RU2755593C1 - Method for authentication of switches based on signal encoding in several bases - Google Patents

Method for authentication of switches based on signal encoding in several bases Download PDF

Info

Publication number
RU2755593C1
RU2755593C1 RU2020127136A RU2020127136A RU2755593C1 RU 2755593 C1 RU2755593 C1 RU 2755593C1 RU 2020127136 A RU2020127136 A RU 2020127136A RU 2020127136 A RU2020127136 A RU 2020127136A RU 2755593 C1 RU2755593 C1 RU 2755593C1
Authority
RU
Russia
Prior art keywords
authentication
authentication code
length
information
states
Prior art date
Application number
RU2020127136A
Other languages
Russian (ru)
Inventor
Ольга Александровна Кулиш
Игорь Дмитриевич Королев
Татьяна Петровна Комиссарова
Original Assignee
федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации filed Critical федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации
Priority to RU2020127136A priority Critical patent/RU2755593C1/en
Application granted granted Critical
Publication of RU2755593C1 publication Critical patent/RU2755593C1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Optical Communication System (AREA)

Abstract

FIELD: computing technology.
SUBSTANCE: method for authentication of switches based on signal encoding in several bases, consisting in the fact that to obtain a random binary sequence of a predetermined length with a predetermined length of the communication line, evenly distributed by angle relative phases of information coherent states are used, the number whereof increases if the length of the authentication code is less than the effective code length, wherein authentication modules consisting of an interferometer with a delay line, a phase modulator and an optical connector, allowing for implementation of an algorithm for connection of new equipment to the fibre-optic network forming an authentication code, are embedded in the SPF modules of the switches for authentication of the switches.
EFFECT: technical result consists in ensuring authentication of second-level switches (OSI model) in military communication networks.
1 cl, 4 dwg

Description

Изобретение относится к информационно-коммуникационным технологиям, специально адаптированным для конкретных областей применения, и может быть использовано при аутентификации коммутаторов, предназначенных для сетей связи военного назначения.The invention relates to information and communication technologies, specially adapted for specific areas of application, and can be used to authenticate switches designed for military communications networks.

Наиболее близким по технической сущности к заявляемому является способ квантового распределения ключей в однопроходной системе квантового распределения ключей (Патент 2706175 RU, H04L 9/08; G06F 21/72 от 14.11.2019), который позволяет получить случайную двоичную последовательность с помощью оптической системы. Известный способ заключается в обеспечении возможности получения случайной двоичной последовательности заданной длины при установленной длине линии связи. В известном способе для кодирования бит случайной последовательности используются равномерно распределенные по углу относительные фазы информационных когерентных состояний, число которых выбирается в зависимости от длины линии связи. Переход на новую длину линии связи осуществляется увеличением числа базисов и, соответственно, числа информационных состояний. Для реализации способа квантового распределения ключей используется волоконно-оптическая система квантовой криптографии с фазовым кодированием.The closest in technical essence to the claimed one is a method of quantum key distribution in a single-pass quantum key distribution system (Patent 2706175 RU, H04L 9/08; G06F 21/72 dated 11/14/2019), which allows you to obtain a random binary sequence using an optical system. The known method consists in providing the possibility of obtaining a random binary sequence of a given length with a specified length of the communication line. In the known method for coding the bits of a random sequence, the relative phases of information coherent states, evenly distributed over the angle, are used, the number of which is selected depending on the length of the communication line. The transition to a new length of the communication line is carried out by increasing the number of bases and, accordingly, the number of information states. To implement the method of quantum key distribution, a phase-coded fiber-optic quantum cryptography system is used.

Однако, данный способ получения случайной двоичной последовательности может быть применен только в квантовой криптографии при распределении ключей для симметричной системы шифрования и не может быть использован для аутентификации коммутаторов сетей связи.However, this method of obtaining a random binary sequence can only be applied in quantum cryptography when distributing keys for a symmetric encryption system and cannot be used to authenticate switches of communication networks.

Целью изобретения является обеспечение аутентификации коммутаторов второго уровня (модель OSI) в сетях связи военного назначения.The aim of the invention is to provide authentication of second layer switches (OSI model) in military communication networks.

Цель достигается тем, что для получения случайной двоичной последовательности заданной длины при установленной длине линии связи используются равномерно распределенные по углу относительные фазы информационных когерентных состояний, число которых выбирается в зависимости от длины линии связи. Дополнительно для аутентификации коммутаторов применяются алгоритмы подключения нового оборудования к волоконно-оптической сети с формированием кода аутентификации и передачи данных с процедурой аутентификации коммутаторов.The goal is achieved by the fact that to obtain a random binary sequence of a given length with a specified length of the communication line, the relative phases of information coherent states, evenly distributed over the angle, are used, the number of which is selected depending on the length of the communication line. In addition, for the authentication of switches, algorithms for connecting new equipment to a fiber-optic network are used with the generation of an authentication code and data transmission with a switch authentication procedure.

В известном техническом решении (Патент RU 2706175, H04L 9/08; G06F 21/72 от 14.11.2019) имеются признаки, присущие заявленному решению. Это использование для формирования кода аутентификации алгоритма квантового распределения ключей в однопроходной системе квантового распределения ключей, причем система включает: передающую часть, содержащую генератор случайных чисел, лазер, интерферометр, фазовый модулятор; принимающую часть, содержащую генератор случайных чисел, интерферометр, фазовый модулятор, фотоприемный блок; оптическую линию связи, выполненную в виде одномодового оптического волокна и соединяющую передающую и принимающую части. Однако свойства заявленного решения отличаются от свойств известного решения тем, что в способ включаются алгоритм подключения нового оборудования к волоконно-оптической сети с формированием кода аутентификации и алгоритм передачи данных с процедурой аутентификации коммутаторов. Оптическая система в интегрально-оптическом исполнении встроена в SFP-модуль коммутатора волоконно-оптической сети связи.The known technical solution (Patent RU 2706175, H04L 9/08; G06F 21/72 dated 11/14/2019) contains features inherent in the claimed solution. This is the use of a quantum key distribution algorithm for generating an authentication code in a one-pass quantum key distribution system, and the system includes: a transmitting part containing a random number generator, a laser, an interferometer, a phase modulator; receiving part containing a random number generator, interferometer, phase modulator, photodetector unit; an optical communication line made in the form of a single-mode optical fiber and connecting the transmitting and receiving parts. However, the properties of the claimed solution differ from the properties of the known solution in that the method includes an algorithm for connecting new equipment to a fiber-optic network with the generation of an authentication code and a data transmission algorithm with a switch authentication procedure. The optical system in the integrated optical design is built into the SFP-module of the switch of the fiber-optic communication network.

Анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностью признаков, тождественными всем признакам заявленного технического решения, отсутствуют, что указывает на соответствие заявленного способа условию патентоспособности «новизна».The analysis of the prior art made it possible to establish that analogues characterized by a set of features that are identical to all features of the claimed technical solution are absent, which indicates the compliance of the claimed method with the "novelty" condition of patentability.

Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками заявленного способа, показали, что они не следуют явным образом из уровня техники. Из уровня техники также не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения преобразований на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».The search results for known solutions in this and related fields of technology in order to identify features that match the distinctive features of the prototype features of the claimed method have shown that they do not follow explicitly from the prior art. The prior art also did not reveal the influence of the transformations envisaged by the essential features of the claimed invention on the achievement of the specified technical result. Therefore, the claimed invention meets the “inventive step” requirement of patentability.

Благодаря новой совокупности существенных признаков в заявленном способе достигается обеспечение аутентификации коммутаторов второго уровня (модель OSI) в сетях связи военного назначения. В предлагаемом изобретении в SFP-модули коммутаторов встраиваются модули аутентификации, которые позволяют сформировать случайный код аутентификации у отправителя и получателя информации. Модуль аутентификации состоит из интегрально-оптического устройства управления оптическим излучением, в которое входят интерферометр с линией задержки и фазовый модулятор, и оптического соединителя. Такое изменение SFP-модуля коммутатора и использование алгоритмов: формирования случайной двоичной последовательности, подключения нового оборудования к волоконно-оптической сети, передачи данных позволяет обеспечить аутентификацию коммутатора отправителя.Thanks to the new set of essential features in the claimed method, the authentication of switches of the second level (OSI model) in military communication networks is achieved. In the proposed invention, authentication modules are built into SFP-modules of switches, which allow generating a random authentication code for the sender and recipient of information. The authentication module consists of an integrated optical optical radiation control device, which includes an interferometer with a delay line and a phase modulator, and an optical connector. Such a change in the SFP module of the switch and the use of algorithms: generating a random binary sequence, connecting new equipment to a fiber-optic network, transferring data allows authentication of the sender's switch.

Проведенный заявителем анализ уровня техники, включая поиск по патентным и научно-техническим источникам информации и выявление источников, содержащих сведения об аналогах заявленного технического решения, позволил установить, что заявитель не обнаружил источник, характеризующийся признаками, тождественными (идентичными) всем существенным признакам заявленного технического решения. Определение из перечня выявленных аналогов прототипа, как наиболее близкого по совокупности признаков аналога, позволило установить совокупность существенных по отношению к усматриваемому заявителем техническому результату отличительных признаков заявленного способа аутентификации коммутаторов, изложенных в формуле изобретения. Следовательно, заявленное техническое решение соответствует критерию "новизна".The analysis of the state of the art, carried out by the applicant, including a search for patent and scientific and technical sources of information and the identification of sources containing information about analogues of the claimed technical solution, made it possible to establish that the applicant did not find a source characterized by features identical (identical) to all essential features of the claimed technical solution ... Determination from the list of identified analogs of the prototype, as the closest analogue in terms of a set of features, made it possible to establish a set of significant in relation to the technical result perceived by the applicant of the distinctive features of the claimed method of authentication of switches set forth in the claims. Consequently, the claimed technical solution meets the "novelty" criterion.

Преимущества данного изобретения станут более очевидными из подробного описания его предпочтительного осуществления со ссылкой на прилагаемые рисунки, в которых:The advantages of this invention will become more apparent from a detailed description of its preferred implementation with reference to the accompanying drawings, in which:

рис. 1 схема трактов передачи и приема кода аутентификации;rice. 1 diagram of the transmission and reception paths of the authentication code;

рис. 2 схема соединения коммутаторов с встроенными модулями аутентификации;rice. 2 connection diagram of switches with built-in authentication modules;

рис. 3 алгоритм подключения нового оборудования к волоконно-оптической сети с формированием кода аутентификации;rice. 3 algorithm for connecting new equipment to a fiber-optic network with the generation of an authentication code;

рис. 4 алгоритм передачи данных с процедурой аутентификации коммутаторов.rice. 4 data transfer algorithm with switch authentication procedure.

Для достижения указанной цели предлагается способ аутентификации коммутаторов с помощью тракта передачи кода аутентификации. Тракт передачи кода аутентификации содержит автоматизированное рабочее место оператора, источник ослабленных оптических сигналов, устройство управления оптическим излучением на основе интегрально-оптического интерферометра с фазовым модулятором, оптический соединитель. В состав тракта приема кода аутентификации входят оптический соединитель, интегрально-оптический поляризационный расщепитель, устройство управления оптическим излучением на основе интегрально-оптического интерферометра с фазовым модулятором, фотоприемник, автоматизированное рабочее место оператора. Система аутентификации включает оптическую линию связи, выполненную в виде одномодового оптического волокна и соединяющую передающую и принимающую части рис. 1.To achieve this goal, a method for authenticating switches using an authentication code transmission path is proposed. The authentication code transmission path contains an operator's workstation, a source of attenuated optical signals, an optical radiation control device based on an integrated optical interferometer with a phase modulator, and an optical connector. The path for receiving the authentication code includes an optical connector, an integrated optical polarization splitter, an optical radiation control device based on an integrated optical interferometer with a phase modulator, a photodetector, and an operator's workstation. The authentication system includes an optical communication line made in the form of a single-mode optical fiber and connecting the transmitting and receiving parts of Fig. 1.

При необходимости аутентификации коммутаторов при передаче информации от отправителя получателям при длине линии связи не больше 100 км соединение коммутаторов показано на рисунке 2. Модуль SFP с встроенным модулем аутентификации коммутатора отправителя информации соединяется волоконно-оптическими линиями связи с модулями SFP с встроенными модулями аутентификации коммутаторов получателей информации. После формирования кода аутентификации при подключении коммутаторов обмен информацией происходит по тем же волоконно-оптическим линиям связи при отключенных модулях аутентификации. Для передачи кода аутентификации используется ослабленное лазерное импульсное излучение. Излучение нужно ослабить аттенюатором так, чтобы перехват информации злоумышленником приводил к потере сигналов. Тогда потерянные биты просто не будут участвовать в формировании кода аутентификации, и не дадут злоумышленнику никакой информации о коде аутентификации.If it is necessary to authenticate switches when transmitting information from the sender to recipients with a communication line length of no more than 100 km, the connection of switches is shown in Figure 2. The SFP module with the built-in authentication module of the sender's switch is connected by fiber-optic communication lines with SFP modules with the built-in authentication modules of the recipient's switches ... After the authentication code is generated, when the switches are connected, information is exchanged over the same fiber-optic communication lines with the authentication modules disabled. Attenuated laser pulsed radiation is used to transmit the authentication code. The radiation must be attenuated by an attenuator so that the interception of information by an intruder leads to the loss of signals. Then the lost bits will simply not participate in the formation of the authentication code, and will not give the attacker any information about the authentication code.

Код аутентификации представляет собой двоичную случайную последовательность. Для формирования кода аутентификации у отправителя и получателя информации выполняется следующий алгоритм:The authentication code is a binary random sequence. To generate an authentication code for the sender and recipient of information, the following algorithm is performed:

1. выбирается количество информационных состояний N и количество базисов K=N/2;1. the number of information states N and the number of bases K = N / 2 are selected;

2. вычисляется вероятность определенных исходов измерений информационных состояний:2. the probability of certain outcomes of measurements of information states is calculated:

Figure 00000001
Figure 00000001

где μ - среднее число фотонов в ослабленном оптическом сигнале при передаче информационных состояний, 0≤r≤N-1;where μ is the average number of photons in an attenuated optical signal when transmitting information states, 0≤r≤N-1;

3. вычисляется длина кода аутентификации

Figure 00000002
в битах в пересчете на серию переданных информационных состояний:3.the length of the authentication code is calculated
Figure 00000002
in bits per series of transmitted information states:

Figure 00000003
Figure 00000003

где η - квантовая эффективность однофотонного лавинного детектора;where η is the quantum efficiency of a single-photon avalanche detector;

4. формируется в передающей части серия когерентных состояний, причем для каждого когерентного состояния выбирается случайно и равновероятно состояние характеризующееся значением 0 или 1 внутри базисов, осуществляя равномерно распределенный по углу сдвиг по фазе;4. a series of coherent states is formed in the transmitting part, and for each coherent state a state is chosen randomly and equiprobably characterized by a value of 0 or 1 within the bases, carrying out a phase shift uniformly distributed over the angle;

5. передаются полученные когерентные состояния из передающей части в принимающую часть по оптической линии связи;5. the received coherent states are transmitted from the transmitting part to the receiving part via an optical communication line;

6. принимают когерентные состояния в принимающей части;6. take coherent states in the receiving part;

7. выбираются для регистрации состояний случайно, равновероятно и независимо от передающей части базисы измерений из числа K;7. selected for registration of states randomly, equally probable and independently of the transmitting part, the measurement bases from the number of K;

8. получается результат измерений состояний как 0 или 1;8. the result of measurements of states is obtained as 0 or 1;

9. сравниваются базисы измерений с базисами из передающей части;9. the measurement bases are compared with the bases from the transmitting part;

10. формируется первичный код аутентификации, оставляя только те позиции когерентных состояний, где базисы на передающей части и принимающей части совпали;10. a primary authentication code is formed, leaving only those positions of coherent states where the bases on the transmitting part and the receiving part coincided;

11. обрабатывается первичный код аутентификации;11. the primary authentication code is being processed;

12. сравнивается расчетная длина кода аутентификации с полученной длиной кода аутентификации;12. the calculated length of the authentication code is compared with the received length of the authentication code;

13. если длина кода аутентификации меньше расчетной длины кода, то увеличивается число информационных состояний N.13.if the length of the authentication code is less than the calculated length of the code, then the number of information states N increases.

Предлагаемый способ аутентификации коммутаторов с помощью модулей аутентификации, встроенных в SFP модуль обеспечивает аутентификацию коммутаторов второго уровня (модель OSI) в сетях связи военного назначения.The proposed method for authenticating switches using authentication modules built into the SFP module provides authentication of second layer switches (OSI model) in military communication networks.

Предлагаемый способ аутентификации коммутаторов работает следующим образом. Алгоритм подключения нового оборудования к волоконно-оптической сети с формированием кода аутентификации в случае кодирования в двух базисах показан на рисунке 3. При подключении нового оборудования к коммутатору составляется таблица МАС-адресов. Коммутатор получает кадр от ближайшего узла сети. В случае отсутствия адреса передающего узла сети в таблице МАС-адресов значение МАС-адреса подключенного устройства вносится в таблицу и с помощью генератора случайных чисел формируется случайная последовательность длиной 256 байт. Шаги алгоритма подключения нового оборудования к сети с 4-го по 14-й соответствуют шагам алгоритма формирования кода аутентификации, приведенному ранее. Рассмотрен случай применения двух базисов для кодирования нулей и единиц случайной последовательности. После формирования кода аутентификации МАС-адрес передающего узла сети будет занесен в таблицу. В случае наличия МАС-адреса получателя в сети происходит передача кадра получателя, в случае отсутствия - замена МАС-адреса получателя на широковещательный адрес и отправка кадра на все подключенные порты. Таким образом, внесение МАС-адреса устройства в таблицу возможно только при формировании кода аутентификации для этого устройства.The proposed method for authenticating switches works as follows. The algorithm for connecting new equipment to a fiber-optic network with the formation of an authentication code in the case of encoding in two bases is shown in Figure 3. When connecting new equipment to the switch, a MAC address table is compiled. The switch receives a frame from the closest host. In the absence of the address of the transmitting network node in the MAC address table, the value of the MAC address of the connected device is entered into the table and a random sequence of 256 bytes is generated using a random number generator. The steps of the algorithm for connecting new equipment to the network from the 4th to the 14th correspond to the steps of the algorithm for generating the authentication code given earlier. The case of application of two bases for encoding zeros and ones of a random sequence is considered. After generating the authentication code, the MAC address of the transmitting network node will be entered into the table. If there is a recipient's MAC address in the network, the recipient's frame is transmitted, if not, the recipient's MAC address is replaced with a broadcast address and the frame is sent to all connected ports. Thus, entering the MAC address of a device into the table is possible only when generating an authentication code for this device.

Алгоритм передачи данных с процедурой аутентификации коммутаторов показан на рисунке 4. Производится генерация и отправка импульса длительностью 100 нс каждые 16 мс для начала передачи данных. В случае отсутствия необходимости в аутентификации коммутатора получателя или если с момента последней аутентификации не прошел указанный период времени T осуществляется обычный процесс передачи информации. При передаче информации происходит передача кадра локальным коммутатором, синхронизация скорости приема данных, прием пакета, проверка содержания пакета путем сравнения контрольной суммы и дальнейшая обработка пакета. В случае несовпадения контрольных сумм генерируется и отправляется запрос на повторную отправку пакета. Если необходима аутентификация коммутатора и с последней аутентификации прошел период времени больше Т, то происходит задержка отправки данных, установка счетчика неудачных попыток аутентификации К=0 и формирование кадра аутентификации. Кадр с кодом аутентификации передается получателю. Так как случайная двоичная последовательность сформирована у отправителя и получателя информации, то наличие кадра кода аутентификации подтверждает лигитимность коммутатора отправителя информации. После проверки содержания пакета путем сравнения контрольной суммы в случае неуспешной аутентификации отправляется запрос на проведение очередной аутентификации. После этого формируется и отправляется ответ с кодом аутентификации. В случае успешной аутентификации происходит повторная попытка передачи задержанных данных. В случае неуспешной аутентификации к счетчику неудачных попыток аутентификации прибавляется единица. Если значение счетчика меньше трех, формируется кадр аутентификации и снова осуществляется передача кадра. Если значение счетчика равно трем, то формируется сигнал тревоги и происходит блокировка устройства.The data transfer algorithm with the switch authentication procedure is shown in Figure 4. A 100 ns pulse is generated and sent every 16 ms to start data transmission. If there is no need to authenticate the recipient's switch or if the specified time period T has not passed since the last authentication, the normal information transfer process is carried out. When transmitting information, the frame is transmitted by the local switch, the data reception rate is synchronized, the packet is received, the packet content is checked by comparing the checksum and the packet is further processed. If the checksums do not match, a request is generated and sent to resend the packet. If authentication of the switch is required and a period of time more than T has passed since the last authentication, then there is a delay in sending data, setting the counter of failed authentication attempts K = 0 and generating an authentication frame. The frame with the authentication code is sent to the recipient. Since a random binary sequence is generated by the sender and the recipient of information, the presence of the frame of the authentication code confirms the legitimacy of the switch of the sender of the information. After checking the contents of the packet by comparing the checksum, in case of unsuccessful authentication, a request is sent to perform the next authentication. After that, a response with an authentication code is generated and sent. In case of successful authentication, a second attempt is made to transfer the delayed data. In case of unsuccessful authentication, one is added to the counter of failed authentication attempts. If the counter value is less than three, an authentication frame is generated and the frame is transmitted again. If the counter value is three, then an alarm is generated and the device is blocked.

Таким образом, в рассмотренном способе за счет использования модуля аутентификации, встроенного в SFP модуль коммутатора, и алгоритмов подключения нового оборудования в сети связи и передачи информации обеспечивается достижение технического результата -аутентификация коммутаторов второго уровня (модель OSI) в сетях связи военного назначения.Thus, in the considered method, due to the use of an authentication module built into the SFP switch module, and algorithms for connecting new equipment in the communication network and transferring information, the technical result is achieved - authentication of the second level switches (OSI model) in military communication networks.

Claims (5)

Способ аутентификации коммутаторов на основе кодирования сигнала в нескольких базисах, состоящий в том, что для получения случайной двоичной последовательности заданной длины при установленной длине линии связи используются равномерно распределенные по углу относительные фазы информационных когерентных состояний, число которых увеличивается, если длина кода аутентификации меньше расчетной длины кода, отличающийся тем, что для аутентификации коммутаторов в SPF-модули коммутаторов встраиваются модули аутентификации, состоящие из интерферометра с линией задержки, фазового модулятора и оптического соединителя, которые позволяют реализовать алгоритм подключения нового оборудования к волоконно-оптической сети с формированием кода аутентификации: при подключении нового оборудования к коммутатору составляется таблица MAC-адресов, коммутатор получает кадр от ближайшего узла сети, в случае отсутствия адреса передающего узла сети в таблице MAC-адресов значение MAC-адреса подключенного устройства вносится в таблицу, с помощью генератора случайных чисел формируется случайная последовательность по алгоритму: выбирается количество информационных состояний N и количество базисов K=N/2; вычисляется вероятность определенных исходов измерений информационных состояний:A method for authenticating switches based on signal coding in several bases, consisting in the fact that to obtain a random binary sequence of a given length with a specified length of the communication line, the relative phases of information coherent states, evenly distributed over the angle, are used, the number of which increases if the length of the authentication code is less than the calculated length code, characterized in that for the authentication of switches, authentication modules are built into the SPF-modules of the switches, consisting of an interferometer with a delay line, a phase modulator and an optical connector, which allow implementing an algorithm for connecting new equipment to a fiber-optic network with the formation of an authentication code: when connected new equipment, a MAC address table is compiled to the switch, the switch receives a frame from the nearest network node, if there is no address of the transmitting network node in the MAC address table, the value of the MAC address of the connected device is entered into the table, using a random number generator, a random sequence is formed according to the algorithm: the number of information states N and the number of bases K = N / 2 are selected; the probability of certain outcomes of measurements of information states is calculated:
Figure 00000004
Figure 00000004
 где μ - среднее число фотонов в ослабленном оптическом сигнале при передаче информационных состояний, 0≤r≤N-1; вычисляется длина кода аутентификации
Figure 00000005
в битах в пересчете на серию переданных информационных состояний:where μ is the average number of photons in an attenuated optical signal when transmitting information states, 0≤r≤N-1 ; the length of the authentication code is calculated
Figure 00000005
in bits per series of transmitted information states:
Figure 00000006
Figure 00000006
 где η - квантовая эффективность однофотонного лавинного детектора; формируется в передающей части серия когерентных состояний, причем для каждого когерентного состояния выбирается случайно и равновероятно состояние, характеризующееся значением 0 или 1 внутри базисов, осуществляя равномерно распределенный по углу сдвиг по фазе; передаются полученные когерентные состояния из передающей части в принимающую часть по оптической линии связи; принимают когерентные состояния в принимающей части; выбираются для регистрации состояний случайно, равновероятно и независимо от передающей части базисы измерений из числа K; получается результат измерений состояний как 0 или 1; сравниваются базисы измерений с базисами из передающей части; оставляются только те позиции когерентных состояний, где базисы на передающей части и принимающей части совпали; обрабатывается первичный код аутентификации; сравнивается расчетная длина кода аутентификации с полученной длиной кода аутентификации; если длина кода аутентификации меньше расчетной длины кода, то увеличивается число информационных состояний N; после формирования кода аутентификации MAC-адрес передающего узла будет занесен в таблицу, в случае наличия MAC-адреса получателя в сети происходит передача кадра получателя, в случае отсутствия – замена MAC-адреса получателя на широковещательный адрес и отправка кадра на все полученные порты, а также применяется алгоритм передачи данных с процедурой аутентификации коммутаторов: производится генерация и отправка импульса длительностью 100 нс каждые 16 мс для начала передачи данных; в случае отсутствия необходимости в аутентификации коммутатора получателя или если с момента последней аутентификации не прошел указанный период времени T, осуществляется обычный процесс передачи информации; при передаче информации происходит передача кадра локальным коммутатором, синхронизация скорости приема данных, прием пакета, проверка содержания пакета путем сравнения контрольной суммы; в случае несовпадения контрольных сумм генерируется и отправляется запрос на повторную отправку пакета; если необходима аутентификация коммутатора и с последней аутентификации прошел период времени больше Т, то происходит задержка отправки данных, установка счетчика неудачных попыток аутентификации К=0 и формирование кадра аутентификации; кадр с кодом аутентификации передается получателю; так как случайная двоичная последовательность сформирована у отправителя и получателя информации, то наличие кадра кода аутентификации подтверждает легитимность коммутатора отправителя информации; после проверки содержания пакета путем сравнения контрольной суммы в случае неуспешной аутентификации отправляется запрос на проведение очередной аутентификации; формируется и отправляется ответ с кодом аутентификации; в случае успешной аутентификации происходит повторная попытка передачи задержанных данных; в случае неуспешной аутентификации к счетчику неудачных попыток аутентификации прибавляется единица; если значение счетчика меньше трех, формируется кадр аутентификации и снова осуществляется передача кадра; если значение счетчика равно трем, то формируется сигнал тревоги и происходит блокировка устройства.where η is the quantum efficiency of a single-photon avalanche detector; a series of coherent states is formed in the transmitting part, and for each coherent state, a state is selected randomly and equiprobably, characterized by a value of 0 or 1 within the bases, carrying out a phase shift uniformly distributed over the angle; the received coherent states are transmitted from the transmitting part to the receiving part via the optical communication line; take coherent states in the receiving part; are selected for registration of states randomly, equally probable and independently of the transmitting part, measurement bases from the number of K ; the result of state measurements is obtained as 0 or 1; measurement bases are compared with bases from the transmitting part; only those positions of coherent states are left where the bases on the transmitting part and the receiving part coincided; the primary authentication code is being processed; compares the calculated length of the authentication code with the received length of the authentication code; if the length of the authentication code is less than the estimated length of the code, then the number of information states N increases; after generating the authentication code, the MAC address of the transmitting node will be entered into the table, if there is a MAC address of the recipient in the network, the recipient's frame is transmitted, if not, the recipient's MAC address is replaced with a broadcast address and the frame is sent to all received ports, as well as the data transmission algorithm is used with the switch authentication procedure: a 100 ns pulse is generated and sent every 16 ms to start data transmission; if there is no need to authenticate the recipient's switch or if the specified time period T has not passed since the last authentication, the normal information transfer process is carried out; when transmitting information, the frame is transmitted by the local switch, the data reception rate is synchronized, the packet is received, the packet content is checked by comparing the checksum; if the checksums do not match, a request is generated and sent to resend the packet; if authentication of the switch is required and a period of time more than T has passed since the last authentication, then there is a delay in sending data, setting the counter of failed authentication attempts K = 0 and generating an authentication frame; the frame with the authentication code is transmitted to the recipient; since a random binary sequence is generated by the sender and the recipient of information, the presence of the frame of the authentication code confirms the legitimacy of the switch of the sender of the information; after checking the contents of the packet by comparing the checksum, in case of unsuccessful authentication, a request is sent to perform the next authentication; a response with an authentication code is generated and sent; in case of successful authentication, another attempt is made to transfer the delayed data; in case of unsuccessful authentication, one is added to the counter of unsuccessful authentication attempts; if the counter value is less than three, an authentication frame is generated and the frame is transmitted again; if the counter value is three, then an alarm is generated and the device is blocked.
RU2020127136A 2020-08-12 2020-08-12 Method for authentication of switches based on signal encoding in several bases RU2755593C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2020127136A RU2755593C1 (en) 2020-08-12 2020-08-12 Method for authentication of switches based on signal encoding in several bases

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2020127136A RU2755593C1 (en) 2020-08-12 2020-08-12 Method for authentication of switches based on signal encoding in several bases

Publications (1)

Publication Number Publication Date
RU2755593C1 true RU2755593C1 (en) 2021-09-17

Family

ID=77745807

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2020127136A RU2755593C1 (en) 2020-08-12 2020-08-12 Method for authentication of switches based on signal encoding in several bases

Country Status (1)

Country Link
RU (1) RU2755593C1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070182968A1 (en) * 2004-05-17 2007-08-09 Tsuyoshi Nishioka Quantum cryptographic communication apparatus
RU2454810C1 (en) * 2010-11-24 2012-06-27 Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования "Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики" ("НИУ ИТМО") Device of quantum distribution of cryptographic key on modulated radiation frequency subcarrier
US20120177374A1 (en) * 2005-09-09 2012-07-12 Kabushiki Kaisha Toshiba Quantum communication system
US20160234018A1 (en) * 2015-02-05 2016-08-11 Kabushiki Kaisha Toshiba Quantum communication system and a quantum communication method
RU2706175C1 (en) * 2018-12-27 2019-11-14 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Method for key quantum distribution in single-pass quantum key distribution system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070182968A1 (en) * 2004-05-17 2007-08-09 Tsuyoshi Nishioka Quantum cryptographic communication apparatus
US20120177374A1 (en) * 2005-09-09 2012-07-12 Kabushiki Kaisha Toshiba Quantum communication system
RU2454810C1 (en) * 2010-11-24 2012-06-27 Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования "Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики" ("НИУ ИТМО") Device of quantum distribution of cryptographic key on modulated radiation frequency subcarrier
US20160234018A1 (en) * 2015-02-05 2016-08-11 Kabushiki Kaisha Toshiba Quantum communication system and a quantum communication method
RU2706175C1 (en) * 2018-12-27 2019-11-14 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Method for key quantum distribution in single-pass quantum key distribution system

Similar Documents

Publication Publication Date Title
US20200252215A1 (en) Streaming authentication and multi-level security for communications networks using quantum cryptography
JP6602410B2 (en) Photon communication system
EP3243294B1 (en) Communication with everlasting security from short-term-secure encrypted quantum communication
EP1742408B1 (en) Communication system and synchronization control method
US8650401B2 (en) Network having quantum key distribution
US8171354B2 (en) Communication system and method for controlling the same
CN108604425B (en) Random number sequence generation device, quantum cipher transmitter, and quantum cipher communication system
US8855316B2 (en) Quantum cryptography apparatus
JP5558579B2 (en) Quantum communication system and method
CN108206740A (en) Enhance the device and method that the privacy key rate on the quantum channel in QKD exchanges
CN106254072B (en) Quantum key distribution method
US20060093143A1 (en) Method and system for generating shared information
GB2427337A (en) Quantum key distribution with classical shared secrets and key authentication
PL239636B1 (en) Method of a cryptographic quantum key distribution using very weak beams of light, a transmitter, a receiver, a set of receivers and a system for a cryptographic quantum key distribution using very weak beams of light, a method of transmitting a cryptographic key using very weak beams of light, and a method of receiving a cryptographic key using very weak light beams
RU2755593C1 (en) Method for authentication of switches based on signal encoding in several bases
CN108712254B (en) Quantum key distribution system and method
KR20200051357A (en) Method for authenticating using authentication qubit and quantum communication system thereof
GB2616049A (en) Authentication method and system, a quantum communication network, and a node for quantum communication
US20220294619A1 (en) Improvements to quantum key distribution
RU2314647C2 (en) Device for transmitting and receiving formalized messages
GB2587619A (en) Improvements to quantum key distribution
JP2022104102A (en) Quantum key delivery system
Manninen Practical Test of a Quantum Key Distribution System
Al-Janabi Quantum Cryptographic Key Distribution in Optical Communication Networks