Способ организации защищенной системы связи

Изобретение относится к области телекоммуникаций, а именно к способам автоматического построения и настройки сетей связи с обеспечением защиты передаваемой информации и предназначено для автоматической защищенной настройки сети связи при отсутствии заранее организованных каналов связи.

Известен способ организации защищенной сети связи, описанный в протоколах SSL и TLS (стандарт IETF RFC 5256) [2], в котором между сервером и другими узлами сети на транспортном уровне происходит отправка от сервера сообщения, содержащего открытый ключ сервера, ответного сообщения от узла сети, в котором содержится симметричный сеансовый ключ, зашифрованный открытым ключом сервера, в результате чего сеансовый ключ становится известен обеим сторонам, и последующего обмена между сервером и узлом сети информационными сообщениями, зашифрованными сеансовым ключом.

Также известен способ организации защищенной сети связи, описанный в протоколе IPSec (стандарты IETF RFC 2401-2412). В указанном способе на сетевом уровне организуется защищенная сеть связи, в которой последовательно осуществляется обмен видоизмененными IP-пакетами для взаимной аутентификации между узлами сети, а затем обмен шифрованными пакетами, включающими вставку для проверки целостности сообщений.

Недостатками перечисленных аналогов является то, что они могут работать только при уже организованной на канальном и физическом уровнях сети связи.

Наиболее близким аналогом по технической сущности к заявляемому способу является способ организации системы связи, описанный в изобретении RU 2549120 - «Средство передачи данных телекоммуникационной сети и телекоммуникационная сеть». Указанный способ заключается в том, что в сети, содержащей несколько радиостанций и головную радиостанцию, выполняющую роль центра управления связью (ЦУС), радиостанции начинают рассылку сигналов-маяков настройки или сообщений на заранее не заданной частоте каждая, которые обнаруживаются головной радиостанцией с помощью сканирующего приемника и другими устройствами, входящими в блок обнаружения и определения типа сигнала головной радиостанции, после чего головная радиостанция определяет настроечные данные, соответствующие обнаруженным маякам, настраивается такими данными и рассылает на обнаруженных частотах радиостанций сигналы-маяки ответа, после получения которых радиостанции переходят в сеть головной станции, настраиваясь с помощью входящего в их состав блока управления каналом в соответствии с принятыми маяками.

Недостатком способа является большая продолжительность настройки сети, связанная с необходимостью создания и пересылки настроечных данных по каждому обнаруженному маяку радиостанции, а также отсутствие гарантированного шифрования настроечных данных, которые пересылаются в радиоэфире в открытом виде и вследствие этого могут быть перехвачены и использованы, например, для преднамеренного нарушения функционирования сети.

Техническая проблема, на решение которой направлено изобретение, состоит в разработке способа организации сети связи, позволяющего сократить время создания и пересылки настроечных данных в сети с одновременным обеспечением их шифрования.

Достигаемый технический результат - сокращение времени организации сети связи с одновременным обеспечением гарантированной защиты от несанкционированного доступа передаваемых по радиоэфиру настроечных данных.

Для достижения технического результата в известном способе, включающем обмен сигналами-маяками между центром управления связью (ЦУС) и N≥1 радиостанциями, согласно изобретению из ЦУС на выбранной радиочастоте осуществляют излучение маяков настройки, содержащих открытый ключ ЦУС для каждой из радиостанций сети; радиостанции обнаруживают маяк настройки путем сканирования частотного диапазона, проверяют его подлинность и в случае подтверждения подлинности маяка настройки излучают на радиочастоте приема маяка настройки в заданный момент времени маяк ответа с сеансовым ключом, зашифрованным открытым ключом ЦУС; ЦУС принимает маяк ответа от каждой радиостанции, проверяет его подлинность и в случае подтверждения подлинности маяка ответа передает для каждой радиостанции маяк настроечных данных, содержащий заранее рассчитанные для нее настроечные данные, зашифрованные принятым сеансовым ключом; радиостанции принимают маяки настроечных данных от ЦУС, проверяют их подлинность и в случае подтверждения подлинности маяков настроечных данных расшифровывают с помощью сеансовых ключей содержащиеся в них настроечные данные, которые далее используют для настройки своих параметров.

Техническая проблема решается за счет предложенного нового алгоритма обмена сигналами-маяками между ЦУС и N (N≥1) радиостанциями в процессе организации сети связи, который может быть представлен диаграммой, представленной на фиг. 1, где обозначено:

1 - центр управления связью;

2.1…2.N - N радиостанций;

МН - маяк настройки, передаваемый от ЦУС к N радиостанциям;

МО1…MON - маяки ответа, передаваемые от N радиостанций к ЦУС;

МНД1…МНДN - маяки настроечных данных, передаваемые от ЦУС к N радиостанциям.

Заявляемый способ организации защищенной системы связи включает нижеперечисленные этапы.

А). Этап передачи маяков настройки (МН) от ЦУС к радиостанциям

На данном этапе ЦУС:

1) с использованием специального программного обеспечения, например программы автоматизированного расчета радиоданных (свидетельство о государственной регистрации программы для ЭВМ №2011613837), осуществляет расчет настроечных данных НД_i для каждой из N радиостанций сети;

2) среди доступного для организации сети набора радиочастот выбирает номинал для излучения МН, например, по критерию минимального уровня шума;

3) формирует МН, в состав которого включается «открытый ключ», генерируемый на основе заранее введенного «закрытого ключа», и идентификационный номер ЦУС id_C;

4) осуществляет непрерывное излучение сформированного МН на частоте .

Одновременно радиостанции сканируют набор частот, доступный для организации сети связи, с задержкой на каждой частоте сканирования на время Δτ=2τ_мн, достаточное для гарантированного приема МН (где τ_мн - длительность МН).

Б). Этап передачи маяков ответа (МО) от радиостанций к ЦУС

На данном этапе радиостанции после приема МН:

1) проверяют подлинность МН путем анализа содержащегося в нем идентификационного номера ЦУС id_C;

2) если идентификационный номер ЦУС id_C неизвестен, то отбрасывают принятый МН;

3) если идентификационный номер ЦУС id_C известен, то делают вывод о подлинности МН и формируют МО, в состав которого включают «сеансовый ключ» crypto_i, зашифрованный содержащимся в МН «открытым ключом», и идентификационный номер радиостанции id_i;

4) излучают МО на частоте f₀ с уникальной, заранее установленной, например, по уникальному идентификационному номеру радиостанции id_i задержкой delay_i для предотвращения коллизии МО при приеме ЦУС;

В это же время ЦУС осуществляет прием МО от радиостанций на частоте f₀ в заданные моменты времени, определяемые для каждой радиостанции id_i задержкой delay_i.

В). Этап передачи маяка настроечных данных (МНД) от ЦУС к радиостанции

На данном этапе ЦУС после приема МО:

1) проверяет подлинность МО путем анализа содержащегося в нем идентификационного номера радиостанции id_i;

2) если идентификационный номер радиостанции id_i неизвестен, то отбрасывает принятый МО;

3) если идентификационный номер радиостанции id_i известен, то расшифровывает с использованием «закрытого ключа» и извлекает из МО «сеансовый ключ» crypto_i радиостанции;

4) формирует маяк настроечных данных (МНД) для радиостанции, в состав которого включает НДi, зашифрованный «сеансовым ключом», и id_i идентификационный номер радиостанции;

5) излучает МНД на частоте f₀.

Одновременно радиостанции:

1) осуществляют прием МНД от ЦУС на частоте f₀;

2) проверяют подлинность МНД путем анализа содержащегося в нем идентификационного номера id_i;

3) если идентификационный номер id_i не принадлежит радиостанции, то отбрасывают принятый МНД;

4) если идентификационный номер id_i принадлежит радиостанции, то расшифровывают с использованием «сеансового ключа» и извлекают из МНД настроечные данные НД;

5) устанавливают свои параметры согласно принятым в МНД настроечным данным НД.

Настройка сети считается завершенной, когда ЦУС передал МНД всем подлежащим настройке радиостанциям.

В представленном алгоритме для шифрования настроечных данных применяются известные схемы асимметричного шифрования с симметричным сеансовым ключом, такие как SSL, TLS, RSA-KEM, ГОСТ Р 34.10-2012 и т.п. [2].

Согласно этим схемам в ЦУС генерируется «закрытый (секретный) ключ», который должен храниться в тайне. На основе «закрытого ключа» генерируется «открытый ключ», по которому невозможно восстановить «закрытый ключ» (по сути, «открытый ключ» - это специальным образом шифрованный «закрытый ключ»). ЦУС в составе МН высылает по открытому каналу всем радиостанциям свой «открытый ключ». Радиостанции генерируют симметричные «сеансовые ключи» (которые действуют только в течение данного соединения), шифруют их полученным от ЦУС «открытым ключом» (при этом они сами не способны расшифровать его обратно) и затем отправляют в адрес ЦУС в составе МО. ЦУС расшифровывает «сеансовые ключи» радиостанций своим «закрытым ключом», шифрует с использованием полученный от радиостанций «сеансовых ключей» настроечные данные и отсылает их в составе МНД в адрес радиостанций. Радиостанции расшифровывают настроечные данные с использованием своих «сеансовых ключей». В результате обеспечивается гарантированная защита от несанкционированного доступа настроечных данных, передаваемых в сети по радиоэфиру.

Сокращение времени организации сети связи с применением предложенного алгоритма по сравнению с прототипом может быть оценено следующим образом.

Предположим, что ЦУС и все радиостанции включены одновременно. Обозначим через τ_МН, τ_МО, τ_МНД длительности маяков настройки, ответа и настроечных данных, соответственно.

Также обозначим через F количество частот (каналов), выделенных для настройки сети.

Время организации сети связи при применении прототипа.

Временные параметры организации сети связи при применении прототипа определяются диаграммой обмена маяками, представленной на фиг. 2, где обозначено:

1 - центр управления связью;

2.1…2.N - N радиостанций;

МН1…MHN - маяки настройки, передаваемые от N радиостанций в ЦУС;

MO1+ПНД1 - маяк ответа с пакетом настроечных данных, передаваемый от ЦУС к первой радиостанции;

MON+ПНДN - маяк ответа с пакетом настроечных данных, передаваемый от ЦУС к N-й радиостанции.

В прототипе каждая радиостанция передает МН, который обнаруживается ЦУС с помощью сканирующего приемника. На сканирование всего множества каналов ЦУС требуется время

Если на каждом канале находится не более одной радиостанции, то МН от всех радиостанций будут обнаружены ЦУС за время Т_ПI. Однако существует вероятность того, что один и тот же частотный канал будет одновременно выбран 2≤М≤N радиостанциями. С учетом выбора радиостанциями для излучения МН одних и тех же частот, МН от всех радиостанций будут получены ЦУС за время .

Затем ЦУС последовательно передает на частоте принятого МН для каждой радиостанции ответный маяк, фактически включающий МО и МНД. Полное время передачи ответного маяка ЦУС составит

Полное время организации сети с применением прототипа может быть оценено

Время организации сети связи при применении заявляемого способа.

Временные параметры организации сети связи при применении заявляемого способа определяются диаграммой обмена сигналами-маяками, представленной на фиг. 1.

Согласно заявляемому способу ЦУС передает на заранее выбранной частоте МН, который обнаруживается всеми радиостанциями. Коллизии при приеме МН радиостанциями исключены, так как все радиостанции работают на прием. Для приема МН всеми радиостанциями требуется время

Затем все радиостанции передают МО на частоте в заданные непересекающиеся моменты времени. Продолжительность передачи МО может быть оценена

Далее ЦУС на частоте передает МНД для каждой радиостанции за время

Полное время организации сети заявленным способом может быть оценено

Итоговый выигрыш во времени организации сети связи заявляемого способа по сравнению с прототипом составит

Анализ выражения (9) показывает, что выигрыш (γ>0) заявляемого способа по сравнению с прототипом во времени организации сети связи будет обеспечен при выполнении условия

На практике, при организации сети связи условие (10), как правило, всегда будет выполняться. Действительно, в силу того, что настраиваемые радиостанции размещаются на ограниченной территории (в пределах «радиовидимости») при использовании прототипа высока вероятность выбора этими радиостанциями для первичной рассылки МН одних и тех же частот (М>1). Указанное совпадение обусловлено тем обстоятельством, что радиостанции, находясь примерно в одинаковой помехово-сигнальной обстановке, стремятся выбрать для передачи МН «лучшие» для себя (с минимальным уровнем «шума») частоты, которые с высокой вероятностью оказываются одинаковыми.

Рассчитанное согласно (9) количественное значение выигрыша заявляемого способа по сравнению с прототипом во времени организации сети связи для различных значений М=2, 4 и 6, а также τ_МН=τ_МО=τ_МНД и F=100 представлено фиг. 3.

Таким образом, заявляемый способ по сравнению с прототипом за счет предложенного нового алгоритма обмена сигналами-маяками между ЦУС и радиостанциями обеспечивает сокращение времени организации сети связи с одновременной гарантированной защитой от несанкционированного доступа передаваемых по радиоэфиру настроечных данных.

Источники информации

1. Кузнецов А.В., Бессонов В.В. Технология создания самоорганизующейся радиосети с функциями когнитивного радио на основе принципов программно-определяемого радио // XV международная научно-техническая конференция «Кибернетика и высокие технологии XXI века». - Воронеж, 2014. - Т. 1. - С. 176-187.

2. Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си = Applied Cryptography. Protocols, Algorithms and Source Code in С. - M.: Триумф, 2002. - 816 c.

Способ организации защищенной системы связи, включающий обмен сигналами-маяками между центром управления связью (ЦУС) и N≥1 радиостанциями, отличающийся тем, что из ЦУС на выбранной радиочастоте осуществляют излучение маяков настройки, содержащих открытый ключ ЦУС для каждой из радиостанций сети; радиостанции обнаруживают маяк настройки путем сканирования частотного диапазона, проверяют его подлинность и в случае подтверждения подлинности маяка настройки излучают на радиочастоте приема маяка настройки в заданные непересекающиеся моменты времени маяк ответа с сеансовым ключом, зашифрованным открытым ключом ЦУС; ЦУС принимает маяк ответа от каждой радиостанции, проверяет его подлинность и в случае подтверждения подлинности маяка ответа передает для каждой радиостанции маяк настроечных данных, содержащий заранее рассчитанные для нее настроечные данные, зашифрованные принятым сеансовым ключом; радиостанции принимают маяки настроечных данных от ЦУС, проверяют их подлинность и в случае подтверждения подлинности маяков настроечных данных расшифровывают с помощью сеансовых ключей содержащиеся в них настроечные данные, которые далее используют для настройки своих параметров.