RU2160924C1 - Механизм проверки своевременности доставки сообщений в информационно-управляющих системах реального времени - Google Patents
Механизм проверки своевременности доставки сообщений в информационно-управляющих системах реального времени Download PDFInfo
- Publication number
- RU2160924C1 RU2160924C1 RU99117993A RU99117993A RU2160924C1 RU 2160924 C1 RU2160924 C1 RU 2160924C1 RU 99117993 A RU99117993 A RU 99117993A RU 99117993 A RU99117993 A RU 99117993A RU 2160924 C1 RU2160924 C1 RU 2160924C1
- Authority
- RU
- Russia
- Prior art keywords
- unit
- output
- center
- cma
- encryption
- Prior art date
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Изобретение относится к распределенным информационно-управляющим системам, преимущественно к системам, функционирующим в реальном масштабе времени, и может быть использовано в системах различного назначения, оперирующих информацией конфиденциального характера. Техническим результатом является возможность совмещения процесса взаимоаутентификации с проверкой этих сообщений на предмет их своевременности. Механизм взаимоаутентификации содержит центральный модуль аутентификации (ЦМА), в состав которого входят блок формирования Иц, блок шифрования, блок памяти, таймер, блок дешифрования и блок анализа и терминальный модуль аутентификации (ТМА), в состав которого входят блок формирования Ит, блок памяти, блок шифрования, блок дешифрования, таймер и блок анализа. 1 ил.
Description
Изобретение относится к распределенным информационно-управляющим системам (РИУС), преимущественно к РИУС, функционирующим в реальном масштабе времени (РИУС РВ).
Характерной особенностью РИУС является сложность структуры коммуникаций, обусловленная рассредоточенностью периферийных технических средств (Периферия). Подключение Периферии к центру обработки данных (Центру) Системы осуществляется посредством сети связи, включающей линии связи и узлы коммутации. Это обстоятельство таит в себе потенциальную угрозу преднамеренного нарушения физического и (или) логического интерфейса между Центром и Периферией с целью организации таких связей, которые отвечали бы замыслу Злоумышленника. Таким образом, возможна подмена штатных, зарегистрированных в составе Системы, технических средств ложными. В целях предотвращения этого в РИУС, оперирующих информацией высокого уровня конфиденциальности, между техническими средствами Центра и Периферии предусматривается взаимное установление подлинности - взаимоаутентификация. Примером практической реализации процесса взаимоаутентификации (ПВА) является техническое решение фирмы INTEL, описанное в статье Контура Ж.С. и Летама Л. "Защита компьютеров от несанкционированного доступа", журнал "Электроника", Москва, 1985, N 4, с. 77-83, а также техническое решение, описанное в патенте РФ N 2126170.
Другая, не менее серьезная опасность, - это возможность преднамеренного (или ошибочного) изменения трафика информационных потоков в Системе, в результате чего возможна задержка и даже потеря обмениваемых между Центром и Периферией сообщений. Особенно серьезно подобного рода нарушение при функционировании РИУС РВ, в которых темп формирования управляющих воздействий, как и реакция управляющего органа - Центра на сигналы обратной связи объектов управления - Периферии, соизмеримы со скоростью происходящих в Системе процессов. Очевидно, исполнение объектами управления задержанных, ставших неактуальными, управляющих воздействий может привести к непредсказуемым последствиям. В особенности, если это объекты специального назначения. Поэтому одним из основных требований к РИУС РВ является необходимость обеспечения своевременного, гарантированного доведения управляющих воздействий до объектов управления, а также оперативного оповещения ими Центра об их исполнении. Это ставит задачу осуществления в РИУС РВ проверки своевременности доставки сообщений. На решение этой задачи и направлено предлагаемое изобретение.
Наиболее близким по технической сущности к предлагаемому изобретению является техническое решение, описанное в патенте РФ N 2126170 "Механизм взаимоаутентификации в распределенных информационно-управляющих системах".
Как и в техническом решении-прототипе, предлагаемое изобретение реализуется посредством функционально и конструктивно законченных модулей аутентификации - центрального (ЦМА) и терминального (ТМА), которыми оснащаются системный терминал Администратора Центра (СТА) и периферийные терминалы соответственно.
Суть предлагаемого технического решения заключается в использовании в качестве исходного слова для формирования идентификаторов Центра - Иц и периферийных терминалов - Ит значения текущего времени. В этом случае включение идентификаторов в состав сообщений, которыми Центр обменивается с Периферией, позволяет совместить процесс взаимоаутентификации с проверкой этих сообщений на предмет их своевременности.
Блок-схема технического решения, реализующего в процессе взаимоаутентификации проверку своевременности доставки сообщений, которыми СТА обменивается с одним из периферийных терминалов, представлена на чертеже.
Примечание 1. Детальное описание информационного взаимодействия между СТА и периферийным терминалом потребовало бы включения в состав блок-схемы других программно-аппаратных блоков, участвующих в подготовке, приеме-передаче и обработке информации, что существенно усложнило бы рассмотрение собственно процесса взаимоаутентификации. Поэтому интерфейс на блок-схеме показан лишь на уровне взаимодействующих между собой функциональных модулей.
ЦМА включает в себя: блок формирования Иц - 1, блок шифрования - 2, блок памяти - 3, таймер - 4, блок дешифрования - 5 и блок анализа - 6.
ТМА включает в себя: блок формирования Ит - 7, блок памяти - 8, блок шифрования - 9, блок дешифрования - 10, таймер - 11 и блок анализа - 12.
Настройка функциональных модулей осуществляется на специально оборудованном терминале системной Службы безопасности. В процессе настройки осуществляются:
размещение в блоке памяти ЦМА N персональных кодов периферийных терминалов - ПКт (N - количество подключаемых к Центру терминалов Периферии) и собственного - персонального кода Центра - ПКц;
формирование и размещение в блоке памяти ЦМА собственного ключа - Кц, N ключей периферийных терминалов - Кт и N величин ΔTмах.т;
размещение в блоке памяти ТМА персонального кода данного терминала - ПКт и персонального кода Центра - ПКц;
формирование и размещение в блоке памяти ТМА каждого терминала собственного ключа - Кт, ключа Центра - Кц и ΔTмах.ц.
Примечание 2:
- Персональные коды присваиваются терминалам (персональным компьютерам) в процессе их изготовления.
размещение в блоке памяти ЦМА N персональных кодов периферийных терминалов - ПКт (N - количество подключаемых к Центру терминалов Периферии) и собственного - персонального кода Центра - ПКц;
формирование и размещение в блоке памяти ЦМА собственного ключа - Кц, N ключей периферийных терминалов - Кт и N величин ΔTмах.т;
размещение в блоке памяти ТМА персонального кода данного терминала - ПКт и персонального кода Центра - ПКц;
формирование и размещение в блоке памяти ТМА каждого терминала собственного ключа - Кт, ключа Центра - Кц и ΔTмах.ц.
Примечание 2:
- Персональные коды присваиваются терминалам (персональным компьютерам) в процессе их изготовления.
-ΔTмах - максимально допустимая разность значений времен приема (Тпрм) и передачи (Тпрд) сообщения между Центром и терминалом - время доставки сообщения. Т.к. размещение терминалов Периферии возможно на различном удалении от Центра, ΔTмах для каждой из N пар "Центр - терминал" ("терминал - Центр") может быть также различной. Определяется для каждой пары заранее.
Настроенные функциональные модули подключаются к специально предусмотренным в СТА и периферийных терминалах разъемам (в случае реализации терминалов на базе персональных компьютеров функциональные модули вставляются в специально предназначенные для этих целей разъемы - слоты расширения).
После подключения функциональных модулей производится начальная установка значения текущего времени таймеров. Периодическая их корректировка осуществляется в процессе эксплуатации в соответствии с сигналами точного времени.
Процесс взаимоаутентификации осуществляется за один сеанс связи и проходит три фазы: начальную - в ЦМА, промежуточную - в ТМА и заключительную - вновь в ЦМА.
Начальная фаза. Началом формирования Иц служит сигнал "Старт ПВА", поступающий в блок формирования Иц - 1 и блок шифрования - 2. В блоке шифрования - 2 формируется криптограмма Тпрд.ц - значения текущего времени передачи Центром сообщения терминалу, снимаемое с таймера - 4. Ключом шифрования Тпрд.ц служит хранящийся в блоке памяти - 3 ключ Центра - Кц. Криптограмма Тпрд.ц передается в блок формирования Иц - 1. Туда же из блока памяти - 3 поступает персональный код Центра - ПКц. Формирование Иц заключается в "перемешивании" каким-либо образом Тпрд.ц и ПКц. Алгоритм "перемешивания" не приводится. Одним из множества возможных вариантов "перемешивания" может быть, например, способ последовательного расположения каждого разряда ПКц, начиная с младшего, между двумя соседними разрядами Тпрд.ц Сформированный таким образом Иц направляется в ТМА.
Промежуточная фаза. Из идентификатора Центра - Иц, поступившего в блок дешифрования Иц - 10, "вычленяется" ПКц, служащий адресом, по которому в блоке памяти - 8 хранится ключ Центра - Кц и ΔTмах.ц. Выбранный из блока памяти - 8 ключ Центра - Кц служит ключом дешифрования криптограммы Тпрд.ц, результат которого - Тпрд.ц направляется в блок анализа - 12. Туда же с таймера - 11 поступает Тпрм.ц - значение текущего времени приема в терминал сообщения Центра, а из блока памяти - 8 - ΔTмах.ц. В случае, если разность времен приема - Тпрм.ц и передачи - Тпрд.ц превышает ΔTмах.ц, блок анализа - 12 формирует сигнал "Тревога". При положительном результате анализа (что означает корректность выполнения в ЦМА начальной фазы ПВА и что сообщение Центра поступило в терминал своевременно) в блок формирования Ит - 7 и блок шифрования - 9 и посылается сигнал "Формировать Ит".
Процедуры формирования Иц и Ит аналогичны. Сформированный Ит направляется в ЦМА.
Заключительная фаза. Из идентификатора терминала - Ит, поступившего в блок дешифрования - 5, "вычленяется" ПКт, служащий адресом, по которому в блоке памяти - 3 хранится ключ терминала - Кт и ΔTмах.т. Выбранный из блока памяти - 3 ключ терминала - Кт служит ключом дешифрования криптограммы Тпрд.т, результат которого - Тпрд.т направляется в блок анализа - 6. Туда же с таймера - 4 поступает Тпрм.т - значение текущего времени приема в Центр сообщения из терминала, а из блока памяти - 3 - ΔTмах.т. В случае, если разность времен приема - Тпрм.т и передачи - Тпрд.т превышает ΔTмах.т, блок анализа - 6 формирует сигнал "Тревога". При положительном результате анализа (что означает корректность выполнения в ТМА промежуточной фазы ПВА и что сообщение терминала поступило в Центр своевременно) формируется сигнал "Норма".
Claims (1)
- Механизм проверки своевременности доставки сообщений в распределенных информационно-управляющих системах реального времени, содержащий центральный модуль аутентификации (ЦМА), в состав которого входят последовательно соединенные блок памяти и блок дешифрования, а также блок анализа, один из входов которого является выходом сигнала "Тревога" ЦМА, и терминальный модуль аутентификации (ТМА), в состав которого входят последовательно соединенные блок памяти и блок шифрования, а также блок анализа, один из выходов которого является выходом сигнала "Тревога" ТМА, отличающийся тем, что в состав ЦМА введены последовательно соединенные таймер, блок шифрования и блок формирования идентификатора Центра, к входу которого подключен выход "Персональный код Центра" (ПКц) блока памяти, выход "Ключ центра" (Кц) которого соединен с соответствующим входом блока шифрования, вход "Персональный код терминала" (ПКт) блока памяти соединен с соответствующим выходом блока дешифрования, выход блока дешифрования, другой выход таймера и выход "Время доставки сообщения" блока памяти подключены к соответствующим входам блока анализа, другой выход которого является выходом сигнала "Норма" ЦМА, входом "Старт процесса взаимоаутентификации" ЦМА являются соединенные между собой управляющие входы блока шифрования и блока формирования идентификатора Центра, а в состав ТМА введены блок формирования идентификатора терминала, блок дешифрования и таймер, при этом выход ПКт блока памяти и выход блока шифрования соединены с соответствующими входами блока формирования идентификатора терминала, первый и второй выходы таймера соединены соответственно с входами блока шифрования и блока анализа, к другим входам которого подключены соответственно выход "Время доставки сообщения" блока памяти и выход блока дешифрования, другой выход блока анализа соединен с управляющими входами блока формирования идентификатора терминала и блока шифрования, причем выход блока формирования идентификатора терминала и вход блока дешифрования ТМА соединены соответственно со входом блока дешифрования ЦМА и с выходом блока формирования идентификатора Центра ЦМА.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU99117993A RU2160924C1 (ru) | 1999-08-18 | 1999-08-18 | Механизм проверки своевременности доставки сообщений в информационно-управляющих системах реального времени |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU99117993A RU2160924C1 (ru) | 1999-08-18 | 1999-08-18 | Механизм проверки своевременности доставки сообщений в информационно-управляющих системах реального времени |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2160924C1 true RU2160924C1 (ru) | 2000-12-20 |
Family
ID=20224078
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU99117993A RU2160924C1 (ru) | 1999-08-18 | 1999-08-18 | Механизм проверки своевременности доставки сообщений в информационно-управляющих системах реального времени |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2160924C1 (ru) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2639696C2 (ru) * | 2013-02-19 | 2017-12-21 | ЗетТиИ Корпорейшн | Способ, устройство и система поддержания активности сессии доступа по стандарту 802.1Х |
-
1999
- 1999-08-18 RU RU99117993A patent/RU2160924C1/ru not_active IP Right Cessation
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2639696C2 (ru) * | 2013-02-19 | 2017-12-21 | ЗетТиИ Корпорейшн | Способ, устройство и система поддержания активности сессии доступа по стандарту 802.1Х |
US9918353B2 (en) | 2013-02-19 | 2018-03-13 | Zte Corporation | 802.1X access session keepalive method, device, and system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100383693C (zh) | 用于安全地交换对称密钥的系统和方法 | |
US4912762A (en) | Management of cryptographic keys | |
EP0354774B1 (en) | Data cryptography using control vectors | |
CA1292790C (en) | Controlled use of cryptographic keys via generating station establishedcontrol values | |
CN101262349A (zh) | 基于短消息的身份认证方法和装置 | |
EP0064779A2 (en) | Method and system for the mutual encyphered identification between data communicating stations and stations for use with such method and system | |
CN105610837B (zh) | 用于scada系统主站与从站间身份认证的方法及系统 | |
WO1999024895A1 (en) | Tamper resistant method and apparatus | |
CN101860528A (zh) | 认证设备、认证方法及程序 | |
US20100037053A1 (en) | Mobile station authentication in tetra networks | |
WO1996008756A9 (en) | Secure computer network | |
EP3180889A2 (en) | Protecting against malicious modification in cryptographic operations | |
CN108667801A (zh) | 一种物联网接入身份安全认证方法及系统 | |
Yang et al. | Cryptanalysis and improvement of a controlled quantum secure direct communication with authentication protocol based on five-particle cluster state | |
RU2160924C1 (ru) | Механизм проверки своевременности доставки сообщений в информационно-управляющих системах реального времени | |
CN102270182B (zh) | 基于同步用户和主机认证的加密可移动存储设备 | |
JPH04247737A (ja) | 暗号化装置 | |
CN106027477A (zh) | 一种身份证读取响应方法 | |
CN106850218A (zh) | 量子保密通信系统及移动终端 | |
CN114173303A (zh) | Ctcs-3级列控系统车地会话密钥生成方法和系统 | |
CN113411397A (zh) | 一种基于物联网的数据安全传输方法及系统 | |
Sinha et al. | A Secure Three-Party Authenticated Key Exchange Protocol for Social Networks. | |
CN114430549A (zh) | 一种适用于无线通信的白盒加解密方法与装置 | |
WO2016204700A1 (en) | System for secure transmission of voice communication via communication network and method of secure transmission of voice communication | |
Sobota et al. | Application of quantum cryptography protocols in authentication process |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PD4A | Correction of name of patent owner | ||
MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20160819 |