сеансами защищенной видеоконференцсвязи в сети шифрованной связи, включающее коммутатор с использованием таблицы коммутации, устанавливающей соответствие между портами коммутатора и сетевыми адресами соединенных с ним устройств видеоконференцсвязи, в которое дополнительно включены шлюз контроля доступа, центр управления доступом и пульт безопасного управления; при этом в шлюз контроля доступа дополнительно включены блок коммутации сеансов видеоконференцсвязи, блок детектирования событий видеоконференцсвязи, анализирующий протоколы сигнализации для установления соединений при передаче аудио- и видеоданных в IP-сетях, блок управления таблицей коммутации, осуществляющий хранение и обновление таблицы коммутации, определяющей разрешенные маршруты передачи аудио- и видеоданных; в центр управления доступом дополнительно включены модуль политики безопасности, в соответствии с которой производится формирование таблицы коммутации, определяющей разрешенные маршруты передачи аудио- и видеоданных данных, блок контроля доступа, формирующий таблицу коммутации и сценарии ее изменения; дополнительно к шлюзу контроля доступа с помощью проводных каналов передачи данных подключены пульт безопасного управления и терминал видеоконференцсвязи.

Для повышения отказоустойчивости средства к блоку управления таблицей коммутации подключен дополнительный модуль сценариев изменения таблицы коммутации, позволяющий осуществлять автономное изменение таблицы коммутации, руководствуясь сценариями изменения таблицы коммутации.

Также к средству подключен дублирующий терминал ВКС, использующийся в случае, если недоступен основной.

Предложенное средство решает задачу управления доступом к сеансам видеоконференцсвязи в системах защищенной видеоконференцсвязи. При решении данной задачи достигается технический результат, заключающийся в распределенном контроле доступа абонентов к сеансам видеоконференцсвязи посредством контроля и управления потоками данных между терминалами ВКС и устройствами организации многоточечной конференцсвязи.

Другим техническим результатом является возможность анализа протоколов сигнализации для установления соединений при передаче аудио- и видеоданных в IP-сетях - Н.323, SIP, SCCP и других, на наличие событий безопасности. Событие безопасности - это операция доступа, совершенная абонентом или устройством видеоконференцсвязи по отношении к сеансу видеоконференцсвязи. Событиями безопасности являются такие операции, как создание и завершение сеансов связи, подсоединение и отсоединение абонентов, переадресация или отмена вызова и пр. Данный технический результат достигается за счет включения в изобретение блока детектирования событий видеоконференцсвязи, производящего анализ потоков данных, проходящих через изобретение, на наличие событий безопасности. При этом допускается одновременное использование нескольких блоков детектирования для анализа различных протоколов (по одному блоку на каждый протокол).

Еще одним техническим результатом является возможность определять ограничения на доступ к сеансам видеоконференцсвязи в виде общесистемной политики безопасности, в соответствии с которой осуществляется централизованное управление системой защищенной видеоконференцсвязи.

Элементами системы, реализующей изобретение, являются:

- шлюз контроля доступа (ШКД), осуществляющий контроль и управление доступом к сеансам видеоконференцсвязи посредством управления коммутацией потоков данных для одного узла связи;

- центральный узел управления, называемый центром управления доступом (ЦУД), осуществляющий управление множеством шлюзов контроля доступа и позволяющий контролировать состояние системы защищенной видеоконференцсвязи, просматривать возможные маршруты передачи аудио- и видеоданных, следить за состоянием текущих сеансов видеоконференцсвязи;

- блок коммутации сеансов видеоконференцсвязи, являющийся частью шлюза контроля доступа, хранящий таблицу коммутации и осуществляющий сетевую коммутацию сеансов видеоконференцсвязи в соответствии с таблицей коммутации;

- блок детектирования событий видеоконференцсвязи, являющийся частью шлюза контроля доступа, осуществляющий анализ потоков данных, передаваемых по протоколам сигнализации для установления соединений при передаче аудио- и видеоданных в IP-сетях, на предмет наличия событий безопасности;

- модуль политики безопасности, хранящийся на ЦУД, представляющий собой набор правил и ограничений, определяющий допустимые операции доступа абонентов к сеансам видеоконференцсвязи;

- блок контроля доступа, являющийся частью ЦУД, производящий изменение таблицы коммутации ШКД при получении от них событий безопасности в соответствии с общесистемной политикой безопасности;

- модуль сценариев изменения таблицы коммутации, осуществляющий обновление и хранение сценариев изменения таблицы коммутации на случай отказа ЦУД;

- пульт безопасного управления, предназначенный для осуществления управления терминалами и устройствами организации многоточечной видеоконференцсвязи по защищенному проводному каналу, контролируемому ШКД;

С целью повышения отказоустойчивости системы и обеспечения бесперебойной работы изобретения предусмотрен механизм, позволяющий шлюзам контроля доступа осуществлять автономное изменение таблицы коммутации в соответствии с общесистемной политикой безопасности в случае нарушения работоспособности ЦУД. Для реализации данного механизма в дополнение к штатному способу работы изобретения, состоящему в управлении сеансами видеоконференцсвязи в соответствии с общесистемной политикой безопасности, подключен модуль сценариев изменения таблицы коммутации, производящий последовательную генерацию сценариев изменения таблицы коммутации для каждого из ШКД, входящих в состав системы защищенной видеоконференцсвязи;

модуль сценариев изменения таблицы коммутации использует общесистемную политику безопасности, хранящуюся в модуле политики безопасности, для определения множества событий безопасности, которые могут произойти во всех возможных состояниях системы защищенной видеоконференцсвязи; также использован блок контроля доступа для определения изменений таблицы коммутации для всего множества событий безопасности во всех возможных состояниях системы защищенной видеоконференцсвязи, эти изменения сохраняются как набор сценариев изменения таблицы коммутации и передаются на ШКД, для которого они сгенерированы;

в случае нарушения работоспособности ЦУД, ШКД осуществляет автономное изменение таблицы коммутации, в соответствии со сценариями изменения таблицы коммутации.

Предлагаемое решение позволяет осуществлять мандатный контроль доступа абонентов к сеансам видеоконференцсвязи. Ограничения на совершение операций накладываются в зависимости от уровня доступа, который присваивается каждому абоненту системы защищенной видеоконференцсвязи.

Предлагаемое решение позволяет осуществлять дискреционный контроль доступа абонентов к сеансам видеоконференцсвязи. Для описания правил доступа используются индивидуальные списки разрешений на совершение операций видеоконференцсвязи в отношении каждого абонента (например, совершать вызов).

Для повышения отказоустойчивости системы защищенной видеоконференцсвязи предусмотрена возможность дополнительного подключения к изобретению дублирующего терминала ВКС, который используется для осуществления ВКС в случае, если недоступен основной терминал.

Изобретение и особенности его применения поясняются на фиг.1 и фиг.2. На фиг.1 приведена схема построения шлюза контроля доступа и механизмы его взаимодействия с ЦУД. На фиг.2 приведена система защищенной видеоконференцсвязи, в которой изобретение используется для управления сеансами видеоконференцсвязи.

Как показано на фиг.1, ШКД 1 состоит из ряда блоков и модулей. Шлюз контроля доступа 1 включает в себя следующие блоки:

- блок коммутации сеансов видеоконференцсвязи 2, хранящий таблицу коммутации 3 и осуществляющий непосредственно сетевую коммутацию в соответствии с текущей таблицей коммутации 3;

- порты 4, предназначенные для подключения устройств ВКС к блоку коммутации сеансов видеоконференцсвязи;

- блок детектирования событий видеоконференцсвязи 5, осуществляющий анализ потоков данных, передаваемых по протоколам сигнализации для установления соединений при передаче аудио- и видеоданных в IP сетях, на предмет наличия событий видеоконференцсвязи;

- блок управления таблицей коммутации 6, осуществляющий отправку событий безопасности на ЦУД 8, прием изменений, которые необходимо внести в таблицу коммутации 3, а также изменение таблицы коммутации 3.

На фиг.1 приведен основной механизм работы ШКД 1, согласно которому при обнаружении блоком детектирования событий видеоконференцсвязи 5 события безопасности, блок управления таблицей коммутации 6 отправляет на ЦУД 8 это событие безопасности. Затем блок контроля доступа 10, входящий в состав ЦУД 8, сопоставляет событие с общесистемной политикой безопасности, хранящейся в модуле политики безопасности 9, и генерирует новую таблицу коммутации 3, и отправляет ее на ШКД 1, где блок управления таблицей коммутации 6 производит ее загрузку в блок коммутации сеансов видеоконференцсвязи 2.

Также на фиг.1 проиллюстрирован механизм, позволяющий шлюзам контроля доступа 1 осуществлять автономное изменение таблицы коммутации 3 в соответствии с общесистемной политикой безопасности, хранящейся в модуле 9, в случае нарушения работоспособности ЦУД 8. Согласно данному механизму, на ШКД 1 хранятся сгенерированные ЦУД 8 в соответствии с общесистемной политикой безопасности, хранящейся в модуле 9, сценарии изменения таблицы коммутации, хранящиеся в модуле 7. В случае нарушения работоспособности ЦУД 8 ШКД 1 осуществляет автономное изменение таблицы коммутации 3, руководствуясь сценариями изменения таблицы коммутации, хранящимися в модуле 7. При изменении общесистемной политики безопасности, хранящейся в модуле 9, блок контроля доступа 10, входящий в состав ЦУД 8, генерирует новые сценарии изменения таблицы коммутации модуля 7 и передает их ШКД 1.

На фиг.2 приведена архитектура системы защищенной видеоконференцсвязи в сети шифрованной связи. Сетевая инфраструктура, показанная на фиг.2, состоит из пяти узлов, объединенных между собой с помощью сети шифрованной связи 11 и шлюзов контроля доступа 12. Узлами сети могут быть терминалы абонентов системы защищенной видеоконференцсвязи 13, устройство организации многоточечной конференцсвязи 14, центры управления доступом 15, отдельные вычислительные сети 16, содержащие собственные терминалы абонентов системы защищенной видеоконференцсвязи 13, и т.д. Все данные, проходящие между узлами сети, защищены криптографически с помощью сети шифрованной связи 11.

Использование сети шифрованной связи 11 позволяет защититься от угроз перехвата информации в вычислительной сети и угроз несанкционированного подключения к системе защищенной видеоконференцсвязи дополнительных устройств в обход средств защиты.

На фиг.2 приведен пульт безопасного управления 17, предназначенный для осуществления управления терминалами и устройствами организации многоточечной конференцсвязи по защищенному проводному каналу, контролируемому ШКД;

Работу системы можно проиллюстрировать на следующем примере. Входящий сетевой пакет поступает в порт ШКД 1, после чего попадает в блок коммутации сеансов видеоконференцсвязи 2, где временно задерживается. Затем пакет обрабатывается блоком детектирования событий видеоконференцсвязи 5 и, если после его анализа выявляется соответствие определенному событию безопасности, блок детектирования событий видеоконференцсвязи 5 передает это событие блоку управления таблицей коммутации 6. Если анализ пакета не выявил событий безопасности, то пакет обрабатывается в соответствии с текущей таблицей коммутации 3. После получения запроса блок управления таблицей коммутации 6 передает запрос ЦУД 8. Центр управления доступом 8 обрабатывает событие, блок контроля доступа 10 принимает решение о необходимости изменения таблицы коммутации 3 ШКД 1 в соответствии с общесистемной политикой безопасности модуля 9 и передает необходимые изменения обратно на ШКД 1. Блок управления таблицей коммутации 6, получив изменения, вносит их в таблицу 3. После обновления таблицы коммутации 3 задержанные ранее пакеты обрабатываются в соответствии с новой таблицей.

Изобретение позволяет повысить уровень защищенности целевой системы путем внедрения в систему функций распределенного контроля доступа за счет использования механизмов управления сеансами видеоконференцсвязи, основанных на анализе потоков данных, передаваемых по протоколам сигнализации для установления соединений при передаче аудио- и видеоданных в IP-сетях.

Источник поступления информации: Роспатент

Показаны записи 1-10 из 26.
20.06.2013
№216.012.4e9b

Способ и система идентификации сетевых протоколов на основании описания клиент-серверного взаимодействия

Изобретение относится к области компьютерных систем, а именно к описанию клиент-серверного взаимодействия, анализа протоколов и автоматизированного анализа сетевого трафика с целью идентификации сетевых протоколов. Техническим результатом является повышение эффективности идентификации сетевых...
Тип: Изобретение
Номер охранного документа: 0002485705
Дата охранного документа: 20.06.2013
10.10.2014
№216.012.fbb1

Способ автоматического адаптивного управления сетевыми потоками в программно-конфигурируемых сетях

Изобретение относится к области автоматизации управления сетевыми коммутаторами и маршрутизаторами в программно-конфигурируемых сетях. Техническим результатом является повышение быстродействия и пропускной способности OpenFlow-коммутаторов и OpenFlow-маршрутизаторов. Способ автоматического...
Тип: Изобретение
Номер охранного документа: 0002530279
Дата охранного документа: 10.10.2014
27.12.2014
№216.013.1485

Способ распознавания образов на цифровом изображении

Изобретение относится к распознаванию данных, а именно к распознаванию лица человека на цифровых изображениях, и может быть использовано в системах технического зрения для ограничения доступа к защищенным от посторонних лиц услугам, ресурсам и объектам. Техническим результатом является...
Тип: Изобретение
Номер охранного документа: 0002536677
Дата охранного документа: 27.12.2014
20.07.2015
№216.013.654f

Способ доверенной интеграции систем управления активным сетевым оборудованием в распределенные вычислительные системы и система для его осуществления

Изобретение относится к средствам защиты информационных систем. Технический результат заключается в повышении защищенности активного сетевого оборудования. Предварительно фиксируют эталонное техническое состояние активного сетевого оборудования: перечень открытых сетевых портов, контрольные...
Тип: Изобретение
Номер охранного документа: 0002557482
Дата охранного документа: 20.07.2015
20.10.2015
№216.013.8486

Способ обеспечения доступа к объектам в операционной системе

Изобретение относится к вычислительной технике. Технический результат заключается в повышении надежности операционной системы (ОС) за счет предотвращения несанкционированного доступа к объектам в ОС. Способ обеспечения доступа к объектам в ОС, в котором формируют сигнал запроса на обслуживание,...
Тип: Изобретение
Номер охранного документа: 0002565529
Дата охранного документа: 20.10.2015
20.10.2015
№216.013.875a

Способ обработки блока данных

Изобретение относится к обработке данных в виртуальной вычислительной среде. Технический результат - повышение безопасности обработки блока данных за счет предотвращения несанкционированного доступа в процессе криптографической обработки этого блока. Способ обработки блока данных, включающий...
Тип: Изобретение
Номер охранного документа: 0002566253
Дата охранного документа: 20.10.2015
10.04.2016
№216.015.321c

Способ централизованного контроля доступа систем управления к активному сетевому оборудованию в распределенных вычислительных системах и система для его осуществления

Изобретение относится к информационной безопасности. Технический результат заключается в повышении защищенности активного сетевого оборудования. Способ централизованного контроля доступа систем управления к активному сетевому оборудованию в распределенных вычислительных системах, в котором...
Тип: Изобретение
Номер охранного документа: 0002580815
Дата охранного документа: 10.04.2016
25.08.2017
№217.015.cdd0

Способ управления рабочим множеством виртуальных вычислителей в виртуальной сетевой системе защиты информации

Изобретение относится к защите информации от несанкционированного доступа. Технический результат – повышение пропускной способности сетевой системы защиты информации. Способ управления рабочим множеством виртуальных вычислителей в виртуальной сетевой системе защиты информации включает обработку...
Тип: Изобретение
Номер охранного документа: 0002619716
Дата охранного документа: 17.05.2017
26.08.2017
№217.015.df1e

Способ многопоточной защиты сетевого трафика и система для его осуществления

Изобретение относится к защите от несанкционированного доступа к информации при ее передаче по каналам связи. Технический результат – повышение пропускной способности средств защиты информации. Для этого в способе многопоточной защиты сетевого трафика дополнительно выполняется в зависимости от...
Тип: Изобретение
Номер охранного документа: 0002625046
Дата охранного документа: 11.07.2017
13.02.2018
№218.016.2564

Способ визуализации взаимосвязей в интернете вещей

Изобретение относится к способу визуализации взаимосвязей в Интернете Вещей. Технический результат заключается в автоматизации построения графов взаимосвязей устройств. Способ включает формирование списков функциональных и коммуникационных взаимосвязей между устройствами Интернета Вещей и...
Тип: Изобретение
Номер охранного документа: 0002642414
Дата охранного документа: 24.01.2018
+ добавить свой РИД