RU2306599C1 - Method (variants) and device (variants) for protecting communication channel of a computer network - Google Patents
Method (variants) and device (variants) for protecting communication channel of a computer network Download PDFInfo
- Publication number
- RU2306599C1 RU2306599C1 RU2006114272/09A RU2006114272A RU2306599C1 RU 2306599 C1 RU2306599 C1 RU 2306599C1 RU 2006114272/09 A RU2006114272/09 A RU 2006114272/09A RU 2006114272 A RU2006114272 A RU 2006114272A RU 2306599 C1 RU2306599 C1 RU 2306599C1
- Authority
- RU
- Russia
- Prior art keywords
- sender
- address
- recipient
- addresses
- current
- Prior art date
Links
- 238000004891 communication Methods 0.000 title claims abstract description 96
- 238000000034 method Methods 0.000 title claims abstract description 73
- 230000008859 change Effects 0.000 claims description 41
- 230000006870 function Effects 0.000 claims description 41
- 238000006243 chemical reaction Methods 0.000 claims description 34
- 230000005540 biological transmission Effects 0.000 claims description 17
- 230000015572 biosynthetic process Effects 0.000 claims description 6
- 238000012546 transfer Methods 0.000 claims description 5
- 239000000284 extract Substances 0.000 claims description 4
- 239000000126 substance Substances 0.000 abstract 1
- WHBMMWSBFZVSSR-UHFFFAOYSA-N 3-hydroxybutyric acid Chemical compound CC(O)CC(O)=O WHBMMWSBFZVSSR-UHFFFAOYSA-N 0.000 description 17
- 238000010586 diagram Methods 0.000 description 15
- 238000001208 nuclear magnetic resonance pulse sequence Methods 0.000 description 9
- 230000001066 destructive effect Effects 0.000 description 8
- 101100048435 Caenorhabditis elegans unc-18 gene Proteins 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 6
- 238000002474 experimental method Methods 0.000 description 6
- 238000005272 metallurgy Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 238000009434 installation Methods 0.000 description 3
- 230000009466 transformation Effects 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 2
- 230000003247 decreasing effect Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000035515 penetration Effects 0.000 description 2
- 230000001681 protective effect Effects 0.000 description 2
- 238000000844 transformation Methods 0.000 description 2
- 238000012443 analytical study Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000012447 hatching Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000003786 synthesis reaction Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
Заявленные технические решения объединены единым изобретательским замыслом, относятся к области информационной безопасности цифровых систем связи и могут быть использованы в распределенных вычислительных сетях (ВС), объединенных через сеть Интернет.The claimed technical solutions are united by a single inventive concept, relate to the field of information security of digital communication systems and can be used in distributed computing networks (AC), connected via the Internet.
Известен способ защиты от несанкционированного обмена между первой компьютерной сетью и второй компьютерной сетью, реализованный в «Системе защиты для связанных компьютерных сетей» по патенту РФ №2152691, МПК G06F 12/14, опубл. 10.07.2000 г.A known method of protection against unauthorized exchange between the first computer network and the second computer network, implemented in the "Protection System for Connected Computer Networks" according to the patent of the Russian Federation No. 2152691, IPC G06F 12/14, publ. 07/10/2000
Способ заключается в выполнении следующих действий: принимают на первый сетевой интерфейс из первой компьютерной сети коммуникационное сообщение в первом формате сетевого протокола. Преобразуют коммуникационное сообщение во второй формат сетевого протокола, в результате чего информация об адресах источника и назначения удаляется из коммуникационного сообщения. Передают коммуникационное сообщение во второй сетевой интерфейс. Осуществляют обратное преобразование во втором сетевом интерфейсе коммуникационного сообщения в первый формат сетевого протокола. Передают коммуникационное сообщение после обратного преобразования во вторую компьютерную сеть.The method consists in performing the following actions: receive a communication message in the first network protocol format on the first network interface from the first computer network. The communication message is converted to a second network protocol format, as a result of which the source and destination address information is deleted from the communication message. A communication message is transmitted to the second network interface. Carry out the inverse transformation in the second network interface of the communication message in the first format of the network protocol. A communication message is transmitted after the reverse conversion to a second computer network.
Недостатком известного способа является высокая вероятность нарушения конфиденциальности информации при использовании виртуальной частной сети, а именно прослушивание и реконструкция трафика виртуальной частной сети в некоторой точке сети Интернет.The disadvantage of this method is the high likelihood of violating the confidentiality of information when using a virtual private network, namely listening to and reconstructing the traffic of a virtual private network at some point on the Internet.
Известен также способ защиты виртуального канала, реализованный в «Системе защиты виртуального канала корпоративной сети с мандатным принципом управления доступом к ресурсам, построенной на каналах связи и средствах коммутации сети связи общего пользования» по патенту РФ №2163727, МПК G06F 13/00, F 12/14, опубл. 27.02.2001 г.There is also a method of protecting a virtual channel, implemented in the "Virtual channel protection system of a corporate network with the mandatory principle of access control to resources built on communication channels and switching means of a public communication network" according to RF patent No. 2163727, IPC G06F 13/00,
Способ заключается в выполнении следующих действий: клиент согласовывает свои права доступа с межсетевым экраном, для чего на межсетевом экране проходят проверки. Если все проверки пройдены, то направляется пакет, разрешающий соединение между клиентом и межсетевым экраном. Далее пакет, разрешающий соединение, приходит к клиенту, проходя блок приемопередатчика и блок шифрования/расшифрования и электронной подписи. Затем его передают в блок формирования закрытого протокола. После чего отправляют пакет, устанавливающий соединение по стандартному соединению, но в каждом пакете заменяют IP-адреса сервера назначения на IP-адрес межсетевого экрана корпорации.The method consists in the following actions: the client negotiates its access rights with the firewall, for which checks are performed on the firewall. If all the checks are passed, then a packet is sent that allows the connection between the client and the firewall. Next, the packet allowing the connection comes to the client, passing the transceiver unit and the encryption / decryption and electronic signature block. Then it is transferred to the closed protocol generation unit. Then they send a packet that establishes a connection using a standard connection, but in each packet they replace the IP addresses of the destination server with the IP address of the corporate firewall.
Недостатком известного способа является высокая вероятность проникновения в корпоративную сеть в точке подключения к сети Интернет и (или) нарушения ее нормального функционирования.The disadvantage of this method is the high probability of penetration into the corporate network at the point of connection to the Internet and (or) a violation of its normal functioning.
Известен способ защиты информации, циркулирующей в распределенной телекоммуникационной системе при передаче ее по каналам связи общего пользования, реализованный в «Распределенной телекоммуникационной системе для передачи разделенных данных, предназначенной для их раздельной передачи и приема» по патенту US 6912252, МПК H04L 12/56; H04L 12/28, опубл. 08.11.2001 г.There is a method of protecting information circulating in a distributed telecommunication system when transmitting it via public communication channels, implemented in the "Distributed telecommunication system for transmitting shared data intended for their separate transmission and reception" according to patent US 6912252, IPC
Способ заключается в выполнении следующих действий: исходные данные у отправителя разделяют на N частей. Далее из их комбинаций формируют группы промежуточных данных. Затем передают промежуточные данные независимо по N каналам связи. У получателя принимают группы промежуточных данных, пришедших по N каналам связи, и восстанавливают первоначальные данные.The method consists in the following actions: the source data from the sender is divided into N parts. Further, from their combinations, intermediate data groups are formed. Then, intermediate data is transmitted independently over N communication channels. The recipient receives groups of intermediate data arriving via N communication channels and restores the original data.
Недостатком данного способа является относительно невысокая безопасность связи вследствие передачи информации в открытом виде, и низкая скрытность связи вследствие увеличения вероятности распознавания структуры распределенной телекоммуникационной системы за счет увеличения вероятности обнаружения идентификаторов ее элементов при информационном обмене в результате увеличения числа каналов связи.The disadvantage of this method is the relatively low security of communication due to the transmission of information in open form, and low secrecy of communication due to the increased likelihood of recognizing the structure of a distributed telecommunication system due to an increase in the likelihood of identifying its identifiers in information exchange as a result of an increase in the number of communication channels.
Наиболее близким по своей технической сущности к заявленному является «Способ защиты корпоративной виртуальной частной компьютерной сети от несанкционированного обмена информацией с публичной транспортной сетью» по патенту РФ №2182355, МПК G06F 12/14, 9/00, опубл. 10.05.2002 г.Closest in technical essence to the claimed one is the "Method of protecting a corporate virtual private computer network from unauthorized exchange of information with a public transport network" according to RF patent No. 2182355, IPC
Способ заключается в выполнении следующих действий: предварительно формируют таблицы адресов источников и получателей и их соответствия идентификаторам. Формируют у отправителя исходный пакет данных. Определяют идентификаторы отправителя и получателя. Кодируют данные пакета. Добавляют в пакет сообщений дополнительную информацию (идентификаторы отправителя и получателя). Преобразуют выходной пакет в формат ТСР/IP. Включают в преобразованный пакет данных в формате TCP/IP текущие адреса отправителя и получателя. Передают сформированный пакет. Принимают у получателя переданный пакет. Выделяют из полученного пакета сообщений адреса и идентификаторы отправителя и получателя сообщений. Сравнивают у получателя выделенные из полученного пакета сообщений адреса и идентификаторы отправителя и получателя сообщений с предварительно запомненными адресами и идентификаторами отправителя и получателя сообщений. При их несовпадении принятый пакет сообщений не анализируют, а при их совпадении выделяют из полученного пакета закодированные данные. Декодируют полученные данные. Определяют соответствие содержащихся в полученном пакете адресов отправителя сообщений и получателя сообщений и идентификаторов отправителя сообщений и получателя сообщений предварительно записанным в третьем блоке памяти адресам отправителя сообщений и получателя сообщений и идентификаторам отправителя сообщений и получателя сообщений. Передают декодированные данные пакета получателю сообщения при совпадении.The method consists in performing the following actions: preliminary form tables of addresses of sources and recipients and their correspondence with identifiers. Form the source data packet from the sender. Identifies the sender and receiver. Encode packet data. Additional information (sender and recipient identifiers) is added to the message packet. Convert the output packet to TCP / IP format. Includes the current sender and receiver addresses in the converted TCP / IP data packet. Transfer the formed packet. Receive the transmitted packet from the recipient. The addresses and identifiers of the sender and receiver of messages are extracted from the received message packet. The recipient compares the addresses and identifiers of the sender and recipient of messages extracted from the received message packet with the pre-stored addresses and identifiers of the sender and recipient of messages. If they do not match, the received message packet is not analyzed, and if they match, the encoded data is extracted from the received packet. Decode the received data. The correspondence of the addresses of the message sender and the message recipient and the message sender and message recipient identifiers contained in the received packet with the addresses of the message sender and message recipient and the identifiers of the message sender and the message recipient are pre-recorded in the third memory unit. Transmit decoded packet data to the recipient of the message when they match.
Недостатком прототипа является относительно невысокая безопасность и скрытность связи из-за существования вероятности распознавания канала связи на участке, являющемся частью сети Интернет, путем идентификации адресов корреспондентов, а также возможности вскрытия структуры распределенной ВС.The disadvantage of the prototype is the relatively low security and secrecy of communication due to the likelihood of recognition of the communication channel on the site, which is part of the Internet, by identifying the addresses of correspondents, as well as the possibility of opening the structure of the distributed aircraft.
Известна «Система защиты для связанных компьютерных сетей» от несанкционированных обменов между первой компьютерной сетью и второй компьютерной сетью по патенту РФ №2152691, МПК G06F 12/14, опубл. 10.07.2000 г.The well-known "Protection System for Connected Computer Networks" from unauthorized exchanges between the first computer network and the second computer network according to the patent of the Russian Federation No. 2152691, IPC G06F 12/14, publ. 07/10/2000
Система содержит первый и второй сетевой интерфейс, каждый из которых имеет сетевой интерфейсный адаптер для обмена с первой и второй компьютерными сетями соответственно. Каждый из сетевых интерфейсов дополнительно снабжен адаптером передачи для обмена с адаптером передачи другого сетевого интерфейса и сетевые программные средства для предотвращения передачи информации об услугах маршрутизации между сетевыми интерфейсными адаптерами и адаптером передачи каждого из сетевых интерфейсов. Каждый сетевой интерфейс дополнительно содержит программные средства преобразования протокола.The system comprises a first and second network interface, each of which has a network interface adapter for exchanging with the first and second computer networks, respectively. Each of the network interfaces is additionally equipped with a transmission adapter for exchange with a transmission adapter of another network interface and network software to prevent the transfer of information about routing services between the network interface adapters and the transmission adapter of each of the network interfaces. Each network interface further comprises protocol conversion tools.
Недостатком данной системы является относительно невысокая защищенность канала связи при использовании виртуальной частной сети, что приводит к возможности несанкционированного прослушивания и реконструкции графика виртуальной частной сети в некоторой точке сети Интернет.The disadvantage of this system is the relatively low security of the communication channel when using a virtual private network, which leads to the possibility of unauthorized listening and reconstruction of the schedule of a virtual private network at some point on the Internet.
Известна также «Система защиты виртуального канала корпоративной сети с мандатным принципом управления доступом к ресурсам, построенной на каналах связи и средствах коммутации сети связи общего пользования» по патенту РФ №2163727, МПК G06F 13/00, F 12/14, опубл. 27.02.2001 г.Also known is the "Virtual channel protection system of a corporate network with the mandate principle of access control to resources built on communication channels and switching means of a public communication network" according to RF patent No. 2163727, IPC
Система содержит М межсетевых экранов, каждый из которых состоит из блока приемопередатчика, блока фильтрации пакетов, блока шифрования/расшифрования и электронной подписи и блока аутентификации клиента по идентификатору, паролю и службе, причем первый вход/выход межсетевого экрана корпорации является первым входом/выходом блока приемопередатчика, второй вход/выход блока приемопередатчика соединен с первым входом/выходом блока фильтрации пакетов, второй вход/выход которого соединен с первым входом/выходом блока шифрования/расшифрования и электронной подписи, первый вход/выход входного межсетевого экрана корпорации является первым входом/выходом системы защиты. Каждый межсетевой экран корпорации включает блок формирования закрытого протокола, блок аутентификации клиента по IP-адресу, блок разрешения доступа по логическому имени сервера, блок выработки мандата на требуемые действия, блок проверки мандата клиента мандатом на требуемые действия и блок оперативного управления.The system contains M firewalls, each of which consists of a transceiver unit, a packet filtering unit, an encryption / decryption and electronic signature unit, and a client authentication unit by identifier, password, and service, the first input / output of the corporate firewall being the first input / output of the block transceiver, the second input / output of the transceiver unit is connected to the first input / output of the packet filtering unit, the second input / output of which is connected to the first input / output of the encryption / decryption unit Signature and electronic signature, the first input / output of the input firewall of the corporation is the first input / output of the security system. Each corporate firewall includes a closed protocol generation unit, a client authentication block by IP address, an access authorization block by the server’s logical name, a mandate generation unit for the required actions, a client mandate verification unit with the required actions mandate, and an operational management unit.
Недостатком данной системы является то, что она не обеспечивает полностью защищенного взаимодействия между клиентами и серверами распределенной ВС, что проявляется в высокой вероятности проникновения в ВС в точке подключения к сети Интернет и/или нарушения ее нормального функционирования.The disadvantage of this system is that it does not provide completely secure interaction between clients and distributed aircraft servers, which is manifested in the high probability of penetration into the aircraft at the point of connection to the Internet and / or its normal functioning.
Известна также «Распределенная телекоммуникационная система для передачи разделенных данных, предназначенная для их раздельной передачи и приема» по патенту US 6912252, МПК H04L 12/56; H04L 12/28, опубл. 08.11.2001 г.Also known is "Distributed telecommunications system for transmitting shared data, intended for their separate transmission and reception" according to patent US 6912252, IPC
Система содержит передающее и приемное устройства, соединенные N каналами связи.The system comprises a transmitting and receiving device connected by N communication channels.
Недостатком данной системы является относительно невысокий уровень защищенности информации, передаваемой по каналам связи, из-за отсутствия средств кодирования, а также низкая скрытность связи за счет введения дополнительных идентификаторов элементов распределенной телекоммуникационной системы в результате увеличения числа каналов связи между этими элементами.The disadvantage of this system is the relatively low level of security of information transmitted through communication channels due to the lack of coding facilities, as well as low secrecy of communication due to the introduction of additional identifiers of elements of a distributed telecommunication system as a result of an increase in the number of communication channels between these elements.
Наиболее близким по своей технической сущности к заявленной является «Система защиты корпоративной виртуальной частной компьютерной сети от несанкционированного обмена информацией с публичной транспортной сетью» по патенту РФ №2182355, МПК G06F 12/14, 9/00, опубл. 10.05.2002 г.Closest in its technical essence to the declared one is the “System for protecting a corporate virtual private computer network from unauthorized exchange of information with a public transport network” according to RF patent No. 2182355, IPC
В системе защиты корпоративной виртуальной частной компьютерной сети от несанкционированного обмена информацией с публичной транспортной сетью корпоративная виртуальная частная компьютерная сеть содержит два процессора и соединенные между собой через интерфейс два маршрутизатора. Один из них соединен с локальной вычислительной сетью (ЛВС) корпоративной виртуальной частной компьютерной сети, средством кодирования и декодирования и первым блоком памяти, предназначенным для записи и хранения таблицы с дополнительной информацией об отправителе и получателе сообщений. Второй маршрутизатор подключен к сети Интернет и соединен со вторым блоком памяти, предназначенным для хранения таблицы адресов источника и получателя сообщений.In the system for protecting the corporate virtual private computer network from unauthorized exchange of information with the public transport network, the corporate virtual private computer network contains two processors and two routers interconnected via an interface. One of them is connected to the local area network (LAN) of the corporate virtual private computer network, by means of encoding and decoding and the first memory unit, designed to record and store a table with additional information about the sender and receiver of messages. The second router is connected to the Internet and is connected to a second memory unit, designed to store a table of addresses of the source and recipient of messages.
Недостатком системы-прототипа является относительно невысокая безопасность и скрытность работы канала связи. Указанный недостаток обусловлен тем, что каналы связи удаленных сегментов ВС, построенных по принципу виртуальных частных сетей и объединенных через сеть Интернет, легко выделяются путем анализа трафика в некоторой точке сети Интернет, так как для них характерна высокая интенсивность обмена пакетами сообщений с одинаковыми адресами корреспондентов и закодированной информационной составляющей пакетов сообщений. При этом оказывается возможным определение адресов удаленных сегментов ВС и раскрытие структуры распределенной ВС. Такой информации достаточно для нарушения информационного обмена, либо для осуществления деструктивных воздействий по отношению к распределенной ВС.The disadvantage of the prototype system is the relatively low security and secrecy of the communication channel. This drawback is due to the fact that the communication channels of the remote segments of the aircraft, built on the principle of virtual private networks and connected via the Internet, are easily distinguished by analyzing traffic at some point on the Internet, since they are characterized by a high rate of exchange of message packets with the same addresses of correspondents and encoded information component of message packets. In this case, it is possible to determine the addresses of the remote segments of the aircraft and the disclosure of the structure of the distributed aircraft. Such information is enough to disrupt information exchange, or to implement destructive influences in relation to a distributed aircraft.
Целью заявленных технических решений является разработка способа (варианты) и устройства (варианты) защиты канала связи ВС, обеспечивающих повышение безопасности и скрытности работы канала связи в сети Интернет за счет усложнения процедуры определения адресов и выявления взаимосвязей удаленных сегментов распределенной ВС при анализе графика в некоторой точке сети Интернет путем непрерывного изменения в передаваемых пакетах сообщений адресов отправителя и получателя, что делает практически невозможным их определение и идентификацию относительно конкретного пользователя сети или вскрытие структуры распределенной ВС.The purpose of the claimed technical solutions is to develop a method (options) and devices (options) for protecting the communication channel of the aircraft, providing increased security and secrecy of the communication channel on the Internet by complicating the process of determining addresses and identifying the relationships of remote segments of a distributed aircraft when analyzing the graph at some point Internet by continuously changing in the transmitted message packages the addresses of the sender and recipient, which makes it almost impossible to determine and identify them relative to a particular user or network structure opening distributed CS.
В первом варианте способа поставленная цель достигается тем, что в известном способе защиты канала связи ВС, заключающемся в том, что предварительно задают исходные данные, включающие адреса отправителя и получателя сообщений, формируют у отправителя исходный пакет данных, кодируют его, преобразуют в формат TCP/IP, включают в него текущие адреса отправителя и получателя и передают сформированный информационный пакет сообщений получателю, из принятого у получателя пакета сообщений выделяют адреса отправителя и получателя, сравнивают их с предварительно заданными адресами, при их несовпадении принятые пакеты не анализируют, а при совпадении из принятого пакета сообщений выделяют кодированные данные и декодируют их, в предварительно заданные исходные данные дополнительно включают базу из N адресов отправителя и S адресов получателя. Назначают из заданной базы текущие адреса отправителя Ато и получателя Атп и запоминают их. Причем назначенные адреса отправителя Ато и получателя Атп запоминают у получателя в качестве обратного адреса отправителя Аоо п и обратного адреса получателя Аоп п. Формируют у отправителя информацию об обратных адресах отправителя Аоо о и получателя Аоп о, для чего у отправителя из предварительно заданной базы адресов выделяют в качестве обратных адреса отправителя Аоо о и получателя Аоп о и запоминают их. Для формирования у отправителя информационного пакета сообщений в исходный пакет данных включают обратные адреса отправителя Аоо о и получателя Аоп о. После преобразования кодированного пакета данных в формат TCP/IP, включения в него предварительно запомненных текущих адресов отправителя Ато и получателя Атп и передачи от отправителя к получателю информационного пакета сообщений, у отправителя заменяют его ранее назначенный текущий адрес Ато на предварительно запомненный обратный адрес отправителя Аоо о. Выделяют у получателя из принятого информационного пакета сообщений кодированные данные и декодируют их. Выделяют из декодированных данных обратные адреса отправителя Аоо о и получателя Аоп о. Запоминают их в качестве текущих адресов отправителя Ато и получателя Атп, а затем заменяют текущий адрес получателя Атп на новый, выделенный из декодированных данных адрес получателя Аоп о. После чего формируют у получателя информацию об обратных адресах отправителя Аоо п и получателя Аоп п, для чего выделяют у получателя из предварительно заданной базы адресов в качестве обратных адреса отправителя Аоо п и получателя Аоп п и запоминают их. Формируют у получателя уведомляющий пакет сообщений, для чего формируют исходный пакет данных с уведомлением о получении информационного пакета сообщений и промежуточный пакет путем включения в исходный пакет данных обратных адресов отправителя Аоо п и получателя Аоп п. Кодируют промежуточный пакет данных, преобразуют его в формат TCP/IP, включают в преобразованный пакет предварительно запомненные текущие адреса отправителя Ато и получателя Атп. Передают сформированный уведомляющий пакет сообщений от получателя к отправителю, после чего у получателя заменяют его текущий адрес Атп на предварительно запомненный обратный адрес получателя Аоп п. Принимают у отправителя уведомляющий пакет, выделяют из него адреса отправителя Ато и получателя Атп. Сравнивают их с предварительно запомненными у отправителя обратными адресами отправителя Аоо о и получателя Аоп о. При их несовпадении принятый уведомляющий пакет сообщений не анализируют, а при совпадении выделяют из принятого уведомляющего пакета сообщений кодированные данные, декодируют их и выделяют из них обратные адреса отправителя Аоо п и получателя Аоп п. Причем выделенные из декодированных данных обратные адреса получателя Аоп п и отправителя Аоо п запоминают в качестве текущих адресов получателя Атп и отправителя Ато, а текущий адрес отправителя Ато заменяют на новый, выделенный из декодированных данных адрес отправителя Аоо п. После чего повторно формируют у отправителя информацию об обратных адресах отправителя Аоо о и получателя Аоп о.In the first variant of the method, the goal is achieved by the fact that in the known method of protecting the communication channel of the aircraft, which consists in pre-setting the initial data, including the addresses of the sender and recipient of messages, they form the source data packet from the sender, encode it, convert it to TCP / IP, include the current addresses of the sender and recipient and transmit the generated information packet of messages to the recipient, from the received packet of messages the addresses of the sender and recipient are selected, compare them with redvaritelno predetermined addresses, when no discrepancy of the received packets are analyzed, and the coincidence of the received message packet recovered encoded data and decoding them in the preset initial data base further include N of sender and recipient addresses S. Assign from the given database the current addresses of the sender And then the recipient And TP and remember them. And designated address of the sender and the recipient And A m stored in the recipient as the return address of the sender A ^ n and the return address of the recipient A op n. Formed at the sender's information return addresses of the sender A and recipient oo op of A, for which the sender of a predetermined base address is isolated as the return address of the sender A and recipient oo op of A and memorize them. For the formation of the sender information message packet to the original data packet back to the sender addresses include A ^ O and A recipient of op. After the conversion of the encoded data packet in TCP / IP format, the inclusion of pre-stored current address of the sender And then the receiver A m and the transmission from the sender to the recipient of the information message packet, the sender replace its previously assigned current address And then on the pre-stored return address sender A oo about . The encoded data is extracted from the recipient from the received information packet of messages and decoded. Recovered from the decoded data back to the sender address of the A ^ and A recipient of op. Remember them as the current addresses of the sender And then the recipient And TP , and then replace the current address of the recipient And TP to the new address of the recipient And op about selected from the decoded data. After that, the recipient generates information about the return addresses of the sender A o p and the recipient A op p , for which they select the recipient from the predefined address base as the return addresses of the sender A o p n and the recipient A op p and store them. A notification message packet is formed at the recipient, for which purpose an initial data packet with a notification of receipt of an information message packet and an intermediate packet are formed by including the return addresses of the sender A o p and the recipient A op p in the original data packet. Encode the intermediate data packet, convert it into TCP / IP format, the converted packet includes the current pre-stored sender A and the receiver A mn. The generated notification message packet is transmitted from the recipient to the sender, after which the recipient is replaced with his current address A tp by the previously stored recipient address A op p . They take a notification packet from the sender, extract from it the addresses of the sender And then the recipient A TP . Compare them with the sender's return address, previously stored by the sender, of the sender A о о о and the recipient A op о . If they do not match, the received notification message packet is not analyzed, but if it matches, the encoded data is extracted from the received notification message packet, decoded, and the return addresses of the sender A o p and receiver A op p are extracted from them. Moreover, the return addresses of the recipient A op p and the sender A oo p extracted from the decoded data are remembered as the current addresses of the recipient A tp and sender A then , and the current address of the sender A then is replaced with the new address of the sender A oo p isolated from the decoded data. Then re-form at the sender information on the return addresses of the sender A oo about and the recipient A op about .
Значения N и S адресов отправителя и получателя выбирают в пределах N-10-256, S-10-256.The values of N and S addresses of the sender and receiver are selected in the range of N-10-256, S-10-256.
Значения обратных адресов отправителя Аоо о и получателя Аоп о у отправителя и обратных адресов отправителя Аоо п и получателя Аоп п у получателя выбирают по случайному закону или по заранее заданному правилу.Values return addresses of the sender A and recipient of oo A op on the sender's return address of the sender A and recipient oo n A n op recipient selected randomly or according to a predetermined rule.
Во втором варианте способа поставленная цель достигается тем, что в известном способе защиты канала связи ВС, заключающемся в том, что предварительно задают исходные данные, включающие адреса отправителя и получателя сообщений, формируют у отправителя исходный пакет данных, кодируют его, преобразуют в формат TCP/IP, включают в него текущие адреса отправителя и получателя, передают сформированный информационный пакет сообщений получателю, из принятого у получателя пакета сообщений выделяют адреса отправителя и получателя, сравнивают их с предварительно заданными текущими адресами, при их несовпадении принятые пакеты не анализируют, а при совпадении из принятого пакета сообщений выделяют кодированные данные и декодируют их, в предварительно заданные исходные данные дополнительно включают базу из N адресов отправителя и S адресов получателя. Назначают из заданной базы текущие адреса отправителя Ато и получателя Атп и запоминают их. Задают у отправителя и получателя функции выбора текущего адреса отправителя FN(i) и получателя FS(i), где i=1, 2, 3, ..., в соответствии с которыми на i-м шаге назначают новые текущие адреса. Устанавливают равным единице номера шагов смены адресов io=1 и iп=1. После передачи от отправителя к получателю информационного пакета формируют у отправителя информацию о новых текущих адресах отправителя Ато i и получателя Атп i, для чего назначают у отправителя из заданной базы адресов в соответствии с предварительно заданными функциями выбора новые текущие адреса отправителя Ато=FN(i) и получателя Атп i=FS(i) и запоминают их в качестве текущих адресов отправителя Ато и получателя Атп. Затем заменяют у отправителя его текущий адрес Ато на новый текущий адрес отправителя Ато i и увеличивают номер шага io на единицу (io=io+1). У получателя выделяют из принятого информационного пакета сообщений кодированные данные и декодируют их. Формируют у получателя информацию о новых текущих адресах отправителя Ато i и получателя Атп i, для чего назначают у получателя из заданной базы адресов в соответствии с предварительно заданными функциями выбора новые текущие адреса отправителя Ато i=FN(i) и получателя Атп i=FS(i). Запоминают их в качестве текущих адресов отправителя Ато и получателя Атп. У получателя заменяют его текущий адрес на новый текущий адрес получателя Атп i и увеличивают номер шага iп на единицу (iп=iп+1). После чего повторно формируют у отправителя информационный пакет сообщений.In the second variant of the method, the goal is achieved by the fact that in the known method of protecting the communication channel of the aircraft, which consists in pre-setting the initial data, including the addresses of the sender and recipient of messages, they form the source data packet from the sender, encode it, convert it to TCP / IP, include the current addresses of the sender and recipient, transmit the generated information packet of messages to the recipient, select the addresses of the sender and recipient from the received packet of messages, compare them with redvaritelno predetermined current addresses received packets are analyzed as they do not match, and the coincidence of the received message packet recovered encoded data and decoding them in the preset initial data base further include N of sender and recipient addresses S. Assign from the given database the current addresses of the sender And then the recipient And TP and remember them. The sender and the recipient are asked to select the current address of the sender F N (i) and the recipient F S (i), where i = 1, 2, 3, ..., according to which new current addresses are assigned at the i-th step. Set equal to unity the number of steps of the change of addresses i o = 1 and i p = 1. After the transfer from the sender to the recipient of the information packet, information is generated from the sender about the new current addresses of the sender A then i and the receiver A tp i , for which purpose the sender from the specified address base is assigned new current addresses of the sender A then = F according to the predefined selection functions N (i) and the receiver a m i = F S (i) and storing them as a current address of the sender a and the receiver a mn. Then replace the sender of his current address And then a new current address of the sender And i and increase the step number i o per unit (i o = i o +1) . The recipient is isolated from the received information packet of messages encoded data and decode them. The recipient is formed with information about the new current addresses of the sender A then i and the receiver A tp i , for which purpose the recipient from the given address database is assigned, in accordance with predefined selection functions, the new current addresses of the sender A then i = F N (i) and receiver A mn i = F S (i). Remember them as the current addresses of the sender And then the recipient And TP . The recipient replaces his current address with the new current address of the recipient A TP i and increases the step number i p by one (i p = i p +1). After that, the information packet of messages is re-formed at the sender.
Значения N и S адресов отправителя и получателя выбирают в пределах N=10-256, S=10-256.The values of N and S addresses of the sender and receiver are selected in the range of N = 10-256, S = 10-256.
В качестве функции выбора адреса отправителя FN(i) и получателя FS(i) используют последовательность чисел Фибоначчи. где FN,S(i) позиция соответствующей пары адресов в предварительно сформированной базе адресов на i-м шаге назначения новых текущих адресовА.As a function of selecting the address of the sender F N (i) and the recipient F S (i), a sequence of Fibonacci numbers is used. where F N, S (i) is the position of the corresponding pair of addresses in the pre-formed base of addresses at the i-th step of assigning new current addresses A.
В третьем варианте способа поставленная цель достигается тем, что в известном способе защиты канала связи ВС, заключающемся в том, что предварительно задают исходные данные, включающие адреса отправителя и получателя сообщений, формируют у отправителя исходный пакет данных, кодируют его, преобразуют в формат TCP/IP, включают в него текущие адреса отправителя и получателя, передают сформированный пакет сообщений получателю, из принятого у получателя пакета сообщений выделяют адреса отправителя и получателя, сравнивают их с предварительно заданными текущими адресами, при их несовпадении принятые пакеты не анализируют, а при совпадении из принятого пакета сообщений выделяют кодированные данные и декодируют их, предварительно задают К максимально допустимое число одноадресных пакетов, задают функцию FК(i), определяющую число Δk пакетов сообщений с одинаковыми адресами отправителя и получателя. Устанавливают равным нулю число отправленных и полученных пакетов сообщений jo=0 и jп=0 и вычисляют с помощью функции FК(i) число Δk пакетов сообщений с одинаковыми адресами отправителя и получателя. Задают базу из N адресов отправителя и S адресов получателя. Назначают из заданной базы первоначальные текущие адреса отправителя Ато и получателя Атп и запоминают их. Затем задают у отправителя и получателя функции выбора текущего адреса отправителя FN(i) и получателя FS(i), где i=1, 2, 3, ..., в соответствии с которыми на i-м шаге назначают новые текущие адреса. Устанавливают равным единице номера шагов смены адресов io=1 и iп=1. После передачи от отправителя к получателю пакета сообщений увеличивают у отправителя число отправленных пакетов сообщений jo на единицу (jo=jo+1). Сравнивают у отправителя число отправленных пакетов сообщений jo с предварительно установленным Δk, и при их несовпадении переходят к приему у получателя пакета сообщений. При совпадении повторно устанавливают jo=0, увеличивают номер шага io на единицу (io=io+1) и вычисляют очередное значение Δk. Затем формируют у отправителя информацию о новых текущих адресах отправителя Ато i и получателя Атп i, для чего назначают у отправителя из заданной базы адресов в соответствии с предварительно заданными функциями выбора новые текущие адреса отправителя Ато i=FN(i) и получателя Атп i=FS(i) и запоминают выделенные адреса отправителя Ато i и получателя Атп i в качестве текущих адресов отправителя Ато и получателя Атп. После чего заменяют у отправителя его текущий адрес Ато на новый текущий адрес отправителя Ато i. После выделения у получателя из принятого информационного пакета сообщений кодированных данных и их декодирования увеличивают у получателя число принятых пакетов сообщений jп на единицу (jп=jп+1). Сравнивают у получателя число принятых пакетов сообщений jп с предварительно вычисленным значением Δk и при несовпадении переходят к формированию у отправителя очередного пакета сообщений. При совпадении устанавливают jп=0. Увеличивают номер шага iп на единицу (iп=iп+1) и вычисляют новое значение Δk. После чего формируют у получателя информацию о новых текущих адресах отправителя Ато 1 и получателя Атп i, для чего назначают у получателя из заданной базы адресов в соответствии с предварительно заданными функциями выбора новые текущие адреса отправителя Ато i=FN(i) и получателя Атп i=FS(i) и запоминают выделенные адреса отправителя Ато i и получателя Атп i в качестве текущих адресов отправителя Ато и получателя Атп. Затем заменяют у получателя его текущий адрес Атп на новый текущий адрес получателя Атп i. После чего формируют у отправителя очередной пакет сообщений.In the third variant of the method, the goal is achieved by the fact that in the known method of protecting the communication channel of the aircraft, which consists in pre-setting the initial data, including the addresses of the sender and recipient of messages, they form the source data packet from the sender, encode it, and convert it to TCP / IP, include the current address of the sender and recipient, transmit the generated message packet to the recipient, from the message packet received from the recipient, select the address of the sender and recipient, compare them with previously adannymi current addresses, when they do not match the received packets are analyzed and separated encoded data, and decodes them, previously assigned to the maximum number of unicast packets is set function F K (i), determines the number of Δk message packets with the same at the coincidence of the received message packet sender and receiver addresses. Set the number of sent and received message packets j o = 0 and j p = 0 to zero and calculate using the function F K (i) the number Δk of message packets with the same address of the sender and receiver. Define a base of N sender addresses and S recipient addresses. Assign from the given base the initial current addresses of the sender And then the recipient And TP and remember them. Then, the sender and the recipient are asked to select the current address of the sender F N (i) and the recipient F S (i), where i = 1, 2, 3, ..., in accordance with which new current addresses are assigned at the ith step . Set equal to unity the number of steps of the change of addresses i o = 1 and i p = 1. After transmission from the sender to the recipient of the message packet, the sender increases the number of sent message packets j o by one (j o = j o +1). The sender compares the number of sent message packets j o with the previously set Δk, and if they do not match, they proceed to receive the message packet from the recipient. If they match, they re-set j o = 0, increase the step number i o by one (i o = i o +1) and calculate the next value Δk. Then, the sender generates information about the new current addresses of the sender A then i and the recipient A tp i , for which purpose the sender from the given address database is assigned, in accordance with predefined selection functions, the new current addresses of the sender A then i = F N (i) and the recipient a m i = F S (i) and storing the selected address of the sender a and the receiver a i m i as the current address of the sender a and the receiver a mn. After that, the sender replaces his current address And then with the new current address of the sender And then i . After the recipient extracts encoded data from the received information packet of messages and decodes them, the recipient increases the number of received message packets j p by one (j p = j p +1). The recipient is compared with the number of received message packets j p with the previously calculated value Δk and, if they do not match, they proceed to form the next message packet at the sender. When coincident set j p = 0. Increase the step number i p by one (i p = i p +1) and calculate the new value Δk. After that, the recipient generates information about the new current addresses of the sender A then 1 and the recipient A tp i , for which purpose the new current addresses of the sender A then i = F N (i) are assigned from the given address base in accordance with the predefined selection functions, and a recipient mn i = F S (i) and storing the selected address of the sender a and the receiver a i m i as the current address of the sender a and the receiver a mn. Then, the recipient's current address A tp is replaced with the new current address of the recipient A tp i . Then they form the next packet of messages at the sender.
Значения N и S адресов отправителя и получателя выбирают в пределах N-10-256, S=10-256.The values of N and S addresses of the sender and receiver are selected in the range of N-10-256, S = 10-256.
Значение К - максимально допустимое число одноадресных пакетов выбирают в пределах К=200-250.The value of K - the maximum allowable number of unicast packets is selected within K = 200-250.
В качестве функции, определяющей число Δk пакетов сообщений с одинаковыми адресами отправителя и получателя используют последовательность чисел Фибоначчи. As a function determining the number Δk of message packets with the same sender and receiver addresses, a sequence of Fibonacci numbers is used.
В качестве функции выбора адреса отправителя FN(i) и получателя FS(i) используют последовательность чисел Фибоначчи. где FN,S(i) позиция соответствующей пары адресов в предварительно сформированной базе адресов на i-м шаге назначения новых текущих адресов.As a function of selecting the address of the sender F N (i) and the recipient F S (i), a sequence of Fibonacci numbers is used. where F N, S (i) is the position of the corresponding pair of addresses in a preformed base of addresses at the i-th step of assigning new current addresses.
В первом варианте устройства защиты канала связи ВС поставленная цель достигается тем, что в известном устройстве защиты канала связи ВС, содержащей локальный сегмент защиты (ЛСЗ), первый и второй вход/выходы которого подключены соответственно к ЛВС и маршрутизатору, подключенному к сети Интернет, и содержащей блок хранения базы адресов (БХБА), процессор, блок кодирования/декодирования (КД), информационные вход и выход, входы «пароль» и «тип преобразования» которого подключены к соответствующим портам процессора, в ЛСЗ дополнительно введены блок выбора адреса (БВА), блоки оперативного хранения обратных и текущих адресов (БОХОА и БОХТА), первый и второй сетевые адаптеры (СА). Управляющий вход БВА подключен к порту «адрес» процессора, а x-разрядный выход БВА подключен к x-разрядному входу БХБА, m-разрядный выход которого подключен к m-разрядному входу БОХОА. Управляющий вход и m-разрядный выход БОХОА подключены соответственно к порту «запрос обратного адреса» и m-разрядному порту «обратный адрес» процессора. Управляющий вход и m-разрядный выход БОХТА подключены соответственно к управляющему выходу «запрос текущего адреса» и m-разрядному порту «текущий адрес» процессора. При этом m-разрядный вход «смена текущего адреса» БОХТА подключен к m разрядному порту «смена текущего адреса» процессора. У первого СА n-разрядные выход и вход подключены соответственно к n-разрядным входу «исходный пакет» и выходу «исходный пакет» процессора. Выход «локальная сеть» первого СА является первым входом/выходом ЛСЗ. У второго СА p-разрядные вход и выход подключены соответственно к p-разрядным выходу и входу «информация/уведомление» процессора, а t-разрядный порт «управление» процессора подключен к t-разрядному управляющему входу второго сетевого адаптера. Выход «сеть Интернет» второго СА является вторым входом/выходом ЛСЗ.In the first embodiment of the aircraft communication channel protection device, the goal is achieved by the fact that in the known aircraft communication channel protection device containing a local protection segment (LSS), the first and second inputs / outputs of which are connected respectively to a LAN and a router connected to the Internet, and containing an address base storage unit (BHA), a processor, an encoding / decoding unit (CD), information input and output, the “password” and “conversion type” inputs of which are connected to the corresponding processor ports, additionally entered us block selection addresses (PNA), power and operational storage inverse current address (Boho and BOHTA), first and second network adapters (CA). The control input of the BVA is connected to the “address” port of the processor, and the x-bit output of the BVA is connected to the x-bit input of the BHBA, the m-bit output of which is connected to the m-bit input of BOKHA. The control input and the m-bit output of BOKHA are connected respectively to the “request return address” port and the m-bit “return address” port of the processor. The control input and m-bit output of BOHTA are connected respectively to the control output "request the current address" and the m-bit port "current address" of the processor. In this case, the m-bit input "change of the current address" BOHTA is connected to the m bit port "change of the current address" of the processor. In the first SA, n-bit output and input are connected respectively to the n-bit input “source packet” and output “source packet” of the processor. The “local area network” output of the first CA is the first input / output of the LSZ. In the second SA, p-bit input and output are connected respectively to the p-bit output and the “information / notification” input of the processor, and the t-bit port “control” of the processor is connected to the t-bit control input of the second network adapter. The “Internet” output of the second CA is the second input / output of the LSZ.
Во втором варианте устройства защиты канала связи ВС поставленная цель достигается тем, что в известном устройстве защиты канала связи ВС, содержащей ЛСЗ, первый и второй вход/выходы которого подключены соответственно к ЛВС и маршрутизатору, подключенному к сети Интернет, и содержащий БХБА, процессор, блок КД, информационные вход и выход, входы «пароль» и «тип преобразования» которого подключены к соответствующим портам процессора, в ЛСЗ дополнительно введены БВА, БОХТА, первый и второй СА. Управляющий вход БВА подключен к порту «адрес» процессора, а x-разрядный выход блока выбора адреса подключен к x-разрядному входу БХБА. У БХБА m-разрядный выход подключен к m-разрядному входу БОХТА. Управляющий вход и m-разрядный выход БОХТА подключены соответственно к порту «запрос текущего адреса» и m-разрядному порту «текущий адрес» процессора. У первого СА n-разрядные выход и вход подключены соответственно к n-разрядным входу «исходный пакет» и выходу «исходный пакет» процессора. Причем выход «локальная сеть» первого СА является первым входом/выходом ЛСЗ. У второго СА р-разрядные вход и выход подключены соответственно к р-разрядным выходу и входу «информация/уведомление» процессора, а t-разрядный порт «управление» процессора подключен к t-разрядному управляющему входу второго СА. Выход «сеть Интернет» второго СА является вторым входом/выходом ЛСЗ.In the second embodiment of the aircraft communication channel protection device, the goal is achieved by the fact that in the known aircraft communication channel protection device containing an LSS, the first and second inputs / outputs of which are connected respectively to a LAN and a router connected to the Internet, and containing a BCBA, a processor, a CD unit, informational input and output, the “password” and “conversion type” inputs of which are connected to the corresponding processor ports, in the LSZ additionally introduced BVA, BOCHTA, the first and second SA. The control input of the BVA is connected to the “address” port of the processor, and the x-bit output of the address selection block is connected to the x-bit input of the BChBA. In BHBA, the m-bit output is connected to the m-bit input of BOHTA. The control input and m-bit output of BOHTA are connected respectively to the port "request the current address" and the m-bit port "current address" of the processor. In the first SA, n-bit output and input are connected respectively to the n-bit input “source packet” and output “source packet” of the processor. Moreover, the output of the "local area network" of the first CA is the first input / output of the LSZ. In the second SA, the p-bit input and output are connected respectively to the p-bit output and the “information / notification” input of the processor, and the t-bit processor control port is connected to the t-bit control input of the second CA. The “Internet” output of the second CA is the second input / output of the LSZ.
В третьем варианте устройства защиты канала связи ВС поставленная цель достигается тем, что в известном устройстве защиты канала связи ВС, содержащей ЛСЗ, первый и второй вход/выходы которого подключены соответственно к ЛВС и маршрутизатору, подключенному к сети Интернет, и содержащий БХБА, процессор, блок КД, информационные вход и выход, входы «пароль» и «тип преобразования» которого подключены к соответствующим портам процессора, в ЛСЗ дополнительно введены БВА, БОХТА, первый и второй СА, счетчик одноадресных пакетов (СОП) и блок выбора числа одноадресных пакетов (БВЧОП). Управляющий вход БВА подключен к порту «адрес» процессора, а х-разрядный выход БВА подключен к х-разрядному входу БХБА. У БХБА m-разрядный выход подключен к m-разрядному входу БОХТА, управляющий вход и m-разрядный выход которого подключены соответственно к порту «запрос текущего адреса» и m-разрядному порту «текущий адрес» процессора. Управляющие входы «запрос одноадресных пакетов», «обнуление» и s-разрядный выход СОП подключены соответственно к портам «запрос одноадресных пакетов», «обнуление» и 5-разрядному входу «одноадресные пакеты» процессора. Управляющие входы «запрос числа», «запуск» и s-разрядный выход БВЧОП подключены соответственно к портам «запрос числа», «запуск» и s-разрядному входу «число» процессора. У первого СА n-разрядные выход и вход подключены соответственно к n-разрядным входу «исходный пакет» и выходу «исходный пакет» процессора. Причем выход «локальная сеть» первого СА является первым входом/выходом ЛСЗ. У второго СА p-разрядные вход и выход подключены соответственно к р-разрядным выходу и входу «информация/уведомление» процессора, a t-разрядный порт «управление» процессора подключен к t-разрядному управляющему входу второго СА. Выход «сеть Интернет» второго СА является вторым входом/выходом ЛСЗ.In the third embodiment of the aircraft communication channel protection device, the goal is achieved by the fact that in the known aircraft communication channel protection device containing an LSS, the first and second inputs / outputs of which are connected respectively to a LAN and a router connected to the Internet, and containing a BCBA, a processor, CD block, information input and output, the “password” and “conversion type” inputs of which are connected to the corresponding processor ports, in the LSZ additionally entered are BVA, BOCHTA, first and second CA, unicast packet counter (SOP) and a selection block Isla unicast packets (BVCHOP). The control input of the BVA is connected to the “address” port of the processor, and the x-bit output of the BVA is connected to the x-bit input of the BKhBA. In BCHBA, the m-bit output is connected to the m-bit input of BOHTA, the control input and m-bit output of which are connected respectively to the port "request the current address" and the m-bit port "current address" of the processor. The control inputs “request unicast packets”, “nulling” and s-bit output of the SOP are connected respectively to the ports “request unicast packets”, “nulling” and the 5-bit input “unicast packets” of the processor. The control inputs “number request”, “start” and s-bit output of the BCHOP are connected respectively to the ports “request number”, “start” and s-bit input “number” of the processor. In the first SA, n-bit output and input are connected respectively to the n-bit input “source packet” and output “source packet” of the processor. Moreover, the output of the "local area network" of the first CA is the first input / output of the LSZ. In the second SA, p-bit input and output are connected respectively to the p-bit output and the information / notification input of the processor, and the t-bit processor control port is connected to the t-bit control input of the second CA. The “Internet” output of the second CA is the second input / output of the LSZ.
Благодаря новой совокупности существенных признаков в каждом из вариантов способов и в реализующих их устройствах защиты канала связи ВС достигается непрерывное изменение в передаваемых пакетах сообщений адресов отправителя и получателя, что делает практически невозможным их определение и идентификацию относительно конкретного пользователя сети или вскрытие структуры распределенной ВС, т.е. обеспечивается возможность достижения сформулированного технического результата - повышения безопасности и скрытности работы канала связи ВС.Thanks to a new set of essential features in each of the method variants and in the aircraft communication channel protection devices that implement them, a continuous change in the transmitted message packages of the addresses of the sender and recipient is achieved, which makes it almost impossible to determine and identify them with respect to a specific network user or open the structure of a distributed aircraft, t .e. it is possible to achieve the formulated technical result - to increase the security and stealth of the aircraft communication channel.
Проведенный заявителем анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностью признаков, тождественных всем признакам заявленных технических решений, отсутствуют, что указывает на соответствие заявленного устройства условию патентоспособности «новизна».The analysis of the prior art by the applicant made it possible to establish that there are no analogues that are characterized by a combination of features identical to all the features of the claimed technical solutions, which indicates the compliance of the claimed device with the patentability condition “novelty”.
Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками каждого варианта заявленных изобретений, показали, что они не следуют явным образом из уровня техники. Из уровня техники также не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения преобразований на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».Search results for known solutions in this and related fields of technology in order to identify features that match the distinctive features of the prototype of each variant of the claimed inventions have shown that they do not follow explicitly from the prior art. The prior art also did not reveal the popularity of the impact provided by the essential features of the claimed invention transformations to achieve the specified technical result. Therefore, the claimed invention meets the condition of patentability "inventive step".
Заявленные объекты изобретений поясняются чертежами, на которых показаны:The claimed objects of the invention are illustrated by drawings, which show:
фиг.1 - пример типовой структуры распределенной ВС;figure 1 is an example of a typical structure of a distributed aircraft;
фиг.2 - структура пакета сообщений;figure 2 - structure of the message package;
фиг.3 - структура IP-заголовка пакета сообщений;figure 3 - structure of the IP header of the message packet;
фиг.4 - пример базы адресов отправителя и получателя;4 is an example of a base of addresses of the sender and recipient;
фиг.5 - блок-схема алгоритма, реализующего первый вариант заявленного способа защиты канала связи ВС;5 is a block diagram of an algorithm that implements the first variant of the claimed method of protecting the communication channel of the aircraft;
фиг.6 - чертеж, поясняющий процесс передачи и приема информационного и уведомляющего пакетов сообщений в первом варианте способа;6 is a drawing explaining the process of transmitting and receiving information and notification message packets in the first embodiment of the method;
фиг.7 - блок-схема алгоритма, реализующего второй вариант заявленного способа защиты канала связи ВС;7 is a block diagram of an algorithm that implements the second variant of the claimed method of protecting the communication channel of the aircraft;
фиг.8 - пример таблицы для назначения номера пары адресов в зависимости от номера шага смены адресов;Fig. 8 is an example of a table for assigning a pair of address numbers depending on the step number of the address change;
фиг.9 - чертеж, поясняющий процесс передачи и приема информационного и уведомляющего пакетов сообщений во втором варианте способа;Fig. 9 is a drawing explaining a process for transmitting and receiving information and notification message packets in a second embodiment of the method;
фиг.10 - блок-схема алгоритма, реализующего третий вариант заявленного способа защиты канала связи ВС;figure 10 is a block diagram of an algorithm that implements the third version of the claimed method of protecting the communication channel of the aircraft;
фиг.11 - таблица для назначения числа одноадресных пакетов в зависимости от номера шага смены адресов;11 is a table for assigning the number of unicast packets depending on the step number of the address change;
фиг.12 - распределенная ВС с первым вариантом устройства защиты;12 is a distributed aircraft with a first embodiment of a protection device;
фиг.13 - обобщенная схема распределенная ВС, снабженная устройством защиты канала связи ВС;Fig. 13 is a generalized distributed aircraft circuit equipped with an aircraft communication channel protection device;
фиг.14 - ЛСЗ в первом варианте устройства защиты;Fig - LSZ in the first embodiment of the protection device;
фиг.15 - схема БВА 3.1 в первом варианте устройства;Fig - diagram of the BVA 3.1 in the first embodiment of the device;
фиг.16 - блок-схема алгоритма работы процессора 3.2 в первом варианте устройства;Fig - block diagram of the algorithm of the processor 3.2 in the first embodiment of the device;
фиг.17 - схема БОХОА 3.6 (БОХТА 3.7);Fig - diagram BOHOA 3.6 (BOHTA 3.7);
фиг.18 - распределенная ВС со вторым вариантом устройства защиты;Fig. 18 is a distributed aircraft with a second embodiment of a protection device;
фиг.19 - ЛСЗ во втором варианте устройства защиты;Fig - LSZ in the second embodiment of a protection device;
фиг.20 - схема БВА 3.1 во втором варианте устройства;Fig. 20 is a diagram of a BVA 3.1 in a second embodiment of the device;
фиг.21 - блок-схема алгоритма работы процессора 3.2 во втором варианте устройства;Fig - block diagram of the algorithm of the processor 3.2 in the second embodiment of the device;
фиг.22 - распределенная ВС с третьим вариантом устройства защиты;Fig - distributed aircraft with a third embodiment of a protection device;
фиг.23 - ЛСЗ в третьем варианте устройства защиты;Fig - LSZ in the third embodiment of the protection device;
фиг.24 - блок-схема алгоритма работы процессора 3.2 в третьем варианте устройства;Fig - block diagram of the algorithm of the processor 3.2 in the third embodiment of the device;
фиг.25 - схема БВЧОП 3.7;FIG. 25 is a diagram of a BCHSC 3.7; FIG.
фиг.26 - обобщенная схема проведения эксперимента;Fig is a generalized diagram of the experiment;
фиг.27 - чертеж, представляющий структуру распределенной ВС, определенную в ходе эксперимента.Fig.27 is a drawing representing the structure of a distributed aircraft, determined during the experiment.
Реализация заявленных способов объясняется следующим образом. При объединении удаленных сегментов распределенной ВС через сети связи общего пользования (например, Интернет) усложняется решение задачи по обеспечению безопасности связи. Это связано с возникновением практически неограниченного спектра потенциальных угроз, связанных либо с несанкционированным доступом к информации или ее перехватом в процессе передачи по каналам связи, либо деструктивными воздействиями на ВС. Задача защиты информационной части пакетов сообщений достаточно эффективно решается средствами криптографии. Однако даже при отсутствии возможности декодирования перехваченной информации нарушитель путем деструктивного воздействия на телекоммуникационное оборудование может нарушить нормальное функционирование ВС. Это обусловлено тем, что адреса отправителей и получателей пакетов сообщений передаются в открытом виде. Таким образом, возникает противоречие между необходимостью открытой передачи адресов отправителей и получателей пакетов сообщений по каналам связи и требованием по обеспечению безопасности ВС, т.к. выявление истинных адресов корреспондирующих субъектов создает предпосылки для осуществления деструктивных воздействий на ВС. На устранение указанного противоречия направлены заявленные технические решения.The implementation of the claimed methods is explained as follows. When combining remote segments of a distributed aircraft through public communication networks (for example, the Internet), it becomes more difficult to solve the problem of ensuring communication security. This is due to the emergence of an almost unlimited range of potential threats associated with either unauthorized access to information or its interception during transmission through communication channels, or destructive effects on aircraft. The task of protecting the informational part of message packets is quite effectively solved by means of cryptography. However, even in the absence of the possibility of decoding the intercepted information, the intruder, by destructive impact on telecommunication equipment, may interfere with the normal functioning of the aircraft. This is due to the fact that the addresses of senders and recipients of message packets are transmitted in clear text. Thus, a contradiction arises between the need to openly transmit the addresses of senders and recipients of message packets over communication channels and the requirement to ensure aircraft safety, because the identification of the true addresses of the corresponding entities creates the prerequisites for the implementation of destructive effects on the aircraft. The claimed technical solutions are aimed at eliminating this contradiction.
Первый вариант заявленного способа реализуют следующим образом. В общем случае ЛВС представляет собой совокупность ПЭВМ, периферийного и коммуникационного оборудования, объединенного физическими линиями связи. Все эти элементы определяются идентификаторами, в качестве которых в наиболее распространенном стеке протоколов TCP/IP используются сетевые адреса (IP-адреса). При необходимости распределенной обработки информации и (или) ее передачи удаленные ЛВС объединяют, например, через сеть Интернет, образуя распределенную ВС. При таком объединении оконечное коммуникационное оборудование также идентифицируют сетевыми адресами, причем множество адресов оконечного коммуникационного оборудования и элементов ЛВС не пересекаются.The first variant of the claimed method is implemented as follows. In general, a LAN is a combination of a personal computer, peripheral and communication equipment, combined by physical communication lines. All these elements are identified by identifiers, which are used in the most common TCP / IP protocol stack by network addresses (IP addresses). If necessary, distributed information processing and (or) its transmission, remote LANs are combined, for example, via the Internet, forming a distributed aircraft. With this combination, terminal communications equipment is also identified by network addresses, and the multiple addresses of terminal communications equipment and LAN elements do not intersect.
Для передачи информации между удаленными ЛВС (например, ЛВС1 и ЛВС2 на фиг.1а) посредством протоколов взаимодействия устанавливают канал связи, под которым, в данном случае, понимают информационный поток от отправителя к получателю.To transfer information between remote LANs (for example, LAN 1 and LAN 2 in Fig. 1a), a communication channel is established by means of interaction protocols, which, in this case, means the information flow from the sender to the receiver.
Информационный поток от ЛВС1 к ЛВС2 передают через соответствующие маршрутизаторы и сеть Интернет (фиг.1а). В общем случае эту модель можно упростить и представить в виде оконечного коммуникационного оборудования корреспондентов (отправителя и получателя пакетов сообщений), а также канала связи между ними (фиг.1б).The information stream from LAN 1 to LAN 2 is transmitted through the respective routers and the Internet (figa). In the General case, this model can be simplified and presented in the form of terminal communication equipment of the correspondents (sender and recipient of message packets), as well as a communication channel between them (Fig.1B).
Для безопасной передачи данных через сеть связи общего пользования (например, Интернет) применяется криптографическая защита информационной части пакетов сообщений (фиг.2). При использовании таких механизмов в открытом виде передают только IP-заголовок. Структура IP-заголовка известна и показана на фиг.3. На фиг.3 штриховкой выделены поля адресов отправителя и получателя пакета сообщений.For secure data transmission through a public communication network (for example, the Internet), cryptographic protection of the information part of message packets is used (FIG. 2). When using such mechanisms, only the IP header is transmitted in clear text. The IP header structure is known and shown in FIG. In Fig. 3, the address and sender address fields of the message packet are highlighted by hatching.
В процессе динамического изменения сетевых адресов отправителю и получателю необходимо их согласовывать. Для этого у обоих корреспондентов предварительно задают базу из N адресов отправителя и S адресов получателя. Значения количества адресов отправителя N и получателя S выбирают исходя из размеров стандартной подсети. В частности, для подсети класса С значения N и S можно задать в пределах N=10-255, S=10-255, т.к. для данного класса подсети количество абонентов не превышает 255 (классификация подсетей известна и приведена, например, в книге Олифера В.Г. и Олифера Н.А. «Компьютерные сети. Принципы, технологии, протоколы.», уч. для ВУЗов, 2-изд. СПб.: Питер, 2003. с.498). Пример базы адресов, представленной в виде таблицы, показан на фиг.4. Первый столбец в таблице означает порядковый номер адреса отправителя или получателя в базе адресов. Во втором и четвертом столбцах представлены соответствующие значения адресов отправителя и получателя. IP-адрес, имеющий длину 4 байта (32 бита), отображают в таблице в наиболее употребляемом виде представления IP адреса - в десятичной форме (формат представления IP-адреса в десятичной форме известна и описана, например, в книге Олифера В.Г. и Олифера Н.А. «Компьютерные сети. Принципы, технологии, протоколы.», уч. для Вузов, 2-изд.; -СПб.: Питер, 2003. с.497). В третьем и пятом столбцах размещают дополнительную информацию об адресах. Например, в них указывают обозначение текущих адресов отправителя Ато и получателя Атп, а также обратных адресов отправителя Аоо о и получателя Аоп о.In the process of dynamically changing network addresses, the sender and the recipient must coordinate them. For this, both correspondents are preliminarily assigned a base of N sender addresses and S recipient addresses. The values of the number of addresses of the sender N and recipient S are selected based on the size of the standard subnet. In particular, for a class C subnet, the values of N and S can be set within N = 10-255, S = 10-255, because for this class of subnet, the number of subscribers does not exceed 255 (the classification of subnets is known and is given, for example, in the book by Olifer V.G. and Olifer N.A. “Computer Networks. Principles, Technologies, Protocols.”, Study for Universities, 2- Publishing House of St. Petersburg: Peter, 2003.S. 498). An example of an address database presented in a table is shown in FIG. 4. The first column in the table indicates the sequence number of the address of the sender or recipient in the address database. The second and fourth columns show the corresponding values of the sender and receiver addresses. An IP address having a length of 4 bytes (32 bits) is displayed in the table in the most used form of representation of the IP address - in decimal form (the format for representing the IP address in decimal form is known and described, for example, in the book of Olifer V.G. and Olifer N.A. "Computer networks. Principles, technologies, protocols.", Academic for universities, 2-ed .; SPb .: Peter, 2003. p.497). The third and fifth columns provide additional address information. For example, they point to indicate the current address of the sender and the recipient And A m, as well as the return address of the sender A and recipient of oo A op on.
Все составляющие пакетов сообщений (фиг.2, 3) представляют собой электромагнитные сигналы в цифровой (двоичной) форме. Рассматриваемые ниже действия над ними заключаются в соответствующих преобразованиях сигналов, при которых изменяются их параметры (общее число бит и последовательность их нулевых и единичных значений).All components of the message packets (figure 2, 3) are electromagnetic signals in digital (binary) form. The actions considered above on them consist in the corresponding signal transformations, in which their parameters are changed (the total number of bits and the sequence of their zero and unit values).
На фиг.5 представлена блок-схема алгоритма, поясняющего последовательность действий, реализующих заявленный способ защиты канала связи ВС.Figure 5 presents a block diagram of an algorithm explaining the sequence of actions that implement the claimed method of protecting the communication channel of the aircraft.
На начальном этапе из базы адресов назначают текущие адреса отправителя Ато и получателя Атп сообщений (бл.1 на фиг.5). При установке и настройке устройства системные администраторы могут назначать текущие адреса либо строго по инструкции, либо согласовав свои действия по телефону. Запоминают текущие адреса, для чего в поле дополнительной информации таблицы ставят соответствующие обозначения Ато и Атп (см. фиг.4). Причем назначенные адреса отправителя Ато и получателя Атп запоминают у получателя в качестве обратного адреса отправителя Аоо п и обратного адреса получателя Аоп п.At the initial stage, the current addresses of the sender And then the receiver A of TP messages are assigned from the address base (
У отправителя из предварительно заданной базы адресов случайным образом либо по заранее заданному алгоритму выделяют в качестве обратных адреса отправителя Аоо о и получателя Аоп о. Запоминают их (бл.2 на фиг.5), для чего в таблице (см. фиг.4) ставят соответствующие обозначения Аоо о Аоп о.The sender from a predefined address base randomly or by a predetermined algorithm allocate as the return address the sender A o o and the recipient A op o . Remember them (bl.2 in figure 5), for which purpose in the table (see figure 4) put the appropriate notation A o o A A op about .
Первоначально у отправителя формируют исходный пакет данных (бл.3 на фиг.5). Кроме того, в исходном пакете дополнительно резервируется 64-битное поле. Затем формируют промежуточный пакет (см. фиг.6а), для чего в зарезервированное поле исходного пакета данных включают обратные адреса отправителя Аоо о и получателя Аоп о (бл.4 на фиг.5), составляющие 64 бита информации, предварительно зафиксированные в таблице (фиг.4).Initially, the sender forms the initial data packet (
После чего кодируют любым из известных способов кодирования (см., например, книгу Молдовян Н.А. и др. «Криптография: от примитива к синтезу», СПб.: БВХ - Петербург, 2004, с.301-337) полученный промежуточный пакет (фиг.6а, бл.5 на фиг.5) и преобразуют его в формат TCP/IP (бл.6 на фиг.5). Преобразование заключается в добавлении IP-заголовка к кодированному пакету данных. Полученный в результате пакет является информационным пакетом сообщений (фиг.6а), общая структура которого показана на фиг.2. В поля адрес отправителя и адрес получателя IP-заголовка (фиг.3) включают предварительно запомненные текущие адреса отправителя Ато и получателя Атп (бл.7 на фиг.5) и передают получателю сформированный информационный пакет сообщений (бл.8 на фиг.5). После чего заменяют у отправителя ранее назначенный текущий адрес Ато (бл.3 на фиг.5) на предварительно запомненный обратный адрес отправителя Аоо о (в таблице в поле для дополнительной информации заменяют у этого адреса обозначение Аоо о на Ато). При этом маршрутизатору, подключенному к сети Интернет, передают команду о смене адреса и сам адрес. Механизм смены адресов у отправителя и получателя одинаков ввиду идентичности оборудования и/или программного обеспечения.After which they encode using any of the known encoding methods (see, for example, the book by N. Moldovyan and others. “Cryptography: from primitive to synthesis”, St. Petersburg: BVH - Petersburg, 2004, p. 301-337) received intermediate package (figa, bl.5 in Fig.5) and convert it to the TCP / IP format (bl.6 in Fig.5). The conversion is to add an IP header to the encoded data packet. The resulting packet is an informational message packet (Fig. 6a), the general structure of which is shown in Fig. 2. In the field of the sender address and the recipient's IP-header (3) include a pre-stored current sender A and the receiver A mn (bl.7 5) and transmitting the generated recipient information message packet (bl.8 FIG. 5). Then replace the sender address previously assigned to the current Otherwise (bl.3 5) previously memorized in the return address of the sender A ^ o (in the table in the field for additional information replace at this address designation of A ^ to the A). At the same time, the router connected to the Internet is given a command to change the address and the address itself. The mechanism for changing the addresses of the sender and the recipient is the same due to the identity of the equipment and / or software.
После приема у получателя информационного пакета сообщений (фиг.66, бл.10 на фиг.5) из его заголовка выделяют адреса отправителя Ато и получателя Атп (бл.11 на фиг.5), сравнивают их (бл.12 на фиг.5) (например, побитно) с предварительно заданными в таблице адресами отправителя и получателя Аоо п и Аоп п. При несовпадении адресов принятый пакет не анализируют, т.к. его отправитель не является санкционированным участником информационного обмена. При совпадении адресов из принятого пакета сообщений выделяют кодированные данные (бл.13 на фиг.5) путем отделения IP-заголовка и декодируют их (бл.14 на фиг.5).Upon receiving the message recipient information packet (fig.66, bl.10 5) is isolated from its header address of the sender A and the receiver A mn (5 bl.11), compare them (FIG bl.12 .5) (for example, bitwise) with the sender and recipient addresses Ao p and A op p predefined in the table If the addresses do not match, the received packet is not analyzed, because its sender is not an authorized participant in the information exchange. If the addresses match, the encoded data is extracted from the received message packet (block 13 in FIG. 5) by decoupling the IP header and decode them (block 14 in FIG. 5).
После этого из декодированных данных выделяют первые 64 бита, содержащие информацию об обратных адресах отправителя Аоо о и получателя Аоп о (бл.15 на фиг.5). Запоминают их в качестве текущих адресов отправителя Ато и получателя Атп (бл.16 на фиг.5), для чего в поле дополнительной информации таблицы ставят соответствующее обозначение (см. фиг.4). Затем заменяют текущий адрес получателя Атп на новый, выделенный из декодированных данных адрес получателя (бл.17 на фиг, 5).After that, the first 64 bits are selected from the decoded data, containing information about the return addresses of the sender A о о о and the recipient A op о (bl.15 in FIG. 5). Remember them as the current addresses of the sender And then the recipient And TP (bl.16 in figure 5), for which the corresponding designation is put in the field of additional information of the table (see figure 4). Then, the current address of the recipient A tp is replaced with a new recipient address isolated from the decoded data (block 17 in FIG. 5).
Далее формируют у получателя информацию об обратных адресах отправителя Аоо п и получателя Аоп п (бл.18 на фиг.5). Для этого выделяют случайным образом или по заранее заданному правилу у получателя из предварительно заданной базы адресов в качестве обратных адреса отправителя Аоо п и получателя Аоп п и запоминают их. При этом в поле дополнительной информации таблицы ставят соответствующее обозначение (фиг.4).Next, form the recipient information about the return addresses of the sender A o p and the recipient A op p (bl.18 in figure 5). To do this, select randomly or according to a predetermined rule from the recipient from a predefined database of addresses as the return address of the sender A o p and the recipient A op p and remember them. In this case, in the field of additional information of the table put the corresponding designation (figure 4).
Для подтверждения факта получения от отправителя пакета у получателя формируют уведомляющий пакет сообщений (фиг.6в, бл.19 на фиг.5). Для чего аналогично, как и у отправителя, формируют исходный пакет, представляющий собой уведомление о получении информационного пакета сообщений. Затем к исходному пакету добавляют обратные адреса отправителя Аоо п и получателя Аоп п и получают промежуточный пакет данных (бл.20 на фиг.5).To confirm the fact of receiving a packet from the sender, a notification message packet is generated from the recipient (Fig.6c, bl.19 in Fig.5). Why, similarly, as with the sender, form the source package, which is a notification of receipt of an information message package. Then, the return address of the sender A o p and the recipient A op p is added to the source packet and an intermediate data packet is received (
Далее кодируют промежуточный пакет данных (бл.21 на фиг.5) и преобразуют его в формат TCP/IP (бл.22 на фиг.5). Включают в преобразованный пакет предварительно запомненные текущие адреса отправителя Ато и получателя Атп (бл.23 на фиг.5) и передают уведомляющий пакет отправителю (бл.24 на фиг.5). После этого у получателя заменяют его текущий адрес Атп на предварительно запомненный обратный адрес получателя Аоп п (бл.25 на фиг.5).Next, an intermediate data packet is encoded (block 21 in FIG. 5) and converted to the TCP / IP format (block 22 in FIG. 5). They include a converted packet previously stored current sender A and the receiver A mn (bl.23 5) and transmitting the notification packet to the sender (bl.24 in Figure 5). After that, the recipient's current address A tp is replaced with the previously stored recipient address A op p (bl.25 in FIG. 5).
После приема у отправителя уведомляющего пакета (фиг.6г, бл.26 на фиг.5), выделяют из него адреса отправителя Ато и получателя Атп (бл.27 на фиг.5) и сравнивают их по таблице с предварительно запомненными у отправителя обратными адресами отправителя Аоо о и получателя Аоп о (бл.28 на фиг.5). При несовпадении адресов принятый пакет сообщений не анализируют, а при совпадении выделяют из принятого уведомляющего пакета сообщений кодированные данные (бл.29 на фиг.5) и декодируют их (бл.30 на фиг.5).Upon receiving the notification packet from the sender (fig.6g, bl.26 in Figure 5), is isolated from it the sender A and the receiver A mn (bl.27 in Figure 5) and compared in the table with a pre-stored in the sender the return addresses of the sender A oo about and the recipient A op about (bl.28 in figure 5). If the addresses do not match, the received message packet is not analyzed, but if it matches, the encoded data is extracted from the received notification message packet (bl.29 in FIG. 5) and decoded (bl.30 in FIG. 5).
Выделяют из декодированных данных обратные адреса отправителя Аоо п и получателя Аоп п (бл.31 на фиг.5). Причем выделенные обратные адреса получателя Аоп п и отправителя Аоо п запоминают в качестве текущих адресов получателя Атп и отправителя Ато (бл.32 на фиг.5). Текущий адрес отправителя Ато заменяют на новый адрес отправителя Аоо п (бл.33 на фиг.5), выделенный из декодированных данных.Isolated from reverse decoded data sender A and recipient oo n A n op (bl.31 in Figure 5). Moreover, the selected return addresses of the recipient A op p and the sender A oo p are remembered as the current addresses of the recipient A mp and the sender A then (block 32 in FIG. 5). The current address of the sender And then replaced with the new address of the sender A oo p (bl.33 in figure 5), selected from the decoded data.
После этого переходят к формированию у отправителя информации об обратных адресах отправителя Аоо о и получателя Аоп о.After that, they proceed to the formation of the sender information about the return addresses of the sender A oo about and the recipient A op about .
Таким образом, в первом варианте способа достигается непрерывное изменение в передаваемых пакетах сообщений адресов отправителя и получателя. Причем изменение происходит в каждом переданном пакете сообщений, а новые адреса для смены выбирают случайным образом и передают в закодированном виде. В открытом виде передают только текущие адреса. Это делает практически невозможным их определение и идентификацию относительно конкретного пользователя сети и вскрытие структуры распределенной ВС, т.е. обеспечивается возможность повышения безопасности и скрытности работы канала связи ВС.Thus, in the first embodiment of the method, a continuous change in the transmitted message packets of the addresses of the sender and receiver is achieved. Moreover, the change occurs in each transmitted message packet, and the new addresses for the change are selected randomly and transmitted in encoded form. Only the current addresses are transmitted in clear text. This makes it practically impossible to identify and identify them with respect to a particular network user and to reveal the structure of a distributed aircraft, i.e. It provides the opportunity to increase the security and stealth of the aircraft communication channel.
Во втором варианте способа, так же, как и в первом для достижения сформулированного технического результата, т.е. повышения безопасности и скрытности работы канала связи ВС, обеспечивается непрерывное изменение адресов отправителя и получателя. Этот вариант способа реализуют для случаев работы корреспондентов без подтверждения получателем факта приема от отправителя информационного пакета сообщений.In the second variant of the method, as well as in the first to achieve the formulated technical result, i.e. improving the security and secrecy of the aircraft communication channel, a continuous change in the addresses of the sender and receiver is provided. This variant of the method is implemented for cases of the work of correspondents without confirmation by the recipient of the fact of receiving from the sender an information message package.
На фиг.7 представлена блок-схема алгоритма, поясняющая последовательность действий, реализующих заявленный способ защиты канала связи ВС.Figure 7 presents a block diagram of an algorithm explaining the sequence of actions that implement the claimed method of protecting the communication channel of the aircraft.
В исходные данные (бл.1 на фиг.7) кроме предварительно заданной базы из N адресов отправителя и S адресов получателя дополнительно задают у отправителя и получателя функции выбора текущего адреса отправителя FN(i) и получателя FS(i), где i=1, 2, 3, ..., в соответствии с которыми на i-м шаге назначают новые текущие адреса и устанавливают равным единице номера шагов смены адресов у отправителя io=1 и получателя iп=1. В качестве функции выбора адреса отправителя FN(i) и получателя FS(i) используют последовательность чисел Фибоначчи. где FN,S(i) позиция соответствующей пары адресов в предварительно сформированной базе адресов (см. фиг.4) на i-м шаге назначения новых текущих адресов. Пример выбора текущих адресов у отправителя или получателя в соответствии с функцией FN,S(i) представлен на фиг.8. Например, при i=2 Ф(i)=1, F=N,S(1)=1 и согласно таблице на фиг.4 адреса отправителя и получателя соответствуют первой паре адресов - 218.113.77.1 и 218.113.78.1; при i=21 Ф(i)=10946, FN,S(i)=6 и согласно таблице на фиг.4 адреса отправителя и получателя соответствуют шестой паре адресов - 218.113.77.6 и 218.113.78.6. Также предварительно назначают из базы адресов текущие адреса отправителя Ато и получателя Атп сообщений.In the source data (bl.1 in Fig. 7), in addition to a predefined database of N sender addresses and S recipient addresses, the sender and recipient are additionally given functions for selecting the current sender address F N (i) and recipient F S (i), where i = 1, 2, 3, ..., in accordance with which at the i-th step, new current addresses are assigned and set to the unit of the number of steps for changing addresses at the sender i o = 1 and the recipient i p = 1. As a function of selecting the address of the sender F N (i) and the recipient F S (i), a sequence of Fibonacci numbers is used. where F N, S (i) is the position of the corresponding pair of addresses in the pre-formed base of addresses (see Fig. 4) at the i-th step of assigning new current addresses. An example of the selection of current addresses from the sender or recipient in accordance with the function F N, S (i) is presented in Fig. For example, with i = 2 Ф (i) = 1, F = N, S (1) = 1 and according to the table in Fig. 4, the sender and receiver addresses correspond to the first pair of addresses - 218.113.77.1 and 218.113.78.1; with i = 21 Ф (i) = 10946, F N, S (i) = 6 and according to the table in figure 4, the addresses of the sender and receiver correspond to the sixth pair of addresses - 218.113.77.6 and 218.113.78.6. Also, the current addresses of the sender And then the receiver A of TP messages are pre-assigned from the address base.
Далее аналогично, как и в первом варианте способа, формируют исходный пакет данных (бл.2 на фиг.7, фиг.9а) и кодируют его (бл.3 на фиг.7, фиг.9а). Затем преобразуют кодированный пакет в формат TCP/IP (бл.4 на фиг.7), включают в него предварительно запомненные текущие адреса отправителя Ато и получателя Атп (бл.5 на фиг.7) и передают информационный пакет сообщений получателю (бл.6 на фиг.7, фиг.9а).Further, similarly, as in the first embodiment of the method, form the initial data packet (bl.2 in Fig.7, figa) and encode it (bl.3 in Fig.7, figa). Then the coded packet is converted into TCP / IP format (bl.4 7) include pre-stored in it the current address of the sender A and the receiver A mn (bl.5 7) and transmitting the information packet messages to the recipient (bl .6 in Fig. 7, Fig. 9a).
После этого дополнительно к первому варианту способа у отправителя из заданной базы адресов (таблицы) в соответствии с функциями выбора назначают новые текущие адреса (бл.7 на фиг.7) отправителя Ато i и получателя Атп i. Затем эти адреса запоминают в качестве текущих адресов отправителя Ато и получателя Атп (бл.8 на фиг.7), для чего в таблице (см. фиг.4) ставят соответствующие обозначения Ато и Атп. После этого у отправителя заменяют ранее назначенный текущий адрес Ато на новый текущий адрес отправителя Ато i (бл.9 на фиг.7) и увеличивают номер шага на единицу: io=io+1 (бл.10 на фиг.7).After that, in addition to the first variant of the method, the sender from the given address base (table), in accordance with the selection functions, is assigned new current addresses (bl.7 in FIG. 7) of the sender A then i and the receiver A TP i . Then these addresses are stored as the current addresses of the sender And then the receiver And TP (bl.8 in Fig.7), for which purpose in the table (see figure 4) put the corresponding designation And then A TP . After that, the sender replaces the previously assigned current address A then with the new current address of the sender A then i (bl. 9 in Fig. 7) and increases the step number by one: i o = i o +1 (bl. 10 in Fig. 7 )
Затем аналогично, как и в первом варианте способа, у получателя принимают пакет сообщений (бл.11 на фиг.7, фиг.96), выделяют из него адреса отправителя Ато и получателя Атп (бл.12 на фиг.7) и сравнивают их с предварительно заданными в таблице текущими адресами (бл.13 на фиг.7). При несовпадении адресов принятый пакет сообщений не анализируют, а при совпадении из него выделяют кодированные данные (бл.14 на фиг.7, фиг.9б) и декодируют их (бл.15 на фиг.7).Then, similarly as in the first embodiment of the method, the receiver receives the message packet (bl.11 7, fig.96), is isolated from it the sender A and the receiver A mn (bl.12 7) and compare them with the current addresses predefined in the table (bl.13 in Fig.7). If the addresses do not match, the received message packet is not analyzed, but if it matches, the encoded data is extracted from it (bl.14 in Fig.7, Fig.9b) and decoded (bl.15 in Fig.7).
После этого дополнительно к первому варианту способа у получателя из заданной базы адресов (таблицы) в соответствии с функциями выбора назначают новые текущие адреса отправителя Ато i и получателя Атп i (бл.14 на фиг.7). Затем эти адреса запоминают в качестве текущих адресов отправителя Ато и получателя Атп (бл.15 на фиг.7), для чего в таблице (см. фиг.4) ставят соответствующие обозначения Ато и Атп. После этого у получателя заменяют ранее назначенный текущий адрес Атп на новый текущий адрес получателя Атп i (бл.16 на фиг.7) и увеличивают номер шага на единицу: iп=iп+1 (бл.17 на фиг.7).After that, in addition to the first variant of the method, the recipient from the given address base (table), in accordance with the selection functions, is assigned the new current addresses of the sender And then i and the receiver And TP i (bl.14 in Fig.7). Then these addresses are stored as the current addresses of the sender And then the receiver And TP (bl.15 in Fig.7), for which purpose in the table (see figure 4) put the corresponding designation And then A TP . After that, the recipient replaces the previously assigned current address A tp with the new current address of the recipient A tp i (bl.16 in Fig.7) and increases the step number by one: i p = i p +1 (bl.17 in Fig.7 )
Далее переходят к формированию у отправителя очередного исходного пакета сообщений.Next, we proceed to the formation of the sender of the next source message packet.
Таким образом, во втором варианте способа также достигается непрерывное изменение в передаваемых пакетах сообщений адресов отправителя и получателя. Причем изменение происходит в каждом переданном пакете сообщений, а новые адреса для смены выбирают по заранее заданному правилу, известному только отправителю и получателю пакетов сообщений. Это делает практически невозможным определение адресов корреспондентов и идентификацию относительно конкретного пользователя сети и вскрытие структуры распределенной ВС, т.е. обеспечивается возможность повышения безопасности и скрытности работы канала связи ВС.Thus, in the second variant of the method, a continuous change in the transmitted message packets of the addresses of the sender and recipient is also achieved. Moreover, the change occurs in each transmitted message packet, and the new addresses for the change are selected according to a predetermined rule known only to the sender and recipient of the message packet. This makes it almost impossible to determine the addresses of correspondents and identify a specific network user and reveal the structure of a distributed aircraft, i.e. It provides the opportunity to increase the security and stealth of the aircraft communication channel.
Рассмотренные 1-ый и 2-ой варианты реализации способа обеспечивают скрытность истинных адресов корреспондирующих субъектов и, следовательно, невозможность вскрытия структуры распределенной ВС и осуществления деструктивных воздействий на ВС. В то же время нарушителю становится очевидным, что при наличии высокой интенсивности информационного обмена и отсутствии повторяющихся пар адресов пользователи предпринимают меры по защите канала связи от деструктивных воздействий, т.е. вводят в заблуждение потенциального нарушителя. В этом смысле, в ряде случаев оказывается нецелесообразно менять адреса корреспондентов после передачи (приема) каждого пакета сообщений. Повторение адресов корреспондирующих субъектов в последовательно отправляемых пакетах сообщений не вызовет подозрения у нарушителя и в то же время затруднит вскрытие им реальной структуры распределенной ВС посредством анализа и реконструкции ее графика. Эту возможность реализуют в третьем варианте способа.The considered 1st and 2nd variants of the method implementation ensure secrecy of the true addresses of the corresponding entities and, therefore, the impossibility of opening the structure of the distributed aircraft and the implementation of destructive effects on the aircraft. At the same time, it becomes obvious to the attacker that in the presence of a high intensity of information exchange and the absence of duplicate pairs of addresses, users take measures to protect the communication channel from destructive influences, i.e. mislead a potential intruder. In this sense, in some cases it turns out to be impractical to change the addresses of correspondents after the transmission (reception) of each message packet. Repeating the addresses of the corresponding entities in successively sent message packets will not cause suspicion among the violator and at the same time will make it difficult for him to reveal the real structure of the distributed aircraft through analysis and reconstruction of its schedule. This possibility is implemented in the third embodiment of the method.
В третьем варианте способа для достижения сформулированного технического результата, т.е. повышения безопасности и скрытности работы канала связи ВС, изменение адресов отправителя и получателя осуществляют не при каждой передаче пакета сообщений, а периодически, по заранее заданному, известному только отправителю и получателю правилу, что, в свою очередь, не будет вызывать подозрений у нарушителя. Этот вариант способа также реализуют для случаев работы корреспондентов без подтверждения получателем факта получения от отправителя информационного пакета сообщений.In the third embodiment of the method to achieve the formulated technical result, i.e. the security and secrecy of the communication channel of the aircraft, the sender and recipient addresses are changed not at each transmission of the message package, but periodically, according to a predetermined rule known only to the sender and recipient, which, in turn, will not cause suspicion among the violator. This variant of the method is also implemented for cases when correspondents work without confirmation by the recipient of the fact of receiving from the sender an information message package.
На фиг.10 представлена блок-схема алгоритма, поясняющего последовательность действий, реализующих заявленный способ защиты канала связи ВС.Figure 10 presents a block diagram of an algorithm explaining the sequence of actions that implement the claimed method of protecting the communication channel of the aircraft.
В исходные данные (бл.1 на фиг.10), аналогично, как и во втором варианте способа, предварительно задают базу из N адресов отправителя и S адресов получателя и функции выбора текущего адреса отправителя FN(i) и получателя FS(i), где i=1, 2, 3, ..., в соответствии с которыми на i-м шаге назначают новые текущие адреса. Также устанавливают равным единице номера шагов смены адресов у отправителя iо=1 и получателя iп=1. В качестве функции выбора адреса отправителя FN(i) и получателя FS(i), так же, как и во втором варианте способа, используют последовательность чисел Фибоначчи. где FN,S(i) позиция соответствующей пары адресов в предварительно сформированной базе адресов на i-м шаге назначения новых текущих адресов. Пример выбора текущих адресов у отправителя или получателя в соответствии с функцией FN,S(i) представлен на фиг.8. Аналогично предварительно назначают из базы адресов текущие адреса отправителя Ато и получателя Атп сообщений.In the source data (
Дополнительно у отправителя и получателя задают функцию F (i), определяющую число Δk пакетов сообщений, которые будут передаваться с одинаковыми адресами отправителя и получателя на i-ом шаге. В качестве функции FК(i), определяющей число Δk, также используют последовательность чисел Фибоначчи где К - максимально допустимое число одноадресных пакетов, которое, например, задают в пределах К=200-250. Назначение одноадресных пакетов, таким образом, наряду с защитой от анализа и реконструкции графика распределенной ВС, скроет от нарушителя факт применения мер защиты и не вызовет у него подозрений. Пример выбора числа одноадресных пакетов представлен на фиг.11. Вычисляют первоначальное число Δk. Устанавливают равным нулю число отправленных jo=0 и полученных jп=0 пакетов сообщений.Additionally, the function F (i) is specified for the sender and recipient, which determines the number Δk of message packets that will be transmitted with the same sender and receiver addresses at the i-th step. A sequence of Fibonacci numbers is also used as the function F K (i) determining the number Δk where K is the maximum allowable number of unicast packets, which, for example, are set within K = 200-250. The purpose of unicast packets, thus, along with protection against analysis and reconstruction of the distributed aircraft schedule, will hide from the intruder the fact of applying protective measures and will not cause him to suspect. An example of selecting the number of unicast packets is shown in FIG. The initial number Δk is calculated. Set to zero the number of sent j o = 0 and received j p = 0 message packets.
Далее аналогично, как и во втором варианте способа, формируют исходный пакет данных (бл.2 на фиг.10, фиг.9а) и кодируют его (бл.3 на фиг.10, фиг.9а). Затем преобразуют кодированный пакет в формат TCP/IP (бл.4 на фиг.10), включают в него предварительно запомненные текущие адреса отправителя Ато и получателя Атп (бл.5 на фиг.10) и передают информационный пакет сообщений получателю (бл.6 на фиг.10, фиг.9а).Further, similarly, as in the second embodiment of the method, form the initial data packet (bl.2 in Fig.10, figa) and encode it (bl.3 in Fig.10, figa). Then the coded packet is converted into TCP / IP format (bl.4 in Figure 10) include pre-stored in it the current address of the sender A and the receiver A mn (bl.5 in Figure 10) and transmitting the information packet messages to the recipient (bl .6 in Fig. 10, Fig. 9a).
После этого дополнительно ко второму варианту способа увеличивают у отправителя число отправленных пакетов сообщений jo на единицу: jo=jo+1 (бл.7 на фиг.10). Затем сравнивают полученное jo с предварительно установленным Δk (бл.8 на фиг.10). При несовпадении переходят к приему у получателя пакета сообщений. Таким образом, у следующего информационного пакета сообщений адреса отправителя и получателя не изменяются. Если jo=k, то заново устанавливают jo=0 и вычисляют новое Δk (бл.9 на фиг.10). После чего увеличивают номер шага назначения новых текущих адресов на единицу: io=io+1. Т.е. у отправителя происходит изменение текущих адресов отправителя и получателя.After that, in addition to the second variant of the method, the number of sent message packets j o is increased by one from the sender: j o = j o +1 (
Изменение текущих адресов отправителя и получателя осуществляют аналогично, как и во втором варианте способа. У отправителя из заданной базы адресов (таблицы) в соответствии с функциями выбора текущих адресов назначают новые текущие адреса (бл.10 на фиг.10) отправителя Ато i и получателя Атп i. Затем эти адреса запоминают в качестве текущих адресов отправителя Ато и получателя Атп (бл.11 на фиг.10). После этого у отправителя заменяют ранее назначенный текущий адрес Ато на новый текущий адрес отправителя Ато i (бл.12 на фиг.10). Далее у получателя принимают пакет сообщений (бл.13 на фиг.10, фиг.9б), выделяют из него адреса отправителя Ато и получателя Атп (бл.14 на фиг.10) и сравнивают их с предварительно заданными в таблице текущими адресами (бл.15 на фиг.10). При несовпадении адресов принятый пакет сообщений не анализируют, а при совпадении из него выделяют кодированные данные (бл.16 на фиг.10, фиг.9б) и декодируют их (бл.17 на фиг.10).Changing the current address of the sender and recipient is carried out in the same way as in the second version of the method. The sender from the given base of addresses (tables), in accordance with the functions for selecting the current addresses, is assigned new current addresses (bl.10 in FIG. 10) of the sender A then i and the receiver A TP i . Then these addresses are stored as the current addresses of the sender And then the receiver And TP (bl.11 in figure 10). After that, the sender replaces the previously assigned current address A then with the new current address of the sender A then i (bl.12 in FIG. 10). Next, the receiver receives the message packet (bl.13 10, 9b) is isolated therefrom the sender A and the receiver A mn (bl.14 in Figure 10) and compared with a preset current table address (bl.15 in figure 10). If the addresses do not match, the received message packet is not analyzed, and if it matches, the encoded data is extracted from it (bl.16 in FIG. 10, FIG. 9b) and decoded (bl.17 in FIG. 10).
Затем дополнительно ко второму варианту способа увеличивают у получателя число полученных пакетов сообщений jп на единицу: jп=jп+1 (бл.18 на фиг.10). Сравнивают полученное jп с предварительно установленным Δk (бл.19 на фиг.10). При несовпадении переходят к формированию отправителем очередного пакета сообщений. Таким образом, у получателя для анализа пришедших пакетов сообщений адреса отправителя и получателя не изменяются (на бл.15 фиг.10). Если jп=Δk, то заново устанавливают jп=0 и увеличивают номер шага назначения новых текущих адресов на единицу: iп=iп+1. После чего вычисляют новое Δk (бл.20 на фиг.10). Т.е. у получателя происходит изменение текущих адресов отправителя и получателя.Then, in addition to the second variant of the method, the number of received message packets j p is increased by one at the recipient: j p = j p +1 (block 18 in FIG. 10). Compare the obtained j p with a pre-installed Δk (bl.19 in figure 10). If there is a mismatch, they proceed to the formation by the sender of the next message packet. Thus, the recipient for the analysis of incoming message packets, the sender and recipient addresses are not changed (on
Изменение текущих адресов отправителя и получателя осуществляют аналогично, как и во втором варианте способа. У получателя из заданной базы адресов (таблицы) в соответствии с функциями выбора текущих адресов назначают новые текущие адреса (бл.21 на фиг.10) отправителя Ато i и получателя Атп i. Затем эти адреса запоминают в качестве текущих адресов отправителя Ато и получателя Атп (бл.22 на фиг.10). После этого у получателя заменяют ранее назначенный текущий адрес Атп на новый текущий адрес получателя Атп i (бл.23 на фиг.10).Changing the current address of the sender and recipient is carried out in the same way as in the second version of the method. The recipient from the given base of addresses (tables), in accordance with the functions for selecting the current addresses, is assigned new current addresses (Bl.21 in FIG. 10) of the sender And then i and the receiver And TP i . Then these addresses are stored as the current addresses of the sender And then the receiver And TP (bl.22 in figure 10). After that, the recipient replaces the previously assigned current address A TP to the new current address of the recipient A TP i (Bl.23 in FIG. 10).
Таким образом, в третьем варианте способа также достигается изменение в передаваемых пакетах сообщений адресов отправителя и получателя. Причем изменение происходит не при каждой передаче пакета сообщений, а периодически, по заранее заданному, известному только отправителю и получателю правилу. Это делает практически невозможным определение адресов корреспондентов и их идентификацию относительно конкретного пользователя сети, а также вскрытие структуры распределенной ВС, и одновременно с этим не вызывает подозрения у нарушителя относительно факта применения мер защиты, т.е. обеспечивается возможность повышения безопасности и скрытности работы канала связи ВС.Thus, in the third embodiment of the method, a change is also achieved in the transmitted message packets of the addresses of the sender and receiver. Moreover, the change does not occur at each transmission of the message packet, but periodically, according to a predetermined rule known only to the sender and receiver. This makes it almost impossible to determine the addresses of correspondents and their identification with respect to a specific network user, as well as opening the structure of the distributed aircraft, and at the same time does not raise suspicion from the violator regarding the fact of applying protective measures, i.e. It provides the opportunity to increase the security and stealth of the aircraft communication channel.
В общем виде распределенная ВС включает совокупность ЛВС 11-1k (см. фиг.12). Каждая пара ЛВС, например 11 и 1k (на фиг.12), снабжена устройством защиты, состоящим из 2-х локальных сегментов защиты (ЛСЗ) 31, 3k, подключенных к соответствующей ЛВС и через соответствующие маршрутизаторы 41, 4k к сети Интернет 2. Таким образом, канал связи ВС может быть представлен в виде, показанном на фиг.13. Он включает две взаимодействующие ЛВС 11 и 1k, соединенные друг с другом через соответствующие маршрутизаторы 41, 4k и Интернет 2 и снабженные устройством защиты канала связи (на фиг.13 обведено пунктиром). Устройство защиты состоит из 2-х идентичных ЛСЗ 31 и 3k, один из которых подключен к ЛВС 11, a k-й к ЛВС 1k.In general, the distributed aircraft includes a combination of LAN 1 1 -1 k (see Fig. 12). Each LAN pair, for example, 1 1 and 1 k (in Fig. 12), is equipped with a protection device consisting of 2 local protection segments (LANs) 3 1 , 3 k connected to the corresponding LAN and through the
В свою очередь в первом варианте заявленного устройства ЛСЗ (например, 31), показанный на фиг.14, состоит из БВА 3.1, процессора 3.2, первого 3.3 и второго 3.8 СА, блока КД 3.4, БХБА 3.5, БОХОА 3.6 и БОХТА 3.7.In turn, in the first embodiment of the claimed LSZ device (for example, 3 1 ), shown in Fig. 14, consists of a BVA 3.1, a processor 3.2, a first 3.3 and a second 3.8 SA, a CD unit 3.4, BHBA 3.5, BOKHA 3.6 and BOHTA 3.7.
Первый вход/выход ЛСЗ 3 подключен к ЛВС 1. Второй вход/выход ЛСЗ 3 подключен к маршрутизатору 4, в свою очередь подключенного к сети Интернет 2. Управляющий вход БВА 3.1 подключен к порту «адрес» процессора 3.2, а x-разрядный выход БВА 3.1 подключен к х-разрядному входу БХБА 3.5. У БХБА m-разрядный выход подключен к m-разрядному входу БОХОА 3.6. В БОХОА 3.6 управляющий вход подключен к порту «запрос обратных адресов» процессора 3.2, а m-разрядный выход подключен к m-разрядному порту «обратные адреса» процессора 3.2. Управляющий вход и m-разрядный выход БОХТА 3.7 подключены соответственно к управляющему выходу «запрос текущего адреса» и m-разрядному порту «текущий адрес» процессора 3.2. Также у БОХТА 3.7 m-разрядный вход «смена текущего адреса» подключен к m-разрядному порту «смена текущего адреса» процессора 3.2. У блока КД 3.4 информационные вход и выход, входы «пароль» и «тип преобразования» подключены к соответствующим портам процессора 3.2. У первого СА 3.3 n-разрядные выход и вход подключены соответственно к n-разрядным входу «исходный пакет» и выходу «исходный пакет» процессора 3.2. Выход «локальная сеть» первого СА 3.2 является первым входом/выходом ЛСЗ 3. У второго СА 3.8 р-разрядные вход и выход подключены соответственно к p-разрядным выходу и входу «информация/уведомление» процессора 3.2. У процессора 3.2 t-разрядный порт «управление» подключен к t-разрядному управляющему входу второго СА 3.8. Вход/выход «сеть Интернет» второго СА 3.8 является вторым входом/выходом ЛСЗ 3. Второй ЛСЗ выполнен аналогично первому.The first input / output of
Блок БВА 3.1 предназначен для формирования номера пары адресов отправителя и получателя. Его схема, показанная на фиг.15, состоит из генератора 8-значной псевдослучайной последовательности 3.1.1 и 8-ми логических элементов И 3.1.21-3.1.28. Схема генератора 8-значной псевдослучайной последовательности 3.1.1 известна и описана, например, в патенте РФ №2081450.Block BVA 3.1 is designed to generate the number of a pair of addresses of the sender and recipient. Its circuit, shown in Fig. 15, consists of an 8-digit pseudo-random sequence generator 3.1.1 and 8 logic elements AND 3.1.2 1 -3.1.2 8 . The generator circuit of the 8-digit pseudo-random sequence 3.1.1 is known and described, for example, in RF patent No. 2081450.
Процессор 3.2 предназначен для выработки управляющих сигналов, поступающих на соответствующие блоки ЛСЗ 3, для выполнения арифметических и логических операций преобразования информации, а также для кратковременного хранения, записи и выдачи информации. Алгоритм работы процессора 3.2, поясняющий последовательность действий в первом варианте устройства защиты канала связи ВС, реализующих первый вариант способа защиты канала связи ВС, показан на фиг.16. Принцип работы процессора известен и описан, например, в книге «Информатика: учебник» (под редакцией Н.В.Макаровой. - Финансы и статистика, 2002, с.141-147).The processor 3.2 is designed to generate control signals arriving at the
Первый СА 3.3 выполняет роль физического интерфейса между ЛВС и процессором.The first CA 3.3 acts as a physical interface between the LAN and the processor.
Второй СА 3.8 выполняет роль физического интерфейса между маршрутизатором и процессором. Сетевые адаптеры известны и описаны, например, в книге Галкина В.А. и Григорьева Ю.А. «Телекоммуникации и сети: Уч. пособие для вузов» (изд-во МГТУ им. Баумана, 2003, с.236-240).The second CA 3.8 acts as a physical interface between the router and the processor. Network adapters are known and described, for example, in the book by V. Galkin. and Grigoriev Yu.A. "Telecommunications and networks: Uch. manual for universities ”(publishing house of MSTU named after Bauman, 2003, p.236-240).
Блок КД 3.4 предназначен для шифрования и дешифрования данных. Схема устройства для управляемого преобразования двоичных данных, реализующего функции шифрования и дешифрования, известна и описана, например, в патенте РФ №2239291, 27.10.2004 г.Block KD 3.4 is intended for encryption and decryption of data. A device diagram for a controlled conversion of binary data that implements encryption and decryption functions is known and described, for example, in RF patent No. 2239291, 10.27.2004.
Блок БХБА 3.5 предназначен для хранения базы адресов отправителя и получателя (фиг.4), а также выдачи соответствующей пары адресов в БОХОА 3.6 после получения сигнала с БВА 3.1 с указанием номера пары адресов. Блок БХБА 3.5 является запоминающим устройством, схемы которых известны и реализованы, например, на микросхеме К155РУ1 (см. в книге В.Л.Шило «Популярные цифровые микросхемы: справочник», 2-е издание, испр. - Челябинск: Металлургия, 1989. с.160-171).Block BHBA 3.5 is designed to store the base address of the sender and recipient (figure 4), as well as the issuance of the corresponding pair of addresses in BOHOA 3.6 after receiving a signal from the BVA 3.1 indicating the number of the address pair. The BHBA 3.5 block is a storage device whose circuits are known and implemented, for example, on the K155RU1 microcircuit (see V.L.Shilo’s book “Popular Digital Microcircuits: A Reference Book”, 2nd edition, corrected - Chelyabinsk: Metallurgy, 1989. p. 160-171).
Блок БОХОА 3.6 предназначен для записи и хранения обратных адресов, а также для выдачи этих адресов по команде процессора 3.2.The block BOHOA 3.6 is intended for recording and storing return addresses, as well as for issuing these addresses at the command of processor 3.2.
Блок БОХТА 3.7 предназначен для записи и хранения текущих адресов, а также для выдачи их по команде процессора 3.2. Схемы БОХОА 3.6 и БОХТА 3.7 идентичны и могут быть реализованы различным образом, например, как показано на фиг.17. Схема состоит из 64-х элементов И, на вход которых подают: для БОХОА 3.6 управляющий сигнал от процессора 3.2 и 64-разрядную последовательность импульсов от БХБА 3.5; для БОХТА 3.7 управляющий сигнал от процессора 3.2 и 64-разрядную последовательность импульсов от процессора 3.2. 64 выхода элементов И (см. фиг.17) являются 64-разрядным выходом БОХТА 3.7 и БОХОА 3.6 и подключены к соответствующим портам процессора 3.2.Block BOHTA 3.7 is intended for recording and storing current addresses, as well as for issuing them at the command of processor 3.2. Schemes BOHOA 3.6 and BOHTA 3.7 are identical and can be implemented in various ways, for example, as shown in Fig.17. The circuit consists of 64 AND elements, the input of which is supplied: for BOHOA 3.6, a control signal from processor 3.2 and a 64-bit sequence of pulses from BHBA 3.5; for BOHTA 3.7 control signal from processor 3.2 and a 64-bit sequence of pulses from processor 3.2. The 64 outputs of AND elements (see Fig. 17) are the 64-bit output of BOHTA 3.7 and BOHOA 3.6 and are connected to the corresponding ports of processor 3.2.
Синхронизация работы элементов обеспечивается синхронными импульсами, которые подают на соответствующие входы блоков. На чертежах они не показаны.The synchronization of the operation of the elements is provided by synchronous pulses, which are fed to the corresponding inputs of the blocks. In the drawings they are not shown.
Устройство работает следующим образом. Исходный пакет данных (см. фиг.6а) из ЛВС 11 через первый СА 3.3, через порт П1 поступает на процессор 3.2. В процессоре 3.2 формируют сигнал запроса, который через порт П11 поступает на БОХОА 3.6 (см. фиг.14). Этот запрос в БОХОА 3.6 (см. фиг.17) разрешает прохождение через элементы И 64-значной последовательности импульсов, которые представляют собой обратные адреса отправителя и получателя (64-разрядная шина необходима для пары адресов длиной 32 бита каждый). Таким образом 64-значная последовательность через порт П12 поступает на процессор 3.2. После этого в процессоре 3.2 формируют промежуточный пакет данных (см. шаг 1 на фиг.16) путем добавления в исходный пакет обратных адресов отправителя и получателя (см. фиг.6а).The device operates as follows. The initial data packet (see figa) from the
Затем промежуточный пакет через информационный порт П3 процессора 3.2 отправляют в блок КД 3.4 (см. фиг.14). При этом в процессоре 3.2 формируют управляющие сигналы для кодера (см. шаг 2 на фиг.16) и через порт П4 передают ключ для преобразования, а через порт П5 сигнал с указанием типа преобразования (кодирование). Таким образом, в блоке КД 3.4 формируют кодированный пакет данных (см. фиг.6а), который из блока КД 3.4 через информационный порт П6 передают в процессор 3.2. Здесь осуществляют преобразование кодированного пакета в формат TCP/IP (см. шаг 3 на фиг.16). Преобразование заключается в добавлении IP-заголовка к кодированному пакету данных. Далее в процессоре 3.2 формируют сигнал запроса текущих адресов, который отправляют через порт П13. Этот запрос в БОХТА 3.7 (см. фиг.17) разрешает прохождение через элементы И 64-значной последовательности импульсов, которые представляют собой текущие адреса отправителя и получателя (64-разрядная шина необходима для пары адресов длиной 32 бита каждый). Таким образом 64-значная последовательность через порт П14 поступает на процессор 3.2. После этого в процессоре 3.2 в полученный в результате преобразования пакет в поля адрес отправителя и адреса получателя включают полученные с БОХТА 3.7 текущие адреса отправителя и получателя. Таким образом формируют информационный пакет сообщений (см. шаг 4 на фиг.16, фиг.6а), который через порт П7 процессора 3.2 передают через второй СА 3.8 на маршрутизатор 4, а затем в сеть Интернет 2.Then the intermediate packet through the information port P3 of the processor 3.2 is sent to the block KD 3.4 (see Fig.14). At the same time, control signals for the encoder are generated in processor 3.2 (see
После этого в процессоре 3.2 формируют команду маршрутизатору 4 на смену текущего адреса и передают ее вместе с новым текущим адресом отправителя (см. шаг 5 на фиг.16) через порт П8 для его установления на маршрутизаторе 4.After that, the processor 3.2 generates a command to
При приеме пакет сообщений (фиг.6б) через маршрутизатор 4 поступает на ЛСЗ (например 3k), аналогичный ЛСЗ 11, также показанный на фиг.14, где через второй СА 3.8 через порт П9 (фиг.14) его передают на процессор 3.2. Из полей адрес получателя и адрес отправителя IP-заголовка пакета сообщений (см. фиг.3) в процессоре 3.2 выделяют адреса отправителя и получателя (см. шаг 6 на фиг.16). При этом в процессоре 3.2 формируют сигнал запроса (см. бл.6 на фиг.16), который через порт П11 поступает на БОХОА 3.6 (см. фиг.14), откуда на процессор 3.2 через порт П12 передают обратные адреса отправителя и получателя. В процессоре 3.2 они сравниваются (побитно) с выделенными из полученного информационного пакета сообщений текущими адресами (см. шаг 7 на фиг.16). Если они не совпадают, то в устройстве не анализируют пришедший пакет сообщений и ожидают следующий. В случае совпадения в процессоре 3.2 выделяют из пакета сообщений кодированные данные (см. шаг 8 на фиг.16, фиг.6б) путем отделения IP-заголовка. Затем кодированный пакет через информационный порт П3 процессора 3.2 отправляют в блок КД 3.4 (см. фиг.14). При этом в процессоре 3.2 формируют управляющие сигналы для декодера (см. шаг 9 на фиг.16) и через порт П4 передают ключ для преобразования, а через порт П5 сигнал с указанием типа преобразования (декодирование). Далее открытые данные (см. фиг.66) из блока КД 3.4 через информационный порт П6 передают в процессор 3.2.Upon receipt, the message packet (Fig.6b) through the
После этого из декодированных данных в процессоре 3.2 выделяют первые 64 бита информации, являющиеся новыми обратными адресами отправителя и получателя (см. шаг 10 на фиг.16). Затем исходный пакет данных процессор 3.2 передает через порт П2 на первый СА 3.3, через который, в свою очередь, исходный пакет данных передают в ЛВС 1. При этом в процессоре 3.2 формируют команду на смену текущего адреса и передают ее через порт П8 через второй СА 3.8 на маршрутизатор 4 вместе с полученным обратным адресом получателя. Также процессор 3.2 передает через порт П15 этот адрес для смены на БОХТА 3.7. Затем в процессоре 3.2 формируют сигнал для запуска БВА 3.1 (см. шаг 11 на фиг.16), который через порт П10 (см. фиг.15) поступает на логические элементы И и разрешает прохождение псевдослучайной последовательности, постоянно генерируемой генератором 8-значной псевдослучайной последовательности 3.1.1, на выход БВА 3.1 к БХБА 3.5. В БХБА 3.5 эта последовательность определяет номер пары адресов в таблице (см. фиг.4) (8-значной последовательности достаточно для адресации к любой из 255 записей в базе, т.к. 28=256).After that, the first 64 bits of information, which are the new return addresses of the sender and receiver, are extracted from the decoded data in processor 3.2 (see
Аналогично формируют, передают и получают уведомляющий пакет сообщений.Similarly form, transmit and receive a notification message packet.
Далее формируют очередной информационный пакет сообщений у отправителя.Next, form the next information packet of messages from the sender.
Во втором варианте заявленного устройства распределенная ВС также включает совокупность ЛВС 11-1k (см. фиг.18). Каждая пара ЛВС, например, 11 и 1k (на фиг.18) снабжена устройством защиты, состоящим из 2-х локальных сегментов защиты (ЛСЗ) 31, 3k, подключенных к соответствующей ЛВС и через соответствующие маршрутизаторы 41, 4k к сети Интернет 2. Таким образом, канал связи ВС может быть представлен в виде, показанном на фиг.13. Он включает две взаимодействующие ЛВС 11 и 1k, соединенные друг с другом через соответствующие маршрутизаторы 41, 4k и Интернет 2 и снабженные устройством защиты канала связи (на фиг.13 обведено пунктиром). Устройство защиты состоит из 2-х идентичных ЛСЗ 31 и 3k, один из которых подключен к ЛВС11, а k-й к ЛВС1k.In the second embodiment of the claimed device, the distributed aircraft also includes a set of LAN 1 1 -1 k (see Fig. 18). Each pair of LANs, for example, 1 1 and 1 k (in Fig. 18) is equipped with a protection device consisting of 2 local protection segments (LANs) 3 1 , 3 k connected to the corresponding LAN and through the
В свою очередь, во втором варианте заявленного устройства ЛСЗ (например, 31), показанный на фиг.19, состоит из БВА 3.1, процессора 3.2, первого 3.3 и второго 3.7 СА, блока КД 3.4, БХБА 3.5 и БОХТА 3.6.In turn, in the second embodiment of the claimed LSZ device (for example, 3 1 ), shown in Fig. 19, consists of a BVA 3.1, a processor 3.2, a first 3.3 and a second 3.7 SA, a CD 3.4, BHBA 3.5 and BOHTA 3.6.
Первый вход/выход ЛСЗ 3 подключен к ЛВС 1. Второй вход/выход ЛСЗ 3 подключен к маршрутизатору 4, в свою очередь, подключенному к сети Интернет 2. Управляющий вход БВА 3.1 подключен к порту «адрес» процессора 3.2, а x-разрядный выход БВА 3.1 подключен к х-разрядному входу БХБА 3.5. У БХБА 3.5 m-разрядный выход подключен к m-разрядному входу БОХТА 3.6. Управляющий вход и m-разрядный выход БОХТА 3.6 подключены соответственно к порту «запрос текущих адресов» и m-разрядному порту «текущие адреса» процессора 3.2. У блока КД 3.4 информационные вход и выход, входы «пароль» и «тип преобразования» подключены к соответствующим портам процессора 3.2. У первого СА 3.3 n-разрядные выход и вход подключены соответственно к n-разрядным входу «исходный пакет» и выходу «исходный пакет» процессора 3.2. Выход «локальная сеть» первого СА 3.3 является первым входом/выходом ЛСЗ 3. У второго СА 3.7 p-разрядные вход и выход подключены соответственно к р-разрядным выходу и входу «информация/уведомление» процессора 3.2. У процессора 3.2 t-разрядный порт «управление» подключен к t-разрядному управляющему входу второго СА 3.7. Вход/выход «сеть Интернет» второго СА 3.7 является вторым входом/выходом ЛСЗ 3.The first input / output of
Блок БВА 3.1 предназначен для формирования номера адреса. Его схема, показанная на фиг.20, состоит из сумматора номера шага 3.1.1 и вычислителя номера адреса 3.1.2. Схема счетчика, реализующего функции сумматора номера шага 3.1.1, известна и описана, например, книге В.Л.Шило «Популярные цифровые микросхемы: справочник» (2-е издание, испр. - Челябинск: Металлургия, 1989. С.93-102). Вычислитель номера адреса 3.1.2 представляет собой вычислитель функции Фибоначчи, реализованный в виде микропроцессора для вычисления значений чисел Фибоначчи по формуле, указанной на стр.11 (или 13) данного описания.Block BVA 3.1 is designed to generate the address number. Its circuit shown in FIG. 20 consists of a step number adder 3.1.1 and an address number calculator 3.1.2. The counter circuit that implements the functions of the adder of step number 3.1.1 is known and described, for example, in the book by V. L. Shilo “Popular Digital Circuits: A Reference Book” (2nd edition, revised. Chelyabinsk: Metallurgy, 1989. P.93- 102). The address number calculator 3.1.2 is a Fibonacci function calculator implemented as a microprocessor for calculating the values of Fibonacci numbers according to the formula indicated on page 11 (or 13) of this description.
Алгоритм работы процессора 3.2, поясняющий последовательность действий во втором варианте устройства защиты канала связи ВС, реализующих второй вариант способа защиты канала связи ВС, показан на фиг.21.The algorithm of the processor 3.2, explaining the sequence of actions in the second embodiment of the device for protecting the communication channel of the aircraft, implementing the second version of the method of protecting the communication channel of the aircraft, is shown in Fig.21.
Блок БОХТА 3.6 предназначен для записи и хранения текущих адресов, поступающих с БХБА 3.5, а также выдачи их по команде процессора 3.2. Схема БОХТА 3.6 может быть реализована различным образом, например, как показано на фиг.17.Block BOHTA 3.6 is designed to record and store current addresses coming from BHBA 3.5, as well as issuing them at the command of processor 3.2. Scheme BOHTA 3.6 can be implemented in various ways, for example, as shown in Fig.17.
Назначение и схемы остальных блоков ЛСЗ 3 аналогичны, как в первом варианте реализации устройства защиты канала связи ВС.The purpose and schemes of the remaining blocks of
Устройство работает следующим образом. Исходный пакет данных (см. фиг.9а) из ЛВС 11 через первый СА 3.3, через порт П1 поступает на процессор 3.2. Затем исходный пакет через информационный порт ПЗ процессора 3.2 отправляют в блок КД 3.4 (см. фиг.19). После этого в процессоре 3.2 формируют управляющие сигналы для кодера (см. шаг 1 на фиг.21) и через порт П4 передают ключ для преобразования, а через порт П5 сигнал с указанием типа преобразования (кодирование). Таким образом в блоке КД 3.4 формируют кодированный пакет данных (см. фиг.9а), который из блока КД 3.4 через информационный порт П6 передают в процессор 3.2. Здесь осуществляют преобразование кодированного пакета в формат TCP/IP (см. шаг 2 на фиг.21). Преобразование заключается в добавлении IP-заголовка к кодированному пакету данных. Далее в процессоре 3.2 формируют сигнал запроса текущих адресов, который отправляют через порт П11. Этот запрос в БОХТА 3.6 (см. фиг.17) разрешает прохождение через элементы И 64-значной последовательности импульсов, которые представляют собой текущие адреса отправителя и получателя (64-разрядная шина необходима для двух адресов длиной 32 бита каждый). Таким образом 64-значная последовательность через порт П12 поступает на процессор 3.2. После этого в процессоре 3.2 в полученный в результате преобразования пакет в поля адрес отправителя и адрес получателя включают полученные с БОХТА 3.6 текущие адреса отправителя и получателя. Таким образом формируют информационный пакет сообщений (см. шаг 3 на фиг.21, фиг.9а), который через порт П7 процессора 3.2 передают через второй СА 3.7 на маршрутизатор 4, а затем в сеть Интернет 2.The device operates as follows. The initial data packet (see figa) from the
Затем в процессоре 3.2 формируют сигнал для запуска БВА 3.1 (см. шаг 4 на фиг.21), который через порт П10 передают на БВА 3.1 (см. фиг.20). Этот сигнал запускает сумматор 3.1.1, на выходе которого формируется последовательность импульсов, соответствующая номеру шага смены текущих адресов io (т.е. счетчик определяет i, см. таблицу на фиг.8). Эта последовательность поступает на вычислитель номера адреса 3.1.2, на котором с помощью функции Фибоначчи определяют значение номера адреса (т.е. значение FN,S(i), см. таблицу на фиг.8).Then, in the processor 3.2, a signal is generated to start the BVA 3.1 (see
После этого в процессоре 3.2 формируют сигнал запроса текущего адреса отправителя, который через порт П11 передают на БОХТА 3.6. По запросу БОХТА 3.6 выдает 64-значную последовательность импульсов, соответствующую значению текущих адресов отправителя и получателя, и через порт П12 передает в процессор 3.2. После этого в процессоре 3.2 формируют команду маршрутизатору 4 на смену текущего адреса и передают ее вместе с новым текущим адресом отправителя, определяемым значением младших 32-х битов принятой из БОХТА 3.6 64-значной последовательности импульсов (см. шаг 5 на фиг.21), через порт П8 для его установления на маршрутизаторе 4.After that, the processor 3.2 generates a request signal for the current address of the sender, which is transmitted through port P11 to BOHTA 3.6. Upon request, BOHTA 3.6 produces a 64-digit sequence of pulses corresponding to the value of the current addresses of the sender and recipient, and transmits to processor 3.2 through port P12. After that, the processor 3.2 generates a command to
При приеме пакет сообщений (фиг.9б) через маршрутизатор 4 поступает на ЛСЗ (например 3K), аналогичный ЛСЗ 1l, также показанный на фиг.19, где через второй СА 3.7 через порт П9 (фиг.19) его передают на процессор 3.2. Из полей адрес получателя и адрес отправителя IP-заголовка пакета сообщений (см. фиг.3) в процессоре 3.2 выделяют адреса отправителя и получателя (см. шаг 6 на фиг.21).Upon receipt, the message packet (Fig. 9b) through the
При этом в процессоре 3.2 формируют сигнал запроса, который через порт П11 поступает на БОХТА 3.6 (см. фиг.19), откуда на процессор 3.2 через порт П12 передают текущие адреса отправителя и получателя. В процессоре 3.2 они сравниваются (побитно) с выделенными из полученного информационного пакета сообщений текущими адресами (см. шаг 7 на фиг.21). Если они не совпадают, то в устройстве не анализируют пришедший пакет сообщений и ожидают следующий. В случае совпадения в процессоре 3.2 выделяют из пакета сообщений кодированные данные (см. шаг 8 на фиг.21, фиг.9б) путем отделения IP-заголовка. Затем кодированный пакет через информационный порт ПЗ процессора 3.2 отправляют в блок КД 3.4 (см. фиг.19). При этом в процессоре 3.2 формируют управляющие сигналы для декодера (см. шаг 9 на фиг.21) и через порт П4 передают ключ для преобразования, а через порт П5 сигнал с указанием типа преобразования (декодирование). Далее открытые данные (см. фиг.9б) из блока КД 3.4 через информационный порт П6 передают в процессор 3.2. После этого исходный пакет данных процессор 3.2 передает через порт П2 на первый СА 3.3, через который, в свою очередь, исходный пакет данных передают в ЛВС 1.At the same time, a request signal is generated in processor 3.2, which is transmitted through port P11 to BOHTA 3.6 (see Fig. 19), from where current address of the sender and receiver are transmitted to processor 3.2 through port P12. In processor 3.2, they are compared (bitwise) with the current addresses extracted from the received information packet of messages (see
Затем в процессоре 3.2 формируют сигнал для запуска БВА 3.1 (см. шаг 10 на фиг.21), который через порт П10 передают на БВА 3.1 (см. фиг.20). Этот сигнал запускает сумматор 3.1.1. На выходе сумматора 3.1.1 формируется последовательность импульсов, соответствующая номеру шага смены текущих адресов iп (т.е. в счетчике определяют i, см. таблицу на фиг.8). Эта последовательность поступает на вычислитель номера адреса 3.1.2, на котором с помощью функции Фибоначчи определяют значение номера адреса (т.е. значение FN,S(i), см. таблицу на фиг.8).Then, in the processor 3.2, a signal is generated to start the BVA 3.1 (see
После этого в процессоре 3.2 формируют сигнал запроса текущего адреса получателя, который через порт П11 передают на БОХТА 3.6. По запросу БОХТА 3.6 выдает 64-значную последовательность импульсов, соответствующую значению текущих адресов отправителя и получателя, и через порт П12 передает в процессор 3.2. Далее в процессоре 3.2 формируют команду маршрутизатору 4 на смену текущего адреса и передают ее вместе с новым текущим адресом получателя, определяемым значением младших 32-х битов принятой из БОХТА 3.6 64-значной последовательности импульсов (см. шаг 11 на фиг.21), через порт П8 для его установления на маршрутизаторе 4.After that, the processor 3.2 generates a request signal for the current address of the recipient, which is transmitted through port P11 to BOHTA 3.6. Upon request, BOHTA 3.6 produces a 64-digit sequence of pulses corresponding to the value of the current addresses of the sender and recipient, and transmits to processor 3.2 through port P12. Next, in processor 3.2, a command is formed to
Далее формируют очередной информационный пакет сообщений у отправителя.Next, form the next information packet of messages from the sender.
В третьем варианте заявленного устройства распределенная ВС также включает совокупность ЛВС 11-1k (см. фиг.22). Каждая пара ЛВС, например, 11 и 1k (на фиг.22) снабжена устройством защиты, состоящем из 2-х локальных сегментов защиты (ЛСЗ) 31, 3k, подключенных к соответствующей ЛВС и через соответствующие маршрутизаторы 41, 4k к сети Интернет 2. Таким образом канал связи ВС может быть представлен в виде, показанном на фиг.13. Он включает две взаимодействующие ЛВС 11 и 1k, соединенные друг с другом через соответствующие маршрутизаторы 41, 4k и Интернет 2 и снабженные устройством защиты канала связи (на фиг.13 обведено пунктиром). Устройство защиты состоит из 2-х идентичных ЛСЗ 31 и 3k, один из которых подключен к ЛВС11, а k-й к ЛВС1k.In the third embodiment of the claimed device, the distributed aircraft also includes a set of LAN 1 1 -1 k (see Fig. 22). Each LAN pair, for example, 1 1 and 1 k (in Fig. 22), is equipped with a protection device consisting of 2 local protection segments (LANs) 3 1 , 3 k connected to the corresponding LAN and through the
В свою очередь в третьем варианте заявленного устройства ЛСЗ (например, 3l), показанный на фиг.23, состоит из БВА 3.1, процессора 3.2, первого 3.3 и второго 3.9 СА, блока КД 3.4, БХБА 3.5 и БОХТА 3.6, БВЧОП 3.7иСОП3.8.In turn, in the third embodiment of the claimed LSZ device (for example, 3 l ), shown in Fig. 23, it consists of a BVA 3.1, a processor 3.2, a first 3.3 and a second 3.9 SA, a CD unit 3.4, BHBA 3.5 and BOHTA 3.6, BHCHOP 3.7iSOP3 .8.
Первый вход/выход ЛСЗ 3 подключен к ЛВС 1. Второй вход/выход ЛСЗ 3 подключен к маршрутизатору 4, в свою очередь, подключенному к сети Интернет 2. Управляющий вход БВА 3.1 подключен к порту «адрес» процессора 3.2, а х-разрядный выход БВА 3.1 подключен к x-разрядному входу БХБА 3.5. У БХБА 3.5 m-разрядный выход подключен к m-разрядному входу БОХТА 3.6. Управляющий вход и m-разрядный выход БОХТА 3.6 подключены соответственно к порту «запрос текущих адресов» и m-разрядному порту «текущие адреса» процессора 3.2. У блока КД 3.4 информационные вход и выход, входы «пароль» и «тип преобразования» подключены к соответствующим портам процессора 3.2. Управляющие входы «запрос одноадресных пакетов», «обнуление» и s-разрядный выход СОП 3.8 подключены соответственно к портам «запрос одноадресных пакетов», «обнуление» и 5-разрядному входу «одноадресные пакеты» процессора 3.2. Управляющие входы «запрос числа», «запуск» и 5-разрядный выход БВЧОП 3.7 подключены соответственно к портам «запрос числа», «запуск» и 5-разрядному входу «число» процессора 3.2. У первого СА 3.3 n-разрядные выход и вход подключены соответственно к n-разрядным входу «исходный пакет» и выходу «исходный пакет» процессора 3.2. Выход «локальная сеть» первого СА 3.3 является первым входом/выходом ЛСЗ 3. У второго СА 3.9 p-разрядные вход и выход подключены соответственно к р-разрядным выходу и входу «информация/уведомление» процессора 3.2. У процессора 3.2 t-разрядный порт «управление» подключен к t-разрядному управляющему входу второго СА 3.9. Вход/выход «сеть Интернет» второго СА 3.9 является вторым входом/выходом ЛСЗ 3.The first input / output of
Блок БВА 3.1 предназначен для формирования номера адреса. Его схема, показанная на фиг.20, состоит из сумматора номера шага 3.1.1 и вычислителя номера адреса 3.1.2. Схема счетчика, реализующего функции сумматора номера шага 3.1.1, известна и описана, например, книге В.Л.Шило «Популярные цифровые микросхемы: справочник» (2-е издание, испр. - Челябинск: Металлургия, 1989. С.93-102). Вычислитель номера адреса 3.1.2 представляет собой вычислитель функции Фибоначчи, аналогичный, как во втором варианте устройства защиты канала связи ВС.Block BVA 3.1 is designed to generate the address number. Its circuit shown in FIG. 20 consists of a step number adder 3.1.1 and an address number calculator 3.1.2. The counter circuit that implements the functions of the adder of the step number 3.1.1 is known and described, for example, in the book by V. L. Shilo “Popular Digital Circuits: A Reference Book” (2nd edition, revised. Chelyabinsk: Metallurgy, 1989. P.93- 102). The address number calculator 3.1.2 is a Fibonacci function calculator, similar to that in the second embodiment of the BC communication channel protection device.
Алгоритм работы процессора 3.2, поясняющий последовательность действий в третьем варианте устройства защиты канала связи ВС, реализующих третий вариант способа защиты канала связи ВС, показан на фиг.24.The algorithm of the processor 3.2, explaining the sequence of actions in the third embodiment of the device for protecting the communication channel of the aircraft, implementing the third version of the method of protecting the communication channel of the aircraft, is shown in Fig.24.
Блок БВЧОП 3.7 предназначен для формирования числа пакетов сообщений, переданных (у отправителя) или полученных (у получателя) с одинаковыми адресами отправителя и получателя, а также выдачи этого числа по команде процессора 3.2. Схема БВЧОП 3.7, показанная на фиг.25, состоит из регистра хранения числа одноадресных пакетов 3.7.1, вычислителя числа одноадресных пакетов 3.7.2 и сумматора номера шага смены адресов 3.7.3. Регистр хранения числа одноадресных пакетов 3.7.1 предназначен для записи, хранения и выдачи числа одноадресных пакетов (Δk) по запросу процессора 3.2. Его схема аналогична, как у БОХТА 3.7 или БОХОА 3.6 в первом варианте реализации устройства защиты канала связи ВС. Вычислитель числа одноадресных пакетов 3.7.2 предназначен для вычисления числа одноадресных пакетов и представляет собой вычислитель функции Фибоначчи, реализованный в виде микропроцессора для вычисления значений чисел Фибоначчи (FK(i)) по формуле, указанной на стр.13. Сумматор номера шага смены адресов 3.7.3 предназначен для подсчета номера шага смены адресов, являющегося исходными данными для вычислителя числа одноадресных пакетов 3.7.2. Схема счетчика, реализующего сумматор, известна и описана, например, книге В.Л.Шило «Популярные цифровые микросхемы: справочник» (2-е издание, испр. - Челябинск: Металлургия, 1989. с.93-102).Block BVCHOP 3.7 is designed to generate the number of message packets transmitted (from the sender) or received (from the recipient) with the same address of the sender and recipient, as well as the issuance of this number by command of the processor 3.2. The BCHCH 3.7 scheme shown in FIG. 25 consists of a register for storing the number of unicast packets 3.7.1, a calculator for the number of unicast packets 3.7.2, and an adder for the step number of the change of addresses 3.7.3. The register for storing the number of unicast packets 3.7.1 is intended for recording, storing and issuing the number of unicast packets (Δk) at the request of processor 3.2. Its scheme is similar to that of BOKHTA 3.7 or BOKHOA 3.6 in the first embodiment of the aircraft communication channel protection device. The unicast packet number calculator 3.7.2 is designed to calculate the number of unicast packets and is a Fibonacci function calculator, implemented as a microprocessor to calculate the Fibonacci numbers (F K (i)) according to the formula indicated on
Блок СОП 3.8 предназначен для подсчета числа пакетов сообщений переданных (у отправителя) или полученных (у получателя) с одинаковыми адресами отправителя и получателя; а также выдачи этого числа по команде процессора 3.2. Схема счетчика, реализующего функции СОП 3.8, известна и описана, например, книге В.Л.Шило «Популярные цифровые микросхемы: справочник» (2-е издание, испр. - Челябинск: Металлургия, 1989. С.93-102).SOP 3.8 block is intended for counting the number of message packets sent (from the sender) or received (from the receiver) with the same sender and receiver addresses; as well as issuing this number at processor command 3.2. The circuit of the counter that implements the functions of SOP 3.8 is known and described, for example, in the book by V. L. Shilo “Popular Digital Circuits: A Reference Book” (2nd edition, revised. Chelyabinsk: Metallurgy, 1989. P.93-102).
Назначение и схемы остальных блоков ЛСЗ 3 аналогичны, как во втором варианте реализации устройства защиты канала связи ВС.The purpose and schemes of the remaining blocks of
Устройство работает следующим образом. Исходный пакет данных (см. фиг.9а) из ЛВС 11 через первый СА 3.3, через порт П1 поступает на процессор 3.2. Затем исходный пакет через информационный порт П3 процессора 3.2 отправляют в блок КД 3.4 (см. фиг.23). После этого в процессоре 3.2 формируют управляющие сигналы для кодера (см. шаг 1 на фиг.24) и через порт П4 передают ключ для преобразования, а через порт П5 сигнал с указанием типа преобразования (кодирование). Таким образом в блоке КД 3.4 формируют кодированный пакет данных (см. фиг.9а), который из блока КД 3.4 через информационный порт П6 передают в процессор 3.2. Здесь осуществляют преобразование кодированного пакета в формат TCP/IP (см. шаг 2 на фиг.24). Преобразование заключается в добавлении IP-заголовка к кодированному пакету данных. Далее в процессоре 3.2 формируют сигнал запроса текущих адресов, который отправляют через порт П17. Этот запрос в БОХТА 3.6 (см. фиг.17) разрешает прохождение через элементы И 64-значной последовательности импульсов, которые представляют собой текущие адреса отправителя и получателя. Таким образом 64-значная последовательность через порт П18 поступает на процессор 3.2. После этого в процессоре 3.2 в полученный в результате преобразования пакет в поля адрес отправителя и адреса получателя включают полученные с БОХТА 3.6 текущие адреса отправителя и получателя. Таким образом формируют информационный пакет сообщений (см. шаг 3 на фиг.24, фиг.9а), который через порт П7 процессора 3.2 передают через второй СА 3.9 на маршрутизатор 4, а затем в сеть Интернет 2.The device operates as follows. The initial data packet (see figa) from the
Далее формируют в процессоре 3.2 сигнал для запуска СОП 3.8 (см. шаг 4 на фиг.24), который через порт П11 передают на СОП 3.8. В счетчике добавляют единицу к ранее запомненному числу (jо=jo+1) и выдают полученное значение через порт П12 на процессор 3.2. При этом в процессоре 3.2 формируют запрос текущего значения Δk (число пакетов сообщений, которые передаются с одинаковыми адресами отправителя и получателя), который через порт П14 процессора 3.2 передают на БВЧОП 3.7 (см. шаг 5 на фиг.24, фиг.23). Этот запрос поступает на регистр хранения числа одноадресных пакетов 3.7.1 (фиг.25, схема регистра хранения числа одноадресных пакетов аналогична, как у БОХТА 3.7 на фиг.17) и разрешает прохождение через элементы И 32-значной последовательности импульсов, которые представляют собой число Δk, сформированное и переданное с вычислителя числа одноадресных пакетов 3.7.2. Затем это число через порт П15 поступает в процессор 3.2. В процессоре 3.2 сравнивают (побитно) переданные значения jo и Δk (см. шаг. 6 на фиг.24). Если jo≠Δk, то у отправителя формируют очередной пакет сообщений, а у получателя принимают информационный пакет сообщений. В случае совпадения jo и Δk в процессоре 3.2 формируют сигнал для обнуления СОП 3.8 (см. шаг.7 на фиг.24), который через порт П13 (фиг.23) поступает на СОП 3.8 и осуществляет его сброс (т.е. устанавливает jo=0).Next, a signal is generated in processor 3.2 to start SOP 3.8 (see
После этого в процессоре 3.2 формируют сигнал для запуска БВЧОП 3.7 (см. шаг 8 на фиг.24), который через порт П16 передают на БВЧОП 3.7 (фиг.25). Этот сигнал поступает на сумматор номера шага смены адресов 3.7.3. В сумматоре увеличивают значение номера шага смены адресов на единицу (т.е. определяют новое io=io+1 см. таблицу на фиг.11). Это значение поступает на вычислитель числа одноадресных пакетов 3.7.2, где определяют число одноадресных пакетов Δk (т.е. значение FK(i) см. таблицу на фиг.11).After that, a signal is generated in the processor 3.2 to start the BCHOP 3.7 (see
Затем в процессоре 3.2 формируют сигнал для запуска БВА 3.1 (см. шаг 9 на фиг.24), который через порт П10 (фиг.23) передают на БВА 3.1. Этот сигнал запускает сумматор 3.1.1. На выходе сумматора 3.1.1 формируется последовательность импульсов, соответствующая номеру шага смены текущих адресов io (т.е. в счетчике определяют io см. таблицу на фиг.8). Эта последовательность поступает на вычислитель номера адреса 3.1.2, в котором с помощью функции Фибоначчи определяют значение номера адреса (т.е. значение FN,Si) см. таблицу на фиг.8).Then, in the processor 3.2, a signal is generated to start the BVA 3.1 (see
После этого в процессоре 3.2 формируют сигнал запроса текущего адреса отправителя, который через порт П17 передают на БОХТА 3.6. По запросу БОХТА 3.6 выдает 64-значную последовательность импульсов, соответствующую значению текущих адресов отправителя и получателя, и через порт П18 передает в процессор 3.2. Далее в процессоре 3.2 формируют команду маршрутизатору 4 на смену текущего адреса и передают ее вместе с новым текущим адресом отправителя, определяемым значением младших 32-х битов принятой из БОХТА 3.6 64-значной последовательности импульсов (см. шаг 10 на фиг.24), через порт П8 для его установления на маршрутизаторе 4.After that, the processor 3.2 generates a request signal for the current address of the sender, which is transmitted through port P17 to BOHTA 3.6. Upon request, BOHTA 3.6 gives a 64-digit sequence of pulses corresponding to the value of the current addresses of the sender and recipient, and transmits to processor 3.2 through port P18. Then, in processor 3.2, a command is generated to
При приеме пакет сообщений (фиг.9б) через маршрутизатор 4 поступает на ЛСЗ (например 3k), аналогичный ЛСЗ 11, также показанный на фиг.23, где через второй СА 3.9 через порт П9 (фиг.23) его передают на процессор 3.2. Из полей адрес получателя и адрес отправителя IP-заголовка пакета сообщений (см. фиг.3) в процессоре 3.2 выделяют адреса отправителя и получателя (см. шаг 11 на фиг.24).Upon receipt, the message packet (Fig. 9b) through the
При этом в процессоре 3.2 формируют сигнал запроса, который через порт П17 поступает на БОХТА 3.6 (см. фиг.23), откуда на процессор 3.2 через порт П18 передают текущие адреса отправителя и получателя. В процессоре 3.2 их сравнивают (побитно) с выделенными из полученного информационного пакета сообщений текущими адресами (см. шаг 12 на фиг.24). Если они не совпадают, то в устройстве не анализируют пришедший пакет сообщений и ожидают следующий. В случае совпадения в процессоре 3.2 выделяют из пакета сообщений кодированные данные (см. шаг 13 на фиг.24, фиг.9б) путем отделения IP-заголовка. Затем кодированный пакет через информационный порт ПЗ процессора 3.2 отправляют в блок КД 3.4 (см. фиг.23). При этом в процессоре 3.2 формируют управляющие сигналы для декодера (см. шаг 14 на фиг.24) и через порт П4 передают ключ для преобразования, а через порт П5 сигнал с указанием типа преобразования (декодирование). Далее открытые данные (см. фиг.9б) из блока КД 3.4 через информационный порт П6, через порт П2 передают на первый СА 3.3, через который, в свою очередь, исходный пакет данных передают в ЛВС 1.At the same time, a request signal is generated in processor 3.2, which is transmitted through port P17 to BOHTA 3.6 (see Fig. 23), from where current address of the sender and receiver are transmitted to processor 3.2 through port P18. In processor 3.2, they are compared (bitwise) with the current addresses extracted from the received information packet of messages (see
Далее формируют в процессоре 3.2 сигнал для запуска СОП 3.8 (см. шаг 15 на фиг.24), который через порт П11 передают на СОП 3.8. В счетчике добавляют единицу к ранее запомненному числу (jп=jп+1) и выдают полученное значение через порт П12 на процессор 3.2. При этом в процессоре 3.2 формируют запрос текущего значения Δk (число пакетов сообщений, которые передаются с одинаковыми адресами отправителя и получателя), который через порт П14 процессора 3.2 передают на БВЧОП 3.7 (см. шаг 16 на фиг.24, фиг.23). Этот запрос поступает на регистр хранения числа одноадресных пакетов 3.7.1 (фиг.25, схема регистра хранения числа одноадресных пакетов аналогична, как у БОХТА 3.7 на фиг.17) и разрешает прохождение через элементы И 32-значной последовательности импульсов, которые представляют собой число Δk, сформированное и переданное с вычислителя числа одноадресных пакетов 3.7.2. Затем это число через порт П15 поступает в процессор 3.2. В процессоре 3.2 сравнивают (побитно) переданные значения jп и Δk (см. шаг. 17 на фиг.24). Если jп≠Δk, то у отправителя формируют очередной пакет сообщений, а у получателя ожидают очередной информационный пакет сообщений. В случае совпадения jп и Δk в процессоре 3.2 формируют сигнал для обнуления СОП 3.8 (см. шаг. 18 на фиг.24), который через порт П13 (фиг.23) поступает на СОП 3.8 и осуществляет его сброс (т.е. устанавливает jп=0).Next, a signal is generated in processor 3.2 to start SOP 3.8 (see
После этого в процессоре 3.2 формируют сигнал для запуска БВЧОП 3.7 (см. шаг 19 на фиг.24), который через порт П16 передают на БВЧОП 3.7 (фиг.25). Этот сигнал поступает на сумматор номера шага смены адресов 3.7.3. В сумматоре увеличивают значение номера шага смены адресов на единицу (т.е. определяют новое iп=iп+1 см. таблицу на фиг.11). Это значение поступает на вычислитель числа одноадресных пакетов 3.7.2, где определяют число одноадресных пакетов Δk (т.е. значение Fк(i) см. таблицу на фиг.11).After that, a signal is generated in the processor 3.2 to start the BCHOP 3.7 (see
Затем в процессоре 3.2 формируют сигнал для запуска БВА 3.1 (см. шаг 20 на фиг.24), который через порт П10 (фиг.23) передают на БВА 3.1. Этот сигнал запускает сумматор 3.1.1. На выходе сумматора 3.1.1 формируется последовательность импульсов, соответствующая номеру шага смены текущих адресов iп (т.е. в счетчике определяют iп см. таблицу на фиг.8). Эта последовательность поступает на вычислитель номера адреса 3.1.2, в котором с помощью функции Фибоначчи определяют значение номера адреса (т.е. значение FN,S(i) см. таблицу на фиг.8).Then, in the processor 3.2, a signal is generated to start the BVA 3.1 (see
После этого в процессоре 3.2 формируют сигнал запроса текущего адреса получателя, который через порт П17 передают на БОХТА 3.6. По запросу БОХТА 3.6 выдает 64-значную последовательность импульсов, соответствующую значению текущих адресов отправителя и получателя, и через порт П18 передает в процессор 3.2. Далее в процессоре 3.2 формируют команду маршрутизатору 4 на смену текущего адреса и передают ее вместе с новым текущим адресом, определяемым значением младших 32-х битов принятой из БОХТА 3.6 64-значной последовательности импульсов получателя (см. шаг 21 на фиг.24), через порт П8 для его установления на маршрутизаторе 4.After that, the processor 3.2 generates a request signal for the current address of the recipient, which is transmitted through port P17 to BOHTA 3.6. Upon request, BOHTA 3.6 gives a 64-digit sequence of pulses corresponding to the value of the current addresses of the sender and recipient, and transmits to processor 3.2 through port P18. Next, in processor 3.2, a command is formed to
Далее формируют очередной информационный пакет сообщений у отправителя.Next, form the next information packet of messages from the sender.
Возможность достижения сформулированного технического результата была проверена путем имитационного моделирования.The ability to achieve the formulated technical result was tested by simulation.
Обобщенная схема проведения эксперимента представлена на фиг.26.A generalized scheme of the experiment is presented in Fig.26.
Модель распределенной ВС представляла собой две удаленные локальные ВС (ЛВС 1 и ЛВС 2), объединенные посредством сети Интернет, представленной совокупностью маршрутизаторов (М2-Mk-1). Для подключения к сети Интернет в ЛВС 1 и ЛВС 2 использовались маршрутизаторы M1 и МK.The distributed aircraft model was two remote local aircraft (
В ходе эксперимента между ЛВС 1 и ЛВС 2 был реализован информационный обмен, осуществляемый посредством канала связи проходящего через маршрутизаторы M1-МK. Пакеты сообщений от ЛВС 1 к ЛВС 2 передавались в закодированном виде, а в открытом виде передавался только IP-заголовок, содержащий адреса отправителя и получателя (IP-адреса маршрутизаторов M1 и МK).During the experiment, between
К маршрутизатору Мi (1<i<K) был подключен анализатор пакетов, позволяющий путем перехвата и анализа пакетов сообщений выделять из них адреса отправителя и получателя, а также просматривать их содержимое.A packet analyzer was connected to the router M i (1 <i <K), which allows intercepting and analyzing message packets to extract the addresses of the sender and recipient from them, as well as view their contents.
В первом варианте эксперимента адреса маршрутизаторов M1 и МK были фиксированными. При помощи анализатора пакетов было выявлено, что через маршрутизатор Мi в процессе информационного обмена ЛВС 1 и ЛВС 2 проходят пакеты сообщений с открытыми IP-заголовками, содержащими адреса маршрутизаторов M1 и МK, а также с закодированной информационной составляющей. То есть перехват и анализ пакетов позволили обнаружить передачу закодированной информации между двумя узлами в сети Интернет.In the first version of the experiment, the addresses of routers M 1 and M K were fixed. Using a packet analyzer, it was revealed that message packets with open IP headers containing the addresses of routers M 1 and M K , as well as with an encoded information component, pass through router M i during the information exchange between
Такое наблюдение позволило однозначно определить установленный между маршрутизаторами M1 и Мk защищенный канал связи. Следовательно, можно предположить, что нарушитель с высокой вероятностью мог бы, используя анализатор пакетов на маршрутизаторе Mi, определить структуру распределенной ВС, как это представлено на фиг.27а, что противоречит требованию по скрытности канала связи. Таким же образом нарушитель мог бы осуществить деструктивные воздействия на маршрутизаторы M1 и Мk с целью нарушить информационный обмен, что противоречит требованию по безопасности канала связи.This observation made it possible to unambiguously determine the secure communication channel established between the routers M 1 and M k . Therefore, it can be assumed that the intruder with high probability could, using the packet analyzer on the router M i , determine the structure of the distributed aircraft, as shown in Fig. 27a, which contradicts the requirement for stealth of the communication channel. In the same way, the intruder could carry out destructive actions on the routers M 1 and M k in order to disrupt the information exchange, which contradicts the requirement for the security of the communication channel.
Во втором варианте эксперимента для каждого из маршрутизаторов M1 и Мk были заданы базы в количестве 5 IP-адресов, в соответствии с которыми в процессе информационного обмена осуществлялась их смена. Выбор из базы адресов для смены осуществлялся случайным образом. Смена адресов маршрутизаторов M1 и Мk производилась периодически после отправки (приема) серии пакетов сообщений. При помощи анализатора пакетов было выявлено, что через маршрутизатор Мi в процессе информационного обмена ЛВС 1 и ЛВС 2 также проходят пакеты сообщений с открытыми IP-заголовками и с закодированной информационной составляющей пакетов сообщений. Однако анализ заголовков пакетов сообщений не выявил единого канала связи между маршрутизаторами M1 и Мk. Напротив, было выявлено большое количество каналов связи между различными парами адресов (фиг.27б) с меньшей интенсивностью информационного обмена.In the second version of the experiment, for each of the routers M 1 and M k , bases were set in the amount of 5 IP addresses, in accordance with which they were changed during the information exchange. The selection from the base of addresses for the shift was carried out randomly. The addresses of routers M 1 and M k were changed periodically after sending (receiving) a series of message packets. With the help of a packet analyzer, it was revealed that message packets with open IP headers and with the encoded information component of message packets also pass through router M i in the process of information exchange between
Это означает, что вероятность определения нарушителем истинной структуры распределенной ВС существенно снизилась, т.к. для такого определения необходимы дополнительные аналитические исследования. Следовательно, в этом случае вероятность осуществления деструктивных воздействий также снизилась.This means that the probability of the intruder determining the true structure of the distributed aircraft has significantly decreased, since such a definition requires additional analytical studies. Therefore, in this case, the likelihood of destructive impacts also decreased.
На основании этих результатов можно сделать вывод о том, что разработанные способ (варианты) и устройство (варианты) позволяют благодаря непрерывному изменению в передаваемых пакетах сообщений адресов отправителя и получателя повысить безопасность и скрытность работы канала связи ВС.Based on these results, it can be concluded that the developed method (options) and device (options) allow, due to the continuous change in the transmitted message packets, the addresses of the sender and receiver to increase the security and stealth of the aircraft communication channel.
Claims (15)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2006114272/09A RU2306599C1 (en) | 2006-04-26 | 2006-04-26 | Method (variants) and device (variants) for protecting communication channel of a computer network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2006114272/09A RU2306599C1 (en) | 2006-04-26 | 2006-04-26 | Method (variants) and device (variants) for protecting communication channel of a computer network |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2306599C1 true RU2306599C1 (en) | 2007-09-20 |
Family
ID=38695394
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2006114272/09A RU2306599C1 (en) | 2006-04-26 | 2006-04-26 | Method (variants) and device (variants) for protecting communication channel of a computer network |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2306599C1 (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2449361C2 (en) * | 2009-08-03 | 2012-04-27 | Государственное образовательное учреждение высшего профессионального образования "Военная академия связи имени С.М. Буденного" Министерства обороны Российской Федерации | Method of protecting computer network having dedicated server |
RU2469390C1 (en) * | 2011-11-21 | 2012-12-10 | Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Method of protecting computer networks from unauthorised scanning and blocking of network services (versions) |
RU2490703C1 (en) * | 2012-06-04 | 2013-08-20 | Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Method of protecting communication channel of computer network |
RU2695983C1 (en) * | 2018-07-16 | 2019-07-29 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Method of filtering secure network connections in a digital data network |
RU191373U1 (en) * | 2019-06-13 | 2019-08-02 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | MULTI-SERVICE ROUTER WITH MASKING INFORMATION DIRECTIONS |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2152691C1 (en) * | 1994-12-07 | 2000-07-10 | Мацусита Электрик Корпорейшн оф Америка | Device for protection of connected computer networks |
US6192455B1 (en) * | 1998-03-30 | 2001-02-20 | Intel Corporation | Apparatus and method for preventing access to SMRAM space through AGP addressing |
RU2182355C1 (en) * | 2001-10-03 | 2002-05-10 | ООО "Микротест-ТЕЛ" | Method and system for protecting corporate virtual private computer network against unauthorized data exchange with public transport network |
-
2006
- 2006-04-26 RU RU2006114272/09A patent/RU2306599C1/en not_active IP Right Cessation
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2152691C1 (en) * | 1994-12-07 | 2000-07-10 | Мацусита Электрик Корпорейшн оф Америка | Device for protection of connected computer networks |
US6192455B1 (en) * | 1998-03-30 | 2001-02-20 | Intel Corporation | Apparatus and method for preventing access to SMRAM space through AGP addressing |
RU2182355C1 (en) * | 2001-10-03 | 2002-05-10 | ООО "Микротест-ТЕЛ" | Method and system for protecting corporate virtual private computer network against unauthorized data exchange with public transport network |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2449361C2 (en) * | 2009-08-03 | 2012-04-27 | Государственное образовательное учреждение высшего профессионального образования "Военная академия связи имени С.М. Буденного" Министерства обороны Российской Федерации | Method of protecting computer network having dedicated server |
RU2469390C1 (en) * | 2011-11-21 | 2012-12-10 | Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Method of protecting computer networks from unauthorised scanning and blocking of network services (versions) |
RU2490703C1 (en) * | 2012-06-04 | 2013-08-20 | Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Method of protecting communication channel of computer network |
RU2695983C1 (en) * | 2018-07-16 | 2019-07-29 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Method of filtering secure network connections in a digital data network |
RU191373U1 (en) * | 2019-06-13 | 2019-08-02 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | MULTI-SERVICE ROUTER WITH MASKING INFORMATION DIRECTIONS |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101682656B (en) | Method and apparatus for protecting the routing of data packets | |
CN1332552A (en) | Network address conversion gateway of local network using local IP address and untranslated port address | |
RU2496136C1 (en) | Method for interaction of terminal client device with server over internet with high level of security from ddos attack and system for realising said method | |
Zhang et al. | An approach of covert communication based on the Ethereum whisper protocol in blockchain | |
RU2306599C1 (en) | Method (variants) and device (variants) for protecting communication channel of a computer network | |
CN105262737B (en) | A method of based on defending against DDOS attack for jump channel pattern | |
CA2459361C (en) | Method for encoding and decoding communication data | |
Goots et al. | Modern Cryptography Protect your data with fast block CIPHERS | |
CN112333698B (en) | Encryption authentication method and device for mobile game terminal | |
Chen et al. | People who live in glass houses should not throw stones: targeted opening message franking schemes | |
Blaze | Trust management and network layer security protocols | |
RU2307392C1 (en) | Method (variants) for protecting computer networks | |
RU2314562C1 (en) | Method for processing network traffic datagrams for delimiting access to informational and computing resources of computer networks | |
Goudar et al. | Secure data transmission using steganography based data hiding in TCP/IP | |
RU2449361C2 (en) | Method of protecting computer network having dedicated server | |
RU2586840C1 (en) | Method of processing network traffic datagrams for hiding corresponding pairs of subscribers of information-telecommunication systems | |
US20230138446A1 (en) | Replica: An Improved Communication Concealment Cipher | |
RU2656839C1 (en) | Method for masking the structure of the communication network | |
Albermany et al. | New random block cipher algorithm | |
KR20100014995A (en) | The security technology of internet on encrypted transmission data | |
CN114765546B (en) | End-to-end hard encryption method, system, encryption equipment and key management server | |
RU2490703C1 (en) | Method of protecting communication channel of computer network | |
RU2668979C2 (en) | Method for masking the structure of communication network | |
KR20130027941A (en) | Cyber security event information management device, and cyber security event information management method | |
RU2472217C1 (en) | Method of processing network traffic datagrams for protecting information computer systems (versions) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20080427 |