Способ аутентификации коммутаторов на основе кодирования сигнала в нескольких базисах
Владельцы патента RU 2755593:
Федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации (RU)
Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении аутентификации коммутаторов второго уровня (модель OSI) в сетях связи военного назначения. Способ аутентификации коммутаторов на основе кодирования сигнала в нескольких базисах, состоящий в том, что для получения случайной двоичной последовательности заданной длины при установленной длине линии связи используются равномерно распределенные по углу относительные фазы информационных когерентных состояний, число которых увеличивается, если длина кода аутентификации меньше расчетной длины кода, причем для аутентификации коммутаторов в SPF-модули коммутаторов встраиваются модули аутентификации, состоящие из интерферометра с линией задержки, фазового модулятора и оптического соединителя, которые позволяют реализовать алгоритм подключения нового оборудования к волоконно-оптической сети с формированием кода аутентификации. 4 ил.
Изобретение относится к информационно-коммуникационным технологиям, специально адаптированным для конкретных областей применения, и может быть использовано при аутентификации коммутаторов, предназначенных для сетей связи военного назначения.
Наиболее близким по технической сущности к заявляемому является способ квантового распределения ключей в однопроходной системе квантового распределения ключей (Патент 2706175 RU, H04L 9/08; G06F 21/72 от 14.11.2019), который позволяет получить случайную двоичную последовательность с помощью оптической системы. Известный способ заключается в обеспечении возможности получения случайной двоичной последовательности заданной длины при установленной длине линии связи. В известном способе для кодирования бит случайной последовательности используются равномерно распределенные по углу относительные фазы информационных когерентных состояний, число которых выбирается в зависимости от длины линии связи. Переход на новую длину линии связи осуществляется увеличением числа базисов и, соответственно, числа информационных состояний. Для реализации способа квантового распределения ключей используется волоконно-оптическая система квантовой криптографии с фазовым кодированием.
Однако, данный способ получения случайной двоичной последовательности может быть применен только в квантовой криптографии при распределении ключей для симметричной системы шифрования и не может быть использован для аутентификации коммутаторов сетей связи.
Целью изобретения является обеспечение аутентификации коммутаторов второго уровня (модель OSI) в сетях связи военного назначения.
Цель достигается тем, что для получения случайной двоичной последовательности заданной длины при установленной длине линии связи используются равномерно распределенные по углу относительные фазы информационных когерентных состояний, число которых выбирается в зависимости от длины линии связи. Дополнительно для аутентификации коммутаторов применяются алгоритмы подключения нового оборудования к волоконно-оптической сети с формированием кода аутентификации и передачи данных с процедурой аутентификации коммутаторов.
В известном техническом решении (Патент RU 2706175, H04L 9/08; G06F 21/72 от 14.11.2019) имеются признаки, присущие заявленному решению. Это использование для формирования кода аутентификации алгоритма квантового распределения ключей в однопроходной системе квантового распределения ключей, причем система включает: передающую часть, содержащую генератор случайных чисел, лазер, интерферометр, фазовый модулятор; принимающую часть, содержащую генератор случайных чисел, интерферометр, фазовый модулятор, фотоприемный блок; оптическую линию связи, выполненную в виде одномодового оптического волокна и соединяющую передающую и принимающую части. Однако свойства заявленного решения отличаются от свойств известного решения тем, что в способ включаются алгоритм подключения нового оборудования к волоконно-оптической сети с формированием кода аутентификации и алгоритм передачи данных с процедурой аутентификации коммутаторов. Оптическая система в интегрально-оптическом исполнении встроена в SFP-модуль коммутатора волоконно-оптической сети связи.
Анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностью признаков, тождественными всем признакам заявленного технического решения, отсутствуют, что указывает на соответствие заявленного способа условию патентоспособности «новизна».
Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками заявленного способа, показали, что они не следуют явным образом из уровня техники. Из уровня техники также не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения преобразований на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».
Благодаря новой совокупности существенных признаков в заявленном способе достигается обеспечение аутентификации коммутаторов второго уровня (модель OSI) в сетях связи военного назначения. В предлагаемом изобретении в SFP-модули коммутаторов встраиваются модули аутентификации, которые позволяют сформировать случайный код аутентификации у отправителя и получателя информации. Модуль аутентификации состоит из интегрально-оптического устройства управления оптическим излучением, в которое входят интерферометр с линией задержки и фазовый модулятор, и оптического соединителя. Такое изменение SFP-модуля коммутатора и использование алгоритмов: формирования случайной двоичной последовательности, подключения нового оборудования к волоконно-оптической сети, передачи данных позволяет обеспечить аутентификацию коммутатора отправителя.
Проведенный заявителем анализ уровня техники, включая поиск по патентным и научно-техническим источникам информации и выявление источников, содержащих сведения об аналогах заявленного технического решения, позволил установить, что заявитель не обнаружил источник, характеризующийся признаками, тождественными (идентичными) всем существенным признакам заявленного технического решения. Определение из перечня выявленных аналогов прототипа, как наиболее близкого по совокупности признаков аналога, позволило установить совокупность существенных по отношению к усматриваемому заявителем техническому результату отличительных признаков заявленного способа аутентификации коммутаторов, изложенных в формуле изобретения. Следовательно, заявленное техническое решение соответствует критерию "новизна".
Преимущества данного изобретения станут более очевидными из подробного описания его предпочтительного осуществления со ссылкой на прилагаемые рисунки, в которых:
рис. 1 схема трактов передачи и приема кода аутентификации;
рис. 2 схема соединения коммутаторов с встроенными модулями аутентификации;
рис. 3 алгоритм подключения нового оборудования к волоконно-оптической сети с формированием кода аутентификации;
рис. 4 алгоритм передачи данных с процедурой аутентификации коммутаторов.
Для достижения указанной цели предлагается способ аутентификации коммутаторов с помощью тракта передачи кода аутентификации. Тракт передачи кода аутентификации содержит автоматизированное рабочее место оператора, источник ослабленных оптических сигналов, устройство управления оптическим излучением на основе интегрально-оптического интерферометра с фазовым модулятором, оптический соединитель. В состав тракта приема кода аутентификации входят оптический соединитель, интегрально-оптический поляризационный расщепитель, устройство управления оптическим излучением на основе интегрально-оптического интерферометра с фазовым модулятором, фотоприемник, автоматизированное рабочее место оператора. Система аутентификации включает оптическую линию связи, выполненную в виде одномодового оптического волокна и соединяющую передающую и принимающую части рис. 1.
При необходимости аутентификации коммутаторов при передаче информации от отправителя получателям при длине линии связи не больше 100 км соединение коммутаторов показано на рисунке 2. Модуль SFP с встроенным модулем аутентификации коммутатора отправителя информации соединяется волоконно-оптическими линиями связи с модулями SFP с встроенными модулями аутентификации коммутаторов получателей информации. После формирования кода аутентификации при подключении коммутаторов обмен информацией происходит по тем же волоконно-оптическим линиям связи при отключенных модулях аутентификации. Для передачи кода аутентификации используется ослабленное лазерное импульсное излучение. Излучение нужно ослабить аттенюатором так, чтобы перехват информации злоумышленником приводил к потере сигналов. Тогда потерянные биты просто не будут участвовать в формировании кода аутентификации, и не дадут злоумышленнику никакой информации о коде аутентификации.
Код аутентификации представляет собой двоичную случайную последовательность. Для формирования кода аутентификации у отправителя и получателя информации выполняется следующий алгоритм:
1. выбирается количество информационных состояний N и количество базисов K=N/2;
2. вычисляется вероятность определенных исходов измерений информационных состояний:
где μ - среднее число фотонов в ослабленном оптическом сигнале при передаче информационных состояний, 0≤r≤N-1;
3. вычисляется длина кода аутентификации 
в битах в пересчете на серию переданных информационных состояний:
где η - квантовая эффективность однофотонного лавинного детектора;
4. формируется в передающей части серия когерентных состояний, причем для каждого когерентного состояния выбирается случайно и равновероятно состояние характеризующееся значением 0 или 1 внутри базисов, осуществляя равномерно распределенный по углу сдвиг по фазе;
5. передаются полученные когерентные состояния из передающей части в принимающую часть по оптической линии связи;
6. принимают когерентные состояния в принимающей части;
7. выбираются для регистрации состояний случайно, равновероятно и независимо от передающей части базисы измерений из числа K;
8. получается результат измерений состояний как 0 или 1;
9. сравниваются базисы измерений с базисами из передающей части;
10. формируется первичный код аутентификации, оставляя только те позиции когерентных состояний, где базисы на передающей части и принимающей части совпали;
11. обрабатывается первичный код аутентификации;
12. сравнивается расчетная длина кода аутентификации с полученной длиной кода аутентификации;
13. если длина кода аутентификации меньше расчетной длины кода, то увеличивается число информационных состояний N.
Предлагаемый способ аутентификации коммутаторов с помощью модулей аутентификации, встроенных в SFP модуль обеспечивает аутентификацию коммутаторов второго уровня (модель OSI) в сетях связи военного назначения.
Предлагаемый способ аутентификации коммутаторов работает следующим образом. Алгоритм подключения нового оборудования к волоконно-оптической сети с формированием кода аутентификации в случае кодирования в двух базисах показан на рисунке 3. При подключении нового оборудования к коммутатору составляется таблица МАС-адресов. Коммутатор получает кадр от ближайшего узла сети. В случае отсутствия адреса передающего узла сети в таблице МАС-адресов значение МАС-адреса подключенного устройства вносится в таблицу и с помощью генератора случайных чисел формируется случайная последовательность длиной 256 байт. Шаги алгоритма подключения нового оборудования к сети с 4-го по 14-й соответствуют шагам алгоритма формирования кода аутентификации, приведенному ранее. Рассмотрен случай применения двух базисов для кодирования нулей и единиц случайной последовательности. После формирования кода аутентификации МАС-адрес передающего узла сети будет занесен в таблицу. В случае наличия МАС-адреса получателя в сети происходит передача кадра получателя, в случае отсутствия - замена МАС-адреса получателя на широковещательный адрес и отправка кадра на все подключенные порты. Таким образом, внесение МАС-адреса устройства в таблицу возможно только при формировании кода аутентификации для этого устройства.
Алгоритм передачи данных с процедурой аутентификации коммутаторов показан на рисунке 4. Производится генерация и отправка импульса длительностью 100 нс каждые 16 мс для начала передачи данных. В случае отсутствия необходимости в аутентификации коммутатора получателя или если с момента последней аутентификации не прошел указанный период времени T осуществляется обычный процесс передачи информации. При передаче информации происходит передача кадра локальным коммутатором, синхронизация скорости приема данных, прием пакета, проверка содержания пакета путем сравнения контрольной суммы и дальнейшая обработка пакета. В случае несовпадения контрольных сумм генерируется и отправляется запрос на повторную отправку пакета. Если необходима аутентификация коммутатора и с последней аутентификации прошел период времени больше Т, то происходит задержка отправки данных, установка счетчика неудачных попыток аутентификации К=0 и формирование кадра аутентификации. Кадр с кодом аутентификации передается получателю. Так как случайная двоичная последовательность сформирована у отправителя и получателя информации, то наличие кадра кода аутентификации подтверждает лигитимность коммутатора отправителя информации. После проверки содержания пакета путем сравнения контрольной суммы в случае неуспешной аутентификации отправляется запрос на проведение очередной аутентификации. После этого формируется и отправляется ответ с кодом аутентификации. В случае успешной аутентификации происходит повторная попытка передачи задержанных данных. В случае неуспешной аутентификации к счетчику неудачных попыток аутентификации прибавляется единица. Если значение счетчика меньше трех, формируется кадр аутентификации и снова осуществляется передача кадра. Если значение счетчика равно трем, то формируется сигнал тревоги и происходит блокировка устройства.
Таким образом, в рассмотренном способе за счет использования модуля аутентификации, встроенного в SFP модуль коммутатора, и алгоритмов подключения нового оборудования в сети связи и передачи информации обеспечивается достижение технического результата -аутентификация коммутаторов второго уровня (модель OSI) в сетях связи военного назначения.
Способ аутентификации коммутаторов на основе кодирования сигнала в нескольких базисах, состоящий в том, что для получения случайной двоичной последовательности заданной длины при установленной длине линии связи используются равномерно распределенные по углу относительные фазы информационных когерентных состояний, число которых увеличивается, если длина кода аутентификации меньше расчетной длины кода, отличающийся тем, что для аутентификации коммутаторов в SPF-модули коммутаторов встраиваются модули аутентификации, состоящие из интерферометра с линией задержки, фазового модулятора и оптического соединителя, которые позволяют реализовать алгоритм подключения нового оборудования к волоконно-оптической сети с формированием кода аутентификации: при подключении нового оборудования к коммутатору составляется таблица MAC-адресов, коммутатор получает кадр от ближайшего узла сети, в случае отсутствия адреса передающего узла сети в таблице MAC-адресов значение MAC-адреса подключенного устройства вносится в таблицу, с помощью генератора случайных чисел формируется случайная последовательность по алгоритму: выбирается количество информационных состояний N и количество базисов K=N/2; вычисляется вероятность определенных исходов измерений информационных состояний:
где μ - среднее число фотонов в ослабленном оптическом сигнале при передаче информационных состояний, 0≤r≤N-1; вычисляется длина кода аутентификации 
в битах в пересчете на серию переданных информационных состояний:
где η - квантовая эффективность однофотонного лавинного детектора; формируется в передающей части серия когерентных состояний, причем для каждого когерентного состояния выбирается случайно и равновероятно состояние, характеризующееся значением 0 или 1 внутри базисов, осуществляя равномерно распределенный по углу сдвиг по фазе; передаются полученные когерентные состояния из передающей части в принимающую часть по оптической линии связи; принимают когерентные состояния в принимающей части; выбираются для регистрации состояний случайно, равновероятно и независимо от передающей части базисы измерений из числа K; получается результат измерений состояний как 0 или 1; сравниваются базисы измерений с базисами из передающей части; оставляются только те позиции когерентных состояний, где базисы на передающей части и принимающей части совпали; обрабатывается первичный код аутентификации; сравнивается расчетная длина кода аутентификации с полученной длиной кода аутентификации; если длина кода аутентификации меньше расчетной длины кода, то увеличивается число информационных состояний N; после формирования кода аутентификации MAC-адрес передающего узла будет занесен в таблицу, в случае наличия MAC-адреса получателя в сети происходит передача кадра получателя, в случае отсутствия – замена MAC-адреса получателя на широковещательный адрес и отправка кадра на все полученные порты, а также применяется алгоритм передачи данных с процедурой аутентификации коммутаторов: производится генерация и отправка импульса длительностью 100 нс каждые 16 мс для начала передачи данных; в случае отсутствия необходимости в аутентификации коммутатора получателя или если с момента последней аутентификации не прошел указанный период времени T, осуществляется обычный процесс передачи информации; при передаче информации происходит передача кадра локальным коммутатором, синхронизация скорости приема данных, прием пакета, проверка содержания пакета путем сравнения контрольной суммы; в случае несовпадения контрольных сумм генерируется и отправляется запрос на повторную отправку пакета; если необходима аутентификация коммутатора и с последней аутентификации прошел период времени больше Т, то происходит задержка отправки данных, установка счетчика неудачных попыток аутентификации К=0 и формирование кадра аутентификации; кадр с кодом аутентификации передается получателю; так как случайная двоичная последовательность сформирована у отправителя и получателя информации, то наличие кадра кода аутентификации подтверждает легитимность коммутатора отправителя информации; после проверки содержания пакета путем сравнения контрольной суммы в случае неуспешной аутентификации отправляется запрос на проведение очередной аутентификации; формируется и отправляется ответ с кодом аутентификации; в случае успешной аутентификации происходит повторная попытка передачи задержанных данных; в случае неуспешной аутентификации к счетчику неудачных попыток аутентификации прибавляется единица; если значение счетчика меньше трех, формируется кадр аутентификации и снова осуществляется передача кадра; если значение счетчика равно трем, то формируется сигнал тревоги и происходит блокировка устройства.
