[go: up one dir, main page]

RU2306599C1 - Method (variants) and device (variants) for protecting communication channel of a computer network - Google Patents

Method (variants) and device (variants) for protecting communication channel of a computer network Download PDF

Info

Publication number
RU2306599C1
RU2306599C1 RU2006114272/09A RU2006114272A RU2306599C1 RU 2306599 C1 RU2306599 C1 RU 2306599C1 RU 2006114272/09 A RU2006114272/09 A RU 2006114272/09A RU 2006114272 A RU2006114272 A RU 2006114272A RU 2306599 C1 RU2306599 C1 RU 2306599C1
Authority
RU
Russia
Prior art keywords
sender
address
recipient
addresses
current
Prior art date
Application number
RU2006114272/09A
Other languages
Russian (ru)
Inventor
Анатолий Афанасьевич Андриенко (RU)
Анатолий Афанасьевич Андриенко
Дмитрий Анатольевич Кожевников (RU)
Дмитрий Анатольевич Кожевников
Галина Сергеевна Колбасова (RU)
Галина Сергеевна Колбасова
Роман Викторович Максимов (RU)
Роман Викторович Максимов
Антон Владимирович Павловский (RU)
Антон Владимирович Павловский
Юрий Иванович Стародубцев (RU)
Юрий Иванович Стародубцев
Original Assignee
Военная академия связи
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Военная академия связи filed Critical Военная академия связи
Priority to RU2006114272/09A priority Critical patent/RU2306599C1/en
Application granted granted Critical
Publication of RU2306599C1 publication Critical patent/RU2306599C1/en

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

FIELD: information safety of digital communication systems, possible use in distributed computing networks, combined through the Internet network.
SUBSTANCE: in the method, initial data is set, initial data packet is generated at sender side. Then received data packet is encoded and transformed to TCP/IP format. After that current addresses of sender and receiver are included in it and formed packet is transferred. Sender address is replaced. At receiver side, sender and receiver addresses are selected and compared to predetermined addresses. In case of mismatch received packets are not analyzed, and in case of match encoded data is extracted from received packet and decoded. Receiver address is replaced. Then initial data packet is repeatedly formed at sender side. Protection device consists of 2 identical local protection segments 31 and 3k, one of which is connected to local computing network li, and k one is connected to local computing network lk. Local computing networks are interconnected through corresponding routers 41,4k and the Internet.
EFFECT: increased safety and concealment of communication channel operation.
6 cl, 27 dwg

Description

Заявленные технические решения объединены единым изобретательским замыслом, относятся к области информационной безопасности цифровых систем связи и могут быть использованы в распределенных вычислительных сетях (ВС), объединенных через сеть Интернет.The claimed technical solutions are united by a single inventive concept, relate to the field of information security of digital communication systems and can be used in distributed computing networks (AC), connected via the Internet.

Известен способ защиты от несанкционированного обмена между первой компьютерной сетью и второй компьютерной сетью, реализованный в «Системе защиты для связанных компьютерных сетей» по патенту РФ №2152691, МПК G06F 12/14, опубл. 10.07.2000 г.A known method of protection against unauthorized exchange between the first computer network and the second computer network, implemented in the "Protection System for Connected Computer Networks" according to the patent of the Russian Federation No. 2152691, IPC G06F 12/14, publ. 07/10/2000

Способ заключается в выполнении следующих действий: принимают на первый сетевой интерфейс из первой компьютерной сети коммуникационное сообщение в первом формате сетевого протокола. Преобразуют коммуникационное сообщение во второй формат сетевого протокола, в результате чего информация об адресах источника и назначения удаляется из коммуникационного сообщения. Передают коммуникационное сообщение во второй сетевой интерфейс. Осуществляют обратное преобразование во втором сетевом интерфейсе коммуникационного сообщения в первый формат сетевого протокола. Передают коммуникационное сообщение после обратного преобразования во вторую компьютерную сеть.The method consists in performing the following actions: receive a communication message in the first network protocol format on the first network interface from the first computer network. The communication message is converted to a second network protocol format, as a result of which the source and destination address information is deleted from the communication message. A communication message is transmitted to the second network interface. Carry out the inverse transformation in the second network interface of the communication message in the first format of the network protocol. A communication message is transmitted after the reverse conversion to a second computer network.

Недостатком известного способа является высокая вероятность нарушения конфиденциальности информации при использовании виртуальной частной сети, а именно прослушивание и реконструкция трафика виртуальной частной сети в некоторой точке сети Интернет.The disadvantage of this method is the high likelihood of violating the confidentiality of information when using a virtual private network, namely listening to and reconstructing the traffic of a virtual private network at some point on the Internet.

Известен также способ защиты виртуального канала, реализованный в «Системе защиты виртуального канала корпоративной сети с мандатным принципом управления доступом к ресурсам, построенной на каналах связи и средствах коммутации сети связи общего пользования» по патенту РФ №2163727, МПК G06F 13/00, F 12/14, опубл. 27.02.2001 г.There is also a method of protecting a virtual channel, implemented in the "Virtual channel protection system of a corporate network with the mandatory principle of access control to resources built on communication channels and switching means of a public communication network" according to RF patent No. 2163727, IPC G06F 13/00, F 12 / 14, publ. 02/27/2001

Способ заключается в выполнении следующих действий: клиент согласовывает свои права доступа с межсетевым экраном, для чего на межсетевом экране проходят проверки. Если все проверки пройдены, то направляется пакет, разрешающий соединение между клиентом и межсетевым экраном. Далее пакет, разрешающий соединение, приходит к клиенту, проходя блок приемопередатчика и блок шифрования/расшифрования и электронной подписи. Затем его передают в блок формирования закрытого протокола. После чего отправляют пакет, устанавливающий соединение по стандартному соединению, но в каждом пакете заменяют IP-адреса сервера назначения на IP-адрес межсетевого экрана корпорации.The method consists in the following actions: the client negotiates its access rights with the firewall, for which checks are performed on the firewall. If all the checks are passed, then a packet is sent that allows the connection between the client and the firewall. Next, the packet allowing the connection comes to the client, passing the transceiver unit and the encryption / decryption and electronic signature block. Then it is transferred to the closed protocol generation unit. Then they send a packet that establishes a connection using a standard connection, but in each packet they replace the IP addresses of the destination server with the IP address of the corporate firewall.

Недостатком известного способа является высокая вероятность проникновения в корпоративную сеть в точке подключения к сети Интернет и (или) нарушения ее нормального функционирования.The disadvantage of this method is the high probability of penetration into the corporate network at the point of connection to the Internet and (or) a violation of its normal functioning.

Известен способ защиты информации, циркулирующей в распределенной телекоммуникационной системе при передаче ее по каналам связи общего пользования, реализованный в «Распределенной телекоммуникационной системе для передачи разделенных данных, предназначенной для их раздельной передачи и приема» по патенту US 6912252, МПК H04L 12/56; H04L 12/28, опубл. 08.11.2001 г.There is a method of protecting information circulating in a distributed telecommunication system when transmitting it via public communication channels, implemented in the "Distributed telecommunication system for transmitting shared data intended for their separate transmission and reception" according to patent US 6912252, IPC H04L 12/56; H04L 12/28, publ. 11/08/2001 g.

Способ заключается в выполнении следующих действий: исходные данные у отправителя разделяют на N частей. Далее из их комбинаций формируют группы промежуточных данных. Затем передают промежуточные данные независимо по N каналам связи. У получателя принимают группы промежуточных данных, пришедших по N каналам связи, и восстанавливают первоначальные данные.The method consists in the following actions: the source data from the sender is divided into N parts. Further, from their combinations, intermediate data groups are formed. Then, intermediate data is transmitted independently over N communication channels. The recipient receives groups of intermediate data arriving via N communication channels and restores the original data.

Недостатком данного способа является относительно невысокая безопасность связи вследствие передачи информации в открытом виде, и низкая скрытность связи вследствие увеличения вероятности распознавания структуры распределенной телекоммуникационной системы за счет увеличения вероятности обнаружения идентификаторов ее элементов при информационном обмене в результате увеличения числа каналов связи.The disadvantage of this method is the relatively low security of communication due to the transmission of information in open form, and low secrecy of communication due to the increased likelihood of recognizing the structure of a distributed telecommunication system due to an increase in the likelihood of identifying its identifiers in information exchange as a result of an increase in the number of communication channels.

Наиболее близким по своей технической сущности к заявленному является «Способ защиты корпоративной виртуальной частной компьютерной сети от несанкционированного обмена информацией с публичной транспортной сетью» по патенту РФ №2182355, МПК G06F 12/14, 9/00, опубл. 10.05.2002 г.Closest in technical essence to the claimed one is the "Method of protecting a corporate virtual private computer network from unauthorized exchange of information with a public transport network" according to RF patent No. 2182355, IPC G06F 12/14, 9/00, publ. 05/10/2002

Способ заключается в выполнении следующих действий: предварительно формируют таблицы адресов источников и получателей и их соответствия идентификаторам. Формируют у отправителя исходный пакет данных. Определяют идентификаторы отправителя и получателя. Кодируют данные пакета. Добавляют в пакет сообщений дополнительную информацию (идентификаторы отправителя и получателя). Преобразуют выходной пакет в формат ТСР/IP. Включают в преобразованный пакет данных в формате TCP/IP текущие адреса отправителя и получателя. Передают сформированный пакет. Принимают у получателя переданный пакет. Выделяют из полученного пакета сообщений адреса и идентификаторы отправителя и получателя сообщений. Сравнивают у получателя выделенные из полученного пакета сообщений адреса и идентификаторы отправителя и получателя сообщений с предварительно запомненными адресами и идентификаторами отправителя и получателя сообщений. При их несовпадении принятый пакет сообщений не анализируют, а при их совпадении выделяют из полученного пакета закодированные данные. Декодируют полученные данные. Определяют соответствие содержащихся в полученном пакете адресов отправителя сообщений и получателя сообщений и идентификаторов отправителя сообщений и получателя сообщений предварительно записанным в третьем блоке памяти адресам отправителя сообщений и получателя сообщений и идентификаторам отправителя сообщений и получателя сообщений. Передают декодированные данные пакета получателю сообщения при совпадении.The method consists in performing the following actions: preliminary form tables of addresses of sources and recipients and their correspondence with identifiers. Form the source data packet from the sender. Identifies the sender and receiver. Encode packet data. Additional information (sender and recipient identifiers) is added to the message packet. Convert the output packet to TCP / IP format. Includes the current sender and receiver addresses in the converted TCP / IP data packet. Transfer the formed packet. Receive the transmitted packet from the recipient. The addresses and identifiers of the sender and receiver of messages are extracted from the received message packet. The recipient compares the addresses and identifiers of the sender and recipient of messages extracted from the received message packet with the pre-stored addresses and identifiers of the sender and recipient of messages. If they do not match, the received message packet is not analyzed, and if they match, the encoded data is extracted from the received packet. Decode the received data. The correspondence of the addresses of the message sender and the message recipient and the message sender and message recipient identifiers contained in the received packet with the addresses of the message sender and message recipient and the identifiers of the message sender and the message recipient are pre-recorded in the third memory unit. Transmit decoded packet data to the recipient of the message when they match.

Недостатком прототипа является относительно невысокая безопасность и скрытность связи из-за существования вероятности распознавания канала связи на участке, являющемся частью сети Интернет, путем идентификации адресов корреспондентов, а также возможности вскрытия структуры распределенной ВС.The disadvantage of the prototype is the relatively low security and secrecy of communication due to the likelihood of recognition of the communication channel on the site, which is part of the Internet, by identifying the addresses of correspondents, as well as the possibility of opening the structure of the distributed aircraft.

Известна «Система защиты для связанных компьютерных сетей» от несанкционированных обменов между первой компьютерной сетью и второй компьютерной сетью по патенту РФ №2152691, МПК G06F 12/14, опубл. 10.07.2000 г.The well-known "Protection System for Connected Computer Networks" from unauthorized exchanges between the first computer network and the second computer network according to the patent of the Russian Federation No. 2152691, IPC G06F 12/14, publ. 07/10/2000

Система содержит первый и второй сетевой интерфейс, каждый из которых имеет сетевой интерфейсный адаптер для обмена с первой и второй компьютерными сетями соответственно. Каждый из сетевых интерфейсов дополнительно снабжен адаптером передачи для обмена с адаптером передачи другого сетевого интерфейса и сетевые программные средства для предотвращения передачи информации об услугах маршрутизации между сетевыми интерфейсными адаптерами и адаптером передачи каждого из сетевых интерфейсов. Каждый сетевой интерфейс дополнительно содержит программные средства преобразования протокола.The system comprises a first and second network interface, each of which has a network interface adapter for exchanging with the first and second computer networks, respectively. Each of the network interfaces is additionally equipped with a transmission adapter for exchange with a transmission adapter of another network interface and network software to prevent the transfer of information about routing services between the network interface adapters and the transmission adapter of each of the network interfaces. Each network interface further comprises protocol conversion tools.

Недостатком данной системы является относительно невысокая защищенность канала связи при использовании виртуальной частной сети, что приводит к возможности несанкционированного прослушивания и реконструкции графика виртуальной частной сети в некоторой точке сети Интернет.The disadvantage of this system is the relatively low security of the communication channel when using a virtual private network, which leads to the possibility of unauthorized listening and reconstruction of the schedule of a virtual private network at some point on the Internet.

Известна также «Система защиты виртуального канала корпоративной сети с мандатным принципом управления доступом к ресурсам, построенной на каналах связи и средствах коммутации сети связи общего пользования» по патенту РФ №2163727, МПК G06F 13/00, F 12/14, опубл. 27.02.2001 г.Also known is the "Virtual channel protection system of a corporate network with the mandate principle of access control to resources built on communication channels and switching means of a public communication network" according to RF patent No. 2163727, IPC G06F 13/00, F 12/14, publ. 02/27/2001

Система содержит М межсетевых экранов, каждый из которых состоит из блока приемопередатчика, блока фильтрации пакетов, блока шифрования/расшифрования и электронной подписи и блока аутентификации клиента по идентификатору, паролю и службе, причем первый вход/выход межсетевого экрана корпорации является первым входом/выходом блока приемопередатчика, второй вход/выход блока приемопередатчика соединен с первым входом/выходом блока фильтрации пакетов, второй вход/выход которого соединен с первым входом/выходом блока шифрования/расшифрования и электронной подписи, первый вход/выход входного межсетевого экрана корпорации является первым входом/выходом системы защиты. Каждый межсетевой экран корпорации включает блок формирования закрытого протокола, блок аутентификации клиента по IP-адресу, блок разрешения доступа по логическому имени сервера, блок выработки мандата на требуемые действия, блок проверки мандата клиента мандатом на требуемые действия и блок оперативного управления.The system contains M firewalls, each of which consists of a transceiver unit, a packet filtering unit, an encryption / decryption and electronic signature unit, and a client authentication unit by identifier, password, and service, the first input / output of the corporate firewall being the first input / output of the block transceiver, the second input / output of the transceiver unit is connected to the first input / output of the packet filtering unit, the second input / output of which is connected to the first input / output of the encryption / decryption unit Signature and electronic signature, the first input / output of the input firewall of the corporation is the first input / output of the security system. Each corporate firewall includes a closed protocol generation unit, a client authentication block by IP address, an access authorization block by the server’s logical name, a mandate generation unit for the required actions, a client mandate verification unit with the required actions mandate, and an operational management unit.

Недостатком данной системы является то, что она не обеспечивает полностью защищенного взаимодействия между клиентами и серверами распределенной ВС, что проявляется в высокой вероятности проникновения в ВС в точке подключения к сети Интернет и/или нарушения ее нормального функционирования.The disadvantage of this system is that it does not provide completely secure interaction between clients and distributed aircraft servers, which is manifested in the high probability of penetration into the aircraft at the point of connection to the Internet and / or its normal functioning.

Известна также «Распределенная телекоммуникационная система для передачи разделенных данных, предназначенная для их раздельной передачи и приема» по патенту US 6912252, МПК H04L 12/56; H04L 12/28, опубл. 08.11.2001 г.Also known is "Distributed telecommunications system for transmitting shared data, intended for their separate transmission and reception" according to patent US 6912252, IPC H04L 12/56; H04L 12/28, publ. 11/08/2001 g.

Система содержит передающее и приемное устройства, соединенные N каналами связи.The system comprises a transmitting and receiving device connected by N communication channels.

Недостатком данной системы является относительно невысокий уровень защищенности информации, передаваемой по каналам связи, из-за отсутствия средств кодирования, а также низкая скрытность связи за счет введения дополнительных идентификаторов элементов распределенной телекоммуникационной системы в результате увеличения числа каналов связи между этими элементами.The disadvantage of this system is the relatively low level of security of information transmitted through communication channels due to the lack of coding facilities, as well as low secrecy of communication due to the introduction of additional identifiers of elements of a distributed telecommunication system as a result of an increase in the number of communication channels between these elements.

Наиболее близким по своей технической сущности к заявленной является «Система защиты корпоративной виртуальной частной компьютерной сети от несанкционированного обмена информацией с публичной транспортной сетью» по патенту РФ №2182355, МПК G06F 12/14, 9/00, опубл. 10.05.2002 г.Closest in its technical essence to the declared one is the “System for protecting a corporate virtual private computer network from unauthorized exchange of information with a public transport network” according to RF patent No. 2182355, IPC G06F 12/14, 9/00, publ. 05/10/2002

В системе защиты корпоративной виртуальной частной компьютерной сети от несанкционированного обмена информацией с публичной транспортной сетью корпоративная виртуальная частная компьютерная сеть содержит два процессора и соединенные между собой через интерфейс два маршрутизатора. Один из них соединен с локальной вычислительной сетью (ЛВС) корпоративной виртуальной частной компьютерной сети, средством кодирования и декодирования и первым блоком памяти, предназначенным для записи и хранения таблицы с дополнительной информацией об отправителе и получателе сообщений. Второй маршрутизатор подключен к сети Интернет и соединен со вторым блоком памяти, предназначенным для хранения таблицы адресов источника и получателя сообщений.In the system for protecting the corporate virtual private computer network from unauthorized exchange of information with the public transport network, the corporate virtual private computer network contains two processors and two routers interconnected via an interface. One of them is connected to the local area network (LAN) of the corporate virtual private computer network, by means of encoding and decoding and the first memory unit, designed to record and store a table with additional information about the sender and receiver of messages. The second router is connected to the Internet and is connected to a second memory unit, designed to store a table of addresses of the source and recipient of messages.

Недостатком системы-прототипа является относительно невысокая безопасность и скрытность работы канала связи. Указанный недостаток обусловлен тем, что каналы связи удаленных сегментов ВС, построенных по принципу виртуальных частных сетей и объединенных через сеть Интернет, легко выделяются путем анализа трафика в некоторой точке сети Интернет, так как для них характерна высокая интенсивность обмена пакетами сообщений с одинаковыми адресами корреспондентов и закодированной информационной составляющей пакетов сообщений. При этом оказывается возможным определение адресов удаленных сегментов ВС и раскрытие структуры распределенной ВС. Такой информации достаточно для нарушения информационного обмена, либо для осуществления деструктивных воздействий по отношению к распределенной ВС.The disadvantage of the prototype system is the relatively low security and secrecy of the communication channel. This drawback is due to the fact that the communication channels of the remote segments of the aircraft, built on the principle of virtual private networks and connected via the Internet, are easily distinguished by analyzing traffic at some point on the Internet, since they are characterized by a high rate of exchange of message packets with the same addresses of correspondents and encoded information component of message packets. In this case, it is possible to determine the addresses of the remote segments of the aircraft and the disclosure of the structure of the distributed aircraft. Such information is enough to disrupt information exchange, or to implement destructive influences in relation to a distributed aircraft.

Целью заявленных технических решений является разработка способа (варианты) и устройства (варианты) защиты канала связи ВС, обеспечивающих повышение безопасности и скрытности работы канала связи в сети Интернет за счет усложнения процедуры определения адресов и выявления взаимосвязей удаленных сегментов распределенной ВС при анализе графика в некоторой точке сети Интернет путем непрерывного изменения в передаваемых пакетах сообщений адресов отправителя и получателя, что делает практически невозможным их определение и идентификацию относительно конкретного пользователя сети или вскрытие структуры распределенной ВС.The purpose of the claimed technical solutions is to develop a method (options) and devices (options) for protecting the communication channel of the aircraft, providing increased security and secrecy of the communication channel on the Internet by complicating the process of determining addresses and identifying the relationships of remote segments of a distributed aircraft when analyzing the graph at some point Internet by continuously changing in the transmitted message packages the addresses of the sender and recipient, which makes it almost impossible to determine and identify them relative to a particular user or network structure opening distributed CS.

В первом варианте способа поставленная цель достигается тем, что в известном способе защиты канала связи ВС, заключающемся в том, что предварительно задают исходные данные, включающие адреса отправителя и получателя сообщений, формируют у отправителя исходный пакет данных, кодируют его, преобразуют в формат TCP/IP, включают в него текущие адреса отправителя и получателя и передают сформированный информационный пакет сообщений получателю, из принятого у получателя пакета сообщений выделяют адреса отправителя и получателя, сравнивают их с предварительно заданными адресами, при их несовпадении принятые пакеты не анализируют, а при совпадении из принятого пакета сообщений выделяют кодированные данные и декодируют их, в предварительно заданные исходные данные дополнительно включают базу из N адресов отправителя и S адресов получателя. Назначают из заданной базы текущие адреса отправителя Ато и получателя Атп и запоминают их. Причем назначенные адреса отправителя Ато и получателя Атп запоминают у получателя в качестве обратного адреса отправителя Аооп и обратного адреса получателя Аопп. Формируют у отправителя информацию об обратных адресах отправителя Аооо и получателя Аопо, для чего у отправителя из предварительно заданной базы адресов выделяют в качестве обратных адреса отправителя Аооо и получателя Аопо и запоминают их. Для формирования у отправителя информационного пакета сообщений в исходный пакет данных включают обратные адреса отправителя Аооо и получателя Аопо. После преобразования кодированного пакета данных в формат TCP/IP, включения в него предварительно запомненных текущих адресов отправителя Ато и получателя Атп и передачи от отправителя к получателю информационного пакета сообщений, у отправителя заменяют его ранее назначенный текущий адрес Ато на предварительно запомненный обратный адрес отправителя Аооо. Выделяют у получателя из принятого информационного пакета сообщений кодированные данные и декодируют их. Выделяют из декодированных данных обратные адреса отправителя Аооо и получателя Аопо. Запоминают их в качестве текущих адресов отправителя Ато и получателя Атп, а затем заменяют текущий адрес получателя Атп на новый, выделенный из декодированных данных адрес получателя Аопо. После чего формируют у получателя информацию об обратных адресах отправителя Аооп и получателя Аопп, для чего выделяют у получателя из предварительно заданной базы адресов в качестве обратных адреса отправителя Аооп и получателя Аопп и запоминают их. Формируют у получателя уведомляющий пакет сообщений, для чего формируют исходный пакет данных с уведомлением о получении информационного пакета сообщений и промежуточный пакет путем включения в исходный пакет данных обратных адресов отправителя Аооп и получателя Аопп. Кодируют промежуточный пакет данных, преобразуют его в формат TCP/IP, включают в преобразованный пакет предварительно запомненные текущие адреса отправителя Ато и получателя Атп. Передают сформированный уведомляющий пакет сообщений от получателя к отправителю, после чего у получателя заменяют его текущий адрес Атп на предварительно запомненный обратный адрес получателя Аопп. Принимают у отправителя уведомляющий пакет, выделяют из него адреса отправителя Ато и получателя Атп. Сравнивают их с предварительно запомненными у отправителя обратными адресами отправителя Аооо и получателя Аопо. При их несовпадении принятый уведомляющий пакет сообщений не анализируют, а при совпадении выделяют из принятого уведомляющего пакета сообщений кодированные данные, декодируют их и выделяют из них обратные адреса отправителя Аооп и получателя Аопп. Причем выделенные из декодированных данных обратные адреса получателя Аопп и отправителя Аооп запоминают в качестве текущих адресов получателя Атп и отправителя Ато, а текущий адрес отправителя Ато заменяют на новый, выделенный из декодированных данных адрес отправителя Аооп. После чего повторно формируют у отправителя информацию об обратных адресах отправителя Аооо и получателя Аопо.In the first variant of the method, the goal is achieved by the fact that in the known method of protecting the communication channel of the aircraft, which consists in pre-setting the initial data, including the addresses of the sender and recipient of messages, they form the source data packet from the sender, encode it, convert it to TCP / IP, include the current addresses of the sender and recipient and transmit the generated information packet of messages to the recipient, from the received packet of messages the addresses of the sender and recipient are selected, compare them with redvaritelno predetermined addresses, when no discrepancy of the received packets are analyzed, and the coincidence of the received message packet recovered encoded data and decoding them in the preset initial data base further include N of sender and recipient addresses S. Assign from the given database the current addresses of the sender And then the recipient And TP and remember them. And designated address of the sender and the recipient And A m stored in the recipient as the return address of the sender A ^ n and the return address of the recipient A op n. Formed at the sender's information return addresses of the sender A and recipient oo op of A, for which the sender of a predetermined base address is isolated as the return address of the sender A and recipient oo op of A and memorize them. For the formation of the sender information message packet to the original data packet back to the sender addresses include A ^ O and A recipient of op. After the conversion of the encoded data packet in TCP / IP format, the inclusion of pre-stored current address of the sender And then the receiver A m and the transmission from the sender to the recipient of the information message packet, the sender replace its previously assigned current address And then on the pre-stored return address sender A oo about . The encoded data is extracted from the recipient from the received information packet of messages and decoded. Recovered from the decoded data back to the sender address of the A ^ and A recipient of op. Remember them as the current addresses of the sender And then the recipient And TP , and then replace the current address of the recipient And TP to the new address of the recipient And op about selected from the decoded data. After that, the recipient generates information about the return addresses of the sender A o p and the recipient A op p , for which they select the recipient from the predefined address base as the return addresses of the sender A o p n and the recipient A op p and store them. A notification message packet is formed at the recipient, for which purpose an initial data packet with a notification of receipt of an information message packet and an intermediate packet are formed by including the return addresses of the sender A o p and the recipient A op p in the original data packet. Encode the intermediate data packet, convert it into TCP / IP format, the converted packet includes the current pre-stored sender A and the receiver A mn. The generated notification message packet is transmitted from the recipient to the sender, after which the recipient is replaced with his current address A tp by the previously stored recipient address A op p . They take a notification packet from the sender, extract from it the addresses of the sender And then the recipient A TP . Compare them with the sender's return address, previously stored by the sender, of the sender A о о о and the recipient A op о . If they do not match, the received notification message packet is not analyzed, but if it matches, the encoded data is extracted from the received notification message packet, decoded, and the return addresses of the sender A o p and receiver A op p are extracted from them. Moreover, the return addresses of the recipient A op p and the sender A oo p extracted from the decoded data are remembered as the current addresses of the recipient A tp and sender A then , and the current address of the sender A then is replaced with the new address of the sender A oo p isolated from the decoded data. Then re-form at the sender information on the return addresses of the sender A oo about and the recipient A op about .

Значения N и S адресов отправителя и получателя выбирают в пределах N-10-256, S-10-256.The values of N and S addresses of the sender and receiver are selected in the range of N-10-256, S-10-256.

Значения обратных адресов отправителя Аооо и получателя Аопо у отправителя и обратных адресов отправителя Аооп и получателя Аопп у получателя выбирают по случайному закону или по заранее заданному правилу.Values return addresses of the sender A and recipient of oo A op on the sender's return address of the sender A and recipient oo n A n op recipient selected randomly or according to a predetermined rule.

Во втором варианте способа поставленная цель достигается тем, что в известном способе защиты канала связи ВС, заключающемся в том, что предварительно задают исходные данные, включающие адреса отправителя и получателя сообщений, формируют у отправителя исходный пакет данных, кодируют его, преобразуют в формат TCP/IP, включают в него текущие адреса отправителя и получателя, передают сформированный информационный пакет сообщений получателю, из принятого у получателя пакета сообщений выделяют адреса отправителя и получателя, сравнивают их с предварительно заданными текущими адресами, при их несовпадении принятые пакеты не анализируют, а при совпадении из принятого пакета сообщений выделяют кодированные данные и декодируют их, в предварительно заданные исходные данные дополнительно включают базу из N адресов отправителя и S адресов получателя. Назначают из заданной базы текущие адреса отправителя Ато и получателя Атп и запоминают их. Задают у отправителя и получателя функции выбора текущего адреса отправителя FN(i) и получателя FS(i), где i=1, 2, 3, ..., в соответствии с которыми на i-м шаге назначают новые текущие адреса. Устанавливают равным единице номера шагов смены адресов io=1 и iп=1. После передачи от отправителя к получателю информационного пакета формируют у отправителя информацию о новых текущих адресах отправителя Атоi и получателя Атпi, для чего назначают у отправителя из заданной базы адресов в соответствии с предварительно заданными функциями выбора новые текущие адреса отправителя Ато=FN(i) и получателя Атпi=FS(i) и запоминают их в качестве текущих адресов отправителя Ато и получателя Атп. Затем заменяют у отправителя его текущий адрес Ато на новый текущий адрес отправителя Атоi и увеличивают номер шага io на единицу (io=io+1). У получателя выделяют из принятого информационного пакета сообщений кодированные данные и декодируют их. Формируют у получателя информацию о новых текущих адресах отправителя Атоi и получателя Атпi, для чего назначают у получателя из заданной базы адресов в соответствии с предварительно заданными функциями выбора новые текущие адреса отправителя Атоi=FN(i) и получателя Атпi=FS(i). Запоминают их в качестве текущих адресов отправителя Ато и получателя Атп. У получателя заменяют его текущий адрес на новый текущий адрес получателя Атпi и увеличивают номер шага iп на единицу (iп=iп+1). После чего повторно формируют у отправителя информационный пакет сообщений.In the second variant of the method, the goal is achieved by the fact that in the known method of protecting the communication channel of the aircraft, which consists in pre-setting the initial data, including the addresses of the sender and recipient of messages, they form the source data packet from the sender, encode it, convert it to TCP / IP, include the current addresses of the sender and recipient, transmit the generated information packet of messages to the recipient, select the addresses of the sender and recipient from the received packet of messages, compare them with redvaritelno predetermined current addresses received packets are analyzed as they do not match, and the coincidence of the received message packet recovered encoded data and decoding them in the preset initial data base further include N of sender and recipient addresses S. Assign from the given database the current addresses of the sender And then the recipient And TP and remember them. The sender and the recipient are asked to select the current address of the sender F N (i) and the recipient F S (i), where i = 1, 2, 3, ..., according to which new current addresses are assigned at the i-th step. Set equal to unity the number of steps of the change of addresses i o = 1 and i p = 1. After the transfer from the sender to the recipient of the information packet, information is generated from the sender about the new current addresses of the sender A then i and the receiver A tp i , for which purpose the sender from the specified address base is assigned new current addresses of the sender A then = F according to the predefined selection functions N (i) and the receiver a m i = F S (i) and storing them as a current address of the sender a and the receiver a mn. Then replace the sender of his current address And then a new current address of the sender And i and increase the step number i o per unit (i o = i o +1) . The recipient is isolated from the received information packet of messages encoded data and decode them. The recipient is formed with information about the new current addresses of the sender A then i and the receiver A tp i , for which purpose the recipient from the given address database is assigned, in accordance with predefined selection functions, the new current addresses of the sender A then i = F N (i) and receiver A mn i = F S (i). Remember them as the current addresses of the sender And then the recipient And TP . The recipient replaces his current address with the new current address of the recipient A TP i and increases the step number i p by one (i p = i p +1). After that, the information packet of messages is re-formed at the sender.

Значения N и S адресов отправителя и получателя выбирают в пределах N=10-256, S=10-256.The values of N and S addresses of the sender and receiver are selected in the range of N = 10-256, S = 10-256.

В качестве функции выбора адреса отправителя FN(i) и получателя FS(i) используют последовательность чисел Фибоначчи.

Figure 00000002
где FN,S(i) позиция соответствующей пары адресов в предварительно сформированной базе адресов на i-м шаге назначения новых текущих адресовА.As a function of selecting the address of the sender F N (i) and the recipient F S (i), a sequence of Fibonacci numbers is used.
Figure 00000002
where F N, S (i) is the position of the corresponding pair of addresses in the pre-formed base of addresses at the i-th step of assigning new current addresses A.

В третьем варианте способа поставленная цель достигается тем, что в известном способе защиты канала связи ВС, заключающемся в том, что предварительно задают исходные данные, включающие адреса отправителя и получателя сообщений, формируют у отправителя исходный пакет данных, кодируют его, преобразуют в формат TCP/IP, включают в него текущие адреса отправителя и получателя, передают сформированный пакет сообщений получателю, из принятого у получателя пакета сообщений выделяют адреса отправителя и получателя, сравнивают их с предварительно заданными текущими адресами, при их несовпадении принятые пакеты не анализируют, а при совпадении из принятого пакета сообщений выделяют кодированные данные и декодируют их, предварительно задают К максимально допустимое число одноадресных пакетов, задают функцию FК(i), определяющую число Δk пакетов сообщений с одинаковыми адресами отправителя и получателя. Устанавливают равным нулю число отправленных и полученных пакетов сообщений jo=0 и jп=0 и вычисляют с помощью функции FК(i) число Δk пакетов сообщений с одинаковыми адресами отправителя и получателя. Задают базу из N адресов отправителя и S адресов получателя. Назначают из заданной базы первоначальные текущие адреса отправителя Ато и получателя Атп и запоминают их. Затем задают у отправителя и получателя функции выбора текущего адреса отправителя FN(i) и получателя FS(i), где i=1, 2, 3, ..., в соответствии с которыми на i-м шаге назначают новые текущие адреса. Устанавливают равным единице номера шагов смены адресов io=1 и iп=1. После передачи от отправителя к получателю пакета сообщений увеличивают у отправителя число отправленных пакетов сообщений jo на единицу (jo=jo+1). Сравнивают у отправителя число отправленных пакетов сообщений jo с предварительно установленным Δk, и при их несовпадении переходят к приему у получателя пакета сообщений. При совпадении повторно устанавливают jo=0, увеличивают номер шага io на единицу (io=io+1) и вычисляют очередное значение Δk. Затем формируют у отправителя информацию о новых текущих адресах отправителя Атоi и получателя Атпi, для чего назначают у отправителя из заданной базы адресов в соответствии с предварительно заданными функциями выбора новые текущие адреса отправителя Атоi=FN(i) и получателя Атпi=FS(i) и запоминают выделенные адреса отправителя Атоi и получателя Атпi в качестве текущих адресов отправителя Ато и получателя Атп. После чего заменяют у отправителя его текущий адрес Ато на новый текущий адрес отправителя Атоi. После выделения у получателя из принятого информационного пакета сообщений кодированных данных и их декодирования увеличивают у получателя число принятых пакетов сообщений jп на единицу (jп=jп+1). Сравнивают у получателя число принятых пакетов сообщений jп с предварительно вычисленным значением Δk и при несовпадении переходят к формированию у отправителя очередного пакета сообщений. При совпадении устанавливают jп=0. Увеличивают номер шага iп на единицу (iп=iп+1) и вычисляют новое значение Δk. После чего формируют у получателя информацию о новых текущих адресах отправителя Ато1 и получателя Атпi, для чего назначают у получателя из заданной базы адресов в соответствии с предварительно заданными функциями выбора новые текущие адреса отправителя Атоi=FN(i) и получателя Атпi=FS(i) и запоминают выделенные адреса отправителя Атоi и получателя Атпi в качестве текущих адресов отправителя Ато и получателя Атп. Затем заменяют у получателя его текущий адрес Атп на новый текущий адрес получателя Атпi. После чего формируют у отправителя очередной пакет сообщений.In the third variant of the method, the goal is achieved by the fact that in the known method of protecting the communication channel of the aircraft, which consists in pre-setting the initial data, including the addresses of the sender and recipient of messages, they form the source data packet from the sender, encode it, and convert it to TCP / IP, include the current address of the sender and recipient, transmit the generated message packet to the recipient, from the message packet received from the recipient, select the address of the sender and recipient, compare them with previously adannymi current addresses, when they do not match the received packets are analyzed and separated encoded data, and decodes them, previously assigned to the maximum number of unicast packets is set function F K (i), determines the number of Δk message packets with the same at the coincidence of the received message packet sender and receiver addresses. Set the number of sent and received message packets j o = 0 and j p = 0 to zero and calculate using the function F K (i) the number Δk of message packets with the same address of the sender and receiver. Define a base of N sender addresses and S recipient addresses. Assign from the given base the initial current addresses of the sender And then the recipient And TP and remember them. Then, the sender and the recipient are asked to select the current address of the sender F N (i) and the recipient F S (i), where i = 1, 2, 3, ..., in accordance with which new current addresses are assigned at the ith step . Set equal to unity the number of steps of the change of addresses i o = 1 and i p = 1. After transmission from the sender to the recipient of the message packet, the sender increases the number of sent message packets j o by one (j o = j o +1). The sender compares the number of sent message packets j o with the previously set Δk, and if they do not match, they proceed to receive the message packet from the recipient. If they match, they re-set j o = 0, increase the step number i o by one (i o = i o +1) and calculate the next value Δk. Then, the sender generates information about the new current addresses of the sender A then i and the recipient A tp i , for which purpose the sender from the given address database is assigned, in accordance with predefined selection functions, the new current addresses of the sender A then i = F N (i) and the recipient a m i = F S (i) and storing the selected address of the sender a and the receiver a i m i as the current address of the sender a and the receiver a mn. After that, the sender replaces his current address And then with the new current address of the sender And then i . After the recipient extracts encoded data from the received information packet of messages and decodes them, the recipient increases the number of received message packets j p by one (j p = j p +1). The recipient is compared with the number of received message packets j p with the previously calculated value Δk and, if they do not match, they proceed to form the next message packet at the sender. When coincident set j p = 0. Increase the step number i p by one (i p = i p +1) and calculate the new value Δk. After that, the recipient generates information about the new current addresses of the sender A then 1 and the recipient A tp i , for which purpose the new current addresses of the sender A then i = F N (i) are assigned from the given address base in accordance with the predefined selection functions, and a recipient mn i = F S (i) and storing the selected address of the sender a and the receiver a i m i as the current address of the sender a and the receiver a mn. Then, the recipient's current address A tp is replaced with the new current address of the recipient A tp i . Then they form the next packet of messages at the sender.

Значения N и S адресов отправителя и получателя выбирают в пределах N-10-256, S=10-256.The values of N and S addresses of the sender and receiver are selected in the range of N-10-256, S = 10-256.

Значение К - максимально допустимое число одноадресных пакетов выбирают в пределах К=200-250.The value of K - the maximum allowable number of unicast packets is selected within K = 200-250.

В качестве функции, определяющей число Δk пакетов сообщений с одинаковыми адресами отправителя и получателя используют последовательность чисел Фибоначчи.

Figure 00000003
As a function determining the number Δk of message packets with the same sender and receiver addresses, a sequence of Fibonacci numbers is used.
Figure 00000003

В качестве функции выбора адреса отправителя FN(i) и получателя FS(i) используют последовательность чисел Фибоначчи.

Figure 00000004
где FN,S(i) позиция соответствующей пары адресов в предварительно сформированной базе адресов на i-м шаге назначения новых текущих адресов.As a function of selecting the address of the sender F N (i) and the recipient F S (i), a sequence of Fibonacci numbers is used.
Figure 00000004
where F N, S (i) is the position of the corresponding pair of addresses in a preformed base of addresses at the i-th step of assigning new current addresses.

В первом варианте устройства защиты канала связи ВС поставленная цель достигается тем, что в известном устройстве защиты канала связи ВС, содержащей локальный сегмент защиты (ЛСЗ), первый и второй вход/выходы которого подключены соответственно к ЛВС и маршрутизатору, подключенному к сети Интернет, и содержащей блок хранения базы адресов (БХБА), процессор, блок кодирования/декодирования (КД), информационные вход и выход, входы «пароль» и «тип преобразования» которого подключены к соответствующим портам процессора, в ЛСЗ дополнительно введены блок выбора адреса (БВА), блоки оперативного хранения обратных и текущих адресов (БОХОА и БОХТА), первый и второй сетевые адаптеры (СА). Управляющий вход БВА подключен к порту «адрес» процессора, а x-разрядный выход БВА подключен к x-разрядному входу БХБА, m-разрядный выход которого подключен к m-разрядному входу БОХОА. Управляющий вход и m-разрядный выход БОХОА подключены соответственно к порту «запрос обратного адреса» и m-разрядному порту «обратный адрес» процессора. Управляющий вход и m-разрядный выход БОХТА подключены соответственно к управляющему выходу «запрос текущего адреса» и m-разрядному порту «текущий адрес» процессора. При этом m-разрядный вход «смена текущего адреса» БОХТА подключен к m разрядному порту «смена текущего адреса» процессора. У первого СА n-разрядные выход и вход подключены соответственно к n-разрядным входу «исходный пакет» и выходу «исходный пакет» процессора. Выход «локальная сеть» первого СА является первым входом/выходом ЛСЗ. У второго СА p-разрядные вход и выход подключены соответственно к p-разрядным выходу и входу «информация/уведомление» процессора, а t-разрядный порт «управление» процессора подключен к t-разрядному управляющему входу второго сетевого адаптера. Выход «сеть Интернет» второго СА является вторым входом/выходом ЛСЗ.In the first embodiment of the aircraft communication channel protection device, the goal is achieved by the fact that in the known aircraft communication channel protection device containing a local protection segment (LSS), the first and second inputs / outputs of which are connected respectively to a LAN and a router connected to the Internet, and containing an address base storage unit (BHA), a processor, an encoding / decoding unit (CD), information input and output, the “password” and “conversion type” inputs of which are connected to the corresponding processor ports, additionally entered us block selection addresses (PNA), power and operational storage inverse current address (Boho and BOHTA), first and second network adapters (CA). The control input of the BVA is connected to the “address” port of the processor, and the x-bit output of the BVA is connected to the x-bit input of the BHBA, the m-bit output of which is connected to the m-bit input of BOKHA. The control input and the m-bit output of BOKHA are connected respectively to the “request return address” port and the m-bit “return address” port of the processor. The control input and m-bit output of BOHTA are connected respectively to the control output "request the current address" and the m-bit port "current address" of the processor. In this case, the m-bit input "change of the current address" BOHTA is connected to the m bit port "change of the current address" of the processor. In the first SA, n-bit output and input are connected respectively to the n-bit input “source packet” and output “source packet” of the processor. The “local area network” output of the first CA is the first input / output of the LSZ. In the second SA, p-bit input and output are connected respectively to the p-bit output and the “information / notification” input of the processor, and the t-bit port “control” of the processor is connected to the t-bit control input of the second network adapter. The “Internet” output of the second CA is the second input / output of the LSZ.

Во втором варианте устройства защиты канала связи ВС поставленная цель достигается тем, что в известном устройстве защиты канала связи ВС, содержащей ЛСЗ, первый и второй вход/выходы которого подключены соответственно к ЛВС и маршрутизатору, подключенному к сети Интернет, и содержащий БХБА, процессор, блок КД, информационные вход и выход, входы «пароль» и «тип преобразования» которого подключены к соответствующим портам процессора, в ЛСЗ дополнительно введены БВА, БОХТА, первый и второй СА. Управляющий вход БВА подключен к порту «адрес» процессора, а x-разрядный выход блока выбора адреса подключен к x-разрядному входу БХБА. У БХБА m-разрядный выход подключен к m-разрядному входу БОХТА. Управляющий вход и m-разрядный выход БОХТА подключены соответственно к порту «запрос текущего адреса» и m-разрядному порту «текущий адрес» процессора. У первого СА n-разрядные выход и вход подключены соответственно к n-разрядным входу «исходный пакет» и выходу «исходный пакет» процессора. Причем выход «локальная сеть» первого СА является первым входом/выходом ЛСЗ. У второго СА р-разрядные вход и выход подключены соответственно к р-разрядным выходу и входу «информация/уведомление» процессора, а t-разрядный порт «управление» процессора подключен к t-разрядному управляющему входу второго СА. Выход «сеть Интернет» второго СА является вторым входом/выходом ЛСЗ.In the second embodiment of the aircraft communication channel protection device, the goal is achieved by the fact that in the known aircraft communication channel protection device containing an LSS, the first and second inputs / outputs of which are connected respectively to a LAN and a router connected to the Internet, and containing a BCBA, a processor, a CD unit, informational input and output, the “password” and “conversion type” inputs of which are connected to the corresponding processor ports, in the LSZ additionally introduced BVA, BOCHTA, the first and second SA. The control input of the BVA is connected to the “address” port of the processor, and the x-bit output of the address selection block is connected to the x-bit input of the BChBA. In BHBA, the m-bit output is connected to the m-bit input of BOHTA. The control input and m-bit output of BOHTA are connected respectively to the port "request the current address" and the m-bit port "current address" of the processor. In the first SA, n-bit output and input are connected respectively to the n-bit input “source packet” and output “source packet” of the processor. Moreover, the output of the "local area network" of the first CA is the first input / output of the LSZ. In the second SA, the p-bit input and output are connected respectively to the p-bit output and the “information / notification” input of the processor, and the t-bit processor control port is connected to the t-bit control input of the second CA. The “Internet” output of the second CA is the second input / output of the LSZ.

В третьем варианте устройства защиты канала связи ВС поставленная цель достигается тем, что в известном устройстве защиты канала связи ВС, содержащей ЛСЗ, первый и второй вход/выходы которого подключены соответственно к ЛВС и маршрутизатору, подключенному к сети Интернет, и содержащий БХБА, процессор, блок КД, информационные вход и выход, входы «пароль» и «тип преобразования» которого подключены к соответствующим портам процессора, в ЛСЗ дополнительно введены БВА, БОХТА, первый и второй СА, счетчик одноадресных пакетов (СОП) и блок выбора числа одноадресных пакетов (БВЧОП). Управляющий вход БВА подключен к порту «адрес» процессора, а х-разрядный выход БВА подключен к х-разрядному входу БХБА. У БХБА m-разрядный выход подключен к m-разрядному входу БОХТА, управляющий вход и m-разрядный выход которого подключены соответственно к порту «запрос текущего адреса» и m-разрядному порту «текущий адрес» процессора. Управляющие входы «запрос одноадресных пакетов», «обнуление» и s-разрядный выход СОП подключены соответственно к портам «запрос одноадресных пакетов», «обнуление» и 5-разрядному входу «одноадресные пакеты» процессора. Управляющие входы «запрос числа», «запуск» и s-разрядный выход БВЧОП подключены соответственно к портам «запрос числа», «запуск» и s-разрядному входу «число» процессора. У первого СА n-разрядные выход и вход подключены соответственно к n-разрядным входу «исходный пакет» и выходу «исходный пакет» процессора. Причем выход «локальная сеть» первого СА является первым входом/выходом ЛСЗ. У второго СА p-разрядные вход и выход подключены соответственно к р-разрядным выходу и входу «информация/уведомление» процессора, a t-разрядный порт «управление» процессора подключен к t-разрядному управляющему входу второго СА. Выход «сеть Интернет» второго СА является вторым входом/выходом ЛСЗ.In the third embodiment of the aircraft communication channel protection device, the goal is achieved by the fact that in the known aircraft communication channel protection device containing an LSS, the first and second inputs / outputs of which are connected respectively to a LAN and a router connected to the Internet, and containing a BCBA, a processor, CD block, information input and output, the “password” and “conversion type” inputs of which are connected to the corresponding processor ports, in the LSZ additionally entered are BVA, BOCHTA, first and second CA, unicast packet counter (SOP) and a selection block Isla unicast packets (BVCHOP). The control input of the BVA is connected to the “address” port of the processor, and the x-bit output of the BVA is connected to the x-bit input of the BKhBA. In BCHBA, the m-bit output is connected to the m-bit input of BOHTA, the control input and m-bit output of which are connected respectively to the port "request the current address" and the m-bit port "current address" of the processor. The control inputs “request unicast packets”, “nulling” and s-bit output of the SOP are connected respectively to the ports “request unicast packets”, “nulling” and the 5-bit input “unicast packets” of the processor. The control inputs “number request”, “start” and s-bit output of the BCHOP are connected respectively to the ports “request number”, “start” and s-bit input “number” of the processor. In the first SA, n-bit output and input are connected respectively to the n-bit input “source packet” and output “source packet” of the processor. Moreover, the output of the "local area network" of the first CA is the first input / output of the LSZ. In the second SA, p-bit input and output are connected respectively to the p-bit output and the information / notification input of the processor, and the t-bit processor control port is connected to the t-bit control input of the second CA. The “Internet” output of the second CA is the second input / output of the LSZ.

Благодаря новой совокупности существенных признаков в каждом из вариантов способов и в реализующих их устройствах защиты канала связи ВС достигается непрерывное изменение в передаваемых пакетах сообщений адресов отправителя и получателя, что делает практически невозможным их определение и идентификацию относительно конкретного пользователя сети или вскрытие структуры распределенной ВС, т.е. обеспечивается возможность достижения сформулированного технического результата - повышения безопасности и скрытности работы канала связи ВС.Thanks to a new set of essential features in each of the method variants and in the aircraft communication channel protection devices that implement them, a continuous change in the transmitted message packages of the addresses of the sender and recipient is achieved, which makes it almost impossible to determine and identify them with respect to a specific network user or open the structure of a distributed aircraft, t .e. it is possible to achieve the formulated technical result - to increase the security and stealth of the aircraft communication channel.

Проведенный заявителем анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностью признаков, тождественных всем признакам заявленных технических решений, отсутствуют, что указывает на соответствие заявленного устройства условию патентоспособности «новизна».The analysis of the prior art by the applicant made it possible to establish that there are no analogues that are characterized by a combination of features identical to all the features of the claimed technical solutions, which indicates the compliance of the claimed device with the patentability condition “novelty”.

Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками каждого варианта заявленных изобретений, показали, что они не следуют явным образом из уровня техники. Из уровня техники также не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения преобразований на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».Search results for known solutions in this and related fields of technology in order to identify features that match the distinctive features of the prototype of each variant of the claimed inventions have shown that they do not follow explicitly from the prior art. The prior art also did not reveal the popularity of the impact provided by the essential features of the claimed invention transformations to achieve the specified technical result. Therefore, the claimed invention meets the condition of patentability "inventive step".

Заявленные объекты изобретений поясняются чертежами, на которых показаны:The claimed objects of the invention are illustrated by drawings, which show:

фиг.1 - пример типовой структуры распределенной ВС;figure 1 is an example of a typical structure of a distributed aircraft;

фиг.2 - структура пакета сообщений;figure 2 - structure of the message package;

фиг.3 - структура IP-заголовка пакета сообщений;figure 3 - structure of the IP header of the message packet;

фиг.4 - пример базы адресов отправителя и получателя;4 is an example of a base of addresses of the sender and recipient;

фиг.5 - блок-схема алгоритма, реализующего первый вариант заявленного способа защиты канала связи ВС;5 is a block diagram of an algorithm that implements the first variant of the claimed method of protecting the communication channel of the aircraft;

фиг.6 - чертеж, поясняющий процесс передачи и приема информационного и уведомляющего пакетов сообщений в первом варианте способа;6 is a drawing explaining the process of transmitting and receiving information and notification message packets in the first embodiment of the method;

фиг.7 - блок-схема алгоритма, реализующего второй вариант заявленного способа защиты канала связи ВС;7 is a block diagram of an algorithm that implements the second variant of the claimed method of protecting the communication channel of the aircraft;

фиг.8 - пример таблицы для назначения номера пары адресов в зависимости от номера шага смены адресов;Fig. 8 is an example of a table for assigning a pair of address numbers depending on the step number of the address change;

фиг.9 - чертеж, поясняющий процесс передачи и приема информационного и уведомляющего пакетов сообщений во втором варианте способа;Fig. 9 is a drawing explaining a process for transmitting and receiving information and notification message packets in a second embodiment of the method;

фиг.10 - блок-схема алгоритма, реализующего третий вариант заявленного способа защиты канала связи ВС;figure 10 is a block diagram of an algorithm that implements the third version of the claimed method of protecting the communication channel of the aircraft;

фиг.11 - таблица для назначения числа одноадресных пакетов в зависимости от номера шага смены адресов;11 is a table for assigning the number of unicast packets depending on the step number of the address change;

фиг.12 - распределенная ВС с первым вариантом устройства защиты;12 is a distributed aircraft with a first embodiment of a protection device;

фиг.13 - обобщенная схема распределенная ВС, снабженная устройством защиты канала связи ВС;Fig. 13 is a generalized distributed aircraft circuit equipped with an aircraft communication channel protection device;

фиг.14 - ЛСЗ в первом варианте устройства защиты;Fig - LSZ in the first embodiment of the protection device;

фиг.15 - схема БВА 3.1 в первом варианте устройства;Fig - diagram of the BVA 3.1 in the first embodiment of the device;

фиг.16 - блок-схема алгоритма работы процессора 3.2 в первом варианте устройства;Fig - block diagram of the algorithm of the processor 3.2 in the first embodiment of the device;

фиг.17 - схема БОХОА 3.6 (БОХТА 3.7);Fig - diagram BOHOA 3.6 (BOHTA 3.7);

фиг.18 - распределенная ВС со вторым вариантом устройства защиты;Fig. 18 is a distributed aircraft with a second embodiment of a protection device;

фиг.19 - ЛСЗ во втором варианте устройства защиты;Fig - LSZ in the second embodiment of a protection device;

фиг.20 - схема БВА 3.1 во втором варианте устройства;Fig. 20 is a diagram of a BVA 3.1 in a second embodiment of the device;

фиг.21 - блок-схема алгоритма работы процессора 3.2 во втором варианте устройства;Fig - block diagram of the algorithm of the processor 3.2 in the second embodiment of the device;

фиг.22 - распределенная ВС с третьим вариантом устройства защиты;Fig - distributed aircraft with a third embodiment of a protection device;

фиг.23 - ЛСЗ в третьем варианте устройства защиты;Fig - LSZ in the third embodiment of the protection device;

фиг.24 - блок-схема алгоритма работы процессора 3.2 в третьем варианте устройства;Fig - block diagram of the algorithm of the processor 3.2 in the third embodiment of the device;

фиг.25 - схема БВЧОП 3.7;FIG. 25 is a diagram of a BCHSC 3.7; FIG.

фиг.26 - обобщенная схема проведения эксперимента;Fig is a generalized diagram of the experiment;

фиг.27 - чертеж, представляющий структуру распределенной ВС, определенную в ходе эксперимента.Fig.27 is a drawing representing the structure of a distributed aircraft, determined during the experiment.

Реализация заявленных способов объясняется следующим образом. При объединении удаленных сегментов распределенной ВС через сети связи общего пользования (например, Интернет) усложняется решение задачи по обеспечению безопасности связи. Это связано с возникновением практически неограниченного спектра потенциальных угроз, связанных либо с несанкционированным доступом к информации или ее перехватом в процессе передачи по каналам связи, либо деструктивными воздействиями на ВС. Задача защиты информационной части пакетов сообщений достаточно эффективно решается средствами криптографии. Однако даже при отсутствии возможности декодирования перехваченной информации нарушитель путем деструктивного воздействия на телекоммуникационное оборудование может нарушить нормальное функционирование ВС. Это обусловлено тем, что адреса отправителей и получателей пакетов сообщений передаются в открытом виде. Таким образом, возникает противоречие между необходимостью открытой передачи адресов отправителей и получателей пакетов сообщений по каналам связи и требованием по обеспечению безопасности ВС, т.к. выявление истинных адресов корреспондирующих субъектов создает предпосылки для осуществления деструктивных воздействий на ВС. На устранение указанного противоречия направлены заявленные технические решения.The implementation of the claimed methods is explained as follows. When combining remote segments of a distributed aircraft through public communication networks (for example, the Internet), it becomes more difficult to solve the problem of ensuring communication security. This is due to the emergence of an almost unlimited range of potential threats associated with either unauthorized access to information or its interception during transmission through communication channels, or destructive effects on aircraft. The task of protecting the informational part of message packets is quite effectively solved by means of cryptography. However, even in the absence of the possibility of decoding the intercepted information, the intruder, by destructive impact on telecommunication equipment, may interfere with the normal functioning of the aircraft. This is due to the fact that the addresses of senders and recipients of message packets are transmitted in clear text. Thus, a contradiction arises between the need to openly transmit the addresses of senders and recipients of message packets over communication channels and the requirement to ensure aircraft safety, because the identification of the true addresses of the corresponding entities creates the prerequisites for the implementation of destructive effects on the aircraft. The claimed technical solutions are aimed at eliminating this contradiction.

Первый вариант заявленного способа реализуют следующим образом. В общем случае ЛВС представляет собой совокупность ПЭВМ, периферийного и коммуникационного оборудования, объединенного физическими линиями связи. Все эти элементы определяются идентификаторами, в качестве которых в наиболее распространенном стеке протоколов TCP/IP используются сетевые адреса (IP-адреса). При необходимости распределенной обработки информации и (или) ее передачи удаленные ЛВС объединяют, например, через сеть Интернет, образуя распределенную ВС. При таком объединении оконечное коммуникационное оборудование также идентифицируют сетевыми адресами, причем множество адресов оконечного коммуникационного оборудования и элементов ЛВС не пересекаются.The first variant of the claimed method is implemented as follows. In general, a LAN is a combination of a personal computer, peripheral and communication equipment, combined by physical communication lines. All these elements are identified by identifiers, which are used in the most common TCP / IP protocol stack by network addresses (IP addresses). If necessary, distributed information processing and (or) its transmission, remote LANs are combined, for example, via the Internet, forming a distributed aircraft. With this combination, terminal communications equipment is also identified by network addresses, and the multiple addresses of terminal communications equipment and LAN elements do not intersect.

Для передачи информации между удаленными ЛВС (например, ЛВС1 и ЛВС2 на фиг.1а) посредством протоколов взаимодействия устанавливают канал связи, под которым, в данном случае, понимают информационный поток от отправителя к получателю.To transfer information between remote LANs (for example, LAN 1 and LAN 2 in Fig. 1a), a communication channel is established by means of interaction protocols, which, in this case, means the information flow from the sender to the receiver.

Информационный поток от ЛВС1 к ЛВС2 передают через соответствующие маршрутизаторы и сеть Интернет (фиг.1а). В общем случае эту модель можно упростить и представить в виде оконечного коммуникационного оборудования корреспондентов (отправителя и получателя пакетов сообщений), а также канала связи между ними (фиг.1б).The information stream from LAN 1 to LAN 2 is transmitted through the respective routers and the Internet (figa). In the General case, this model can be simplified and presented in the form of terminal communication equipment of the correspondents (sender and recipient of message packets), as well as a communication channel between them (Fig.1B).

Для безопасной передачи данных через сеть связи общего пользования (например, Интернет) применяется криптографическая защита информационной части пакетов сообщений (фиг.2). При использовании таких механизмов в открытом виде передают только IP-заголовок. Структура IP-заголовка известна и показана на фиг.3. На фиг.3 штриховкой выделены поля адресов отправителя и получателя пакета сообщений.For secure data transmission through a public communication network (for example, the Internet), cryptographic protection of the information part of message packets is used (FIG. 2). When using such mechanisms, only the IP header is transmitted in clear text. The IP header structure is known and shown in FIG. In Fig. 3, the address and sender address fields of the message packet are highlighted by hatching.

В процессе динамического изменения сетевых адресов отправителю и получателю необходимо их согласовывать. Для этого у обоих корреспондентов предварительно задают базу из N адресов отправителя и S адресов получателя. Значения количества адресов отправителя N и получателя S выбирают исходя из размеров стандартной подсети. В частности, для подсети класса С значения N и S можно задать в пределах N=10-255, S=10-255, т.к. для данного класса подсети количество абонентов не превышает 255 (классификация подсетей известна и приведена, например, в книге Олифера В.Г. и Олифера Н.А. «Компьютерные сети. Принципы, технологии, протоколы.», уч. для ВУЗов, 2-изд. СПб.: Питер, 2003. с.498). Пример базы адресов, представленной в виде таблицы, показан на фиг.4. Первый столбец в таблице означает порядковый номер адреса отправителя или получателя в базе адресов. Во втором и четвертом столбцах представлены соответствующие значения адресов отправителя и получателя. IP-адрес, имеющий длину 4 байта (32 бита), отображают в таблице в наиболее употребляемом виде представления IP адреса - в десятичной форме (формат представления IP-адреса в десятичной форме известна и описана, например, в книге Олифера В.Г. и Олифера Н.А. «Компьютерные сети. Принципы, технологии, протоколы.», уч. для Вузов, 2-изд.; -СПб.: Питер, 2003. с.497). В третьем и пятом столбцах размещают дополнительную информацию об адресах. Например, в них указывают обозначение текущих адресов отправителя Ато и получателя Атп, а также обратных адресов отправителя Аооо и получателя Аопо.In the process of dynamically changing network addresses, the sender and the recipient must coordinate them. For this, both correspondents are preliminarily assigned a base of N sender addresses and S recipient addresses. The values of the number of addresses of the sender N and recipient S are selected based on the size of the standard subnet. In particular, for a class C subnet, the values of N and S can be set within N = 10-255, S = 10-255, because for this class of subnet, the number of subscribers does not exceed 255 (the classification of subnets is known and is given, for example, in the book by Olifer V.G. and Olifer N.A. “Computer Networks. Principles, Technologies, Protocols.”, Study for Universities, 2- Publishing House of St. Petersburg: Peter, 2003.S. 498). An example of an address database presented in a table is shown in FIG. 4. The first column in the table indicates the sequence number of the address of the sender or recipient in the address database. The second and fourth columns show the corresponding values of the sender and receiver addresses. An IP address having a length of 4 bytes (32 bits) is displayed in the table in the most used form of representation of the IP address - in decimal form (the format for representing the IP address in decimal form is known and described, for example, in the book of Olifer V.G. and Olifer N.A. "Computer networks. Principles, technologies, protocols.", Academic for universities, 2-ed .; SPb .: Peter, 2003. p.497). The third and fifth columns provide additional address information. For example, they point to indicate the current address of the sender and the recipient And A m, as well as the return address of the sender A and recipient of oo A op on.

Все составляющие пакетов сообщений (фиг.2, 3) представляют собой электромагнитные сигналы в цифровой (двоичной) форме. Рассматриваемые ниже действия над ними заключаются в соответствующих преобразованиях сигналов, при которых изменяются их параметры (общее число бит и последовательность их нулевых и единичных значений).All components of the message packets (figure 2, 3) are electromagnetic signals in digital (binary) form. The actions considered above on them consist in the corresponding signal transformations, in which their parameters are changed (the total number of bits and the sequence of their zero and unit values).

На фиг.5 представлена блок-схема алгоритма, поясняющего последовательность действий, реализующих заявленный способ защиты канала связи ВС.Figure 5 presents a block diagram of an algorithm explaining the sequence of actions that implement the claimed method of protecting the communication channel of the aircraft.

На начальном этапе из базы адресов назначают текущие адреса отправителя Ато и получателя Атп сообщений (бл.1 на фиг.5). При установке и настройке устройства системные администраторы могут назначать текущие адреса либо строго по инструкции, либо согласовав свои действия по телефону. Запоминают текущие адреса, для чего в поле дополнительной информации таблицы ставят соответствующие обозначения Ато и Атп (см. фиг.4). Причем назначенные адреса отправителя Ато и получателя Атп запоминают у получателя в качестве обратного адреса отправителя Аооп и обратного адреса получателя Аопп.At the initial stage, the current addresses of the sender And then the receiver A of TP messages are assigned from the address base (block 1 in FIG. 5). When installing and configuring the device, system administrators can assign current addresses either strictly according to instructions or by coordinating their actions by phone. The current addresses are remembered, for which purpose the corresponding designations A then and A TP are put in the additional information field of the table (see Fig. 4). And designated address of the sender and the recipient And A m stored in the recipient as the return address of the sender A ^ n and the return address of the recipient A op n.

У отправителя из предварительно заданной базы адресов случайным образом либо по заранее заданному алгоритму выделяют в качестве обратных адреса отправителя Аооо и получателя Аопо. Запоминают их (бл.2 на фиг.5), для чего в таблице (см. фиг.4) ставят соответствующие обозначения Аооо Аопо.The sender from a predefined address base randomly or by a predetermined algorithm allocate as the return address the sender A o o and the recipient A op o . Remember them (bl.2 in figure 5), for which purpose in the table (see figure 4) put the appropriate notation A o o A A op about .

Первоначально у отправителя формируют исходный пакет данных (бл.3 на фиг.5). Кроме того, в исходном пакете дополнительно резервируется 64-битное поле. Затем формируют промежуточный пакет (см. фиг.6а), для чего в зарезервированное поле исходного пакета данных включают обратные адреса отправителя Аооо и получателя Аопо (бл.4 на фиг.5), составляющие 64 бита информации, предварительно зафиксированные в таблице (фиг.4).Initially, the sender forms the initial data packet (block 3 in FIG. 5). In addition, a 64-bit field is additionally reserved in the source packet. Then an intermediate packet is formed (see Fig. 6a), for which purpose the return addresses of the sender A о о о and the recipient A op о (Bl.4 in Fig. 5) are included in the reserved field of the initial data packet, comprising 64 bits of information previously fixed in table (figure 4).

После чего кодируют любым из известных способов кодирования (см., например, книгу Молдовян Н.А. и др. «Криптография: от примитива к синтезу», СПб.: БВХ - Петербург, 2004, с.301-337) полученный промежуточный пакет (фиг.6а, бл.5 на фиг.5) и преобразуют его в формат TCP/IP (бл.6 на фиг.5). Преобразование заключается в добавлении IP-заголовка к кодированному пакету данных. Полученный в результате пакет является информационным пакетом сообщений (фиг.6а), общая структура которого показана на фиг.2. В поля адрес отправителя и адрес получателя IP-заголовка (фиг.3) включают предварительно запомненные текущие адреса отправителя Ато и получателя Атп (бл.7 на фиг.5) и передают получателю сформированный информационный пакет сообщений (бл.8 на фиг.5). После чего заменяют у отправителя ранее назначенный текущий адрес Ато (бл.3 на фиг.5) на предварительно запомненный обратный адрес отправителя Аооо (в таблице в поле для дополнительной информации заменяют у этого адреса обозначение Аооо на Ато). При этом маршрутизатору, подключенному к сети Интернет, передают команду о смене адреса и сам адрес. Механизм смены адресов у отправителя и получателя одинаков ввиду идентичности оборудования и/или программного обеспечения.After which they encode using any of the known encoding methods (see, for example, the book by N. Moldovyan and others. “Cryptography: from primitive to synthesis”, St. Petersburg: BVH - Petersburg, 2004, p. 301-337) received intermediate package (figa, bl.5 in Fig.5) and convert it to the TCP / IP format (bl.6 in Fig.5). The conversion is to add an IP header to the encoded data packet. The resulting packet is an informational message packet (Fig. 6a), the general structure of which is shown in Fig. 2. In the field of the sender address and the recipient's IP-header (3) include a pre-stored current sender A and the receiver A mn (bl.7 5) and transmitting the generated recipient information message packet (bl.8 FIG. 5). Then replace the sender address previously assigned to the current Otherwise (bl.3 5) previously memorized in the return address of the sender A ^ o (in the table in the field for additional information replace at this address designation of A ^ to the A). At the same time, the router connected to the Internet is given a command to change the address and the address itself. The mechanism for changing the addresses of the sender and the recipient is the same due to the identity of the equipment and / or software.

После приема у получателя информационного пакета сообщений (фиг.66, бл.10 на фиг.5) из его заголовка выделяют адреса отправителя Ато и получателя Атп (бл.11 на фиг.5), сравнивают их (бл.12 на фиг.5) (например, побитно) с предварительно заданными в таблице адресами отправителя и получателя Аооп и Аопп. При несовпадении адресов принятый пакет не анализируют, т.к. его отправитель не является санкционированным участником информационного обмена. При совпадении адресов из принятого пакета сообщений выделяют кодированные данные (бл.13 на фиг.5) путем отделения IP-заголовка и декодируют их (бл.14 на фиг.5).Upon receiving the message recipient information packet (fig.66, bl.10 5) is isolated from its header address of the sender A and the receiver A mn (5 bl.11), compare them (FIG bl.12 .5) (for example, bitwise) with the sender and recipient addresses Ao p and A op p predefined in the table If the addresses do not match, the received packet is not analyzed, because its sender is not an authorized participant in the information exchange. If the addresses match, the encoded data is extracted from the received message packet (block 13 in FIG. 5) by decoupling the IP header and decode them (block 14 in FIG. 5).

После этого из декодированных данных выделяют первые 64 бита, содержащие информацию об обратных адресах отправителя Аооо и получателя Аопо (бл.15 на фиг.5). Запоминают их в качестве текущих адресов отправителя Ато и получателя Атп (бл.16 на фиг.5), для чего в поле дополнительной информации таблицы ставят соответствующее обозначение (см. фиг.4). Затем заменяют текущий адрес получателя Атп на новый, выделенный из декодированных данных адрес получателя (бл.17 на фиг, 5).After that, the first 64 bits are selected from the decoded data, containing information about the return addresses of the sender A о о о and the recipient A op о (bl.15 in FIG. 5). Remember them as the current addresses of the sender And then the recipient And TP (bl.16 in figure 5), for which the corresponding designation is put in the field of additional information of the table (see figure 4). Then, the current address of the recipient A tp is replaced with a new recipient address isolated from the decoded data (block 17 in FIG. 5).

Далее формируют у получателя информацию об обратных адресах отправителя Аооп и получателя Аопп (бл.18 на фиг.5). Для этого выделяют случайным образом или по заранее заданному правилу у получателя из предварительно заданной базы адресов в качестве обратных адреса отправителя Аооп и получателя Аопп и запоминают их. При этом в поле дополнительной информации таблицы ставят соответствующее обозначение (фиг.4).Next, form the recipient information about the return addresses of the sender A o p and the recipient A op p (bl.18 in figure 5). To do this, select randomly or according to a predetermined rule from the recipient from a predefined database of addresses as the return address of the sender A o p and the recipient A op p and remember them. In this case, in the field of additional information of the table put the corresponding designation (figure 4).

Для подтверждения факта получения от отправителя пакета у получателя формируют уведомляющий пакет сообщений (фиг.6в, бл.19 на фиг.5). Для чего аналогично, как и у отправителя, формируют исходный пакет, представляющий собой уведомление о получении информационного пакета сообщений. Затем к исходному пакету добавляют обратные адреса отправителя Аооп и получателя Аопп и получают промежуточный пакет данных (бл.20 на фиг.5).To confirm the fact of receiving a packet from the sender, a notification message packet is generated from the recipient (Fig.6c, bl.19 in Fig.5). Why, similarly, as with the sender, form the source package, which is a notification of receipt of an information message package. Then, the return address of the sender A o p and the recipient A op p is added to the source packet and an intermediate data packet is received (block 20 in FIG. 5).

Далее кодируют промежуточный пакет данных (бл.21 на фиг.5) и преобразуют его в формат TCP/IP (бл.22 на фиг.5). Включают в преобразованный пакет предварительно запомненные текущие адреса отправителя Ато и получателя Атп (бл.23 на фиг.5) и передают уведомляющий пакет отправителю (бл.24 на фиг.5). После этого у получателя заменяют его текущий адрес Атп на предварительно запомненный обратный адрес получателя Аопп (бл.25 на фиг.5).Next, an intermediate data packet is encoded (block 21 in FIG. 5) and converted to the TCP / IP format (block 22 in FIG. 5). They include a converted packet previously stored current sender A and the receiver A mn (bl.23 5) and transmitting the notification packet to the sender (bl.24 in Figure 5). After that, the recipient's current address A tp is replaced with the previously stored recipient address A op p (bl.25 in FIG. 5).

После приема у отправителя уведомляющего пакета (фиг.6г, бл.26 на фиг.5), выделяют из него адреса отправителя Ато и получателя Атп (бл.27 на фиг.5) и сравнивают их по таблице с предварительно запомненными у отправителя обратными адресами отправителя Аооо и получателя Аопо (бл.28 на фиг.5). При несовпадении адресов принятый пакет сообщений не анализируют, а при совпадении выделяют из принятого уведомляющего пакета сообщений кодированные данные (бл.29 на фиг.5) и декодируют их (бл.30 на фиг.5).Upon receiving the notification packet from the sender (fig.6g, bl.26 in Figure 5), is isolated from it the sender A and the receiver A mn (bl.27 in Figure 5) and compared in the table with a pre-stored in the sender the return addresses of the sender A oo about and the recipient A op about (bl.28 in figure 5). If the addresses do not match, the received message packet is not analyzed, but if it matches, the encoded data is extracted from the received notification message packet (bl.29 in FIG. 5) and decoded (bl.30 in FIG. 5).

Выделяют из декодированных данных обратные адреса отправителя Аооп и получателя Аопп (бл.31 на фиг.5). Причем выделенные обратные адреса получателя Аопп и отправителя Аооп запоминают в качестве текущих адресов получателя Атп и отправителя Ато (бл.32 на фиг.5). Текущий адрес отправителя Ато заменяют на новый адрес отправителя Аооп (бл.33 на фиг.5), выделенный из декодированных данных.Isolated from reverse decoded data sender A and recipient oo n A n op (bl.31 in Figure 5). Moreover, the selected return addresses of the recipient A op p and the sender A oo p are remembered as the current addresses of the recipient A mp and the sender A then (block 32 in FIG. 5). The current address of the sender And then replaced with the new address of the sender A oo p (bl.33 in figure 5), selected from the decoded data.

После этого переходят к формированию у отправителя информации об обратных адресах отправителя Аооо и получателя Аопо.After that, they proceed to the formation of the sender information about the return addresses of the sender A oo about and the recipient A op about .

Таким образом, в первом варианте способа достигается непрерывное изменение в передаваемых пакетах сообщений адресов отправителя и получателя. Причем изменение происходит в каждом переданном пакете сообщений, а новые адреса для смены выбирают случайным образом и передают в закодированном виде. В открытом виде передают только текущие адреса. Это делает практически невозможным их определение и идентификацию относительно конкретного пользователя сети и вскрытие структуры распределенной ВС, т.е. обеспечивается возможность повышения безопасности и скрытности работы канала связи ВС.Thus, in the first embodiment of the method, a continuous change in the transmitted message packets of the addresses of the sender and receiver is achieved. Moreover, the change occurs in each transmitted message packet, and the new addresses for the change are selected randomly and transmitted in encoded form. Only the current addresses are transmitted in clear text. This makes it practically impossible to identify and identify them with respect to a particular network user and to reveal the structure of a distributed aircraft, i.e. It provides the opportunity to increase the security and stealth of the aircraft communication channel.

Во втором варианте способа, так же, как и в первом для достижения сформулированного технического результата, т.е. повышения безопасности и скрытности работы канала связи ВС, обеспечивается непрерывное изменение адресов отправителя и получателя. Этот вариант способа реализуют для случаев работы корреспондентов без подтверждения получателем факта приема от отправителя информационного пакета сообщений.In the second variant of the method, as well as in the first to achieve the formulated technical result, i.e. improving the security and secrecy of the aircraft communication channel, a continuous change in the addresses of the sender and receiver is provided. This variant of the method is implemented for cases of the work of correspondents without confirmation by the recipient of the fact of receiving from the sender an information message package.

На фиг.7 представлена блок-схема алгоритма, поясняющая последовательность действий, реализующих заявленный способ защиты канала связи ВС.Figure 7 presents a block diagram of an algorithm explaining the sequence of actions that implement the claimed method of protecting the communication channel of the aircraft.

В исходные данные (бл.1 на фиг.7) кроме предварительно заданной базы из N адресов отправителя и S адресов получателя дополнительно задают у отправителя и получателя функции выбора текущего адреса отправителя FN(i) и получателя FS(i), где i=1, 2, 3, ..., в соответствии с которыми на i-м шаге назначают новые текущие адреса и устанавливают равным единице номера шагов смены адресов у отправителя io=1 и получателя iп=1. В качестве функции выбора адреса отправителя FN(i) и получателя FS(i) используют последовательность чисел Фибоначчи.

Figure 00000002
где FN,S(i) позиция соответствующей пары адресов в предварительно сформированной базе адресов (см. фиг.4) на i-м шаге назначения новых текущих адресов. Пример выбора текущих адресов у отправителя или получателя в соответствии с функцией FN,S(i) представлен на фиг.8. Например, при i=2 Ф(i)=1, F=N,S(1)=1 и согласно таблице на фиг.4 адреса отправителя и получателя соответствуют первой паре адресов - 218.113.77.1 и 218.113.78.1; при i=21 Ф(i)=10946, FN,S(i)=6 и согласно таблице на фиг.4 адреса отправителя и получателя соответствуют шестой паре адресов - 218.113.77.6 и 218.113.78.6. Также предварительно назначают из базы адресов текущие адреса отправителя Ато и получателя Атп сообщений.In the source data (bl.1 in Fig. 7), in addition to a predefined database of N sender addresses and S recipient addresses, the sender and recipient are additionally given functions for selecting the current sender address F N (i) and recipient F S (i), where i = 1, 2, 3, ..., in accordance with which at the i-th step, new current addresses are assigned and set to the unit of the number of steps for changing addresses at the sender i o = 1 and the recipient i p = 1. As a function of selecting the address of the sender F N (i) and the recipient F S (i), a sequence of Fibonacci numbers is used.
Figure 00000002
where F N, S (i) is the position of the corresponding pair of addresses in the pre-formed base of addresses (see Fig. 4) at the i-th step of assigning new current addresses. An example of the selection of current addresses from the sender or recipient in accordance with the function F N, S (i) is presented in Fig. For example, with i = 2 Ф (i) = 1, F = N, S (1) = 1 and according to the table in Fig. 4, the sender and receiver addresses correspond to the first pair of addresses - 218.113.77.1 and 218.113.78.1; with i = 21 Ф (i) = 10946, F N, S (i) = 6 and according to the table in figure 4, the addresses of the sender and receiver correspond to the sixth pair of addresses - 218.113.77.6 and 218.113.78.6. Also, the current addresses of the sender And then the receiver A of TP messages are pre-assigned from the address base.

Далее аналогично, как и в первом варианте способа, формируют исходный пакет данных (бл.2 на фиг.7, фиг.9а) и кодируют его (бл.3 на фиг.7, фиг.9а). Затем преобразуют кодированный пакет в формат TCP/IP (бл.4 на фиг.7), включают в него предварительно запомненные текущие адреса отправителя Ато и получателя Атп (бл.5 на фиг.7) и передают информационный пакет сообщений получателю (бл.6 на фиг.7, фиг.9а).Further, similarly, as in the first embodiment of the method, form the initial data packet (bl.2 in Fig.7, figa) and encode it (bl.3 in Fig.7, figa). Then the coded packet is converted into TCP / IP format (bl.4 7) include pre-stored in it the current address of the sender A and the receiver A mn (bl.5 7) and transmitting the information packet messages to the recipient (bl .6 in Fig. 7, Fig. 9a).

После этого дополнительно к первому варианту способа у отправителя из заданной базы адресов (таблицы) в соответствии с функциями выбора назначают новые текущие адреса (бл.7 на фиг.7) отправителя Атоi и получателя Атпi. Затем эти адреса запоминают в качестве текущих адресов отправителя Ато и получателя Атп (бл.8 на фиг.7), для чего в таблице (см. фиг.4) ставят соответствующие обозначения Ато и Атп. После этого у отправителя заменяют ранее назначенный текущий адрес Ато на новый текущий адрес отправителя Атоi (бл.9 на фиг.7) и увеличивают номер шага на единицу: io=io+1 (бл.10 на фиг.7).After that, in addition to the first variant of the method, the sender from the given address base (table), in accordance with the selection functions, is assigned new current addresses (bl.7 in FIG. 7) of the sender A then i and the receiver A TP i . Then these addresses are stored as the current addresses of the sender And then the receiver And TP (bl.8 in Fig.7), for which purpose in the table (see figure 4) put the corresponding designation And then A TP . After that, the sender replaces the previously assigned current address A then with the new current address of the sender A then i (bl. 9 in Fig. 7) and increases the step number by one: i o = i o +1 (bl. 10 in Fig. 7 )

Затем аналогично, как и в первом варианте способа, у получателя принимают пакет сообщений (бл.11 на фиг.7, фиг.96), выделяют из него адреса отправителя Ато и получателя Атп (бл.12 на фиг.7) и сравнивают их с предварительно заданными в таблице текущими адресами (бл.13 на фиг.7). При несовпадении адресов принятый пакет сообщений не анализируют, а при совпадении из него выделяют кодированные данные (бл.14 на фиг.7, фиг.9б) и декодируют их (бл.15 на фиг.7).Then, similarly as in the first embodiment of the method, the receiver receives the message packet (bl.11 7, fig.96), is isolated from it the sender A and the receiver A mn (bl.12 7) and compare them with the current addresses predefined in the table (bl.13 in Fig.7). If the addresses do not match, the received message packet is not analyzed, but if it matches, the encoded data is extracted from it (bl.14 in Fig.7, Fig.9b) and decoded (bl.15 in Fig.7).

После этого дополнительно к первому варианту способа у получателя из заданной базы адресов (таблицы) в соответствии с функциями выбора назначают новые текущие адреса отправителя Атоi и получателя Атпi (бл.14 на фиг.7). Затем эти адреса запоминают в качестве текущих адресов отправителя Ато и получателя Атп (бл.15 на фиг.7), для чего в таблице (см. фиг.4) ставят соответствующие обозначения Ато и Атп. После этого у получателя заменяют ранее назначенный текущий адрес Атп на новый текущий адрес получателя Атпi (бл.16 на фиг.7) и увеличивают номер шага на единицу: iп=iп+1 (бл.17 на фиг.7).After that, in addition to the first variant of the method, the recipient from the given address base (table), in accordance with the selection functions, is assigned the new current addresses of the sender And then i and the receiver And TP i (bl.14 in Fig.7). Then these addresses are stored as the current addresses of the sender And then the receiver And TP (bl.15 in Fig.7), for which purpose in the table (see figure 4) put the corresponding designation And then A TP . After that, the recipient replaces the previously assigned current address A tp with the new current address of the recipient A tp i (bl.16 in Fig.7) and increases the step number by one: i p = i p +1 (bl.17 in Fig.7 )

Далее переходят к формированию у отправителя очередного исходного пакета сообщений.Next, we proceed to the formation of the sender of the next source message packet.

Таким образом, во втором варианте способа также достигается непрерывное изменение в передаваемых пакетах сообщений адресов отправителя и получателя. Причем изменение происходит в каждом переданном пакете сообщений, а новые адреса для смены выбирают по заранее заданному правилу, известному только отправителю и получателю пакетов сообщений. Это делает практически невозможным определение адресов корреспондентов и идентификацию относительно конкретного пользователя сети и вскрытие структуры распределенной ВС, т.е. обеспечивается возможность повышения безопасности и скрытности работы канала связи ВС.Thus, in the second variant of the method, a continuous change in the transmitted message packets of the addresses of the sender and recipient is also achieved. Moreover, the change occurs in each transmitted message packet, and the new addresses for the change are selected according to a predetermined rule known only to the sender and recipient of the message packet. This makes it almost impossible to determine the addresses of correspondents and identify a specific network user and reveal the structure of a distributed aircraft, i.e. It provides the opportunity to increase the security and stealth of the aircraft communication channel.

Рассмотренные 1-ый и 2-ой варианты реализации способа обеспечивают скрытность истинных адресов корреспондирующих субъектов и, следовательно, невозможность вскрытия структуры распределенной ВС и осуществления деструктивных воздействий на ВС. В то же время нарушителю становится очевидным, что при наличии высокой интенсивности информационного обмена и отсутствии повторяющихся пар адресов пользователи предпринимают меры по защите канала связи от деструктивных воздействий, т.е. вводят в заблуждение потенциального нарушителя. В этом смысле, в ряде случаев оказывается нецелесообразно менять адреса корреспондентов после передачи (приема) каждого пакета сообщений. Повторение адресов корреспондирующих субъектов в последовательно отправляемых пакетах сообщений не вызовет подозрения у нарушителя и в то же время затруднит вскрытие им реальной структуры распределенной ВС посредством анализа и реконструкции ее графика. Эту возможность реализуют в третьем варианте способа.The considered 1st and 2nd variants of the method implementation ensure secrecy of the true addresses of the corresponding entities and, therefore, the impossibility of opening the structure of the distributed aircraft and the implementation of destructive effects on the aircraft. At the same time, it becomes obvious to the attacker that in the presence of a high intensity of information exchange and the absence of duplicate pairs of addresses, users take measures to protect the communication channel from destructive influences, i.e. mislead a potential intruder. In this sense, in some cases it turns out to be impractical to change the addresses of correspondents after the transmission (reception) of each message packet. Repeating the addresses of the corresponding entities in successively sent message packets will not cause suspicion among the violator and at the same time will make it difficult for him to reveal the real structure of the distributed aircraft through analysis and reconstruction of its schedule. This possibility is implemented in the third embodiment of the method.

В третьем варианте способа для достижения сформулированного технического результата, т.е. повышения безопасности и скрытности работы канала связи ВС, изменение адресов отправителя и получателя осуществляют не при каждой передаче пакета сообщений, а периодически, по заранее заданному, известному только отправителю и получателю правилу, что, в свою очередь, не будет вызывать подозрений у нарушителя. Этот вариант способа также реализуют для случаев работы корреспондентов без подтверждения получателем факта получения от отправителя информационного пакета сообщений.In the third embodiment of the method to achieve the formulated technical result, i.e. the security and secrecy of the communication channel of the aircraft, the sender and recipient addresses are changed not at each transmission of the message package, but periodically, according to a predetermined rule known only to the sender and recipient, which, in turn, will not cause suspicion among the violator. This variant of the method is also implemented for cases when correspondents work without confirmation by the recipient of the fact of receiving from the sender an information message package.

На фиг.10 представлена блок-схема алгоритма, поясняющего последовательность действий, реализующих заявленный способ защиты канала связи ВС.Figure 10 presents a block diagram of an algorithm explaining the sequence of actions that implement the claimed method of protecting the communication channel of the aircraft.

В исходные данные (бл.1 на фиг.10), аналогично, как и во втором варианте способа, предварительно задают базу из N адресов отправителя и S адресов получателя и функции выбора текущего адреса отправителя FN(i) и получателя FS(i), где i=1, 2, 3, ..., в соответствии с которыми на i-м шаге назначают новые текущие адреса. Также устанавливают равным единице номера шагов смены адресов у отправителя iо=1 и получателя iп=1. В качестве функции выбора адреса отправителя FN(i) и получателя FS(i), так же, как и во втором варианте способа, используют последовательность чисел Фибоначчи.

Figure 00000002
где FN,S(i) позиция соответствующей пары адресов в предварительно сформированной базе адресов на i-м шаге назначения новых текущих адресов. Пример выбора текущих адресов у отправителя или получателя в соответствии с функцией FN,S(i) представлен на фиг.8. Аналогично предварительно назначают из базы адресов текущие адреса отправителя Ато и получателя Атп сообщений.In the source data (block 1 in Fig. 10), similarly, as in the second variant of the method, a base of N sender addresses and S recipient addresses and a function for selecting the current sender address F N (i) and recipient F S (i ), where i = 1, 2, 3, ..., in accordance with which new current addresses are assigned at the i-th step. It is also set equal to unity of the number of steps for changing addresses at the sender i o = 1 and the recipient i p = 1. As a function of selecting the address of the sender F N (i) and the recipient F S (i), in the same way as in the second embodiment of the method, a sequence of Fibonacci numbers is used.
Figure 00000002
where F N, S (i) is the position of the corresponding pair of addresses in a preformed base of addresses at the i-th step of assigning new current addresses. An example of the selection of current addresses from the sender or recipient in accordance with the function F N, S (i) is presented in Fig. Similarly, the current addresses of the sender And then the receiver A of TP messages are pre-assigned from the address base.

Дополнительно у отправителя и получателя задают функцию F (i), определяющую число Δk пакетов сообщений, которые будут передаваться с одинаковыми адресами отправителя и получателя на i-ом шаге. В качестве функции FК(i), определяющей число Δk, также используют последовательность чисел Фибоначчи

Figure 00000005
где К - максимально допустимое число одноадресных пакетов, которое, например, задают в пределах К=200-250. Назначение одноадресных пакетов, таким образом, наряду с защитой от анализа и реконструкции графика распределенной ВС, скроет от нарушителя факт применения мер защиты и не вызовет у него подозрений. Пример выбора числа одноадресных пакетов представлен на фиг.11. Вычисляют первоначальное число Δk. Устанавливают равным нулю число отправленных jo=0 и полученных jп=0 пакетов сообщений.Additionally, the function F (i) is specified for the sender and recipient, which determines the number Δk of message packets that will be transmitted with the same sender and receiver addresses at the i-th step. A sequence of Fibonacci numbers is also used as the function F K (i) determining the number Δk
Figure 00000005
where K is the maximum allowable number of unicast packets, which, for example, are set within K = 200-250. The purpose of unicast packets, thus, along with protection against analysis and reconstruction of the distributed aircraft schedule, will hide from the intruder the fact of applying protective measures and will not cause him to suspect. An example of selecting the number of unicast packets is shown in FIG. The initial number Δk is calculated. Set to zero the number of sent j o = 0 and received j p = 0 message packets.

Далее аналогично, как и во втором варианте способа, формируют исходный пакет данных (бл.2 на фиг.10, фиг.9а) и кодируют его (бл.3 на фиг.10, фиг.9а). Затем преобразуют кодированный пакет в формат TCP/IP (бл.4 на фиг.10), включают в него предварительно запомненные текущие адреса отправителя Ато и получателя Атп (бл.5 на фиг.10) и передают информационный пакет сообщений получателю (бл.6 на фиг.10, фиг.9а).Further, similarly, as in the second embodiment of the method, form the initial data packet (bl.2 in Fig.10, figa) and encode it (bl.3 in Fig.10, figa). Then the coded packet is converted into TCP / IP format (bl.4 in Figure 10) include pre-stored in it the current address of the sender A and the receiver A mn (bl.5 in Figure 10) and transmitting the information packet messages to the recipient (bl .6 in Fig. 10, Fig. 9a).

После этого дополнительно ко второму варианту способа увеличивают у отправителя число отправленных пакетов сообщений jo на единицу: jo=jo+1 (бл.7 на фиг.10). Затем сравнивают полученное jo с предварительно установленным Δk (бл.8 на фиг.10). При несовпадении переходят к приему у получателя пакета сообщений. Таким образом, у следующего информационного пакета сообщений адреса отправителя и получателя не изменяются. Если jo=k, то заново устанавливают jo=0 и вычисляют новое Δk (бл.9 на фиг.10). После чего увеличивают номер шага назначения новых текущих адресов на единицу: io=io+1. Т.е. у отправителя происходит изменение текущих адресов отправителя и получателя.After that, in addition to the second variant of the method, the number of sent message packets j o is increased by one from the sender: j o = j o +1 (block 7 in FIG. 10). Then compare the obtained j o with a pre-installed Δk (bl.8 in figure 10). If there is a mismatch, they proceed to receive the message packet from the recipient. Thus, at the next information packet of messages, the addresses of the sender and recipient are not changed. If j o = k, then re-set j o = 0 and calculate the new Δk (bl.9 in figure 10). Then increase the step number of the appointment of new current addresses by one: i o = i o +1. Those. the sender changes the current address of the sender and recipient.

Изменение текущих адресов отправителя и получателя осуществляют аналогично, как и во втором варианте способа. У отправителя из заданной базы адресов (таблицы) в соответствии с функциями выбора текущих адресов назначают новые текущие адреса (бл.10 на фиг.10) отправителя Атоi и получателя Атпi. Затем эти адреса запоминают в качестве текущих адресов отправителя Ато и получателя Атп (бл.11 на фиг.10). После этого у отправителя заменяют ранее назначенный текущий адрес Ато на новый текущий адрес отправителя Атоi (бл.12 на фиг.10). Далее у получателя принимают пакет сообщений (бл.13 на фиг.10, фиг.9б), выделяют из него адреса отправителя Ато и получателя Атп (бл.14 на фиг.10) и сравнивают их с предварительно заданными в таблице текущими адресами (бл.15 на фиг.10). При несовпадении адресов принятый пакет сообщений не анализируют, а при совпадении из него выделяют кодированные данные (бл.16 на фиг.10, фиг.9б) и декодируют их (бл.17 на фиг.10).Changing the current address of the sender and recipient is carried out in the same way as in the second version of the method. The sender from the given base of addresses (tables), in accordance with the functions for selecting the current addresses, is assigned new current addresses (bl.10 in FIG. 10) of the sender A then i and the receiver A TP i . Then these addresses are stored as the current addresses of the sender And then the receiver And TP (bl.11 in figure 10). After that, the sender replaces the previously assigned current address A then with the new current address of the sender A then i (bl.12 in FIG. 10). Next, the receiver receives the message packet (bl.13 10, 9b) is isolated therefrom the sender A and the receiver A mn (bl.14 in Figure 10) and compared with a preset current table address (bl.15 in figure 10). If the addresses do not match, the received message packet is not analyzed, and if it matches, the encoded data is extracted from it (bl.16 in FIG. 10, FIG. 9b) and decoded (bl.17 in FIG. 10).

Затем дополнительно ко второму варианту способа увеличивают у получателя число полученных пакетов сообщений jп на единицу: jп=jп+1 (бл.18 на фиг.10). Сравнивают полученное jп с предварительно установленным Δk (бл.19 на фиг.10). При несовпадении переходят к формированию отправителем очередного пакета сообщений. Таким образом, у получателя для анализа пришедших пакетов сообщений адреса отправителя и получателя не изменяются (на бл.15 фиг.10). Если jп=Δk, то заново устанавливают jп=0 и увеличивают номер шага назначения новых текущих адресов на единицу: iп=iп+1. После чего вычисляют новое Δk (бл.20 на фиг.10). Т.е. у получателя происходит изменение текущих адресов отправителя и получателя.Then, in addition to the second variant of the method, the number of received message packets j p is increased by one at the recipient: j p = j p +1 (block 18 in FIG. 10). Compare the obtained j p with a pre-installed Δk (bl.19 in figure 10). If there is a mismatch, they proceed to the formation by the sender of the next message packet. Thus, the recipient for the analysis of incoming message packets, the sender and recipient addresses are not changed (on block 15 of Fig. 10). If j p = Δk, then re-set j p = 0 and increase the step number of the assignment of new current addresses by one: i p = i p +1. Then calculate the new Δk (bl.20 in figure 10). Those. the recipient changes the current address of the sender and recipient.

Изменение текущих адресов отправителя и получателя осуществляют аналогично, как и во втором варианте способа. У получателя из заданной базы адресов (таблицы) в соответствии с функциями выбора текущих адресов назначают новые текущие адреса (бл.21 на фиг.10) отправителя Атоi и получателя Атпi. Затем эти адреса запоминают в качестве текущих адресов отправителя Ато и получателя Атп (бл.22 на фиг.10). После этого у получателя заменяют ранее назначенный текущий адрес Атп на новый текущий адрес получателя Атпi (бл.23 на фиг.10).Changing the current address of the sender and recipient is carried out in the same way as in the second version of the method. The recipient from the given base of addresses (tables), in accordance with the functions for selecting the current addresses, is assigned new current addresses (Bl.21 in FIG. 10) of the sender And then i and the receiver And TP i . Then these addresses are stored as the current addresses of the sender And then the receiver And TP (bl.22 in figure 10). After that, the recipient replaces the previously assigned current address A TP to the new current address of the recipient A TP i (Bl.23 in FIG. 10).

Таким образом, в третьем варианте способа также достигается изменение в передаваемых пакетах сообщений адресов отправителя и получателя. Причем изменение происходит не при каждой передаче пакета сообщений, а периодически, по заранее заданному, известному только отправителю и получателю правилу. Это делает практически невозможным определение адресов корреспондентов и их идентификацию относительно конкретного пользователя сети, а также вскрытие структуры распределенной ВС, и одновременно с этим не вызывает подозрения у нарушителя относительно факта применения мер защиты, т.е. обеспечивается возможность повышения безопасности и скрытности работы канала связи ВС.Thus, in the third embodiment of the method, a change is also achieved in the transmitted message packets of the addresses of the sender and receiver. Moreover, the change does not occur at each transmission of the message packet, but periodically, according to a predetermined rule known only to the sender and receiver. This makes it almost impossible to determine the addresses of correspondents and their identification with respect to a specific network user, as well as opening the structure of the distributed aircraft, and at the same time does not raise suspicion from the violator regarding the fact of applying protective measures, i.e. It provides the opportunity to increase the security and stealth of the aircraft communication channel.

В общем виде распределенная ВС включает совокупность ЛВС 11-1k (см. фиг.12). Каждая пара ЛВС, например 11 и 1k (на фиг.12), снабжена устройством защиты, состоящим из 2-х локальных сегментов защиты (ЛСЗ) 31, 3k, подключенных к соответствующей ЛВС и через соответствующие маршрутизаторы 41, 4k к сети Интернет 2. Таким образом, канал связи ВС может быть представлен в виде, показанном на фиг.13. Он включает две взаимодействующие ЛВС 11 и 1k, соединенные друг с другом через соответствующие маршрутизаторы 41, 4k и Интернет 2 и снабженные устройством защиты канала связи (на фиг.13 обведено пунктиром). Устройство защиты состоит из 2-х идентичных ЛСЗ 31 и 3k, один из которых подключен к ЛВС 11, a k-й к ЛВС 1k.In general, the distributed aircraft includes a combination of LAN 1 1 -1 k (see Fig. 12). Each LAN pair, for example, 1 1 and 1 k (in Fig. 12), is equipped with a protection device consisting of 2 local protection segments (LANs) 3 1 , 3 k connected to the corresponding LAN and through the corresponding routers 4 1 , 4 k to the Internet 2. Thus, the communication channel BC can be represented in the form shown in Fig.13. It includes two interacting LANs 1 1 and 1 k , connected to each other through the corresponding routers 4 1 , 4 k and the Internet 2 and equipped with a communication channel protection device (dashed around in FIG. 13). The protection device consists of 2 identical LANs 3 1 and 3 k , one of which is connected to LAN 1 1 , and the k-th to LAN 1 k .

В свою очередь в первом варианте заявленного устройства ЛСЗ (например, 31), показанный на фиг.14, состоит из БВА 3.1, процессора 3.2, первого 3.3 и второго 3.8 СА, блока КД 3.4, БХБА 3.5, БОХОА 3.6 и БОХТА 3.7.In turn, in the first embodiment of the claimed LSZ device (for example, 3 1 ), shown in Fig. 14, consists of a BVA 3.1, a processor 3.2, a first 3.3 and a second 3.8 SA, a CD unit 3.4, BHBA 3.5, BOKHA 3.6 and BOHTA 3.7.

Первый вход/выход ЛСЗ 3 подключен к ЛВС 1. Второй вход/выход ЛСЗ 3 подключен к маршрутизатору 4, в свою очередь подключенного к сети Интернет 2. Управляющий вход БВА 3.1 подключен к порту «адрес» процессора 3.2, а x-разрядный выход БВА 3.1 подключен к х-разрядному входу БХБА 3.5. У БХБА m-разрядный выход подключен к m-разрядному входу БОХОА 3.6. В БОХОА 3.6 управляющий вход подключен к порту «запрос обратных адресов» процессора 3.2, а m-разрядный выход подключен к m-разрядному порту «обратные адреса» процессора 3.2. Управляющий вход и m-разрядный выход БОХТА 3.7 подключены соответственно к управляющему выходу «запрос текущего адреса» и m-разрядному порту «текущий адрес» процессора 3.2. Также у БОХТА 3.7 m-разрядный вход «смена текущего адреса» подключен к m-разрядному порту «смена текущего адреса» процессора 3.2. У блока КД 3.4 информационные вход и выход, входы «пароль» и «тип преобразования» подключены к соответствующим портам процессора 3.2. У первого СА 3.3 n-разрядные выход и вход подключены соответственно к n-разрядным входу «исходный пакет» и выходу «исходный пакет» процессора 3.2. Выход «локальная сеть» первого СА 3.2 является первым входом/выходом ЛСЗ 3. У второго СА 3.8 р-разрядные вход и выход подключены соответственно к p-разрядным выходу и входу «информация/уведомление» процессора 3.2. У процессора 3.2 t-разрядный порт «управление» подключен к t-разрядному управляющему входу второго СА 3.8. Вход/выход «сеть Интернет» второго СА 3.8 является вторым входом/выходом ЛСЗ 3. Второй ЛСЗ выполнен аналогично первому.The first input / output of LSZ 3 is connected to LAN 1. The second input / output of LSZ 3 is connected to router 4, which in turn is connected to the Internet 2. The control input of BVA 3.1 is connected to the port “address” of processor 3.2, and the x-bit output of BVA 3.1 is connected to the x-bit input of BHBA 3.5. In BHBA, the m-bit output is connected to the m-bit input of BOHOA 3.6. In BOHOA 3.6, the control input is connected to the “request return addresses” port of processor 3.2, and the m-bit output is connected to the m-bit port “return addresses” of processor 3.2. The control input and m-bit output of BOHTA 3.7 are connected respectively to the control output "request the current address" and the m-bit port "current address" of processor 3.2. Also at BOHTA 3.7, the m-bit input "change of current address" is connected to the m-bit port "change of current address" of processor 3.2. The block KD 3.4 information input and output, the inputs "password" and "type of conversion" are connected to the corresponding ports of the processor 3.2. In the first CA 3.3, the n-bit output and input are connected respectively to the n-bit input “source packet” and output “source packet” of processor 3.2. The “local area network” output of the first CA 3.2 is the first input / output of LSZ 3. For the second CA 3.8, the p-bit input and output are connected respectively to the p-bit output and the “information / notification” input of processor 3.2. At processor 3.2, the t-bit control port is connected to the t-bit control input of the second CA 3.8. The input / output "Internet" of the second CA 3.8 is the second input / output LSZ 3. The second LSZ is made similarly to the first.

Блок БВА 3.1 предназначен для формирования номера пары адресов отправителя и получателя. Его схема, показанная на фиг.15, состоит из генератора 8-значной псевдослучайной последовательности 3.1.1 и 8-ми логических элементов И 3.1.21-3.1.28. Схема генератора 8-значной псевдослучайной последовательности 3.1.1 известна и описана, например, в патенте РФ №2081450.Block BVA 3.1 is designed to generate the number of a pair of addresses of the sender and recipient. Its circuit, shown in Fig. 15, consists of an 8-digit pseudo-random sequence generator 3.1.1 and 8 logic elements AND 3.1.2 1 -3.1.2 8 . The generator circuit of the 8-digit pseudo-random sequence 3.1.1 is known and described, for example, in RF patent No. 2081450.

Процессор 3.2 предназначен для выработки управляющих сигналов, поступающих на соответствующие блоки ЛСЗ 3, для выполнения арифметических и логических операций преобразования информации, а также для кратковременного хранения, записи и выдачи информации. Алгоритм работы процессора 3.2, поясняющий последовательность действий в первом варианте устройства защиты канала связи ВС, реализующих первый вариант способа защиты канала связи ВС, показан на фиг.16. Принцип работы процессора известен и описан, например, в книге «Информатика: учебник» (под редакцией Н.В.Макаровой. - Финансы и статистика, 2002, с.141-147).The processor 3.2 is designed to generate control signals arriving at the corresponding LSZ 3 blocks, to perform arithmetic and logical operations of information conversion, as well as for short-term storage, recording and delivery of information. The algorithm of the processor 3.2, explaining the sequence of actions in the first embodiment of the device for protecting the communication channel of the aircraft, implementing the first version of the method of protecting the communication channel of the aircraft, is shown in Fig.16. The principle of operation of the processor is known and described, for example, in the book "Computer Science: A Textbook" (edited by N.V. Makarova. - Finance and Statistics, 2002, p.141-147).

Первый СА 3.3 выполняет роль физического интерфейса между ЛВС и процессором.The first CA 3.3 acts as a physical interface between the LAN and the processor.

Второй СА 3.8 выполняет роль физического интерфейса между маршрутизатором и процессором. Сетевые адаптеры известны и описаны, например, в книге Галкина В.А. и Григорьева Ю.А. «Телекоммуникации и сети: Уч. пособие для вузов» (изд-во МГТУ им. Баумана, 2003, с.236-240).The second CA 3.8 acts as a physical interface between the router and the processor. Network adapters are known and described, for example, in the book by V. Galkin. and Grigoriev Yu.A. "Telecommunications and networks: Uch. manual for universities ”(publishing house of MSTU named after Bauman, 2003, p.236-240).

Блок КД 3.4 предназначен для шифрования и дешифрования данных. Схема устройства для управляемого преобразования двоичных данных, реализующего функции шифрования и дешифрования, известна и описана, например, в патенте РФ №2239291, 27.10.2004 г.Block KD 3.4 is intended for encryption and decryption of data. A device diagram for a controlled conversion of binary data that implements encryption and decryption functions is known and described, for example, in RF patent No. 2239291, 10.27.2004.

Блок БХБА 3.5 предназначен для хранения базы адресов отправителя и получателя (фиг.4), а также выдачи соответствующей пары адресов в БОХОА 3.6 после получения сигнала с БВА 3.1 с указанием номера пары адресов. Блок БХБА 3.5 является запоминающим устройством, схемы которых известны и реализованы, например, на микросхеме К155РУ1 (см. в книге В.Л.Шило «Популярные цифровые микросхемы: справочник», 2-е издание, испр. - Челябинск: Металлургия, 1989. с.160-171).Block BHBA 3.5 is designed to store the base address of the sender and recipient (figure 4), as well as the issuance of the corresponding pair of addresses in BOHOA 3.6 after receiving a signal from the BVA 3.1 indicating the number of the address pair. The BHBA 3.5 block is a storage device whose circuits are known and implemented, for example, on the K155RU1 microcircuit (see V.L.Shilo’s book “Popular Digital Microcircuits: A Reference Book”, 2nd edition, corrected - Chelyabinsk: Metallurgy, 1989. p. 160-171).

Блок БОХОА 3.6 предназначен для записи и хранения обратных адресов, а также для выдачи этих адресов по команде процессора 3.2.The block BOHOA 3.6 is intended for recording and storing return addresses, as well as for issuing these addresses at the command of processor 3.2.

Блок БОХТА 3.7 предназначен для записи и хранения текущих адресов, а также для выдачи их по команде процессора 3.2. Схемы БОХОА 3.6 и БОХТА 3.7 идентичны и могут быть реализованы различным образом, например, как показано на фиг.17. Схема состоит из 64-х элементов И, на вход которых подают: для БОХОА 3.6 управляющий сигнал от процессора 3.2 и 64-разрядную последовательность импульсов от БХБА 3.5; для БОХТА 3.7 управляющий сигнал от процессора 3.2 и 64-разрядную последовательность импульсов от процессора 3.2. 64 выхода элементов И (см. фиг.17) являются 64-разрядным выходом БОХТА 3.7 и БОХОА 3.6 и подключены к соответствующим портам процессора 3.2.Block BOHTA 3.7 is intended for recording and storing current addresses, as well as for issuing them at the command of processor 3.2. Schemes BOHOA 3.6 and BOHTA 3.7 are identical and can be implemented in various ways, for example, as shown in Fig.17. The circuit consists of 64 AND elements, the input of which is supplied: for BOHOA 3.6, a control signal from processor 3.2 and a 64-bit sequence of pulses from BHBA 3.5; for BOHTA 3.7 control signal from processor 3.2 and a 64-bit sequence of pulses from processor 3.2. The 64 outputs of AND elements (see Fig. 17) are the 64-bit output of BOHTA 3.7 and BOHOA 3.6 and are connected to the corresponding ports of processor 3.2.

Синхронизация работы элементов обеспечивается синхронными импульсами, которые подают на соответствующие входы блоков. На чертежах они не показаны.The synchronization of the operation of the elements is provided by synchronous pulses, which are fed to the corresponding inputs of the blocks. In the drawings they are not shown.

Устройство работает следующим образом. Исходный пакет данных (см. фиг.6а) из ЛВС 11 через первый СА 3.3, через порт П1 поступает на процессор 3.2. В процессоре 3.2 формируют сигнал запроса, который через порт П11 поступает на БОХОА 3.6 (см. фиг.14). Этот запрос в БОХОА 3.6 (см. фиг.17) разрешает прохождение через элементы И 64-значной последовательности импульсов, которые представляют собой обратные адреса отправителя и получателя (64-разрядная шина необходима для пары адресов длиной 32 бита каждый). Таким образом 64-значная последовательность через порт П12 поступает на процессор 3.2. После этого в процессоре 3.2 формируют промежуточный пакет данных (см. шаг 1 на фиг.16) путем добавления в исходный пакет обратных адресов отправителя и получателя (см. фиг.6а).The device operates as follows. The initial data packet (see figa) from the LAN 1 1 through the first CA 3.3, through the port P1 arrives at the processor 3.2. In processor 3.2, a request signal is generated, which through port P11 is supplied to BOHOA 3.6 (see Fig. 14). This request in BOHOA 3.6 (see FIG. 17) allows the passage through AND elements of a 64-digit sequence of pulses, which are the return addresses of the sender and receiver (a 64-bit bus is required for a pair of addresses 32 bits in length each). Thus, the 64-digit sequence through the P12 port goes to processor 3.2. After that, an intermediate data packet is formed in the processor 3.2 (see step 1 in Fig. 16) by adding the return address of the sender and receiver to the original packet (see Fig. 6a).

Затем промежуточный пакет через информационный порт П3 процессора 3.2 отправляют в блок КД 3.4 (см. фиг.14). При этом в процессоре 3.2 формируют управляющие сигналы для кодера (см. шаг 2 на фиг.16) и через порт П4 передают ключ для преобразования, а через порт П5 сигнал с указанием типа преобразования (кодирование). Таким образом, в блоке КД 3.4 формируют кодированный пакет данных (см. фиг.6а), который из блока КД 3.4 через информационный порт П6 передают в процессор 3.2. Здесь осуществляют преобразование кодированного пакета в формат TCP/IP (см. шаг 3 на фиг.16). Преобразование заключается в добавлении IP-заголовка к кодированному пакету данных. Далее в процессоре 3.2 формируют сигнал запроса текущих адресов, который отправляют через порт П13. Этот запрос в БОХТА 3.7 (см. фиг.17) разрешает прохождение через элементы И 64-значной последовательности импульсов, которые представляют собой текущие адреса отправителя и получателя (64-разрядная шина необходима для пары адресов длиной 32 бита каждый). Таким образом 64-значная последовательность через порт П14 поступает на процессор 3.2. После этого в процессоре 3.2 в полученный в результате преобразования пакет в поля адрес отправителя и адреса получателя включают полученные с БОХТА 3.7 текущие адреса отправителя и получателя. Таким образом формируют информационный пакет сообщений (см. шаг 4 на фиг.16, фиг.6а), который через порт П7 процессора 3.2 передают через второй СА 3.8 на маршрутизатор 4, а затем в сеть Интернет 2.Then the intermediate packet through the information port P3 of the processor 3.2 is sent to the block KD 3.4 (see Fig.14). At the same time, control signals for the encoder are generated in processor 3.2 (see step 2 in FIG. 16) and a key for conversion is transmitted through port P4, and a signal indicating the type of conversion (encoding) is transmitted through port P5. Thus, in the block CD 3.4 form an encoded data packet (see figa), which from the block CD 3.4 through the information port P6 is passed to the processor 3.2. Here, the encoded packet is converted to the TCP / IP format (see step 3 in FIG. 16). The conversion is to add an IP header to the encoded data packet. Further, in the processor 3.2, a request signal of current addresses is generated, which is sent via port P13. This query in BOHTA 3.7 (see FIG. 17) allows the passage through AND elements of a 64-digit sequence of pulses, which are the current addresses of the sender and receiver (a 64-bit bus is required for a pair of addresses 32 bits in length each). Thus, the 64-digit sequence through the P14 port goes to processor 3.2. After that, in processor 3.2, the sender address and the recipient addresses include the current sender and recipient addresses received from BOHTA 3.7 into the packet received as a result of the conversion to the fields. In this way, an informational message packet is formed (see step 4 in FIG. 16, FIG. 6a), which is transmitted through port P7 of processor 3.2 through a second CA 3.8 to router 4, and then to the Internet 2.

После этого в процессоре 3.2 формируют команду маршрутизатору 4 на смену текущего адреса и передают ее вместе с новым текущим адресом отправителя (см. шаг 5 на фиг.16) через порт П8 для его установления на маршрутизаторе 4.After that, the processor 3.2 generates a command to router 4 to change the current address and passes it along with the new current address of the sender (see step 5 in Fig. 16) through port P8 for its establishment on router 4.

При приеме пакет сообщений (фиг.6б) через маршрутизатор 4 поступает на ЛСЗ (например 3k), аналогичный ЛСЗ 11, также показанный на фиг.14, где через второй СА 3.8 через порт П9 (фиг.14) его передают на процессор 3.2. Из полей адрес получателя и адрес отправителя IP-заголовка пакета сообщений (см. фиг.3) в процессоре 3.2 выделяют адреса отправителя и получателя (см. шаг 6 на фиг.16). При этом в процессоре 3.2 формируют сигнал запроса (см. бл.6 на фиг.16), который через порт П11 поступает на БОХОА 3.6 (см. фиг.14), откуда на процессор 3.2 через порт П12 передают обратные адреса отправителя и получателя. В процессоре 3.2 они сравниваются (побитно) с выделенными из полученного информационного пакета сообщений текущими адресами (см. шаг 7 на фиг.16). Если они не совпадают, то в устройстве не анализируют пришедший пакет сообщений и ожидают следующий. В случае совпадения в процессоре 3.2 выделяют из пакета сообщений кодированные данные (см. шаг 8 на фиг.16, фиг.6б) путем отделения IP-заголовка. Затем кодированный пакет через информационный порт П3 процессора 3.2 отправляют в блок КД 3.4 (см. фиг.14). При этом в процессоре 3.2 формируют управляющие сигналы для декодера (см. шаг 9 на фиг.16) и через порт П4 передают ключ для преобразования, а через порт П5 сигнал с указанием типа преобразования (декодирование). Далее открытые данные (см. фиг.66) из блока КД 3.4 через информационный порт П6 передают в процессор 3.2.Upon receipt, the message packet (Fig.6b) through the router 4 arrives at the LSZ (for example 3 k ), similar to LSZ 1 1 , also shown in Fig.14, where it is transmitted to the processor through the second CA 3.8 through the port P9 (Fig.14) 3.2. From the fields, the recipient address and the sender address of the IP header of the message packet (see FIG. 3) in the processor 3.2, the addresses of the sender and recipient are allocated (see step 6 in FIG. 16). At the same time, a request signal is generated in processor 3.2 (see section 6 in FIG. 16), which is sent to BOHOA 3.6 through port P11 (see FIG. 14), from where the return addresses of the sender and receiver are transmitted to processor 3.2 through port P12. In processor 3.2, they are compared (bitwise) with the current addresses extracted from the received information packet of messages (see step 7 in FIG. 16). If they do not match, then the device does not analyze the incoming message packet and waits for the next one. If there is a match in processor 3.2, the encoded data is extracted from the message packet (see step 8 in FIG. 16, FIG. 6b) by separating the IP header. Then the encoded packet through the information port P3 of the processor 3.2 is sent to the block KD 3.4 (see Fig.14). At the same time, control signals for the decoder are generated in processor 3.2 (see step 9 in Fig. 16) and a key for conversion is transmitted through port P4, and a signal indicating the type of conversion (decoding) is transmitted through port P5. Next, open data (see Fig. 66) from the CD unit 3.4 is transmitted through information port P6 to processor 3.2.

После этого из декодированных данных в процессоре 3.2 выделяют первые 64 бита информации, являющиеся новыми обратными адресами отправителя и получателя (см. шаг 10 на фиг.16). Затем исходный пакет данных процессор 3.2 передает через порт П2 на первый СА 3.3, через который, в свою очередь, исходный пакет данных передают в ЛВС 1. При этом в процессоре 3.2 формируют команду на смену текущего адреса и передают ее через порт П8 через второй СА 3.8 на маршрутизатор 4 вместе с полученным обратным адресом получателя. Также процессор 3.2 передает через порт П15 этот адрес для смены на БОХТА 3.7. Затем в процессоре 3.2 формируют сигнал для запуска БВА 3.1 (см. шаг 11 на фиг.16), который через порт П10 (см. фиг.15) поступает на логические элементы И и разрешает прохождение псевдослучайной последовательности, постоянно генерируемой генератором 8-значной псевдослучайной последовательности 3.1.1, на выход БВА 3.1 к БХБА 3.5. В БХБА 3.5 эта последовательность определяет номер пары адресов в таблице (см. фиг.4) (8-значной последовательности достаточно для адресации к любой из 255 записей в базе, т.к. 28=256).After that, the first 64 bits of information, which are the new return addresses of the sender and receiver, are extracted from the decoded data in processor 3.2 (see step 10 in FIG. 16). Then, the processor 3.2 transmits the initial data packet through port P2 to the first CA 3.3, through which, in turn, the initial data packet is transmitted to LAN 1. At the same time, a command to change the current address is generated in processor 3.2 and transmitted through port P8 through the second CA 3.8 to router 4 together with the received recipient return address. Also, processor 3.2 transmits this address through port P15 for changing to BOHTA 3.7. Then, in the processor 3.2, a signal is generated to start the BVA 3.1 (see step 11 in Fig. 16), which goes through the P10 port (see Fig. 15) to the AND logic elements and allows the passage of the pseudo-random sequence constantly generated by the 8-digit pseudo-random generator sequence 3.1.1, to the output of BVA 3.1 to BHBA 3.5. In BHBA 3.5, this sequence determines the number of the address pair in the table (see Fig. 4) (an 8-digit sequence is enough to address any of 255 entries in the database, because 2 8 = 256).

Аналогично формируют, передают и получают уведомляющий пакет сообщений.Similarly form, transmit and receive a notification message packet.

Далее формируют очередной информационный пакет сообщений у отправителя.Next, form the next information packet of messages from the sender.

Во втором варианте заявленного устройства распределенная ВС также включает совокупность ЛВС 11-1k (см. фиг.18). Каждая пара ЛВС, например, 11 и 1k (на фиг.18) снабжена устройством защиты, состоящим из 2-х локальных сегментов защиты (ЛСЗ) 31, 3k, подключенных к соответствующей ЛВС и через соответствующие маршрутизаторы 41, 4k к сети Интернет 2. Таким образом, канал связи ВС может быть представлен в виде, показанном на фиг.13. Он включает две взаимодействующие ЛВС 11 и 1k, соединенные друг с другом через соответствующие маршрутизаторы 41, 4k и Интернет 2 и снабженные устройством защиты канала связи (на фиг.13 обведено пунктиром). Устройство защиты состоит из 2-х идентичных ЛСЗ 31 и 3k, один из которых подключен к ЛВС11, а k-й к ЛВС1k.In the second embodiment of the claimed device, the distributed aircraft also includes a set of LAN 1 1 -1 k (see Fig. 18). Each pair of LANs, for example, 1 1 and 1 k (in Fig. 18) is equipped with a protection device consisting of 2 local protection segments (LANs) 3 1 , 3 k connected to the corresponding LAN and through the corresponding routers 4 1 , 4 k to the Internet 2. Thus, the communication channel BC can be represented in the form shown in Fig.13. It includes two interacting LANs 1 1 and 1 k , connected to each other through the corresponding routers 4 1 , 4 k and the Internet 2 and equipped with a communication channel protection device (dashed around in FIG. 13). The protection device consists of 2 identical LANs 3 1 and 3 k , one of which is connected to LAN1 1 , and k-th to LAN1 k .

В свою очередь, во втором варианте заявленного устройства ЛСЗ (например, 31), показанный на фиг.19, состоит из БВА 3.1, процессора 3.2, первого 3.3 и второго 3.7 СА, блока КД 3.4, БХБА 3.5 и БОХТА 3.6.In turn, in the second embodiment of the claimed LSZ device (for example, 3 1 ), shown in Fig. 19, consists of a BVA 3.1, a processor 3.2, a first 3.3 and a second 3.7 SA, a CD 3.4, BHBA 3.5 and BOHTA 3.6.

Первый вход/выход ЛСЗ 3 подключен к ЛВС 1. Второй вход/выход ЛСЗ 3 подключен к маршрутизатору 4, в свою очередь, подключенному к сети Интернет 2. Управляющий вход БВА 3.1 подключен к порту «адрес» процессора 3.2, а x-разрядный выход БВА 3.1 подключен к х-разрядному входу БХБА 3.5. У БХБА 3.5 m-разрядный выход подключен к m-разрядному входу БОХТА 3.6. Управляющий вход и m-разрядный выход БОХТА 3.6 подключены соответственно к порту «запрос текущих адресов» и m-разрядному порту «текущие адреса» процессора 3.2. У блока КД 3.4 информационные вход и выход, входы «пароль» и «тип преобразования» подключены к соответствующим портам процессора 3.2. У первого СА 3.3 n-разрядные выход и вход подключены соответственно к n-разрядным входу «исходный пакет» и выходу «исходный пакет» процессора 3.2. Выход «локальная сеть» первого СА 3.3 является первым входом/выходом ЛСЗ 3. У второго СА 3.7 p-разрядные вход и выход подключены соответственно к р-разрядным выходу и входу «информация/уведомление» процессора 3.2. У процессора 3.2 t-разрядный порт «управление» подключен к t-разрядному управляющему входу второго СА 3.7. Вход/выход «сеть Интернет» второго СА 3.7 является вторым входом/выходом ЛСЗ 3.The first input / output of LSZ 3 is connected to LAN 1. The second input / output of LSZ 3 is connected to router 4, which in turn is connected to the Internet 2. The control input of BVA 3.1 is connected to the port “address” of processor 3.2, and the x-bit output BVA 3.1 is connected to the x-bit input of BHBA 3.5. In BHBA 3.5, the m-bit output is connected to the m-bit input of BOHTA 3.6. The control input and m-bit output of BOHTA 3.6 are connected respectively to the port "request current addresses" and the m-bit port "current addresses" of processor 3.2. The block KD 3.4 information input and output, the inputs "password" and "type of conversion" are connected to the corresponding ports of the processor 3.2. In the first CA 3.3, the n-bit output and input are connected respectively to the n-bit input “source packet” and output “source packet” of processor 3.2. The “local area network” output of the first CA 3.3 is the first input / output of LSZ 3. For the second CA 3.7, the p-bit input and output are connected respectively to the p-bit output and the “information / notification” input of processor 3.2. For processor 3.2, the t-bit control port is connected to the t-bit control input of the second CA 3.7. The input / output "Internet" of the second CA 3.7 is the second input / output LSZ 3.

Блок БВА 3.1 предназначен для формирования номера адреса. Его схема, показанная на фиг.20, состоит из сумматора номера шага 3.1.1 и вычислителя номера адреса 3.1.2. Схема счетчика, реализующего функции сумматора номера шага 3.1.1, известна и описана, например, книге В.Л.Шило «Популярные цифровые микросхемы: справочник» (2-е издание, испр. - Челябинск: Металлургия, 1989. С.93-102). Вычислитель номера адреса 3.1.2 представляет собой вычислитель функции Фибоначчи, реализованный в виде микропроцессора для вычисления значений чисел Фибоначчи по формуле, указанной на стр.11 (или 13) данного описания.Block BVA 3.1 is designed to generate the address number. Its circuit shown in FIG. 20 consists of a step number adder 3.1.1 and an address number calculator 3.1.2. The counter circuit that implements the functions of the adder of step number 3.1.1 is known and described, for example, in the book by V. L. Shilo “Popular Digital Circuits: A Reference Book” (2nd edition, revised. Chelyabinsk: Metallurgy, 1989. P.93- 102). The address number calculator 3.1.2 is a Fibonacci function calculator implemented as a microprocessor for calculating the values of Fibonacci numbers according to the formula indicated on page 11 (or 13) of this description.

Алгоритм работы процессора 3.2, поясняющий последовательность действий во втором варианте устройства защиты канала связи ВС, реализующих второй вариант способа защиты канала связи ВС, показан на фиг.21.The algorithm of the processor 3.2, explaining the sequence of actions in the second embodiment of the device for protecting the communication channel of the aircraft, implementing the second version of the method of protecting the communication channel of the aircraft, is shown in Fig.21.

Блок БОХТА 3.6 предназначен для записи и хранения текущих адресов, поступающих с БХБА 3.5, а также выдачи их по команде процессора 3.2. Схема БОХТА 3.6 может быть реализована различным образом, например, как показано на фиг.17.Block BOHTA 3.6 is designed to record and store current addresses coming from BHBA 3.5, as well as issuing them at the command of processor 3.2. Scheme BOHTA 3.6 can be implemented in various ways, for example, as shown in Fig.17.

Назначение и схемы остальных блоков ЛСЗ 3 аналогичны, как в первом варианте реализации устройства защиты канала связи ВС.The purpose and schemes of the remaining blocks of LSZ 3 are similar to those in the first embodiment of the aircraft communication channel protection device.

Устройство работает следующим образом. Исходный пакет данных (см. фиг.9а) из ЛВС 11 через первый СА 3.3, через порт П1 поступает на процессор 3.2. Затем исходный пакет через информационный порт ПЗ процессора 3.2 отправляют в блок КД 3.4 (см. фиг.19). После этого в процессоре 3.2 формируют управляющие сигналы для кодера (см. шаг 1 на фиг.21) и через порт П4 передают ключ для преобразования, а через порт П5 сигнал с указанием типа преобразования (кодирование). Таким образом в блоке КД 3.4 формируют кодированный пакет данных (см. фиг.9а), который из блока КД 3.4 через информационный порт П6 передают в процессор 3.2. Здесь осуществляют преобразование кодированного пакета в формат TCP/IP (см. шаг 2 на фиг.21). Преобразование заключается в добавлении IP-заголовка к кодированному пакету данных. Далее в процессоре 3.2 формируют сигнал запроса текущих адресов, который отправляют через порт П11. Этот запрос в БОХТА 3.6 (см. фиг.17) разрешает прохождение через элементы И 64-значной последовательности импульсов, которые представляют собой текущие адреса отправителя и получателя (64-разрядная шина необходима для двух адресов длиной 32 бита каждый). Таким образом 64-значная последовательность через порт П12 поступает на процессор 3.2. После этого в процессоре 3.2 в полученный в результате преобразования пакет в поля адрес отправителя и адрес получателя включают полученные с БОХТА 3.6 текущие адреса отправителя и получателя. Таким образом формируют информационный пакет сообщений (см. шаг 3 на фиг.21, фиг.9а), который через порт П7 процессора 3.2 передают через второй СА 3.7 на маршрутизатор 4, а затем в сеть Интернет 2.The device operates as follows. The initial data packet (see figa) from the LAN 1 1 through the first CA 3.3, through the port P1 arrives at the processor 3.2. Then the source packet through the information port PZ processor 3.2 is sent to the block CD 3.4 (see Fig.19). After that, control signals for the encoder are generated in processor 3.2 (see step 1 in Fig. 21) and a key for conversion is transmitted through port P4, and a signal indicating the type of conversion (encoding) is transmitted through port P5. Thus, an encoded data packet is formed in the CD block 3.4 (see Fig. 9a), which is transferred from the CD block 3.4 through the information port P6 to the processor 3.2. Here, the encoded packet is converted to the TCP / IP format (see step 2 in FIG. 21). The conversion is to add an IP header to the encoded data packet. Further, in the processor 3.2, a request signal of current addresses is generated, which is sent via port P11. This request in BOHTA 3.6 (see FIG. 17) allows the passage through AND elements of a 64-digit sequence of pulses, which are the current addresses of the sender and receiver (a 64-bit bus is required for two addresses 32 bits in length each). Thus, the 64-digit sequence through the P12 port goes to processor 3.2. After that, in processor 3.2, the sender address and the recipient address include the current sender and recipient addresses received from BOHTA 3.6 into the packet received as a result of the conversion to the fields. Thus, an informational message packet is generated (see step 3 in Fig. 21, Fig. 9a), which is transmitted through port P7 of processor 3.2 through a second CA 3.7 to router 4 and then to the Internet 2.

Затем в процессоре 3.2 формируют сигнал для запуска БВА 3.1 (см. шаг 4 на фиг.21), который через порт П10 передают на БВА 3.1 (см. фиг.20). Этот сигнал запускает сумматор 3.1.1, на выходе которого формируется последовательность импульсов, соответствующая номеру шага смены текущих адресов io (т.е. счетчик определяет i, см. таблицу на фиг.8). Эта последовательность поступает на вычислитель номера адреса 3.1.2, на котором с помощью функции Фибоначчи определяют значение номера адреса (т.е. значение FN,S(i), см. таблицу на фиг.8).Then, in the processor 3.2, a signal is generated to start the BVA 3.1 (see step 4 in FIG. 21), which is transmitted through the port P10 to the BVA 3.1 (see FIG. 20). This signal starts the adder 3.1.1, at the output of which a pulse train is formed corresponding to the number of the step for changing the current addresses i o (i.e., the counter determines i, see table in Fig. 8). This sequence goes to the address number calculator 3.1.2, on which the value of the address number is determined using the Fibonacci function (i.e., the value of F N, S (i), see the table in Fig. 8).

После этого в процессоре 3.2 формируют сигнал запроса текущего адреса отправителя, который через порт П11 передают на БОХТА 3.6. По запросу БОХТА 3.6 выдает 64-значную последовательность импульсов, соответствующую значению текущих адресов отправителя и получателя, и через порт П12 передает в процессор 3.2. После этого в процессоре 3.2 формируют команду маршрутизатору 4 на смену текущего адреса и передают ее вместе с новым текущим адресом отправителя, определяемым значением младших 32-х битов принятой из БОХТА 3.6 64-значной последовательности импульсов (см. шаг 5 на фиг.21), через порт П8 для его установления на маршрутизаторе 4.After that, the processor 3.2 generates a request signal for the current address of the sender, which is transmitted through port P11 to BOHTA 3.6. Upon request, BOHTA 3.6 produces a 64-digit sequence of pulses corresponding to the value of the current addresses of the sender and recipient, and transmits to processor 3.2 through port P12. After that, the processor 3.2 generates a command to router 4 to change the current address and transmits it together with the new current sender address, determined by the value of the lower 32 bits received from BOHTA 3.6 64-digit pulse sequence (see step 5 in Fig.21), through port P8 to install it on router 4.

При приеме пакет сообщений (фиг.9б) через маршрутизатор 4 поступает на ЛСЗ (например 3K), аналогичный ЛСЗ 1l, также показанный на фиг.19, где через второй СА 3.7 через порт П9 (фиг.19) его передают на процессор 3.2. Из полей адрес получателя и адрес отправителя IP-заголовка пакета сообщений (см. фиг.3) в процессоре 3.2 выделяют адреса отправителя и получателя (см. шаг 6 на фиг.21).Upon receipt, the message packet (Fig. 9b) through the router 4 is sent to the LSZ (for example 3 K ), similar to the LSZ 1 l , also shown in Fig. 19, where it is transmitted to the processor through the second CA 3.7 through port P9 (Fig. 19) 3.2. From the fields, the recipient address and the sender address of the IP header of the message packet (see FIG. 3) in processor 3.2, the addresses of the sender and recipient are allocated (see step 6 in FIG. 21).

При этом в процессоре 3.2 формируют сигнал запроса, который через порт П11 поступает на БОХТА 3.6 (см. фиг.19), откуда на процессор 3.2 через порт П12 передают текущие адреса отправителя и получателя. В процессоре 3.2 они сравниваются (побитно) с выделенными из полученного информационного пакета сообщений текущими адресами (см. шаг 7 на фиг.21). Если они не совпадают, то в устройстве не анализируют пришедший пакет сообщений и ожидают следующий. В случае совпадения в процессоре 3.2 выделяют из пакета сообщений кодированные данные (см. шаг 8 на фиг.21, фиг.9б) путем отделения IP-заголовка. Затем кодированный пакет через информационный порт ПЗ процессора 3.2 отправляют в блок КД 3.4 (см. фиг.19). При этом в процессоре 3.2 формируют управляющие сигналы для декодера (см. шаг 9 на фиг.21) и через порт П4 передают ключ для преобразования, а через порт П5 сигнал с указанием типа преобразования (декодирование). Далее открытые данные (см. фиг.9б) из блока КД 3.4 через информационный порт П6 передают в процессор 3.2. После этого исходный пакет данных процессор 3.2 передает через порт П2 на первый СА 3.3, через который, в свою очередь, исходный пакет данных передают в ЛВС 1.At the same time, a request signal is generated in processor 3.2, which is transmitted through port P11 to BOHTA 3.6 (see Fig. 19), from where current address of the sender and receiver are transmitted to processor 3.2 through port P12. In processor 3.2, they are compared (bitwise) with the current addresses extracted from the received information packet of messages (see step 7 in FIG. 21). If they do not match, then the device does not analyze the incoming message packet and waits for the next one. If there is a match in processor 3.2, the encoded data is extracted from the message packet (see step 8 in FIG. 21, FIG. 9b) by separating the IP header. Then the encoded packet through the information port PZ processor 3.2 is sent to the block CD 3.4 (see Fig.19). At the same time, control signals for the decoder are generated in processor 3.2 (see step 9 in FIG. 21) and a key for conversion is transmitted through port P4, and a signal indicating the type of conversion (decoding) is transmitted through port P5. Next, open data (see figb) from the block CD 3.4 through the information port P6 transmit to the processor 3.2. After that, the processor 3.2 transmits the initial data packet through port P2 to the first CA 3.3, through which, in turn, the initial data packet is transmitted to LAN 1.

Затем в процессоре 3.2 формируют сигнал для запуска БВА 3.1 (см. шаг 10 на фиг.21), который через порт П10 передают на БВА 3.1 (см. фиг.20). Этот сигнал запускает сумматор 3.1.1. На выходе сумматора 3.1.1 формируется последовательность импульсов, соответствующая номеру шага смены текущих адресов iп (т.е. в счетчике определяют i, см. таблицу на фиг.8). Эта последовательность поступает на вычислитель номера адреса 3.1.2, на котором с помощью функции Фибоначчи определяют значение номера адреса (т.е. значение FN,S(i), см. таблицу на фиг.8).Then, in the processor 3.2, a signal is generated to start the BVA 3.1 (see step 10 in Fig. 21), which is transmitted through the port P10 to the BVA 3.1 (see Fig. 20). This signal starts the adder 3.1.1. At the output of the adder 3.1.1, a pulse sequence is generated corresponding to the step number of the change of current addresses i p (i.e., i is determined in the counter, see the table in Fig. 8). This sequence goes to the address number calculator 3.1.2, on which the value of the address number is determined using the Fibonacci function (i.e., the value of F N, S (i), see the table in Fig. 8).

После этого в процессоре 3.2 формируют сигнал запроса текущего адреса получателя, который через порт П11 передают на БОХТА 3.6. По запросу БОХТА 3.6 выдает 64-значную последовательность импульсов, соответствующую значению текущих адресов отправителя и получателя, и через порт П12 передает в процессор 3.2. Далее в процессоре 3.2 формируют команду маршрутизатору 4 на смену текущего адреса и передают ее вместе с новым текущим адресом получателя, определяемым значением младших 32-х битов принятой из БОХТА 3.6 64-значной последовательности импульсов (см. шаг 11 на фиг.21), через порт П8 для его установления на маршрутизаторе 4.After that, the processor 3.2 generates a request signal for the current address of the recipient, which is transmitted through port P11 to BOHTA 3.6. Upon request, BOHTA 3.6 produces a 64-digit sequence of pulses corresponding to the value of the current addresses of the sender and recipient, and transmits to processor 3.2 through port P12. Next, in processor 3.2, a command is formed to router 4 to change the current address and transmit it together with the new current recipient address, determined by the value of the lower 32 bits received from BOHTA 3.6 of the 64-digit pulse sequence (see step 11 in Fig. 21), P8 port for its installation on router 4.

Далее формируют очередной информационный пакет сообщений у отправителя.Next, form the next information packet of messages from the sender.

В третьем варианте заявленного устройства распределенная ВС также включает совокупность ЛВС 11-1k (см. фиг.22). Каждая пара ЛВС, например, 11 и 1k (на фиг.22) снабжена устройством защиты, состоящем из 2-х локальных сегментов защиты (ЛСЗ) 31, 3k, подключенных к соответствующей ЛВС и через соответствующие маршрутизаторы 41, 4k к сети Интернет 2. Таким образом канал связи ВС может быть представлен в виде, показанном на фиг.13. Он включает две взаимодействующие ЛВС 11 и 1k, соединенные друг с другом через соответствующие маршрутизаторы 41, 4k и Интернет 2 и снабженные устройством защиты канала связи (на фиг.13 обведено пунктиром). Устройство защиты состоит из 2-х идентичных ЛСЗ 31 и 3k, один из которых подключен к ЛВС11, а k-й к ЛВС1k.In the third embodiment of the claimed device, the distributed aircraft also includes a set of LAN 1 1 -1 k (see Fig. 22). Each LAN pair, for example, 1 1 and 1 k (in Fig. 22), is equipped with a protection device consisting of 2 local protection segments (LANs) 3 1 , 3 k connected to the corresponding LAN and through the corresponding routers 4 1 , 4 k to the Internet 2. Thus, the communication channel BC can be represented in the form shown in Fig.13. It includes two interacting LANs 1 1 and 1 k , connected to each other through the corresponding routers 4 1 , 4 k and the Internet 2 and equipped with a communication channel protection device (dashed around in FIG. 13). The protection device consists of 2 identical LANs 3 1 and 3 k , one of which is connected to LAN1 1 , and k-th to LAN1 k .

В свою очередь в третьем варианте заявленного устройства ЛСЗ (например, 3l), показанный на фиг.23, состоит из БВА 3.1, процессора 3.2, первого 3.3 и второго 3.9 СА, блока КД 3.4, БХБА 3.5 и БОХТА 3.6, БВЧОП 3.7иСОП3.8.In turn, in the third embodiment of the claimed LSZ device (for example, 3 l ), shown in Fig. 23, it consists of a BVA 3.1, a processor 3.2, a first 3.3 and a second 3.9 SA, a CD unit 3.4, BHBA 3.5 and BOHTA 3.6, BHCHOP 3.7iSOP3 .8.

Первый вход/выход ЛСЗ 3 подключен к ЛВС 1. Второй вход/выход ЛСЗ 3 подключен к маршрутизатору 4, в свою очередь, подключенному к сети Интернет 2. Управляющий вход БВА 3.1 подключен к порту «адрес» процессора 3.2, а х-разрядный выход БВА 3.1 подключен к x-разрядному входу БХБА 3.5. У БХБА 3.5 m-разрядный выход подключен к m-разрядному входу БОХТА 3.6. Управляющий вход и m-разрядный выход БОХТА 3.6 подключены соответственно к порту «запрос текущих адресов» и m-разрядному порту «текущие адреса» процессора 3.2. У блока КД 3.4 информационные вход и выход, входы «пароль» и «тип преобразования» подключены к соответствующим портам процессора 3.2. Управляющие входы «запрос одноадресных пакетов», «обнуление» и s-разрядный выход СОП 3.8 подключены соответственно к портам «запрос одноадресных пакетов», «обнуление» и 5-разрядному входу «одноадресные пакеты» процессора 3.2. Управляющие входы «запрос числа», «запуск» и 5-разрядный выход БВЧОП 3.7 подключены соответственно к портам «запрос числа», «запуск» и 5-разрядному входу «число» процессора 3.2. У первого СА 3.3 n-разрядные выход и вход подключены соответственно к n-разрядным входу «исходный пакет» и выходу «исходный пакет» процессора 3.2. Выход «локальная сеть» первого СА 3.3 является первым входом/выходом ЛСЗ 3. У второго СА 3.9 p-разрядные вход и выход подключены соответственно к р-разрядным выходу и входу «информация/уведомление» процессора 3.2. У процессора 3.2 t-разрядный порт «управление» подключен к t-разрядному управляющему входу второго СА 3.9. Вход/выход «сеть Интернет» второго СА 3.9 является вторым входом/выходом ЛСЗ 3.The first input / output of LSZ 3 is connected to LAN 1. The second input / output of LSZ 3 is connected to router 4, which in turn is connected to the Internet 2. The control input of BVA 3.1 is connected to the port “address” of processor 3.2, and the x-bit output BVA 3.1 is connected to the x-bit input of BHBA 3.5. In BHBA 3.5, the m-bit output is connected to the m-bit input of BOHTA 3.6. The control input and m-bit output of BOHTA 3.6 are connected respectively to the port "request current addresses" and the m-bit port "current addresses" of processor 3.2. The block KD 3.4 information input and output, the inputs "password" and "type of conversion" are connected to the corresponding ports of the processor 3.2. The control inputs “request unicast packets”, “nulling” and s-bit output of SOP 3.8 are connected respectively to the ports “request unicast packets”, “nulling” and the 5-bit input “unicast packets” of processor 3.2. The control inputs “number request”, “start” and 5-bit output of the BCHCH 3.7 are connected respectively to the ports “request number”, “start” and the 5-bit input “number” of processor 3.2. In the first CA 3.3, the n-bit output and input are connected respectively to the n-bit input “source packet” and output “source packet” of processor 3.2. The “local area network” output of the first CA 3.3 is the first input / output of LSZ 3. For the second CA 3.9, the p-bit input and output are connected respectively to the p-bit output and the “information / notification” input of processor 3.2. At processor 3.2, the t-bit control port is connected to the t-bit control input of the second CA 3.9. The input / output "Internet" of the second CA 3.9 is the second input / output LSZ 3.

Блок БВА 3.1 предназначен для формирования номера адреса. Его схема, показанная на фиг.20, состоит из сумматора номера шага 3.1.1 и вычислителя номера адреса 3.1.2. Схема счетчика, реализующего функции сумматора номера шага 3.1.1, известна и описана, например, книге В.Л.Шило «Популярные цифровые микросхемы: справочник» (2-е издание, испр. - Челябинск: Металлургия, 1989. С.93-102). Вычислитель номера адреса 3.1.2 представляет собой вычислитель функции Фибоначчи, аналогичный, как во втором варианте устройства защиты канала связи ВС.Block BVA 3.1 is designed to generate the address number. Its circuit shown in FIG. 20 consists of a step number adder 3.1.1 and an address number calculator 3.1.2. The counter circuit that implements the functions of the adder of the step number 3.1.1 is known and described, for example, in the book by V. L. Shilo “Popular Digital Circuits: A Reference Book” (2nd edition, revised. Chelyabinsk: Metallurgy, 1989. P.93- 102). The address number calculator 3.1.2 is a Fibonacci function calculator, similar to that in the second embodiment of the BC communication channel protection device.

Алгоритм работы процессора 3.2, поясняющий последовательность действий в третьем варианте устройства защиты канала связи ВС, реализующих третий вариант способа защиты канала связи ВС, показан на фиг.24.The algorithm of the processor 3.2, explaining the sequence of actions in the third embodiment of the device for protecting the communication channel of the aircraft, implementing the third version of the method of protecting the communication channel of the aircraft, is shown in Fig.24.

Блок БВЧОП 3.7 предназначен для формирования числа пакетов сообщений, переданных (у отправителя) или полученных (у получателя) с одинаковыми адресами отправителя и получателя, а также выдачи этого числа по команде процессора 3.2. Схема БВЧОП 3.7, показанная на фиг.25, состоит из регистра хранения числа одноадресных пакетов 3.7.1, вычислителя числа одноадресных пакетов 3.7.2 и сумматора номера шага смены адресов 3.7.3. Регистр хранения числа одноадресных пакетов 3.7.1 предназначен для записи, хранения и выдачи числа одноадресных пакетов (Δk) по запросу процессора 3.2. Его схема аналогична, как у БОХТА 3.7 или БОХОА 3.6 в первом варианте реализации устройства защиты канала связи ВС. Вычислитель числа одноадресных пакетов 3.7.2 предназначен для вычисления числа одноадресных пакетов и представляет собой вычислитель функции Фибоначчи, реализованный в виде микропроцессора для вычисления значений чисел Фибоначчи (FK(i)) по формуле, указанной на стр.13. Сумматор номера шага смены адресов 3.7.3 предназначен для подсчета номера шага смены адресов, являющегося исходными данными для вычислителя числа одноадресных пакетов 3.7.2. Схема счетчика, реализующего сумматор, известна и описана, например, книге В.Л.Шило «Популярные цифровые микросхемы: справочник» (2-е издание, испр. - Челябинск: Металлургия, 1989. с.93-102).Block BVCHOP 3.7 is designed to generate the number of message packets transmitted (from the sender) or received (from the recipient) with the same address of the sender and recipient, as well as the issuance of this number by command of the processor 3.2. The BCHCH 3.7 scheme shown in FIG. 25 consists of a register for storing the number of unicast packets 3.7.1, a calculator for the number of unicast packets 3.7.2, and an adder for the step number of the change of addresses 3.7.3. The register for storing the number of unicast packets 3.7.1 is intended for recording, storing and issuing the number of unicast packets (Δk) at the request of processor 3.2. Its scheme is similar to that of BOKHTA 3.7 or BOKHOA 3.6 in the first embodiment of the aircraft communication channel protection device. The unicast packet number calculator 3.7.2 is designed to calculate the number of unicast packets and is a Fibonacci function calculator, implemented as a microprocessor to calculate the Fibonacci numbers (F K (i)) according to the formula indicated on page 13. The adder of the address change step number 3.7.3 is designed to calculate the address change step number, which is the initial data for the calculator of the number of unicast packets 3.7.2. The circuit of the counter that implements the adder is known and described, for example, in the book by V. L. Shilo “Popular Digital Circuits: A Reference Book” (2nd edition, revised - Chelyabinsk: Metallurgy, 1989. pp. 93-102).

Блок СОП 3.8 предназначен для подсчета числа пакетов сообщений переданных (у отправителя) или полученных (у получателя) с одинаковыми адресами отправителя и получателя; а также выдачи этого числа по команде процессора 3.2. Схема счетчика, реализующего функции СОП 3.8, известна и описана, например, книге В.Л.Шило «Популярные цифровые микросхемы: справочник» (2-е издание, испр. - Челябинск: Металлургия, 1989. С.93-102).SOP 3.8 block is intended for counting the number of message packets sent (from the sender) or received (from the receiver) with the same sender and receiver addresses; as well as issuing this number at processor command 3.2. The circuit of the counter that implements the functions of SOP 3.8 is known and described, for example, in the book by V. L. Shilo “Popular Digital Circuits: A Reference Book” (2nd edition, revised. Chelyabinsk: Metallurgy, 1989. P.93-102).

Назначение и схемы остальных блоков ЛСЗ 3 аналогичны, как во втором варианте реализации устройства защиты канала связи ВС.The purpose and schemes of the remaining blocks of LSZ 3 are similar as in the second embodiment of the device for protecting the aircraft communication channel.

Устройство работает следующим образом. Исходный пакет данных (см. фиг.9а) из ЛВС 11 через первый СА 3.3, через порт П1 поступает на процессор 3.2. Затем исходный пакет через информационный порт П3 процессора 3.2 отправляют в блок КД 3.4 (см. фиг.23). После этого в процессоре 3.2 формируют управляющие сигналы для кодера (см. шаг 1 на фиг.24) и через порт П4 передают ключ для преобразования, а через порт П5 сигнал с указанием типа преобразования (кодирование). Таким образом в блоке КД 3.4 формируют кодированный пакет данных (см. фиг.9а), который из блока КД 3.4 через информационный порт П6 передают в процессор 3.2. Здесь осуществляют преобразование кодированного пакета в формат TCP/IP (см. шаг 2 на фиг.24). Преобразование заключается в добавлении IP-заголовка к кодированному пакету данных. Далее в процессоре 3.2 формируют сигнал запроса текущих адресов, который отправляют через порт П17. Этот запрос в БОХТА 3.6 (см. фиг.17) разрешает прохождение через элементы И 64-значной последовательности импульсов, которые представляют собой текущие адреса отправителя и получателя. Таким образом 64-значная последовательность через порт П18 поступает на процессор 3.2. После этого в процессоре 3.2 в полученный в результате преобразования пакет в поля адрес отправителя и адреса получателя включают полученные с БОХТА 3.6 текущие адреса отправителя и получателя. Таким образом формируют информационный пакет сообщений (см. шаг 3 на фиг.24, фиг.9а), который через порт П7 процессора 3.2 передают через второй СА 3.9 на маршрутизатор 4, а затем в сеть Интернет 2.The device operates as follows. The initial data packet (see figa) from the LAN 1 1 through the first CA 3.3, through the port P1 arrives at the processor 3.2. Then the source packet through the information port P3 of the processor 3.2 is sent to the block KD 3.4 (see Fig.23). After that, control signals for the encoder are generated in processor 3.2 (see step 1 in Fig. 24) and a key for conversion is transmitted through port P4, and a signal indicating the type of conversion (encoding) is transmitted through port P5. Thus, an encoded data packet is formed in the CD block 3.4 (see Fig. 9a), which is transferred from the CD block 3.4 through the information port P6 to the processor 3.2. Here, the encoded packet is converted to the TCP / IP format (see step 2 in FIG. 24). The conversion is to add an IP header to the encoded data packet. Then, in the processor 3.2, a request signal for current addresses is generated, which is sent through port P17. This request in BOHTA 3.6 (see FIG. 17) permits the passage through AND elements of a 64-digit sequence of pulses, which are the current addresses of the sender and receiver. Thus, the 64-digit sequence through the P18 port goes to processor 3.2. After that, in processor 3.2, the sender address and recipient addresses include the current sender and receiver addresses received from BOHTA 3.6 into the packet received as a result of the conversion to the fields. In this way, an information message packet is formed (see step 3 in Fig. 24, Fig. 9a), which is transmitted through the P7 port of processor 3.2 through the second CA 3.9 to router 4, and then to the Internet 2.

Далее формируют в процессоре 3.2 сигнал для запуска СОП 3.8 (см. шаг 4 на фиг.24), который через порт П11 передают на СОП 3.8. В счетчике добавляют единицу к ранее запомненному числу (jо=jo+1) и выдают полученное значение через порт П12 на процессор 3.2. При этом в процессоре 3.2 формируют запрос текущего значения Δk (число пакетов сообщений, которые передаются с одинаковыми адресами отправителя и получателя), который через порт П14 процессора 3.2 передают на БВЧОП 3.7 (см. шаг 5 на фиг.24, фиг.23). Этот запрос поступает на регистр хранения числа одноадресных пакетов 3.7.1 (фиг.25, схема регистра хранения числа одноадресных пакетов аналогична, как у БОХТА 3.7 на фиг.17) и разрешает прохождение через элементы И 32-значной последовательности импульсов, которые представляют собой число Δk, сформированное и переданное с вычислителя числа одноадресных пакетов 3.7.2. Затем это число через порт П15 поступает в процессор 3.2. В процессоре 3.2 сравнивают (побитно) переданные значения jo и Δk (см. шаг. 6 на фиг.24). Если jo≠Δk, то у отправителя формируют очередной пакет сообщений, а у получателя принимают информационный пакет сообщений. В случае совпадения jo и Δk в процессоре 3.2 формируют сигнал для обнуления СОП 3.8 (см. шаг.7 на фиг.24), который через порт П13 (фиг.23) поступает на СОП 3.8 и осуществляет его сброс (т.е. устанавливает jo=0).Next, a signal is generated in processor 3.2 to start SOP 3.8 (see step 4 in Fig. 24), which is transmitted through port P11 to SOP 3.8. In the counter, add one to the previously memorized number (j o = j o +1) and return the obtained value through port P12 to processor 3.2. At the same time, in the processor 3.2, a request for the current value Δk is generated (the number of message packets that are transmitted with the same address of the sender and the recipient), which are transmitted through the P14 port of processor 3.2 to the BCHCH 3.7 (see step 5 in Fig. 24, Fig. 23). This request is sent to the storage register of the number of unicast packets 3.7.1 (Fig. 25, the scheme of the storage register of the number of unicast packets is similar to that of BOHTA 3.7 in Fig. 17) and allows the 32-digit pulse sequence, which is the number Δk generated and transmitted from the calculator of the number of unicast packets 3.7.2. Then this number through port P15 goes to processor 3.2. In processor 3.2, the transmitted values j o and Δk are compared (bitwise) (see step 6 of FIG. 24). If j o ≠ Δk, then the next packet of messages is formed at the sender, and the information packet of messages is received at the recipient. If j o and Δk coincide in processor 3.2, they generate a signal to reset SOP 3.8 (see step 7 in Fig. 24), which is fed to SOP 3.8 through port P13 (Fig. 23) and performs its reset (i.e. sets j o = 0).

После этого в процессоре 3.2 формируют сигнал для запуска БВЧОП 3.7 (см. шаг 8 на фиг.24), который через порт П16 передают на БВЧОП 3.7 (фиг.25). Этот сигнал поступает на сумматор номера шага смены адресов 3.7.3. В сумматоре увеличивают значение номера шага смены адресов на единицу (т.е. определяют новое io=io+1 см. таблицу на фиг.11). Это значение поступает на вычислитель числа одноадресных пакетов 3.7.2, где определяют число одноадресных пакетов Δk (т.е. значение FK(i) см. таблицу на фиг.11).After that, a signal is generated in the processor 3.2 to start the BCHOP 3.7 (see step 8 in FIG. 24), which is transmitted through the P16 port to the BCHCH 3.7 (FIG. 25). This signal is fed to the adder of the step number of the change of addresses 3.7.3. In the adder, the value of the step number of the address change is increased by one (i.e., a new i o = i o +1 is determined, see the table in FIG. 11). This value is supplied to the calculator of the number of unicast packets 3.7.2, where the number of unicast packets Δk is determined (i.e., the value of F K (i) see the table in Fig. 11).

Затем в процессоре 3.2 формируют сигнал для запуска БВА 3.1 (см. шаг 9 на фиг.24), который через порт П10 (фиг.23) передают на БВА 3.1. Этот сигнал запускает сумматор 3.1.1. На выходе сумматора 3.1.1 формируется последовательность импульсов, соответствующая номеру шага смены текущих адресов io (т.е. в счетчике определяют io см. таблицу на фиг.8). Эта последовательность поступает на вычислитель номера адреса 3.1.2, в котором с помощью функции Фибоначчи определяют значение номера адреса (т.е. значение FN,Si) см. таблицу на фиг.8).Then, in the processor 3.2, a signal is generated to start the BVA 3.1 (see step 9 in Fig.24), which is transmitted to the BVA 3.1 through the port P10 (Fig.23). This signal starts the adder 3.1.1. At the output of the adder 3.1.1, a pulse sequence is generated corresponding to the step number of the change of current addresses i o (i.e., i o is determined in the counter, see table in Fig. 8). This sequence goes to the address number calculator 3.1.2, in which using the Fibonacci function the value of the address number is determined (i.e., the value of F N, S i), see the table in Fig. 8).

После этого в процессоре 3.2 формируют сигнал запроса текущего адреса отправителя, который через порт П17 передают на БОХТА 3.6. По запросу БОХТА 3.6 выдает 64-значную последовательность импульсов, соответствующую значению текущих адресов отправителя и получателя, и через порт П18 передает в процессор 3.2. Далее в процессоре 3.2 формируют команду маршрутизатору 4 на смену текущего адреса и передают ее вместе с новым текущим адресом отправителя, определяемым значением младших 32-х битов принятой из БОХТА 3.6 64-значной последовательности импульсов (см. шаг 10 на фиг.24), через порт П8 для его установления на маршрутизаторе 4.After that, the processor 3.2 generates a request signal for the current address of the sender, which is transmitted through port P17 to BOHTA 3.6. Upon request, BOHTA 3.6 gives a 64-digit sequence of pulses corresponding to the value of the current addresses of the sender and recipient, and transmits to processor 3.2 through port P18. Then, in processor 3.2, a command is generated to router 4 to change the current address and transmit it together with the new current sender address, determined by the value of the lower 32 bits received from BOHTA 3.6 of the 64-digit pulse sequence (see step 10 in FIG. 24), P8 port for its installation on router 4.

При приеме пакет сообщений (фиг.9б) через маршрутизатор 4 поступает на ЛСЗ (например 3k), аналогичный ЛСЗ 11, также показанный на фиг.23, где через второй СА 3.9 через порт П9 (фиг.23) его передают на процессор 3.2. Из полей адрес получателя и адрес отправителя IP-заголовка пакета сообщений (см. фиг.3) в процессоре 3.2 выделяют адреса отправителя и получателя (см. шаг 11 на фиг.24).Upon receipt, the message packet (Fig. 9b) through the router 4 arrives at the LSZ (for example, 3 k ), similar to the LSZ 1 1 , also shown in Fig. 23, where it is transmitted to the processor through the second CA 3.9 through port P9 (Fig. 23) 3.2. From the fields, the recipient address and the sender address of the IP header of the message packet (see FIG. 3) in the processor 3.2, the addresses of the sender and recipient are allocated (see step 11 in FIG. 24).

При этом в процессоре 3.2 формируют сигнал запроса, который через порт П17 поступает на БОХТА 3.6 (см. фиг.23), откуда на процессор 3.2 через порт П18 передают текущие адреса отправителя и получателя. В процессоре 3.2 их сравнивают (побитно) с выделенными из полученного информационного пакета сообщений текущими адресами (см. шаг 12 на фиг.24). Если они не совпадают, то в устройстве не анализируют пришедший пакет сообщений и ожидают следующий. В случае совпадения в процессоре 3.2 выделяют из пакета сообщений кодированные данные (см. шаг 13 на фиг.24, фиг.9б) путем отделения IP-заголовка. Затем кодированный пакет через информационный порт ПЗ процессора 3.2 отправляют в блок КД 3.4 (см. фиг.23). При этом в процессоре 3.2 формируют управляющие сигналы для декодера (см. шаг 14 на фиг.24) и через порт П4 передают ключ для преобразования, а через порт П5 сигнал с указанием типа преобразования (декодирование). Далее открытые данные (см. фиг.9б) из блока КД 3.4 через информационный порт П6, через порт П2 передают на первый СА 3.3, через который, в свою очередь, исходный пакет данных передают в ЛВС 1.At the same time, a request signal is generated in processor 3.2, which is transmitted through port P17 to BOHTA 3.6 (see Fig. 23), from where current address of the sender and receiver are transmitted to processor 3.2 through port P18. In processor 3.2, they are compared (bitwise) with the current addresses extracted from the received information packet of messages (see step 12 in FIG. 24). If they do not match, then the device does not analyze the incoming message packet and waits for the next one. If there is a match in processor 3.2, the encoded data is extracted from the message packet (see step 13 in FIG. 24, FIG. 9b) by separating the IP header. Then the encoded packet through the information port PZ processor 3.2 is sent to the block CD 3.4 (see Fig.23). At the same time, control signals for the decoder are generated in processor 3.2 (see step 14 in FIG. 24) and a key for conversion is transmitted through port P4, and a signal indicating the type of conversion (decoding) is transmitted through port P5. Next, open data (see Fig. 9b) from the CD 3.4 block through the information port P6, through port P2 is transmitted to the first CA 3.3, through which, in turn, the original data packet is transmitted to LAN 1.

Далее формируют в процессоре 3.2 сигнал для запуска СОП 3.8 (см. шаг 15 на фиг.24), который через порт П11 передают на СОП 3.8. В счетчике добавляют единицу к ранее запомненному числу (jп=jп+1) и выдают полученное значение через порт П12 на процессор 3.2. При этом в процессоре 3.2 формируют запрос текущего значения Δk (число пакетов сообщений, которые передаются с одинаковыми адресами отправителя и получателя), который через порт П14 процессора 3.2 передают на БВЧОП 3.7 (см. шаг 16 на фиг.24, фиг.23). Этот запрос поступает на регистр хранения числа одноадресных пакетов 3.7.1 (фиг.25, схема регистра хранения числа одноадресных пакетов аналогична, как у БОХТА 3.7 на фиг.17) и разрешает прохождение через элементы И 32-значной последовательности импульсов, которые представляют собой число Δk, сформированное и переданное с вычислителя числа одноадресных пакетов 3.7.2. Затем это число через порт П15 поступает в процессор 3.2. В процессоре 3.2 сравнивают (побитно) переданные значения jп и Δk (см. шаг. 17 на фиг.24). Если jп≠Δk, то у отправителя формируют очередной пакет сообщений, а у получателя ожидают очередной информационный пакет сообщений. В случае совпадения jп и Δk в процессоре 3.2 формируют сигнал для обнуления СОП 3.8 (см. шаг. 18 на фиг.24), который через порт П13 (фиг.23) поступает на СОП 3.8 и осуществляет его сброс (т.е. устанавливает jп=0).Next, a signal is generated in processor 3.2 to start SOP 3.8 (see step 15 in FIG. 24), which is transmitted through port P11 to SOP 3.8. In the counter, one is added to the previously stored number (j p = j p +1) and the resulting value is output through port P12 to processor 3.2. At the same time, a request for the current value Δk (the number of message packets that are transmitted with the same address of the sender and receiver) is generated in processor 3.2, which is transmitted to port BCHOP 3.7 through port P14 of processor 3.2 (see step 16 in Fig. 24, Fig. 23). This request is sent to the storage register of the number of unicast packets 3.7.1 (Fig. 25, the scheme of the storage register of the number of unicast packets is similar to that of BOHTA 3.7 in Fig. 17) and allows the 32-digit pulse sequence, which is the number Δk generated and transmitted from the calculator of the number of unicast packets 3.7.2. Then this number through port P15 goes to processor 3.2. In processor 3.2, the transmitted values j p and Δk are compared (bitwise) (see step 17 in FIG. 24). If j p ≠ Δk, then the next message packet is formed at the sender, and the next information message packet is expected at the recipient. If j p and Δk coincide in processor 3.2, they generate a signal to reset SOP 3.8 (see step 18 in Fig. 24), which, through port P13 (Fig. 23), enters SOP 3.8 and dumps it (i.e. sets j n = 0).

После этого в процессоре 3.2 формируют сигнал для запуска БВЧОП 3.7 (см. шаг 19 на фиг.24), который через порт П16 передают на БВЧОП 3.7 (фиг.25). Этот сигнал поступает на сумматор номера шага смены адресов 3.7.3. В сумматоре увеличивают значение номера шага смены адресов на единицу (т.е. определяют новое iп=iп+1 см. таблицу на фиг.11). Это значение поступает на вычислитель числа одноадресных пакетов 3.7.2, где определяют число одноадресных пакетов Δk (т.е. значение Fк(i) см. таблицу на фиг.11).After that, a signal is generated in the processor 3.2 to start the BCHOP 3.7 (see step 19 in Fig. 24), which is transmitted through the P16 port to the BCHSC 3.7 (Fig. 25). This signal is fed to the adder of the step number of the change of addresses 3.7.3. In the adder, the value of the step number of the address change is increased by one (i.e., a new i p = i p +1 is determined, see the table in FIG. 11). This value is supplied to the calculator of the number of unicast packets 3.7.2, where the number of unicast packets Δk is determined (i.e., the value of F k (i) see the table in Fig. 11).

Затем в процессоре 3.2 формируют сигнал для запуска БВА 3.1 (см. шаг 20 на фиг.24), который через порт П10 (фиг.23) передают на БВА 3.1. Этот сигнал запускает сумматор 3.1.1. На выходе сумматора 3.1.1 формируется последовательность импульсов, соответствующая номеру шага смены текущих адресов iп (т.е. в счетчике определяют iп см. таблицу на фиг.8). Эта последовательность поступает на вычислитель номера адреса 3.1.2, в котором с помощью функции Фибоначчи определяют значение номера адреса (т.е. значение FN,S(i) см. таблицу на фиг.8).Then, in the processor 3.2, a signal is generated to start the BVA 3.1 (see step 20 in Fig. 24), which is transmitted to the BVA 3.1 through the port P10 (Fig. 23). This signal starts the adder 3.1.1. At the output of the adder 3.1.1, a pulse sequence is generated corresponding to the step number of the change of current addresses i p (i.e., i p is determined in the counter, see table in Fig. 8). This sequence goes to the address number calculator 3.1.2, in which the value of the address number is determined using the Fibonacci function (i.e., the value of F N, S (i) see the table in Fig. 8).

После этого в процессоре 3.2 формируют сигнал запроса текущего адреса получателя, который через порт П17 передают на БОХТА 3.6. По запросу БОХТА 3.6 выдает 64-значную последовательность импульсов, соответствующую значению текущих адресов отправителя и получателя, и через порт П18 передает в процессор 3.2. Далее в процессоре 3.2 формируют команду маршрутизатору 4 на смену текущего адреса и передают ее вместе с новым текущим адресом, определяемым значением младших 32-х битов принятой из БОХТА 3.6 64-значной последовательности импульсов получателя (см. шаг 21 на фиг.24), через порт П8 для его установления на маршрутизаторе 4.After that, the processor 3.2 generates a request signal for the current address of the recipient, which is transmitted through port P17 to BOHTA 3.6. Upon request, BOHTA 3.6 gives a 64-digit sequence of pulses corresponding to the value of the current addresses of the sender and recipient, and transmits to processor 3.2 through port P18. Next, in processor 3.2, a command is formed to router 4 to change the current address and transmit it together with the new current address, determined by the value of the lower 32 bits received from BOHTA 3.6 of the 64-digit receiver pulse sequence (see step 21 in FIG. 24), P8 port for its installation on router 4.

Далее формируют очередной информационный пакет сообщений у отправителя.Next, form the next information packet of messages from the sender.

Возможность достижения сформулированного технического результата была проверена путем имитационного моделирования.The ability to achieve the formulated technical result was tested by simulation.

Обобщенная схема проведения эксперимента представлена на фиг.26.A generalized scheme of the experiment is presented in Fig.26.

Модель распределенной ВС представляла собой две удаленные локальные ВС (ЛВС 1 и ЛВС 2), объединенные посредством сети Интернет, представленной совокупностью маршрутизаторов (М2-Mk-1). Для подключения к сети Интернет в ЛВС 1 и ЛВС 2 использовались маршрутизаторы M1 и МK.The distributed aircraft model was two remote local aircraft (LAN 1 and LAN 2), connected via the Internet, represented by a set of routers (M 2 -M k-1 ). To connect to the Internet in LAN 1 and LAN 2, routers M 1 and M K were used .

В ходе эксперимента между ЛВС 1 и ЛВС 2 был реализован информационный обмен, осуществляемый посредством канала связи проходящего через маршрутизаторы M1K. Пакеты сообщений от ЛВС 1 к ЛВС 2 передавались в закодированном виде, а в открытом виде передавался только IP-заголовок, содержащий адреса отправителя и получателя (IP-адреса маршрутизаторов M1 и МK).During the experiment, between LAN 1 and LAN 2, information exchange was implemented through a communication channel passing through routers M 1 -M K. Message packets from LAN 1 to LAN 2 were transmitted in encoded form, and only the IP header containing the sender and receiver addresses (IP addresses of routers M 1 and M K ) was transmitted in clear form.

К маршрутизатору Мi (1<i<K) был подключен анализатор пакетов, позволяющий путем перехвата и анализа пакетов сообщений выделять из них адреса отправителя и получателя, а также просматривать их содержимое.A packet analyzer was connected to the router M i (1 <i <K), which allows intercepting and analyzing message packets to extract the addresses of the sender and recipient from them, as well as view their contents.

В первом варианте эксперимента адреса маршрутизаторов M1 и МK были фиксированными. При помощи анализатора пакетов было выявлено, что через маршрутизатор Мi в процессе информационного обмена ЛВС 1 и ЛВС 2 проходят пакеты сообщений с открытыми IP-заголовками, содержащими адреса маршрутизаторов M1 и МK, а также с закодированной информационной составляющей. То есть перехват и анализ пакетов позволили обнаружить передачу закодированной информации между двумя узлами в сети Интернет.In the first version of the experiment, the addresses of routers M 1 and M K were fixed. Using a packet analyzer, it was revealed that message packets with open IP headers containing the addresses of routers M 1 and M K , as well as with an encoded information component, pass through router M i during the information exchange between LAN 1 and LAN 2. That is, packet interception and analysis made it possible to detect the transmission of encoded information between two nodes on the Internet.

Такое наблюдение позволило однозначно определить установленный между маршрутизаторами M1 и Мk защищенный канал связи. Следовательно, можно предположить, что нарушитель с высокой вероятностью мог бы, используя анализатор пакетов на маршрутизаторе Mi, определить структуру распределенной ВС, как это представлено на фиг.27а, что противоречит требованию по скрытности канала связи. Таким же образом нарушитель мог бы осуществить деструктивные воздействия на маршрутизаторы M1 и Мk с целью нарушить информационный обмен, что противоречит требованию по безопасности канала связи.This observation made it possible to unambiguously determine the secure communication channel established between the routers M 1 and M k . Therefore, it can be assumed that the intruder with high probability could, using the packet analyzer on the router M i , determine the structure of the distributed aircraft, as shown in Fig. 27a, which contradicts the requirement for stealth of the communication channel. In the same way, the intruder could carry out destructive actions on the routers M 1 and M k in order to disrupt the information exchange, which contradicts the requirement for the security of the communication channel.

Во втором варианте эксперимента для каждого из маршрутизаторов M1 и Мk были заданы базы в количестве 5 IP-адресов, в соответствии с которыми в процессе информационного обмена осуществлялась их смена. Выбор из базы адресов для смены осуществлялся случайным образом. Смена адресов маршрутизаторов M1 и Мk производилась периодически после отправки (приема) серии пакетов сообщений. При помощи анализатора пакетов было выявлено, что через маршрутизатор Мi в процессе информационного обмена ЛВС 1 и ЛВС 2 также проходят пакеты сообщений с открытыми IP-заголовками и с закодированной информационной составляющей пакетов сообщений. Однако анализ заголовков пакетов сообщений не выявил единого канала связи между маршрутизаторами M1 и Мk. Напротив, было выявлено большое количество каналов связи между различными парами адресов (фиг.27б) с меньшей интенсивностью информационного обмена.In the second version of the experiment, for each of the routers M 1 and M k , bases were set in the amount of 5 IP addresses, in accordance with which they were changed during the information exchange. The selection from the base of addresses for the shift was carried out randomly. The addresses of routers M 1 and M k were changed periodically after sending (receiving) a series of message packets. With the help of a packet analyzer, it was revealed that message packets with open IP headers and with the encoded information component of message packets also pass through router M i in the process of information exchange between LAN 1 and LAN 2. However, an analysis of the message packet headers did not reveal a single communication channel between the routers M 1 and M k . On the contrary, it was revealed a large number of communication channels between different pairs of addresses (Fig.27b) with a lower intensity of information exchange.

Это означает, что вероятность определения нарушителем истинной структуры распределенной ВС существенно снизилась, т.к. для такого определения необходимы дополнительные аналитические исследования. Следовательно, в этом случае вероятность осуществления деструктивных воздействий также снизилась.This means that the probability of the intruder determining the true structure of the distributed aircraft has significantly decreased, since such a definition requires additional analytical studies. Therefore, in this case, the likelihood of destructive impacts also decreased.

На основании этих результатов можно сделать вывод о том, что разработанные способ (варианты) и устройство (варианты) позволяют благодаря непрерывному изменению в передаваемых пакетах сообщений адресов отправителя и получателя повысить безопасность и скрытность работы канала связи ВС.Based on these results, it can be concluded that the developed method (options) and device (options) allow, due to the continuous change in the transmitted message packets, the addresses of the sender and receiver to increase the security and stealth of the aircraft communication channel.

Claims (15)

1. Способ защиты канала связи вычислительной сети, заключающийся в том, что предварительно задают исходные данные, включающие адреса отправителя и получателя сообщений, формируют у отправителя исходный пакет данных, кодируют его, преобразуют в формат ТСР/IP, включают в него текущие адреса отправителя и получателя, передают сформированный информационный пакет сообщений получателю, из принятого у получателя пакета сообщений выделяют адреса отправителя и получателя, сравнивают их с предварительно заданными адресами, при их несовпадении принятые пакеты не анализируют, а при совпадении из принятого пакета сообщений выделяют кодированные данные и декодируют их, отличающийся тем, что в предварительно заданные исходные данные дополнительно включают базу из N адресов отправителя и S адресов получателя, назначают из заданной базы текущие адреса отправителя Ато и получателя Атп, запоминают их, причем назначенные адреса отправителя Ато и получателя Атп запоминают у получателя в качестве обратного адреса отправителя Аооп и обратного адреса получателя Аопп, формируют у отправителя информацию об обратных адресах отправителя Аооo и получателя Аопo, для чего у отправителя из предварительно заданной базы адресов выделяют в качестве обратных адреса отправителя Аооo и получателя Аопo и запоминают их, а для формирования у отправителя информационного пакета сообщений в исходный пакет данных включают обратные адреса отправителя Аооo и получателя Аопo, после преобразования кодированного пакета данных в формат TCP/IP, включения в него предварительно запомненных текущих адресов отправителя Ато и получателя Атп и передачи от отправителя к получателю информационного пакета сообщений, у отправителя заменяют его ранее назначенный текущий адрес Ато на предварительно запомненный обратный адрес отправителя Аооo, после выделения у получателя из принятого информационного пакета сообщений кодированных данных и декодирования их выделяют из декодированных данных обратные адреса отправителя Аооo и получателя Аопo, запоминают их в качестве текущих адресов отправителя Ато и получателя Атп, а затем заменяют текущий адрес получателя Атп на новый, выделенный из декодированных данных адрес получателя Аопo, после чего формируют у получателя информацию об обратных адресах отправителя Аооп и получателя Аопп, для чего выделяют у получателя из предварительно заданной базы адресов в качестве обратных адреса отправителя Аооп и получателя Аопп и запоминают их, формируют у получателя уведомляющий пакет сообщений, для чего формируют исходный пакет данных с уведомлением о получении информационного пакета сообщений и промежуточный пакет путем включения в исходный пакет данных обратных адресов отправителя Аооп и получателя Аопп, кодируют промежуточный пакет данных, преобразуют его в формат TCP/IP, включают в преобразованный пакет предварительно запомненные текущие адреса отправителя Ато и получателя Атп, передают сформированный уведомляющий пакет сообщений от получателя к отправителю, после чего у получателя заменяют его текущий адрес Атп на предварительно запомненный обратный адрес получателя Аопп, принимают у отправителя уведомляющий пакет, выделяют из него адреса отправителя Ато и получателя Атп, сравнивают их с предварительно запомненными у отправителя обратными адресами отправителя Аооo и получателя Аопo, при их несовпадении принятый уведомляющий пакет сообщений не анализируют, а при совпадении выделяют из принятого уведомляющего пакета сообщений кодированные данные, декодируют их и выделяют из них обратные адреса отправителя Аооп и получателя Аопп, причем выделенные из декодированных данных обратные адреса получателя Аопп и отправителя Аооп запоминают в качестве текущих адресов получателя Ато и отправителя Ато, а текущий адрес отправителя Ато заменяют на новый, выделенный из декодированных данных адрес отправителя Аооп, после чего повторно формируют у отправителя информацию об обратных адресах отправителя Аооo и получателя Аопo.1. The method of protecting the communication channel of a computer network, which consists in pre-setting the initial data, including the addresses of the sender and recipient of messages, generating an initial data packet from the sender, encoding it, converting it to the TCP / IP format, including the current sender addresses and the recipient, transmit the generated information message packet to the recipient, from the message packet received from the recipient, select the addresses of the sender and recipient, compare them with predefined addresses, if they do not match nyatye packets are analyzed, and the coincidence of the received message packet recovered encoded data and decoding them, characterized in that the predetermined input data additionally include a base of N sender and S recipient addresses assigned from a predetermined base current sender address A then a recipient tP, stores them, and designated by the sender a and the receiver a m stored at the receiver as the return address of the sender a ^ n, and the return address a op n recipient, is formed at Dep Ithel information return addresses of the sender A oo o and the receiver A op o, for which the sender of a predetermined base address is allocated as an inverse sender address A oo o and the receiver A op o and storing them, and for the formation of the sender of the information message packet in the original data packet include reverse sender a and recipient oo o o a op, after conversion of the encoded data packet in TCP / IP format, the inclusion of a pre-stored current address of the sender a and the receiver a m and transmissions from the sender to the recipient of the information packet of messages, the sender replaces the previously assigned current address A then with the previously remembered return address of the sender A oo o , after the recipient extracts encoded data from the received information packet of the message and decodes it, the recipient's return addresses are extracted from the decoded data a oo o and receiver op o and, remember them as the current addresses of the sender and recipient of the a and the T, and then replaces the current address of the recipient and the T with a new vyde the address of the recipient A op o derived from the decoded data, after which the recipient is provided with information about the return addresses of the sender A o p and the recipient A op p , for which they are selected from the recipient from a predefined address database as the return addresses of the sender A o p and recipient A op n and storing them, form a recipient notification message packet, which form the original data packet with acknowledgment of receipt of the information packet messages and an intermediate packet by including the source packet data and inverse ests sender A ^ n, and the receiver A op n encode the intermediate data packet, convert it into TCP / IP format include the converted packet previously stored current sender address And then the receiver A mn, transmitting the generated notification message packet from the receiver to the sender, after which the receiver replaces its current address A m on a pre-memorized return address op n A recipient, the sender receiving the notification packet, it is isolated from the sender A and the receiver A m is compared them with the sender A oo o and recipient A op o previously stored at the sender, if they do not match, the received notification message packet is not analyzed, and if it matches, the encoded data is extracted from the received notification message packet, decoded, and the return address of the sender A is extracted from them oo n and receiver a op n, and extracted from the decoded data return addresses a recipient and sender op n a ^ n is stored as the current recipient addresses and the sender a and then, a current adr EU sender A then replace with the new address of the sender A oo p , isolated from the decoded data, and then re-form the sender with information about the return addresses of the sender A oo o and the recipient A op o . 2. Способ по п.1, отличающийся тем, что значения N и S адресов отправителя и получателя выбирают в пределах N=10÷256, S=10÷256.2. The method according to claim 1, characterized in that the values of N and S addresses of the sender and recipient are selected within N = 10 ÷ 256, S = 10 ÷ 256. 3. Способ по п.1, отличающийся тем, что значения обратных адресов отправителя Аооo и получателя Аопo у отправителя и обратных адресов отправителя Аооп и получателя Аопп У получателя выбирают по случайному закону.3. The method according to claim 1, characterized in that the values of the return addresses of the sender A oo o and the recipient A op o at the sender and the return addresses of the sender A oo p and the recipient A op p The recipient is randomly selected. 4. Способ по п.1, отличающийся тем, что значения обратных адресов отправителя Аооo и получателя Аопo у отправителя и обратных адресов отправителя Аооп и получателя Аопп у получателя выбирают по заранее заданному алгоритму.4. The method according to claim 1, characterized in that the values of the return addresses of the sender A oo o and the recipient A op o at the sender and the return addresses of the sender A oo p and the recipient A op p at the recipient are selected according to a predetermined algorithm. 5. Способ защиты канала связи вычислительной сети, заключающийся в том, что предварительно задают исходные данные, включающие адреса отправителя и получателя сообщений, формируют у отправителя исходный пакет данных, кодируют его, преобразуют в формат ТСР/IP, включают в него текущие адреса отправителя и получателя, передают сформированный информационный пакет сообщений получателю, из принятого у получателя пакета сообщений выделяют адреса отправителя и получателя, сравнивают их с предварительно заданными текущими адресами, при их несовпадении принятые пакеты не анализируют, а при совпадении из принятого пакета сообщений выделяют кодированные данные и декодируют их, отличающийся тем, что в предварительно заданные исходные данные дополнительно включают базу из N адресов отправителя и S адресов получателя, назначают из заданной базы текущие адреса отправителя Ато и получателя Атп, запоминают их, а также задают у отправителя и получателя функции выбора текущего адреса отправителя FN(i) и получателя FS(i), где i=1, 2, 3, ..., в соответствии с которыми на i-м шаге назначают новые текущие адреса, устанавливают равным единице номера шагов смены адресов io=1 и iп=1, после передачи от отправителя к получателю информационного пакета формируют у отправителя информацию о новых текущих адресах отправителя Атоi и получателя Атпi, для чего назначают у отправителя из заданной базы адресов в соответствии с предварительно заданными функциями выбора новые текущие адреса отправителя Атоi=FN(i) и получателя Aтпi=FS(i) и запоминают их в качестве текущих адресов отправителя Ато и получателя Атп, а затем заменяют у отправителя его текущий адрес Ато на новый текущий адрес отправителя Атоi и увеличивают номер шага io на единицу (io=io+1), после выделения у получателя из принятого информационного пакета сообщений кодированных данных и декодирования их, формируют у получателя информацию о новых текущих адресах отправителя Атоi и получателя Атпi, для чего назначают у получателя из заданной базы адресов в соответствии с предварительно заданными функциями выбора новые текущие адреса отправителя Атоi=FN(i) и получателя Атпi=FS(i) и запоминают их в качестве текущих адресов отправителя Ато и получателя Атп, затем у получателя заменяют его текущий адрес на новый текущий адрес получателя Aтпi и увеличивают номер шага iп на единицу (iп=iп+1), после чего повторно формируют у отправителя информационный пакет сообщений.5. The method of protecting the communication channel of a computer network, which consists in pre-setting the initial data, including the addresses of the sender and recipient of messages, generating the source data packet from the sender, encoding it, converting it to TCP / IP, including the current address of the sender and the recipient, transmit the generated information message packet to the recipient, from the message packet received from the recipient, select the addresses of the sender and recipient, compare them with predefined current addresses, if they do not match Denia received packets are analyzed, and the coincidence of the received message packet recovered encoded data and decoding them, characterized in that the predetermined input data additionally include a base of N sender and S recipient addresses assigned from a predetermined base current sender address A then and the recipient A TP , remember them, and also set the sender and the recipient to select the current address of the sender F N (i) and the recipient F S (i), where i = 1, 2, 3, ..., in accordance with which at the i-th step, new teku are appointed s address set equal to one address numbers change steps i o = 1 and i n = 1, after the transfer from the sender to the recipient of the information packet form the sender information on new current address of the sender And then i and the receiver A m i, to which is assigned at the sender of a predetermined base address in accordance with predetermined selection functions new current sender address a then i = F N (i) and the receiver a m i = F S (i) and storing them as a current address of the sender and then the receiver a mn , and then they are replaced at the sender by those existing address A then to the new current address of the sender A then i and increment the step number i o by one (i o = i o +1), after extracting encoded data from the received information packet of messages and decoding them, form information about new current addresses of the sender A then i and the receiver A tp i , for which purpose the new current addresses of the sender A then i = F N (i) and the receiver A tp i = F S are assigned from the recipient from the given address database (i) and remember them as current addresses the sender And then the receiver And TP , then the recipient replaces his current address with the new current address of the receiver A TP i and increases the step number i p by one (i p = i p +1), and then re-form the sender information packet messages . 6. Способ по п.5, отличающийся тем, что значения N и S адресов отправителя и получателя выбирают в пределах N=10÷256, S=10÷256.6. The method according to claim 5, characterized in that the values of N and S of the address of the sender and receiver are selected within N = 10 ÷ 256, S = 10 ÷ 256. 7. Способ по п.5, отличающийся тем, что в качестве функции выбора адреса отправителя FN(i) и получателя FS(i) используют последовательность чисел Фибоначчи.
Figure 00000006
7. The method according to claim 5, characterized in that as a function of selecting the address of the sender F N (i) and the recipient F S (i) use a sequence of Fibonacci numbers.
Figure 00000006
8. Способ защиты канала связи вычислительной сети, заключающийся в том, что предварительно задают исходные данные, включающие адреса отправителя и получателя сообщений, формируют у отправителя исходный пакет данных, кодируют его, преобразуют в формат TCP/IP, включают в него текущие адреса отправителя и получателя, передают сформированный пакет сообщений получателю, из принятого у получателя пакета сообщений выделяют адреса отправителя и получателя, сравнивают их с предварительно заданными текущими адресами, при их несовпадении принятые пакеты не анализируют, а при совпадении из принятого пакета сообщений выделяют кодированные данные и декодируют их, отличающийся тем, что предварительно задают К максимально допустимое число одноадресных пакетов, задают функцию FК(i), определяющую число Δk пакетов сообщений с одинаковыми адресами отправителя и получателя, устанавливают равным нулю число отправленных и полученных пакетов сообщений jo=0 и jп=0 и вычисляют с помощью функции FК(i) число Δk пакетов сообщений с одинаковыми адресами отправителя и получателя, задают базу из N адресов отправителя и S адресов получателя, назначают из заданной базы первоначальные текущие адреса отправителя Ато и получателя Атп, запоминают их, затем задают у отправителя и получателя функции выбора текущего адреса отправителя FN(i) и получателя FS(i), где i=1, 2, 3, ..., в соответствии с которыми на i-м шаге назначают новые текущие адреса и устанавливают равным единице номера шагов смены адресов io=1 и iп=1, после передачи от отправителя к получателю пакета сообщений увеличивают у отправителя число отправленных пакетов сообщений jo на единицу (jo=jo+1), сравнивают у отправителя число отправленных пакетов сообщений jo с предварительно установленным Δk, и при их несовпадении переходят к приему у получателя пакета сообщений, а при совпадении повторно устанавливают jo=0 увеличивают номер шага io на единицу (io=io+1) и вычисляют очередное значение Δk, затем формируют у отправителя информацию о новых текущих адресах отправителя Атоi и получателя Атпi, для чего назначают у отправителя из заданной базы адресов в соответствии с предварительно заданными функциями выбора новые текущие адреса отправителя Aтоi=FN(i) и получателя Атпi=FS(i) и запоминают выделенные адреса отправителя Атоi и получателя Атпi в качестве текущих адресов отправителя Ато и получателя Атп, после чего заменяют у отправителя его текущий адрес Ато на новый текущий адрес отправителя Атоi, а после выделения у получателя из принятого информационного пакета сообщений кодированных данных и их декодирования увеличивают у получателя число принятых пакетов сообщений jп на единицу (jп=jп+1), а затем сравнивают у получателя число принятых пакетов сообщений jп с предварительно вычисленным значением Δk и при несовпадении переходят к формированию у отправителя очередного пакета сообщений, а при совпадении устанавливают jп=0, увеличивают номер шага in на единицу (iп=iп+1) и вычисляют новое значение Δk, после чего формируют у получателя информацию о новых текущих адресах отправителя Ато1 и получателя Атпi, для чего назначают у получателя из заданной базы адресов в соответствии с предварительно заданными функциями выбора новые текущие адреса отправителя Атоi=FN(i) и получателя Aтпi=FS(i) и запоминают выделенные адреса отправителя Атоi и получателя Атпi в качестве текущих адресов отправителя Ато и получателя Атп, затем заменяют у получателя его текущий адрес Aтп на новый текущий адрес получателя Атпi, после чего формируют у отправителя очередной пакет сообщений.8. The method of protecting the communication channel of a computer network, which consists in pre-setting the initial data, including the addresses of the sender and recipient of messages, generating the source data packet from the sender, encoding it, converting it to TCP / IP format, including the current sender addresses and the recipient, transmit the generated message packet to the recipient, from the message packet received from the recipient, select the addresses of the sender and recipient, compare them with predefined current addresses, if they do not match, the received chum is not analyzed, and the coincidence of the received message packet recovered encoded data and decoding them, characterized in that the pre-assigned to the maximum number of unicast packets is set function F K (i), determines the number of Δk message packets with the same source and destination addresses , set to zero the number of packets sent and received messages j o = 0 and j = 0 and f is calculated using the function f K (i) the number of Δk message packets with the same address of the sender and recipient of the set base address n in the sender and S recipient addresses assigned from a predetermined base initial current sender address And then the receiver A TP, stores them, and then ask the sender and receiver function select the current sender address F N (i) and receiver F S (i), where i = 1, 2, 3, ..., in accordance with which at the i-th step, new current addresses are assigned and set to the unit of the number of steps of the address change i o = 1 and i p = 1, after transmission from the sender to the receiver of the packet messages increase at the sender the number of sent message packets j o by one (j o = j o +1), compare the number of sent message packets j o with the preset Δk at the sender, and if they do not match, proceed to receive the message packet at the recipient, and if they coincide, re-set j o = 0 and increment the step number i o by one (i o = i o +1) and calculate the next value Δk, then form the sender with information about the new current addresses of the sender A then i and the recipient A TP i , for which they assign the sender from the given address database in accordance with predefined selection functions the new current addresses tpravitelya A then i = F N (i) and the receiver A m i = F S (i) and storing the selected sender address A then i and the receiver A m i as the current address of the sender And then the receiver A mn and then replaced in sender's current address And then to the new current address of the sender And then i , and after the recipient extracts encoded data from the received information packet of messages and decodes them, the recipient increases the number of received message packets j p by one (j p = j p +1) , and then compare the recipient the number of received message packets j p with with a pre-calculated value of Δk and, if they do not coincide, they proceed to form the next message packet at the sender, and if they match, set j p = 0, increase the step number in by one (i p = i p +1) and calculate a new value of Δk, and then form the recipient information about the new current addresses of the sender A then 1 and the recipient A TP i , for which the recipient is assigned from the specified address base in accordance with the predefined selection functions the new current addresses of the sender A then i = F N (i) and the receiver A TP i = F S (i) and memorize selected sender And i and the receiver A m i as the current addresses of the sender And then the receiver A m, then replaced the receiver of his current address A m on the new current address of the recipient and the T i, then form the sender the next batch of messages. 9. Способ по п.8, отличающийся тем, что значения N и S адресов отправителя и получателя выбирают в пределах N=10÷256, S=10÷256.9. The method according to claim 8, characterized in that the values of N and S of the address of the sender and receiver are selected within N = 10 ÷ 256, S = 10 ÷ 256. 10. Способ по п.8, отличающийся тем, что значение К - максимально допустимое число одноадресных пакетов выбирают в пределах К=200÷250.10. The method according to claim 8, characterized in that the value of K - the maximum allowable number of unicast packets is selected within K = 200 ÷ 250. 11. Способ по п.8, отличающийся тем, что в качестве функции, определяющей число Δk пакетов сообщений с одинаковыми адресами отправителя и получателя используют последовательность чисел Фибоначчи.
Figure 00000007
11. The method according to claim 8, characterized in that as a function determining the number Δk of message packets with the same sender and receiver addresses, a sequence of Fibonacci numbers is used.
Figure 00000007
12. Способ по п.8, отличающийся тем, что в качестве функции выбора адреса отправителя FN(i) и получателя FS(i) используют последовательность чисел Фибоначчи.
Figure 00000006
12. The method according to claim 8, characterized in that as a function of selecting the address of the sender F N (i) and the recipient F S (i) use a sequence of Fibonacci numbers.
Figure 00000006
13. Устройство защиты канала связи вычислительной сети, содержащее локальный сегмент защиты, первый и второй вход/выходы которого подключены соответственно к локальной вычислительной сети и маршрутизатору, подключенному к сети Интернет, и содержащее блок хранения базы адресов, процессор, блок кодирования/декодирования, информационные вход и выход, входы «пароль» и «тип преобразования» которого подключены к соответствующим портам процессора, отличающееся тем, что в локальный сегмент защиты дополнительно введены блок выбора адреса, блоки оперативного хранения обратных и текущих адресов, первый и второй сетевые адаптеры, управляющий вход блока выбора адреса подключен к порту «адрес» процессора, а х-разрядный выход блока выбора адреса подключен к m-разрядному входу блока хранения базы адресов, m-разрядный выход которого подключен к m-разрядному входу блока оперативного хранения обратных адресов, управляющий вход и m-разрядный выход которого подключены соответственно к порту «запрос обратного адреса» и m-разрядному порту «обратный адрес» процессора, управляющий вход и m-разрядный выход блока оперативного хранения текущих адресов подключены соответственно к управляющему выходу «запрос текущего адреса» и m-разрядному порту «текущий адрес» процессора, а m-разрядный вход «смена текущего адреса» блока оперативного хранения текущих адресов подключен к m разрядному порту «смена текущего адреса» процессора, n-разрядные выход и вход первого сетевого адаптера подключены соответственно к n-разрядным входу «исходный пакет» и выходу «исходный пакет» процессора, причем выход «локальная сеть» выходу «исходный пакет» процессора, причем выход «локальная сеть» первого сетевого адаптера является первым входом/выходом локального сегмента защиты, р-разрядные вход и выход второго сетевого адаптера подключены соответственно к р-разрядным выходу и входу «информация/уведомление» процессора, а t-разрядный порт «управление» процессора подключен к t-разрядному управляющему входу второго сетевого адаптера, выход «сеть Интернет» которого является вторым входом/выходом локального сегмента защиты.13. A protection device for a communication channel of a computer network containing a local security segment, the first and second inputs / outputs of which are connected to a local computer network and a router connected to the Internet, respectively, and containing an address base storage unit, a processor, an encoding / decoding unit, information input and output, the “password” and “conversion type” inputs are connected to the corresponding processor ports, characterized in that an address selection block, a block, are additionally introduced into the local protection segment and operational storage of reverse and current addresses, the first and second network adapters, the control input of the address selector is connected to the processor “address” port, and the x-bit output of the address selector is connected to the m-bit input of the address base storage unit, m-bit output which is connected to the m-bit input of the block for operational storage of return addresses, the control input and m-bit output of which are connected respectively to the port "request a return address" and m-bit port "return address" of the processor, the control input and m-pa the in-line output of the operational storage unit for current addresses are connected respectively to the control output "request the current address" and the m-bit port "current address" of the processor, and the m-bit input "change current address" of the operational storage unit for current addresses is connected to the m discharge port "change the current address of the processor, the n-bit output and input of the first network adapter are connected respectively to the n-bit input of the "source packet" and the output of the "source packet" of the processor, and the output of the "local network" to the output of the "source packet" processor, and the “local area network” output of the first network adapter is the first input / output of the local protection segment, the p-bit input and output of the second network adapter are connected respectively to the p-bit output and the “information / notification” input of the processor, and the t-bit port The processor “control” is connected to the t-bit control input of the second network adapter, the “Internet” output of which is the second input / output of the local protection segment. 14. Устройство защиты канала связи вычислительной сети, содержащее локальный сегмент защиты, первый и второй вход/выходы которого подключены соответственно к локальной вычислительной сети и маршрутизатору, подключенному к сети Интернет, и содержащее блок хранения базы адресов, процессор, блок кодирования/декодирования, информационные вход и выход, входы «пароль» и «тип преобразования» которого подключены к соответствующим портам процессора, отличающееся тем, что в локальный сегмент защиты дополнительно введены блок выбора адреса, блок оперативного хранения текущих адресов, первый и второй сетевые адаптеры, управляющий вход блока выбора адреса подключен к порту «адрес» процессора, а х-разрядный выход блока выбора адреса подключен к х-разрядному входу блока хранения базы адресов, m-разрядный выход которого подключен к m-разрядному входу блока оперативного хранения текущих адресов, управляющий вход и m-разрядный выход которого подключены соответственно к порту «запрос текущего адреса» и m-разрядному порту «текущий адрес» процессора, n-разрядные выход и вход первого сетевого адаптера подключены соответственно к n-разрядным входу «исходный пакет» и выходу «исходный пакет» процессора, причем выход «локальная сеть» первого сетевого адаптера является первым входом/выходом локального сегмента защиты, р-разрядные вход и выход второго сетевого адаптера подключены соответственно к р-разрядным выходу и входу «информация/уведомление» процессора, а t-разрядный порт «управление» процессора подключен к t-разрядному управляющему входу второго сетевого адаптера, выход «сеть Интернет» которого является вторым входом/выходом локального сегмента защиты.14. The protection device of the communication channel of the computer network, containing a local security segment, the first and second inputs / outputs of which are connected respectively to the local computer network and the router connected to the Internet, and containing the storage unit of the address base, processor, coding / decoding unit, information input and output, the “password” and “conversion type” inputs are connected to the corresponding processor ports, characterized in that an address selection block, a block, are additionally introduced into the local protection segment operational storage of current addresses, the first and second network adapters, the control input of the address selection unit is connected to the processor “address” port, and the x-bit output of the address selection unit is connected to the x-bit input of the address base storage unit, the m-bit output of which is connected to m-bit input of the block of operational storage of current addresses, the control input and m-bit output of which are connected respectively to the port "request current address" and m-bit port "current address" of the processor, n-bit output and input of the first network of the adapter are connected respectively to the n-bit input of the “source packet” and the output of the “source packet” of the processor, the output of the “local network” of the first network adapter being the first input / output of the local protection segment, the p-bit input and output of the second network adapter are connected respectively to the p-bit output and the information / notification input of the processor, and the t-bit control port of the processor is connected to the t-bit control input of the second network adapter, whose Internet connection is the second input m / output of the local protection segment. 15. Устройство защиты канала связи вычислительной сети, содержащее локальный сегмент защиты, первый и второй вход/выходы которого подключены соответственно к локальной вычислительной сети и маршрутизатору, подключенному к сети Интернет, и содержащее блок хранения базы адресов, процессор, блок кодирования/декодирования, информационные вход и выход, входы «пароль» и «тип преобразования» которого подключены к соответствующим портам процессора, отличающееся тем, что в локальный сегмент защиты дополнительно введены блок выбора адресов, блок оперативного хранения текущих адресов, первый и второй сетевые адаптеры, счетчик одноадресных пакетов и блок выбора числа одноадресных пакетов, управляющий вход блока выбора адресов подключен к порту «адрес» процессора, а х-разрядный выход блока выбора адресов подключен к х-разрядному входу блока хранения базы адресов, m-разрядный выход которого подключен к m-разрядному входу блока оперативного хранения текущих адресов, управляющий вход и m-разрядный выход которого подключены соответственно к порту «запрос текущего адреса» и поразрядному порту «текущий адрес» процессора, управляющие входы «запрос одноадресных пакетов», «обнуление» и m-разрядный выход счетчика одноадресных пакетов подключены соответственно к портам «запрос одноадресных пакетов», «обнуление» и s-разрядному входу «одноадресные пакеты» процессора, управляющие входы «запрос числа», «запуск» и s-разрядный выход блока выбора числа одноадресных пакетов подключены соответственно к портам «запрос числа», «запуск» и s-разрядному входу «число» процессора, n-разрядные выход и вход первого сетевого адаптера подключены соответственно к n-разрядным входу «исходный пакет» и выходу «исходный пакет» процессора, причем выход «локальная сеть» первого сетевого адаптера является первым входом/выходом локального сегмента защиты, р-разрядные вход и выход второго сетевого адаптера подключены соответственно к р-разрядным выходу и входу «информация/уведомление» процессора, а t-разрядный порт «управление» процессора подключен к t-разрядному управляющему входу второго сетевого адаптера, выход «сеть Интернет» которого является вторым входом/выходом локального сегмента защиты.15. The protection device of the communication channel of the computer network, containing a local security segment, the first and second inputs / outputs of which are connected respectively to the local computer network and the router connected to the Internet, and containing the storage unit of the address base, processor, coding / decoding unit, information input and output, the “password” and “conversion type” inputs of which are connected to the corresponding processor ports, characterized in that an address selection block is additionally introduced into the local protection segment, to the operative storage of current addresses, the first and second network adapters, the unicast packet counter and the unicast packet number selection block, the control input of the address selection block is connected to the processor “address” port, and the x-bit output of the address selection block is connected to the x-bit input of the block storage of the address base, the m-bit output of which is connected to the m-bit input of the operational storage unit for current addresses, the control input and m-bit output of which are connected respectively to the port "request the current address" and bit the current port "processor address", the control inputs "request unicast packets", "zeroing" and the m-bit output of the counter of unicast packets are connected respectively to the ports "request unicast packets", "zeroing" and s-bit input "unicast packets" , the control inputs “request number”, “start” and s-bit output of the block for selecting the number of unicast packets are connected respectively to the ports “request number”, “start” and s-bit input “number” of the processor, n-bit output and input of the first network adapter by are connected respectively to the n-bit input of the “source packet” and the output of the “source packet” of the processor, and the output of the “local network” of the first network adapter is the first input / output of the local protection segment, the p-bit input and output of the second network adapter are connected respectively to p -discharge output and input “information / notification” of the processor, and the t-bit port “control” of the processor is connected to the t-bit control input of the second network adapter, the output of the “Internet” of which is the second input / output locale Foot protection segment.
RU2006114272/09A 2006-04-26 2006-04-26 Method (variants) and device (variants) for protecting communication channel of a computer network RU2306599C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2006114272/09A RU2306599C1 (en) 2006-04-26 2006-04-26 Method (variants) and device (variants) for protecting communication channel of a computer network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2006114272/09A RU2306599C1 (en) 2006-04-26 2006-04-26 Method (variants) and device (variants) for protecting communication channel of a computer network

Publications (1)

Publication Number Publication Date
RU2306599C1 true RU2306599C1 (en) 2007-09-20

Family

ID=38695394

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2006114272/09A RU2306599C1 (en) 2006-04-26 2006-04-26 Method (variants) and device (variants) for protecting communication channel of a computer network

Country Status (1)

Country Link
RU (1) RU2306599C1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2449361C2 (en) * 2009-08-03 2012-04-27 Государственное образовательное учреждение высшего профессионального образования "Военная академия связи имени С.М. Буденного" Министерства обороны Российской Федерации Method of protecting computer network having dedicated server
RU2469390C1 (en) * 2011-11-21 2012-12-10 Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Method of protecting computer networks from unauthorised scanning and blocking of network services (versions)
RU2490703C1 (en) * 2012-06-04 2013-08-20 Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Method of protecting communication channel of computer network
RU2695983C1 (en) * 2018-07-16 2019-07-29 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Method of filtering secure network connections in a digital data network
RU191373U1 (en) * 2019-06-13 2019-08-02 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации MULTI-SERVICE ROUTER WITH MASKING INFORMATION DIRECTIONS

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2152691C1 (en) * 1994-12-07 2000-07-10 Мацусита Электрик Корпорейшн оф Америка Device for protection of connected computer networks
US6192455B1 (en) * 1998-03-30 2001-02-20 Intel Corporation Apparatus and method for preventing access to SMRAM space through AGP addressing
RU2182355C1 (en) * 2001-10-03 2002-05-10 ООО "Микротест-ТЕЛ" Method and system for protecting corporate virtual private computer network against unauthorized data exchange with public transport network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2152691C1 (en) * 1994-12-07 2000-07-10 Мацусита Электрик Корпорейшн оф Америка Device for protection of connected computer networks
US6192455B1 (en) * 1998-03-30 2001-02-20 Intel Corporation Apparatus and method for preventing access to SMRAM space through AGP addressing
RU2182355C1 (en) * 2001-10-03 2002-05-10 ООО "Микротест-ТЕЛ" Method and system for protecting corporate virtual private computer network against unauthorized data exchange with public transport network

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2449361C2 (en) * 2009-08-03 2012-04-27 Государственное образовательное учреждение высшего профессионального образования "Военная академия связи имени С.М. Буденного" Министерства обороны Российской Федерации Method of protecting computer network having dedicated server
RU2469390C1 (en) * 2011-11-21 2012-12-10 Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Method of protecting computer networks from unauthorised scanning and blocking of network services (versions)
RU2490703C1 (en) * 2012-06-04 2013-08-20 Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Method of protecting communication channel of computer network
RU2695983C1 (en) * 2018-07-16 2019-07-29 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Method of filtering secure network connections in a digital data network
RU191373U1 (en) * 2019-06-13 2019-08-02 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации MULTI-SERVICE ROUTER WITH MASKING INFORMATION DIRECTIONS

Similar Documents

Publication Publication Date Title
CN101682656B (en) Method and apparatus for protecting the routing of data packets
CN1332552A (en) Network address conversion gateway of local network using local IP address and untranslated port address
RU2496136C1 (en) Method for interaction of terminal client device with server over internet with high level of security from ddos attack and system for realising said method
Zhang et al. An approach of covert communication based on the Ethereum whisper protocol in blockchain
RU2306599C1 (en) Method (variants) and device (variants) for protecting communication channel of a computer network
CN105262737B (en) A method of based on defending against DDOS attack for jump channel pattern
CA2459361C (en) Method for encoding and decoding communication data
Goots et al. Modern Cryptography Protect your data with fast block CIPHERS
CN112333698B (en) Encryption authentication method and device for mobile game terminal
Chen et al. People who live in glass houses should not throw stones: targeted opening message franking schemes
Blaze Trust management and network layer security protocols
RU2307392C1 (en) Method (variants) for protecting computer networks
RU2314562C1 (en) Method for processing network traffic datagrams for delimiting access to informational and computing resources of computer networks
Goudar et al. Secure data transmission using steganography based data hiding in TCP/IP
RU2449361C2 (en) Method of protecting computer network having dedicated server
RU2586840C1 (en) Method of processing network traffic datagrams for hiding corresponding pairs of subscribers of information-telecommunication systems
US20230138446A1 (en) Replica: An Improved Communication Concealment Cipher
RU2656839C1 (en) Method for masking the structure of the communication network
Albermany et al. New random block cipher algorithm
KR20100014995A (en) The security technology of internet on encrypted transmission data
CN114765546B (en) End-to-end hard encryption method, system, encryption equipment and key management server
RU2490703C1 (en) Method of protecting communication channel of computer network
RU2668979C2 (en) Method for masking the structure of communication network
KR20130027941A (en) Cyber security event information management device, and cyber security event information management method
RU2472217C1 (en) Method of processing network traffic datagrams for protecting information computer systems (versions)

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20080427