RU2795117C1 - Method and system for data security when organizing data exchange with spacecraft - Google Patents

Method and system for data security when organizing data exchange with spacecraft Download PDF

Info

Publication number
RU2795117C1
RU2795117C1 RU2022109019A RU2022109019A RU2795117C1 RU 2795117 C1 RU2795117 C1 RU 2795117C1 RU 2022109019 A RU2022109019 A RU 2022109019A RU 2022109019 A RU2022109019 A RU 2022109019A RU 2795117 C1 RU2795117 C1 RU 2795117C1
Authority
RU
Russia
Prior art keywords
spacecraft
network
information
local area
area network
Prior art date
Application number
RU2022109019A
Other languages
Russian (ru)
Inventor
Игорь Николаевич Пантелеймонов
Олег Васильевич Ментус
Людмила Ошеровна Мырова
Александр Юрьевич Потюпкин
Леонид Васильевич Горожанкин
Андрей Александрович Монастыренко
Евгений Алексеевич Захаров
Василий Васильевич Лещенко
Анна Валентиновна Пантелеймонова
Илья Игоревич Пантелеймонов
Андрей Валентинович Феденёв
Николай Дмитриевич Данилов
Константин Юрьевич Окулов
Владимир Витальевич Филатов
Ильдар Хайдарович Яхин
Александр Сергеевич Жуков
Игорь Борисович Степанов
Максим Владимирович Тодуркин
Юлия Олеговна Королихина
Original Assignee
Федеральное Государственное Бюджетное Учреждение "Ордена Трудового Красного Знамени Российский Научно-Исследовательский Институт Радио Имени М.И. Кривошеева"
Filing date
Publication date
Application filed by Федеральное Государственное Бюджетное Учреждение "Ордена Трудового Красного Знамени Российский Научно-Исследовательский Институт Радио Имени М.И. Кривошеева" filed Critical Федеральное Государственное Бюджетное Учреждение "Ордена Трудового Красного Знамени Российский Научно-Исследовательский Институт Радио Имени М.И. Кривошеева"
Application granted granted Critical
Publication of RU2795117C1 publication Critical patent/RU2795117C1/en

Links

Images

Abstract

FIELD: data security.
SUBSTANCE: security of data exchange systems with spacecraft (SC). The method organizes virtual local area networks for each type of traffic, and at the same time all types of traffic are transmitted in a single stream without reducing the level of cryptographic strength, where end devices of the same type are located in one local area network, separated by a closed communication channel, while data exchange with the spacecraft without the use of a repeater satellite is organized via virtual local computer networks: an open service communication channel; a closed local area network for controlling the space platform of the spacecraft; closed local area network for spacecraft payload control; a closed local area network for the transmission of target information, a closed local area network for controlling the earth station; data exchange with the spacecraft from the use of the repeater satellite is additionally organized by means of virtual local computer networks: a closed local control network of the space platform of the repeater satellite; a closed local area network for controlling the payload of the repeater satellite; local computer network of an open service communication channel of a repeater satellite and an earth station.
EFFECT: ensuring the data security in the organization of data exchange with spacecraft.
2 cl, 12 dwg

Description

Заявленное изобретение относится к области защиты информации в системах информационного обмена с космическими аппаратами (КА).The claimed invention relates to the field of information security in information exchange systems with spacecraft (SC).

Из уровня техники известны способы и системы защиты информации, например, способ (см. RU2438941, опубл. 10.01.2021) (1) обеспечения управления полетами космических аппаратов, который применяется для создания информационно-вычислительного комплекса (ИВК) центра управления полетами (ЦУП) с использованием принципа унификации. По этому принципу, из состава секторов управления КА НСЭН выделяют некоторую общую часть аппаратно-программных средств (АПС) и методико-алгоритмического обеспечения. Данное обеспечение и АПС пригодны к использованию без ограничений при управлении полетами КА НСЭН практически любого типа. Выделяют в составе ИВК единый сегмент локальной вычислительной сети (ЛВС) путем интеграции специализированных ИВК секторов управления. Эту интеграцию, а также информационное взаимодействие между указанным сегментом ЛВС и АПС секторов управления обеспечивают коммуникационными средствами данного единого сегмента ЛВС. При этом АПС секторов управления обрабатывают специфическую информацию, свойственную каждому КА НСЭН. Выделение указанного единого сегмента ЛВС позволяет осуществлять обработку стандартной баллистической и телеметрической информации одновременно для всех управляемых КА НСЭН.Methods and systems for protecting information are known from the prior art, for example, a method (see RU2438941, publ. 01/10/2021) (1) for ensuring spacecraft flight control, which is used to create an information and computer complex (ICC) of the flight control center (MCC) using the principle of unification. According to this principle, a certain common part of hardware and software (HPS) and methodological and algorithmic support is distinguished from the composition of the control sectors of the NSEN spacecraft. This software and APS are suitable for use without restrictions in flight control of NSEN spacecraft of almost any type. A single segment of the local area network (LAN) is singled out as part of the CPI by integrating specialized CPI of the control sectors. This integration, as well as information interaction between the specified LAN segment and the APS of the control sectors, is provided by communication means of this single LAN segment. At the same time, the APS of the control sectors process specific information specific to each SC of the NSEN. The allocation of the specified single segment of the LAN allows the processing of standard ballistic and telemetric information simultaneously for all controlled spacecraft NSEN.

Способ (1) имеет следующие недостатки - требуется большое количество каналообразующей аппаратуры, которое является следствием следующих проблем:Method (1) has the following disadvantages - a large amount of channel-forming equipment is required, which is a consequence of the following problems:

- высокая стоимость космической системы в целом;- high cost of the space system as a whole;

- высокие энергозатраты и массогабаритные характеристики бортовой аппаратуры (БА) КА;- high energy consumption and weight and size characteristics of the onboard equipment (BA) of the spacecraft;

- дополнительные задержки информации.- additional information delays.

Наиболее близкими аналогами заявленного изобретения является способы управления космической системой связи (см. RU 2713293 С2, опубл. 16.05.2019) (2) и (см. RU 2690966 С2, опубл. 07.06.2019) (3). Способы (2) и (3) предлагают следующие принципы обмена информацией с КА:The closest analogues of the claimed invention are methods for controlling a space communication system (see RU 2713293 C2, publ. 05/16/2019) (2) and (see RU 2690966 C2, publ. 06/07/2019) (3). Methods (2) and (3) offer the following principles for the exchange of information with the spacecraft:

1) применение универсальной земной станции (ЗС), обеспечивающей одновременно прием-передачу НИ и информацию управления (ИУ);1) the use of a universal earth station (ES), which provides simultaneous reception and transmission of NI and control information (IM);

2) применение универсального бортового радиотехнического комплекса (БРТК) КА, обеспечивающего одновременно прием-передачу ЦИ и информацию управления (ИУ);2) the use of a universal onboard radio-technical complex (BRTK) of the spacecraft, which simultaneously provides the reception and transmission of CI and control information (CI);

3) передача НИ и ИУ с применением стека протоколов TCP/IP в одной наземной ЛС и в одной спутниковой ЛС, но в разных виртуальных локальных сетях (VLAN);3) transmission of NI and DUT using the TCP / IP protocol stack in one terrestrial LAN and in one satellite LAN, but in different virtual local networks (VLANs);

4) применение CP с обработкой и маршрутизацией информации на борту, обеспечивающее интеграцию и дифференциализацию различных потоков информации.4) the use of CP with the processing and routing of information on board, which ensures the integration and differentiation of various information flows.

Способы (2) и (3) имеют следующий недостаток - не обеспечивают защиту информации.Methods (2) and (3) have the following disadvantage - they do not provide information protection.

Техническим результатом заявленного изобретения является уменьшение количества бортовых и наземных СКЗИ и каналообразующей аппаратуры, что приводит к:The technical result of the claimed invention is to reduce the number of airborne and ground-based CIPF and channel-forming equipment, which leads to:

- уменьшению энергозатрат и массогабаритных характеристик БА КА;- reduction of energy consumption and weight and size characteristics of the spacecraft;

- снижению задержки информации, вносимой СКЗИ;- reducing the delay of information entered by CIPF;

- снижению стоимости космической системы в целом. Технический результат достигается за счет применения технологий:- reducing the cost of the space system as a whole. The technical result is achieved through the use of technologies:

- обеспечения сквозной передачи информации в закрытом виде между оконечными устройствами без снижения уровня криптостойкости;- ensuring end-to-end transmission of information in a closed form between terminal devices without reducing the level of cryptographic strength;

- передача различных видов информации в едином потоке по единой физической проводной и беспроводной линии связи и соответственно, применение единой каналообразующей аппаратуры для обеспечения передачи различных видов информации.- transfer of various types of information in a single stream over a single physical wired and wireless communication line and, accordingly, the use of a single channel-forming equipment to ensure the transmission of various types of information.

Реализация отмеченных выше технологий осуществляется за счет применения следующего оборудования:The implementation of the technologies noted above is carried out through the use of the following equipment:

- маршрутизаторов, обеспечивающих интеграцию и дифференциализацию различных потоков информации;- routers that provide integration and differentiation of various information flows;

- унификацированных бортовых и наземных СКЗИ, представляющих собой криптошлюзы (КШ), обеспечивающие раздельное шифрование и дешифрование различных видов информации.- unified airborne and ground-based CIPF, which are crypto-gateways (CS) that provide separate encryption and decryption of various types of information.

Заявленное изобретение проиллюстрировано следующими чертежами:The claimed invention is illustrated by the following drawings:

Фиг. 1 - традиционная функциональная схема защиты информации при организации связи ЦУП и ЦУС с одним КА без применения CP;Fig. 1 - the traditional functional diagram of information protection when organizing communication between the MCC and the NCC with one spacecraft without the use of CP;

Фиг. 2 - традиционная функциональная схема защиты информации при организации связи ЦУП и ЦУС с одним КА с применением CP;Fig. 2 - the traditional functional diagram of information protection when organizing communication between the MCC and the NCC with one spacecraft using CP;

Фиг. 3 - функциональная схема защиты информации при организации связи ЦУП/ЦУС с одним КА с применением одной ЗС (ЦУП/ЦУС-ЗС-КА);Fig. 3 - functional diagram of information protection when organizing communication between the MCC / NCC with one SC using one AP (MCC / NCC-ES-KA);

Фиг. 4 - функциональная схема защиты информации при организации связи ЦУП/ЦУС с двумя КА с применением одной ЗС (ЦУП/ЦУС-ЗС-КА-1; КА-2);Fig. 4 - functional diagram of information protection when organizing communication between the MCC / NCC with two spacecraft using one AP (TsUP / TsUS-ZS-KA-1; KA-2);

Фиг. 5 - функциональная схема защиты информации при организации связи ЦУП/ЦУС с двумя КА с применением двух ЗС (ЦУП/ЦУС-ЗС-1-KA-1 и ЦУП/ЦУС-ЗС-2-КА-2);Fig. 5 is a functional diagram of information protection when organizing communication between the MCC / NCC with two spacecraft using two APs (TsUP / TsUS-ZS-1-KA-1 and TsUP / TsUS-ZS-2-KA-2);

Фиг. 6 - функциональная схема защиты информации при организации связи ЦУП/ЦУС с одним КА с применением одной ЗС и одного CP (ЦУП/ЦУС-ЗС-СР-КА);Fig. 6 is a functional diagram of information protection during the organization of communication between the MCC / NCC with one spacecraft using one AP and one CP (TsUP / TsUS-ES-SR-KA);

Фиг.7 - функциональная схема защиты информации при организации связи ЦУП/ЦУС с двумя КА с применением одной ЗС и одного CP (ЦУП/ЦУС-ЗС-СР-КА-1; КА-2);Fig.7 is a functional diagram of information protection when organizing communication between the MCC / NCC with two SC using one ES and one CP (MCC / TsUS-ES-SR-KA-1; KA-2);

Фиг. 8 - функциональная схема защиты информации при организации связи ЦУП/ЦУС с двумя КА с применением одной ЗС и двух CP (ЦУП/ЦУС-ЗС-СР-1-КА; ЦУП/ЦУС-ЗС-СР-2-KA);Fig. 8 is a functional diagram of information security when organizing communication between the MCC / NCC with two spacecraft using one ES and two CPs (TsUP / TsUS-ZS-SR-1-KA; TsUP / TsUS-ZS-SR-2-KA);

Фиг. 9 - функциональная схема защиты информации при организации связи ЦУП/ЦУС с одним КА с применением одной ЗС и двух CP, соединенных между собой МЛС, (ЦУП/ЦУС-ЗС-СР-1-СР-2-КА);Fig. 9 is a functional diagram of information protection during the organization of communication between the MCC / NCC with one SC using one ES and two CPs interconnected by the MLS (MCC / TsUS-ZS-SR-1-SR-2-SC);

Фиг. 10 - функциональная схема защиты информации при организации связи ЦУП/ЦУС с двумя КА с применением двух ЗС и двух CP (ЦУП/ЦУС-ЗС-СР-1-СР-2-КА);Fig. 10 is a functional diagram of information protection during the organization of communication between the MCC / NCC with two spacecraft using two APs and two CPs (TsUP / TsUS-ZS-SR-1-SR-2-SC);

Фиг. 11 - алгоритм работы в прямом канале связи;Fig. 11 - algorithm of work in a direct communication channel;

Фиг. 12 - алгоритм работы в обратном канале связи.Fig. 12 - algorithm of work in the reverse communication channel.

С целью упрощения на фигурах 1-10 изображено только сетевое оборудование и не изображено каналообразующее оборудование, а именно -антенные системы, приемники, передатчики, модуляторы и демодуляторы.For the sake of simplicity, figures 1-10 show only network equipment and do not show channel-forming equipment, namely antenna systems, receivers, transmitters, modulators and demodulators.

Позиции на фигурах 1-10 обозначают следующее:Positions in figures 1-10 indicate the following:

1 - центр управления полетом / центр управления сетью космические аппаратами (ЦУП/ЦУС КА);1 - flight control center / spacecraft network control center (MCC / NCC SC);

2 - центр управления полетом / центр управления сетью спутника-ретранслятора (ЦУП/ЦУС CP);2 - flight control center / relay satellite network control center (MCC / NCC CP);

3 - центральный маршрутизатор ЦУП/ЦУС КА и ЦУП/ЦУС CP;3 - central router MCC/NCS SC and MCC/NCS CP;

4 - автоматизированное рабочее место (АРМ) оператора управления космической платформы (КПл) КА;4 - automated workstation (AWS) of the control operator of the space platform (SPL) of the spacecraft;

5 - коммутатор Ethernet локальной вычислительно сети (ЛВС) управления КПл КА;5 - Ethernet switch of the local area network (LAN) for control of the SC SC;

6 - криптошлюз (КШ) ЛВС управления КПл КА;6 - crypto-gateway (KSh) of the LAN for the control of the SV SC;

7 - АРМ оператора управления полезной нагрузки (ПН) КА;7 - payload control operator's workstation (PN) of the spacecraft;

8 - коммутатор Ethernet ЛВС управления ПН КА;8 - switch Ethernet LAN control PN KA;

9 - КШ ЛВС управления ПН КА;9 - KSh LAN control PN KA;

10 - АРМ оператора анализа целевой информации (НИ) КА;10 - workstation of the operator of the analysis of target information (NI) of the spacecraft;

11 - коммутатор Ethernet ЛВС анализа ЦИ КА;11 - switch Ethernet LAN analysis QI CA;

12 - КШ ЛВС анализа НИ КА;12 - KSh LAN analysis NI KA;

13 - АРМ оператора управления КПл CP;13 - workstation of the control operator Kpl CP;

14 - коммутатор Ethernet ЛВС управления КПл CP;14 - Ethernet switch LAN control Kpl CP;

15 - КШ ЛВС управления КПл CP;15 - KSh LAN control Kpl CP;

16 - АРМ оператора управления ПН CP;16 - workstation of the control operator PN CP;

17 - коммутатор Ethernet ЛВС управления ПН CP;17 - Ethernet switch LAN control PN CP;

18 - КШ ЛВС управления ПН CP;18 - KSh LAN control PN CP;

19 - АРМ оператора управления земной станции (ЗС);19 - workstation of the earth station (ES) control operator;

20 - коммутатор Ethernet ЛВС управления ЗС;20 - switch Ethernet LAN control AP;

21 - КШ ЛВС управления ЗС;21 - KSh LAN control AP;

22 - АРМ администратора сети связи КА и ЗС;22 - workstation of the administrator of the communication network of the spacecraft and AP;

23 - АРМ администратора сети связи CP и ЗС; 24 - ЗС-1;23 - workstation of the administrator of the communication network CP and AP; 24 - ZS-1;

25 - маршрутизатор ЗС-1;25 - router ZS-1;

26 - КШ ЛВС управления ЗС-1;26 - KSh LAN control ZS-1;

27 - компьютер управления (КУ) ЗС-1; 28 - СР-1;27 - control computer (CU) ZS-1; 28 - СР-1;

29 - маршрутизатор СР-1;29 - router СР-1;

30 - КШ ЛВС управления КПл СР-1;30 - KSh LAN control Kpl SR-1;

31 - КУ работой КПл CP-1;31 - KU operation Kpl CP-1;

32 - КШ ЛВС управления ПН СР-1;32 - KSh LAN control PN SR-1;

33 - КУ работой ПН СР-1; 34 - КА-1;33 - KU work PN SR-1; 34 - KA-1;

35 - маршрутизатор КА-1;35 - router KA-1;

36 - КШ ЛВС управления КПл КА-1;36 - KSh LAN control Kpl KA-1;

37 - КУ работой КПл КА-1;37 - KU operation Kpl KA-1;

38 - КШ ЛВС управления ПН КА-1;38 - KSh LAN control PN KA-1;

39 - КУ работой ПН КА-1;39 - KU work PN KA-1;

40 - КШ ЛВС ЦИ КА-1;40 - KSh LAN QI KA-1;

41 - КУ обработкой НИ КА-1;41 - KU processing NI KA-1;

42 - СР-2;42 - СР-2;

43 - маршрутизатор СР-2;43 - router СР-2;

44 - КШ ЛВС управления КПл СР-2;44 - KSh LAN control Kpl SR-2;

45 - КУ работой КПл СР-2;45 - KU work Kpl SR-2;

46 - КШ ЛВС управления ПН СР-2;46 - KSh LAN control PN SR-2;

47 - КУ работой ПН СР-2; 48 - ЗС-2;47 - KU work PN SR-2; 48 - ZS-2;

49 - маршрутизатор ЗС-2;49 - router ZS-2;

50 - КШ ЛВС управления ЗС-1;50 - KSh LAN control ZS-1;

51 - компьютер управления (КУ) ЗС-1; 52 - КА-1;51 - control computer (KU) ZS-1; 52 - KA-1;

53 - маршрутизатор КА-1;53 - router KA-1;

54 - КШ ЛВС управления КПл КА-1;54 - KSh LAN control Kpl KA-1;

55 - КУ работой КПл КА-1;55 - KU by the operation of Kpl KA-1;

56 - КШ ЛВС управления ПН КА-1;56 - KSh LAN control PN KA-1;

57 - КУ работой ПН КА-1; 58 - КШ ЛВС ЦИ КА-1;57 - KU by the work of PN KA-1; 58 - KSh LAN QI KA-1;

59 - КУ обработкой НИ КА-1;59 - KU processing NI KA-1;

60 - АРМ администратора сети связи ЦУП-наземная командно-измерительная станция (НКИС);60 - workstation of the communication network administrator TsUP-ground command and measuring station (NCMS);

61 - маршрутизатор ЦУП традиционной организации связи;61 - router TsUP traditional communication organization;

62 - НКИС традиционной организации связи;62 - NCIS of the traditional organization of communication;

63 - маршрутизатор НКИС традиционной организации связи;63 - router NCIS traditional organization of communication;

64 - КШ НКИС традиционной организации связи;64 - KSh NKIS of the traditional organization of communication;

65 - КУ НКИС традиционной организации связи;65 - KU NKIS of the traditional organization of communication;

66 - средство криптографической защиты информации (СКЗИ) НКИС традиционной организации связи;66 - a means of cryptographic information protection (CIPF) NCIS of the traditional organization of communication;

67 - СКЗИ БА КИС КА традиционной организации связи;67 - CIDS BA KIS KA traditional communication organization;

68 - бортовой комплекс управления (БКУ) КА традиционной организации связи;68 - onboard control complex (OCC) of the spacecraft of the traditional organization of communications;

69 - телеметрическая система (ТМС) КПл КА традиционной организации связи;69 - telemetric system (TMS) Kpl KA of the traditional organization of communication;

70 - ЦУП КА традиционной организации связи;70 - MCC of the spacecraft of the traditional communication organization;

71 - ЦУС КА традиционной организации связи;71 - NCC KA traditional communication organization;

72 - ЦУП CP традиционной организации связи;72 - MCC CP traditional communication organization;

73 - ЦУС CP традиционной организации связи;73 - NCC CP traditional communication organization;

74 - станция приема информации (СПИ) КА традиционной организации связи;74 - information receiving station (SPI) spacecraft of the traditional organization of communication;

75 - СПИ CP традиционной организации связи;75 - SPI CP of the traditional organization of communication;

76 - АРМ администратора сети связи ЦУС-СПИ традиционной организации связи;76 - workstation of the administrator of the communication network TsUS-SPI of the traditional communication organization;

77 - маршрутизатор ЦУС традиционной организации связи;77 - router NCC traditional communication organization;

78 - маршрутизатор СПИ традиционной организации связи;78 - router SPI traditional communication organization;

79 - КШ СПИ традиционной организации связи;79 - KSh SPI traditional communication organization;

80 - КУ СПИ традиционной организации связи;80 - KU SPI of a traditional communication organization;

81 - СКЗИ СПИ традиционной организации связи;81 - CIPF SPI of a traditional communication organization;

82 - СКЗИ целевой аппаратуры (ЦА) КА традиционной организации82 - CIPF of the target equipment (CA) of the spacecraft of a traditional organization

связи;communications;

83 - ЦА КА традиционной организации связи;83 - CA of the CA of the traditional communication organization;

84 - ТМС НА КА традиционной организации связи;84 - TMS on the spacecraft of the traditional communications organization;

85 - бортовой радиотехнический комплекс (БРТК) командной радиолинии (КРЛ) КА традиционной организации связи;85 - onboard radio-technical complex (BRTK) of the command radio link (KRL) of the spacecraft of the traditional communications organization;

86 - БРТК ЦИ КА традиционной организации связи.86 - BRTK QI KA traditional communications organization.

Список сокращений на фигурах 1-12:List of abbreviations in figures 1-12:

АЛС - абонентская ЛС - это ЛС между ЗС и КА или между CP и КА;ALS - subscriber LAN - is a LAN between the ES and the SC or between the CP and the SC;

ВОЛС - волоконно-оптическая ЛС;FOCL - fiber-optic LAN;

МЛС - межспутниковая ЛС - это ЛС между CP и CP;MLS - inter-satellite LS is a LAN between CP and CP;

РЧО - радиочастотное оборудование - тоже самое что и РТК;RFO - radio frequency equipment - the same as RTK;

РТК - радиотехнический комплекс;RTK - radio engineering complex;

ССПД - сеть связи и передачи данных;SSPD - communication and data transmission network;

ФЛС - фидерная ЛС - это ЛС между ЗС и СР.FLS - feeder LS is a LS between AP and SR.

Заявляемые способ и система защиты информации при осуществлении информационного обмена с КА обладает свойствами гибкости и универсальности, что позволяет эффективно организовать защиту информации при различных следующих вариантах организации связи.The claimed method and system of information protection in the implementation of information exchange with the spacecraft has the properties of flexibility and versatility, which allows you to effectively organize the protection of information in the following various options for organizing communication.

Вариант №1. Организация связи ЦУП/ЦУС с одним КА с применением одной ЗС (ЦУП/ЦУС-ЗС-КА).Option number 1. Organization of communication between the MCC / NCC with one spacecraft using one AP (MCC / TsUS-ES-KA).

Функциональная схема защиты информации при организации связи ЦУП/ЦУС с одним КА с применением одной ЗС (ЦУП/ЦУС-ЗС-КА) изображена на фигуре 3.The functional diagram of information protection when organizing communication between the MCC / NCC with one SC using one AP (MCC / NCC-ES-KA) is shown in figure 3.

Работа в прямом канале связи (ПК) - ЛС ЦУП/ЦУС-ЗС-КА.Work in a direct communication channel (PC) - LS TsUP / TsUS-ZS-KA.

Работа ЦУП/ЦУС.The work of the MCC / NCC.

ИУ космической платформой (КПл) КА формируется на автоматизированном рабочем месте (АРМ) 4 оператора управления КПл КА, представляющем собой компьютер, и через коммутатор Ethernet 5 локальной вычислительной сети (ЛВС, LAN) №1 совмещенного ЦУП/ЦУС 1 КА (далее по тексту - ЦУП/ЦУС 1), поступает на внутренний порт (LAN-порт) КШ 6, где IP-пакеты ИУ зашифровываются целиком вместе с заголовками сетевого уровня (L3). В качестве открытого заголовка зашифрованным IP-пакетам ИУ назначается IP-адрес получателя - IP-адрес внешнего порта (WAN-порта) бортового КШ 36 КА-1 34 и назначается IP-адрес отправителя информации - IP-адрес WAN-порта КШ 6 ЦУП/ЦУС 1. С WAN-порта КШ 6 ЦУП/ЦУС 1 зашифрованные IP-пакеты ИУ поступают на LAN-порт центрального маршрутизатора (ЦМ) 3 ЦУП/ЦУС КА и ЦУП/ЦУС CP (далее по тексту - ЦМ).The IS by the space platform (CS) of the spacecraft is formed on the automated workstation (AWS) 4 of the control operator of the space platform of the spacecraft, which is a computer, and through the Ethernet switch 5 of the local area network (LAN, LAN) No. 1 of the combined MCC / NCC 1 of the spacecraft (hereinafter referred to as - MCC/NCS 1), arrives at the internal port (LAN port) KSh 6, where the IP packets of the DUT are encrypted in their entirety together with the network layer headers (L3). The IP address of the recipient is assigned as an open header to the encrypted IP packets of the IU - the IP address of the external port (WAN port) of the onboard KSh 36 KA-1 34 and the IP address of the information sender is assigned - the IP address of the WAN port of the KSh 6 TsUP/ NCC 1. From WAN port KSh 6 MCC/NCS 1, encrypted IP packets of the OD arrive at the LAN port of the central router (CM) 3 MCC/NCS KA and MCC/NCS CP (hereinafter referred to as CM).

ИУ ПН КА формируется на АРМ 7 оператора управления ПН КА и через коммутатор Ethernet 8 LAN №2 ЦУП/ЦУС 1 КА, поступает на LAN-порт КШ 9, где IP-пакеты ИУ зашифровываются целиком вместе с заголовками L3. В качестве открытого заголовка зашифрованным IP-пакетам ИУ назначается IP-адрес получателя - IP-адрес WAN-порта бортового КШ 38 КА-1 34 и назначается IP-адрес отправителя информации - СПП Р-адрес WAN-порта КШ 9 ЦУП/ЦУС 1. С WAN-порта КШ 9 ЦУП/ЦУС 1 зашифрованные IP-пакеты ИУ поступают на LAN-порт ЦМ 3.IU PN KA is formed on the workstation 7 of the control operator PN KA and through the Ethernet switch 8 LAN No. 2 MCC / NCC 1 KA, arrives at the LAN port KSh 9, where the IP packets of the IU are encrypted entirely together with the L3 headers. As an open header, the encrypted IP packets of the IU are assigned the IP address of the recipient - the IP address of the WAN port of the onboard KSh 38 KA-1 34, and the IP address of the sender of information is assigned - the NGN P address of the WAN port of KSh 9 MCC / NCC 1. From the WAN port KSh 9 MCC/NCS 1 encrypted IP packets of the OD arrive at the LAN port CM 3.

ИУ земной станцией КА формируется на АРМ 19 оператора управления ЗС и через коммутатор Ethernet 20 LAN №6 ЦУП/ЦУС 1 КА, поступает на LAN-порт КШ 21, где IP-пакеты ИУ зашифровываются целиком вместе с заголовками L3. В качестве открытого заголовка зашифрованным IP-пакетам ИУ назначается IP-адрес получателя - IP-адрес WAN-порта КШ 26 ЗС-1 24 и назначается IP-адрес отправителя информации - IP-адрес WAN-порта КШ 9 ЦУП/ЦУС 1. С WAN-порта КШ 21 ЦУП/ЦУС 1 зашифрованные IP-пакеты ИУ поступают на LAN-порт ЦМ 3.The IS is formed by the SC earth station on the workstation 19 of the ES control operator and through the Ethernet 20 LAN No. 6 MCC / NCC 1 SC, enters the LAN port KSh 21, where the IP packets of the IS are encrypted in their entirety together with the L3 headers. The IP address of the recipient is assigned to the encrypted IP packets of the ID as an open header - the IP address of the WAN port of KSh 26 3S-1 24 and the IP address of the sender of information is assigned - the IP address of the WAN port of KSh 9 MCC / NCC 1. With WAN -port KSh 21 MCC/NCS 1 encrypted IP packets of the OD arrive at the LAN port of the CM 3.

Информация отрытого канала служебной связи (ОКСлС), служащая для проверки состояния наземных и спутниковых ЛС, а также - для удаленной первичной инсталляции наземных и бортовых маршрутизаторов, с АРМ 22 администратора сети связи КА и ЗС поступает на LAN-порт ЦМ 3.The information of the open service communication channel (OCSL), which is used to check the status of terrestrial and satellite LANs, as well as for remote primary installation of terrestrial and onboard routers, is sent from the workstation 22 of the communication network administrator of the spacecraft and the AP to the LAN port of the CM 3.

В ЦМ 3 происходит интеграция всех потоков информации в единый поток IP-пакетов согласно приоритетов передачи информации. Наивысший приоритет имеют IP-пакеты ИУ КПл КА, затем - IP-пакеты ИУ ПН КА.In CM 3, all information flows are integrated into a single stream of IP packets according to the priorities of information transmission. The IP packets of the IU Kpl KA have the highest priority, then the IP packets of the IU PN KA.

Работа ЗС.ZS work.

С WAN-порта ЦМ 3 единый поток информации поступает по наземной ЛС на WAN-порт №1 маршрутизатора 25 ЗС-1 24, где происходит чтение IP-адреса получателя информации.From the WAN port of the CM 3, a single information flow arrives via a terrestrial LAN to the WAN port No. 1 of the router 25 ZS-1 24, where the IP address of the recipient of the information is read.

Если в заголовке IP-пакета в качестве адреса получателя указан IP-адрес маршрутизатора 25 ЗС-1 24, то это информация исходит от АРМ 22, предназначена этому устройству и служит для первичной инсталляции маршрутизатора 25 и для проверки канала связи с ним.If the IP address of the router 25 ZS-1 24 is indicated in the header of the IP packet as the recipient address, then this information comes from the workstation 22, is intended for this device and serves for the initial installation of the router 25 and for checking the communication channel with it.

Если в заголовке IP-пакета в качестве адреса получателя указан IP-адрес КШ 26 ЗС-1 24, то это информация исходит от АРМ 19 и служит для управления работой ЗС-1. ИУ работой ЗС с LAN-порта маршрутизатора 25 поступает на WAN-порт КШ 26, где происходит дешифровка IP-пакетов и становиться видным IP-адрес получателя в закрытом сегменте сети. Затем ИУ работой ЗС-1 24 в открытом виде поступает на компьютер управления (КУ) 27 ЗС-1 24.If the IP address of the IP packet as the address of the recipient is the IP address of the KSh 26 ES-1 24, then this information comes from the workstation 19 and serves to control the operation of the ES-1. The OD by the work of the AP from the LAN port of the router 25 arrives at the WAN port of the KSh 26, where the IP packets are decrypted and the IP address of the recipient in the closed network segment becomes visible. Then, the IU by the work of ZS-1 24 in the open form enters the control computer (KU) 27 ZS-1 24.

Если в заголовке IP-пакета в качестве адреса получателя указан IP-адрес бортового маршрутизатора (БМ) 35 КА-1 34, то это информация исходит от АРМ 22, предназначена этому устройству и служит для первичной инсталляции БМ 35 КА-1 и для проверки канала связи с ним. Если КА-1 в настоящий момент времени находиться в зоне радиовидимости (ЗРВ) ЗС-1, то ЗС-1 устанавливает связь с КА-1 и ИУ ОКСлС в едином потоке с другой информацией, предназначенной для КА-1, поступает на каналообразующее оборудование (радиотехнический комплекс, РТК) ЗС-1, где происходят преобразования, необходимые для излучения информации в спутниковой радиолинии (СРЛ): кодирование, модуляция, усиление и фильтрация.If the IP address of the on-board router (BM) 35 KA-1 34 is indicated in the header of the IP packet as the recipient address, then this information comes from AWP 22, is intended for this device and serves for the initial installation of BM 35 KA-1 and for checking the channel connections with him. If KA-1 is currently in the radio visibility zone (ZRV) of ES-1, then ES-1 establishes communication with KA-1 and OD OXLS in a single stream with other information intended for KA-1, enters the channel-forming equipment ( radio engineering complex, RTK) ZS-1, where the transformations necessary for the emission of information in a satellite radio link (SRL) take place: coding, modulation, amplification and filtering.

Если в заголовке IP-пакета в качестве адреса получателя указан IP-адрес БКШ 36 КА-1 34, то это ИУ КПл и исходит от АРМ 4. Если КА-1 в настоящий момент времени находится в зоне радиовидимости (ЗРВ) ЗС-1, то ЗС-1 устанавливает связь с КА-1 и ИУ ПН в едином потоке с другой информацией, предназначенной для КА-1, поступает на РТК ЗС-1, где происходят преобразования, необходимые для излучения информации в СРЛ.If the IP address of the IP packet contains the IP address of the BCS 36 KA-1 34 as the recipient address, then this is the IU Kpl and comes from the workstation 4. If the KA-1 is currently in the radio visibility zone (ZRV) of the ZS-1, then the AP-1 establishes communication with the KA-1 and the IU PN in a single stream with other information intended for the KA-1, enters the RTK AP-1, where the transformations necessary for the transmission of information to the SRL take place.

Если в заголовке IP-пакета в качестве адреса получателя указан IP-адрес БКШ 38 КА-1 34, то это ИУ ПН и исходит от АРМ 7. Если КА-1 в настоящий момент времени находится в зоне радиовидимости (ЗРВ) ЗС-1, то ЗС-1 устанавливает связь с КА-1 и ИУ ПН в едином потоке с другой информацией, предназначенной для КА-1, поступает на РТК ЗС-1, где происходят преобразования, необходимые для излучения информации в СРЛ.If the IP address of the IP packet contains the IP address of the BCS 38 KA-1 34 as the recipient's address, then this is the IU PN and comes from the workstation 7. If the KA-1 is currently in the radio visibility zone (ZRV) of the ZS-1, then the AP-1 establishes communication with the KA-1 and the IU PN in a single stream with other information intended for the KA-1, enters the RTK AP-1, where the transformations necessary for the transmission of information to the SRL take place.

Таким образом, в маршрутизаторе 25 ЗС-1 24 происходит интеграция всех потоков информации в единый поток IP-пакетов согласно приоритетов передачи информации, который передается для преобразования в РТК. БРТК принимает единый поток IP-пакетов, преобразует его и передает на WAN-порт БМ 35, осуществляющего его дальнейшую маршрутизацию, согласно IP-адресов получателя.Thus, in the router 25 ES-1 24, all information flows are integrated into a single stream of IP packets according to the priorities of the information transfer, which is transmitted for conversion to the RTC. BRTC receives a single stream of IP packets, converts it and transmits it to the WAN port of BM 35, which carries out its further routing, according to the recipient's IP addresses.

Работа БА КА.BA KA work.

БРТК КА-1 34 принимает ИУ ОКСлС, КПл и ПН в едином потоке информации, осуществляет все необходимые обратные преобразования, необходимые после приема из СРЛ: усиление и фильтрацию, демодуляцию и декодирование. С выхода БРТК информация поступает на WAN-порт БМ 35 КА-1 34, который по IP-адресу получателя определяет какому устройству предназначаются что IP-пакеты.BRTK KA-1 34 receives IU OKSlS, Kpl and PN in a single stream of information, performs all the necessary inverse transformations required after receiving from the SRL: amplification and filtering, demodulation and decoding. From the output of the BRTK, information is sent to the WAN port of the BM 35 KA-1 34, which, by the IP address of the recipient, determines which device the IP packets are intended for.

ИУ КПл с LAN-порта БМ 35 поступает на WAN-порт БКШ 36, где происходит дешифровка IP-пакетов и становится видным IP-адрес получателя в закрытом сегменте сети. Затем ИУ КПл в открытом виде поступает на БКУ 37 работой КПл КА-1 34.IU Kpl from the LAN port of the BM 35 goes to the WAN port of the BCS 36, where the IP packets are decrypted and the IP address of the recipient in the closed network segment becomes visible. Then the IU Kpl in the open form enters the BKU 37 by the operation of the Kpl KA-1 34.

ИУ ПН с LAN-порта БМ 35 поступает на WAN-порт БКШ 38, где происходит дешифровка IP-пакетов и становится видным IP-адрес получателя в закрытом сегменте сети. Затем ИУ ПН в открытом виде поступает на БКУ 39 работой ПН КА-1 34.DUT PN from the LAN port of the BM 35 goes to the WAN port of the BCS 38, where the IP packets are decrypted and the IP address of the recipient in the closed network segment becomes visible. Then IU PN in an open form enters the BKU 39 by the work of the PN KA-1 34.

Работа в обратном канале связи (ОК) - ЛС КА-ЗС-ЦУП/ЦУС.Work in the reverse communication channel (OK) - LS KA-ZS-TsUP/TsUS.

Работа БА КА.BA KA work.

IP-пакеты ИУ КПл от БКУ 37 адресуются АРМ 4 ПУП/ЦУС 1 и поэтому в их заголовке указывается в качестве IP-адреса получателя - IP-адрес АРМ 4, в качестве IP-адреса отправителя - IP-адрес БКУ 37. ИУ КПл от БКУ 37 поступает на LAN-порт БКШ 36 КА-1 34, где IP-пакеты зашифровываются целиком вместе с заголовками L3. В качестве открытого заголовка зашифрованным IP-пакетам ИУ КПл назначается IP-адрес получателя - IP-адрес WAN-порта КШ 6 ЦУП/ЦУС 1 и назначается IP-адрес отправителя информации - IP-адрес WAN-порта о БКШ 36 КА-1 34. С WAN-порта БКШ 36 зашифрованные IP-пакеты поступают на LAN-порт БМ 35, где происходит их интеграция с другими IP-пакетами и приоритизация согласно назначенных приоритетов.The IP packets of the IU Kpl from BKU 37 are addressed to AWP 4 PUP / NCC 1 and therefore in their header is indicated as the IP address of the recipient - the IP address of AWS 4, as the IP address of the sender - the IP address of the BKU 37. IU Kpl from BCU 37 arrives at the LAN port of the BCS 36 of the KA-1 34, where the IP packets are encrypted in their entirety together with the L3 headers. The IP address of the recipient is assigned as an open header to the encrypted IP packets of the IU Kpl - the IP address of the WAN port of the KSh 6 MCC / NCC 1 and the IP address of the sender of information is assigned - the IP address of the WAN port of the BCS 36 KA-1 34. From the WAN port of the BCS 36, encrypted IP packets arrive at the LAN port of the BM 35, where they are integrated with other IP packets and prioritized according to the assigned priorities.

IP-пакеты ИУ ГШ от БКУ 39 адресуются АРМ 7 ЦУП/ЦУС 1 и поэтому в их заголовке указывается в качестве IP-адреса получателя - IP-адрес АРМ 7, в качестве IP-адреса отправителя - IP-адрес БКУ 39. ИУ ПН от БКУ 39 поступает на LAN-порт БКШ 38 КА-1 34, где IP-пакеты зашифровываются целиком вместе с заголовками L3. В качестве открытого заголовка зашифрованным IP-пакетам ИУ ПН назначается IP-адрес получателя - IP-адрес WAN-порта КШ 8 ЦУП/ЦУС 1 и назначается IP-адрес отправителя информации - IP-адрес WAN-порта о БКШ 38 КА-1 34. С WAN-порта БКШ 36 зашифрованные IP-пакеты поступают на LAN-порт БМ 35, где происходит их интеграция с другими IP-пакетами и приоритизация согласно назначенных приоритетов.The IP packets of the IU GSh from BKU 39 are addressed to AWP 7 MCC / NCC 1 and therefore in their header is indicated as the IP address of the recipient - the IP address of AWS 7, as the IP address of the sender - the IP address of the BKU 39. IU PN from BCU 39 arrives at the LAN port BCS 38 KA-1 34, where the IP packets are encrypted in their entirety together with the L3 headers. As an open header, the IP address of the recipient is assigned to the encrypted IP packets of the IU PN - the IP address of the WAN port of the KSh 8 MCC / NCC 1 and the IP address of the sender of information is assigned - the IP address of the WAN port of the BCS 38 KA-1 34. From the WAN port of the BCS 36, encrypted IP packets arrive at the LAN port of the BM 35, where they are integrated with other IP packets and prioritized according to the assigned priorities.

IP-пакеты ЦИ от БКУ 41 адресуются АРМ 10 ЦУП/ЦУС 1 и поэтому в их заголовке указывается в качестве -адреса получателя - IP-адрес АРМ 10, в качестве IP-адреса отправителя - IP-адрес БКУ 41. ЦИ от БКУ 41 поступает на LAN-порт БКШ 40 КА-1 34, где IP-пакеты зашифровываются целиком вместе с заголовками L3. В качестве открытого заголовка зашифрованным IP-пакетам ЦИ назначается IP-адрес получателя - IP-адрес WAN-порта КШ 11 ЦУП/ЦУС 1 и назначается IP-адрес отправителя информации - IP-адрес WAN-порта БКШ 40 КА-1 34. С WAN-порта БКШ 40 зашифрованные IP-пакеты поступают на LAN-порт БМ 35, где происходит их интеграция с другими IP-пакетами и приоритизация согласно назначенных приоритетов.IP packets CI from BCU 41 are addressed to AWP 10 MCC / NCC 1 and therefore in their header is indicated as the address of the recipient - the IP address of ARM 10, as the IP address of the sender - the IP address of the BCU 41. CI from the BCU 41 arrives to the LAN port of the BCS 40 KA-1 34, where the IP packets are encrypted in their entirety together with the L3 headers. The IP address of the recipient is assigned as an open header to the encrypted IP packets of the CI - the IP address of the WAN port of the KSh 11 MCC / NCC 1 and the IP address of the sender of information is assigned - the IP address of the WAN port of the BCS 40 KA-1 34. With WAN -port BCS 40 encrypted IP packets arrive at the LAN port BM 35, where they are integrated with other IP packets and prioritized according to assigned priorities.

С WAN-порта БМ 35 ИУ КПл в едином потоке информации поступает на БРТК, где происходят преобразования, необходимые для излучения информации в СРЛ.From WAN-port BM 35 IU Kpl in a single stream of information goes to the BRTK, where the transformations necessary for the emission of information in the SRL take place.

Работа ЗС.ZS work.

РТК ЗС-1 24 принимает в едином потоке информацию от КА-1 34, осуществляет все необходимые обратные преобразования, необходимые после приема из СРЛ. С выхода РТК информация поступает на WAN-порт №2 маршрутизатора 25 ЗС-1 24, который по IP-адресу получателя определяет, что IP-пакеты предназначаются ЦУП/ЦУС 1. С WAN-порта №2 информация направляется на WAN-порт №1 этого же маршрутизатора 25, где происходит ее интеграция в единый поток информации с ИУ ЗС-1 24.RTK ZS-1 24 receives in a single stream of information from KA-1 34, performs all the necessary inverse transformations required after receiving from the SRL. From the output of the RTK, information is sent to WAN port No. 2 of router 25 ZS-1 24, which determines by the IP address of the recipient that IP packets are intended for MCC / NCC 1. From WAN port No. 2, information is sent to WAN port No. 1 the same router 25, where it is integrated into a single information flow with the IU ZS-1 24.

Работа ЦУП/ЦУС.The work of the MCC / NCC.

По наземным ЛС единый поток информации от ЗС-1 24 поступает на WAN-порт ЦМ 3, где происходит чтение адресов получателей. После чего ИУ КПл с LAN-порта ЦМ 3 поступает на WAN-порт КШ 6, где происходит ее дешифровка и далее IP-пакеты в открытом виде через коммутатор 5 поступают на АРМ 4 ЦУП/ЦУС 1. ИУ ПН с LAN-порта ЦМ 3 поступает на WAN-порт КШ 9, где происходит ее дешифровка и далее IP-пакеты в открытом виде через коммутатор 8 поступают на АРМ 7 ЦУП/ЦУС 1. ЦИ с LAN-порта ЦМ 3 поступает на WAN-порт КШ 12, где происходит ее дешифровка и далее IP-пакеты в открытом виде через коммутатор 11 поступает на АРМ 10 ЦУП/ЦУС 1.On ground LANs, a single stream of information from ES-1 24 arrives at the WAN port of the CM 3, where the addresses of the recipients are read. After that, the IU CL from the LAN port of the CM 3 arrives at the WAN port of the CS 6, where it is decrypted and then the IP packets in clear form through the switch 5 arrive at the workstation 4 of the MCC / NCC 1. The IU PN from the LAN port of the CM 3 arrives at the WAN port of CS 9, where it is decrypted, and then the IP packets in clear form through the switch 8 arrive at the workstation 7 of the MCC / NCC 1. The CI from the LAN port of the CM 3 arrives at the WAN port of the CS 12, where it occurs decryption and further IP-packets in clear form through the switch 11 arrives at the workstation 10 MCC/NCS 1.

В представленной системе информационного обмена с КА ЦУП/ЦУС выступает в роли органа управления, а ЗС и КА выступают в роли объекта управления.In the presented system of information exchange with the spacecraft, the MCC / NCC acts as a control body, and the AP and the spacecraft act as a control object.

Таким образом, организуются виртуальные ЛВС (Virtual LAN, VLAN) для каждого вида трафика, где оконечные однотипные устройства КУ ЦУП/ЦУС и БКУ всех КА находятся в одной ЛВС, разделенной закрытым каналом связи, состоящим из наземных и спутниковых линий связи, где ЗС - выполняет функции ретрансляции, маршрутизаторы - объединяют и разделяют потоки информации, а КШ - закрывают канал связи между оконечными устройствами.Thus, virtual LANs (Virtual LAN, VLAN) are organized for each type of traffic, where the end devices of the same type KU MCC / NCC and BKU of all SC are in one LAN, separated by a closed communication channel, consisting of terrestrial and satellite communication lines, where ZS - performs the functions of relaying, routers - combine and separate information flows, and KSh - close the communication channel between terminal devices.

Организуемые VLAN при организации информационного обмена с КА без применения CP:Organized VLANs when organizing information exchange with a spacecraft without using CP:

VLAN-0-ОКСлС ЗС и КА;VLAN-0-OXlS ES and KA;

VLAN-1 - ЛВС управления КПл КА;VLAN-1 - control LAN of the SC SC;

VLAN-2 - ЛВС управления ПН КА;VLAN-2 - control LAN of SC PN;

VLAN-3 - ЛВС анализа ЦИ;VLAN-3 - LAN for CI analysis;

VLAN-6 - ЛВС управления ЗС;VLAN-6 - AP control LAN;

Вариант №2. Организация связи ЦУП/ЦУС с двумя КА одновременно с применением одной ЗС.Option number 2. Organization of communication between the MCC / NCC with two spacecraft simultaneously with the use of one AP.

Функциональная схема защиты информации при организации связи ЦУП/ЦУС с двумя КА с применением одной ЗС (ЦУП/ЦУС-ЗС-КА-1; КА-2) изображена на фигуре 4.The functional diagram of information protection when organizing communication between the MCC / NCC with two spacecraft using one AP (TsUP / TsUS-ZS-KA-1; KA-2) is shown in figure 4.

Отличие данного варианта заключается в следующем:The difference between this option is as follows:

1) ЗС связывается не с одним КА, а сразу с двумя. В данном случае предполагается, что ЗС должна быть многоагентной, т.е. может связываться одновременно с несколькими КА - от двух и более КА в зависимости от технических возможностей ЗС и от потребности, что особенно актуально при управлении многоспутниковыми орбитальными группировками (ОГ) КА.1) AP communicates not with one satellite, but with two at once. In this case, it is assumed that the AP should be multi-agent, i.e. can communicate simultaneously with several SCs - from two or more SCs, depending on the technical capabilities of the ES and on the need, which is especially important when controlling multi-satellite orbital constellations (OS) of SCs.

2) АРМ управления работой КПл КА формирует ИУ сразу для двух и более КА. В качестве АРМ управления работой КПл КА может выступать не один, а несколько КУ. Аналогичным образом работают АРМ управления работой ПН КА и АРМ анализа ЦИ.2) AWP for managing the operation of the SC SC forms the IS for two or more SC at once. Not one, but several CU can act as an AWP for controlling the operation of the SC SC. The workstations for controlling the work of the PN KA and the workstations for the analysis of QI work in a similar way.

3) Маршрутизатор ЗС выделяет из единого потока информации сразу по два и более однотипных видов информации, маршрутизирует их на соответствующие комплекты РТК, установившие связь с этими КА.3) The AP router singles out two or more similar types of information from a single information flow at once, routes them to the corresponding RTC sets that have established communication with these SC.

4) В одной однотипной VLAN находятся сразу два и более абонентских БКУ.4) There are two or more subscriber BCUs in the same VLAN at once.

Вариант №3. Организация связи ЦУП/ЦУС с двумя КА одновременно с применением двух ЗС.Option number 3. Organization of communication between the MCC / NCC with two spacecraft simultaneously using two APs.

Функциональная схема защиты информации при организации связи ЦУП/ЦУС с двумя КА с применением двух ЗС (ЦУП/ЦУС-ЗС-1-KA-1 и ЦУП/ЦУС-ЗС-2-КА-2) изображена на фигуре 5.The functional diagram of information security when organizing communication between the MCC / NCC with two spacecraft using two APs (TsUP / TsUS-ZS-1-KA-1 and TsUP / TsUS-ZS-2-KA-2) is shown in figure 5.

Отличие данного варианта заключается в следующем:The difference between this option is as follows:

1) ЦУП/ЦУС 1 связывается не с одной ЗС, а сразу с двумя и более ЗС. В данном случае предполагается, что ЦУП/ЦУС 1 должен быть многоагентным, т.е. может связываться одновременно с несколькими ЗС - в зависимости от потребности в обеспечении глобальности и оперативности в установлении связи с КА, что особенно актуально при управлении многоспутниковыми ОГ КА.1) MCC/NCS 1 communicates not with one ES, but with two or more ES at once. In this case, it is assumed that MCC/NCS 1 should be multi-agent, i.e. can communicate simultaneously with several APs - depending on the need to ensure globality and efficiency in establishing communication with the spacecraft, which is especially important when controlling multi-satellite SCs.

2) АРМ управления работой ЗС формирует ИУ сразу для двух и более ЗС, а АРМ управления работой КПл КА формирует ИУ сразу для двух и более КА. Аналогичным образом работают АРМ управления работой ПН КА и АРМ анализа ЦИ. В качестве АРМ управления работой может выступать не один, а несколько КУ.2) AWS for controlling the operation of the AP forms the IS for two or more APs at once, and the ARM for managing the operation of the SC of the SC forms the IS for two or more SCs at once. The workstations for controlling the work of the PN KA and the workstations for the analysis of QI work in a similar way. Not one, but several CUs can act as a work management workstation.

3) В одной однотипной VLAN находятся сразу два и более абонентских БКУ КА и КУ ЗС.3) In one same type VLAN there are two or more subscriber BCUs of the SC and CU of the ES at once.

Вариант №4. Организация связи ЦУП/ЦУС с одним КА с применением одной ЗС и одного СР.Option number 4. Organization of communication between the MCC / NCC with one spacecraft using one AP and one SR.

Функциональная схема защиты информации при организации связи ЦУП/ЦУС с одним КА с применением одной ЗС и одного CP (ЦУП/ЦУС-ЗС-СР-КА) изображена на фигуре 6.The functional diagram of information protection when organizing communication between the MCC / NCC with one SC using one ES and one CP (MCC / NCC-ES-SR-SC) is shown in figure 6.

Отличие данного варианта заключается в следующем:The difference between this option is as follows:

1) ЗС связывается не с КА, а со CP, находящимся в ее ЗРВ и который в системе связи с КА, также, как и ЗС, выполняет функции ретранслятора. В данном случае предполагается, что ЗС должна быть многофункциональной и многоагентной, т.е. может связываться как с КА, так и с CP, причем может одновременно работать с несколькими CP и несколькими КА, что особенно актуально при управлении многоспутниковыми ОГ КА.1) The AP communicates not with the SC, but with the CP located in its ZRV and which, in the communication system with the SC, as well as the AP, performs the functions of a repeater. In this case, it is assumed that the AP should be multifunctional and multi-agent, i.e. can communicate with both SC and CP, and can simultaneously work with several CPs and several SC, which is especially important when controlling multi-satellite SCs.

2) В организации связи дополнительно участвует ЦУП/ЦУС CP и поэтому дополнительно организуются следующие виртуальные ЛВС:2) The MCC / NCC CP additionally participates in the organization of communication and therefore the following virtual LANs are additionally organized:

VLAN-4 - ЛВС управления КПл CP;VLAN-4 - LAN control Kpl CP;

VLAN-5 - ЛВС управления ПН CP;VLAN-5 - LAN control PN CP;

VLAN-7 - ОКСлС CP и ЗС.VLAN-7 - OCSL CP and AP.

3) БМ CP выделяет из общего единого потока информации ИУ КПл CP и ИУ ПН CP и маршрутизирует эти IP-пакеты на соответствующие - БКШ ЛВС управления КПл CP и БКШ ЛВС управления ПН СР. VLAN-7 служит для проверки линии связи ЦУП/ЦУС 2 с ЗС и CP и первичной инсталляции маршрутизаторов этой ЛС.3) BM CP selects from the common single information flow the IU Kpl CP and IU PN CP and routes these IP packets to the corresponding ones - BCS LAN control Kpl CP and BCS LAN control PN SR. VLAN-7 is used to test the communication line of the MCC/NCC 2 with the ES and CP and the initial installation of the routers of this LAN.

Вариант №5. Организация связи ЦУП/ЦУС с двумя КА с применением одной ЗС и одного СР.Option number 5. Organization of communication between the MCC / NCC with two spacecraft using one AP and one SR.

Функциональная схема защиты информации при организации связи ЦУП/ЦУС с двумя КА с применением одной ЗС и одного CP (ЦУП/ЦУС-ЗС-СР-КА-1; КА-2) изображена на фигуре 7.The functional diagram of information protection when organizing communication between the MCC / NCC with two spacecraft using one ES and one CP (TsUP / TsUS-ZS-SR-KA-1; KA-2) is shown in figure 7.

АРМ управления работой соответствующих БКУ и КУ работает аналогично вариантам №2-4.AWS for managing the operation of the corresponding BKU and KU works similarly to options No. 2-4.

Отличие данного варианта заключается в следующем:The difference between this option is as follows:

1) CP в данном случае должен быть многоагентным, т.е. обеспечивать связь с двумя и более КА, в зависимости от технических возможностей CP и от потребностей, что особенно актуально при управлении многоспутниковыми ОГ КА.1) CP in this case must be multi-agent, i.e. provide communication with two or more spacecraft, depending on the technical capabilities of the CP and on the needs, which is especially important when controlling multi-satellite SCs.

3) БМ CP выделяет из единого потока информации сразу по два и более однотипных видов информации, маршрутизирует их на соответствующие комплекты БРТК, установившие связь с этими КА.3) BM CP selects two or more types of information of the same type from a single information flow at once, routes them to the corresponding BRTK sets that have established communication with these spacecraft.

Вариант №6. Организация связи ЦУП/ЦУС с двумя КА с применением одной ЗС и двух СР.Option number 6. Organization of communication between the MCC / NCC with two spacecraft using one AP and two SRs.

Функциональная схема защиты информации при организации связи ЦУП/ЦУС с двумя КА с применением одной ЗС и двух CP (ЦУП/ЦУС-ЗС-СР-1-КА; ЦУП/ЦУС-ЗС-СР-2-KA) изображена на фигуре 8.The functional diagram of information protection in the organization of communication between the MCC / NCC with two spacecraft using one ES and two CPs (TsUP / TsUS-ZS-SR-1-KA; TsUP / TsUS-ZS-SR-2-KA) is shown in figure 8.

АРМ управления работой соответствующих БКУ CP, БКУ КА и КУ ЗС работает аналогично варианту №4.AWS for controlling the operation of the corresponding BKU CP, BKU KA and KU ZS works similarly to option No. 4.

Отличие данного варианта заключается в следующем:The difference between this option is as follows:

1) ЗС в данном случае должна быть многоагентной, т.е. обеспечивать связь с двумя и более CP, в зависимости от технических возможностей ЗС и от потребностей, что особенно актуально при управлении многоспутниковыми ОГ КА.1) AP in this case should be multi-agent, i.e. provide communication with two or more CPs, depending on the technical capabilities of the AP and on the needs, which is especially important when controlling multi-satellite SCs.

2) Маршрутизатор ЗС выделяет из единого потока информации сразу по два и более однотипных видов информации, маршрутизирует их на соответствующие комплекты РТК, установившие связь с этими СР.2) The AP router singles out two or more types of information of the same type from a single information flow at once, routes them to the corresponding RTC sets that have established communication with these SRs.

Вариант №7. Организация связи ЦУП/ЦУС с двумя КА с применением одной ЗС и двух CP, соединенных между собой МЛС.Option number 7. Organization of MCC/NCS communication with two spacecraft using one AP and two CPs interconnected by MLS.

Функциональная схема защиты информации при организации связи ЦУП/ЦУС с одним КА с применением одной ЗС и двух CP, соединенных между собой МЛС, (ЦУП/ЦУС-ЗС-СР-1-СР-2-КА) изображена на фигуре 9.The functional diagram of information protection when organizing communication between the MCC / NCC with one SC using one ES and two CPs interconnected by the MLS (MCC / NCC-3S-SR-1-SR-2-SC) is shown in figure 9.

АРМ управления работой соответствующих БКУ CP, БКУ КА и КУ ЗС работает аналогично вариантам №4-6.AWS for controlling the operation of the corresponding BKU CP, BKU KA and KU ZS works similarly to options No. 4-6.

Отличие данного варианта заключается в следующем:The difference between this option is as follows:

1) Если CP, установивший связь с КА, не находится в ЗРВ ЗС, то при наличии межспутниковой линии связи (МЛС) между CP можно ретранслировать информацию на КА через два и более СР.1) If the CP that has established communication with the SC is not in the ZRZ of the ES, then in the presence of an inter-satellite communication link (ILS) between the CPs, information can be relayed to the SC through two or more SRs.

2) CP, установивший связь с ЗС ретранслирует на CP, установивший связь с КА:2) The CP that has established communication with the ES retransmits to the CP that has established communication with the SC:

- информацию управления КПл КА;- SC control information;

- информацию управления ПН КА;- control information of the spacecraft launcher;

- целевую информацию от КА;- target information from the spacecraft;

- информацию ОКСлС КА;- information of the OKSLS spacecraft;

- информацию управления КПл CP;- control information Kpl CP;

- информацию управления ПН СР.- management information PN SR.

- информацию ОКСлС СР.- information OKSLS SR.

Вариант №8. Организация связи ЦУП/ЦУС с двумя КА с применением одной ЗС и двух СР.Option number 8. Organization of communication between the MCC / NCC with two spacecraft using one AP and two SRs.

Функциональная схема защиты информации при организации связи ЦУП/ЦУС с двумя КА с применением двух ЗС и двух CP (ЦУП/ЦУС-ЗС-1-СР-1; ЦУП/ЦУС-ЗС-2-СР-2-КА) изображена на фигуре 10.The functional diagram of information protection when organizing communication between the MCC / NCC with two spacecraft using two APs and two CPs (TsUP / TsUS-3S-1-SR-1; TsUP / TsUS-ZS-2-SR-2-KA) is shown in the figure 10.

АРМ управления работой соответствующих БКУ CP, БКУ КА и КУ ЗС работает аналогично вариантам №4-6.AWS for controlling the operation of the corresponding BKU CP, BKU KA and KU ZS works similarly to options No. 4-6.

Отличие данного варианта заключается в следующем:The difference between this option is as follows:

1) ЦМ 3 маршрутизирует соответствующую ИУ различных КА сразу на две и более ЗС по двум и более наземным ЛС.1) CM 3 routes the corresponding DUT of various spacecraft to two or more APs at once via two or more ground-based LANs.

Предложенный подход в различных выше рассмотренных вариантах к организации защиты информации в системе информационного обмена с КА обладает следующими преимуществами по сравнению с традиционной организацией защиты информации:The proposed approach in the various variants discussed above to the organization of information security in the system of information exchange with the spacecraft has the following advantages compared to the traditional organization of information security:

1) обладает гибкостью и много вариантностью построения сети связи, где в качестве межспутниковых линий связи могут применяться как радиолинии так и оптические линии связи;1) has the flexibility and versatility of building a communication network, where both radio links and optical communication links can be used as inter-satellite communication links;

2) обеспечивает дифференциальный подход к защите информации различного вида;2) provides a differential approach to the protection of information of various types;

3) не требует значительного увеличения аппаратно-программных комплексов СКЗИ.3) does not require a significant increase in the hardware-software complexes of the CIPF.

Claims (2)

1. Способ защиты информации при организации информационного обмена с космическими аппаратами, включающий передачу информации от центра управления полетом космического аппарата и центра управления сетью к по меньшей мере одной земной станции, на по меньшей мере один космический аппарат непосредственно или через по меньшей мере один спутник-ретранслятор и обратно, отличающийся тем, что организуются виртуальные локальные вычислительные сети для каждого вида трафика, и при этом все виды трафика передаются в едином потоке без снижения уровня криптостойкости, где оконечные однотипные устройства: центр управления полетом, центр управления сетью космического аппарата и бортовой комплекс управления и целевая аппаратура всех космических аппаратов находятся в одной локальной вычислительной сети, разделенной закрытым каналом связи, состоящим из наземных и спутниковых линий связи, где земная станция выполняет функции ретрансляции, маршрутизаторы объединяют и разделяют потоки информации, а криптошлюзы закрывают канал связи между оконечными устройствами, при этом информационный обмен с космическим аппаратом без применения спутника ретранслятора организуют посредством виртуальных локальных компьютерных сетей: отрытого канала служебной связи; закрытой локальной вычислительной сети управления космической платформы космического корабля; закрытой локальной вычислительной сети управления полезной нагрузкой космического аппарата; закрытой локальной вычислительной сети передачи целевой информации, закрытой локальной вычислительной сети управления земной станцией; информационный обмен с космическим аппаратом с применения спутника ретранслятора дополнительно организуют посредством виртуальных локальных компьютерных сетей: закрытой локальной вычислительной сети управления космической платформы спутника-ретранслятора; закрытой локальной вычислительной сети управления полезной нагрузкой спутника-ретранслятора; локальной вычислительной сети отрытого канала служебной связи спутника-ретранслятора и земной станции.1. A method for protecting information when organizing information exchange with spacecraft, including the transmission of information from the flight control center of the spacecraft and the network control center to at least one earth station, to at least one spacecraft directly or via at least one satellite - repeater and vice versa, characterized in that virtual local area networks are organized for each type of traffic, and at the same time all types of traffic are transmitted in a single stream without reducing the level of cryptographic strength, where the end devices are of the same type: the mission control center, the spacecraft network control center and the onboard complex control and target equipment of all spacecraft are located in one local area network, separated by a closed communication channel, consisting of terrestrial and satellite communication lines, where the earth station performs the functions of relaying, routers combine and separate information flows, and crypto-gateways close the communication channel between terminal devices, at the same time, information exchange with the spacecraft without the use of a repeater satellite is organized through virtual local computer networks: an open intercom channel; a closed local area network for controlling the space platform of the spacecraft; closed local area network for spacecraft payload control; a closed local area network for the transmission of target information, a closed local area network for controlling the earth station; information exchange with the spacecraft from the use of the repeater satellite is additionally organized by means of virtual local computer networks: closed local control network of the space platform of the repeater satellite; a closed local area network for controlling the payload of the repeater satellite; local computer network of an open service communication channel of a repeater satellite and an earth station. 2. Система защиты информации при организации информационного обмена с космическими аппаратами, содержащая сетевое оборудование центра управления полетом космического аппарата и центра управления сетью, сетевое оборудование по меньшей мере одной земной станции, сетевое оборудование по меньшей мере одного космического аппарата и/или сетевое оборудование по меньшей мере одного спутника-ретранслятора, отличающаяся тем, что включает виртуальные локальные вычислительные сети для каждого вида трафика, где оконечные однотипные устройства: центр управления полетом, центр управления сетью космического аппарата и бортовой комплекс управления всех космических аппаратов находятся в одной локальной вычислительной сети, разделенной закрытым каналом связи, состоящим из наземных и спутниковых линий связи, где земная станция выполняет функции ретрансляции, маршрутизаторы обеспечивают объединение и разделение потоков информации, а криптошлюзы обеспечивают закрытие канала связи между оконечными устройствами; а также виртуальные локальные компьютерные сети: отрытого канала служебной связи и космического аппарата; локальной вычислительной сети управления космической платформы космического корабля; локальной вычислительной сети управления полезной нагрузкой космического аппарата; локальной вычислительной сети управления земной станцией, которые обеспечивают информационный обмен с космическим аппаратом без применения спутника ретранслятора; и виртуальные локальные компьютерные сети: локальной вычислительной сети управления космической платформы спутника-ретранслятора; локальной вычислительной сети управления полезной нагрузкой спутника-ретранслятора; локальной вычислительной сети управления полезной нагрузкой отрытого канала служебной связи спутника-ретранслятора и земной станции, которые обеспечивают информационный обмен с космическим аппаратом с применения спутника ретранслятора.2. An information security system for organizing information exchange with spacecraft, containing network equipment of the flight control center of the spacecraft and the network control center, network equipment of at least one earth station, network equipment of at least one spacecraft and / or network equipment of at least at least one relay satellite, characterized in that it includes virtual local area networks for each type of traffic, where end devices of the same type: the flight control center, the spacecraft network control center and the onboard control complex for all spacecraft are located in one local area network, separated by a closed a communication channel consisting of terrestrial and satellite communication lines, where the earth station performs the functions of relaying, routers ensure the integration and separation of information flows, and crypto-gateways ensure the closing of the communication channel between terminal devices; as well as virtual local computer networks: open intercom channel and spacecraft; local computer network for controlling the space platform of the spacecraft; local area network for controlling the payload of the spacecraft; a local computer network for controlling the earth station, which provide information exchange with the spacecraft without the use of a repeater satellite; and virtual local computer networks: local computer network for control of the space platform of the repeater satellite; local area network for controlling the payload of the repeater satellite; a local computer network for controlling the payload of an open service communication channel of a repeater satellite and an earth station, which provide information exchange with a spacecraft using a repeater satellite.
RU2022109019A 2022-04-05 Method and system for data security when organizing data exchange with spacecraft RU2795117C1 (en)

Publications (1)

Publication Number Publication Date
RU2795117C1 true RU2795117C1 (en) 2023-04-28

Family

ID=

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2647631C1 (en) * 2017-05-30 2018-03-16 Акционерное общество "Российская корпорация ракетно-космического приборостроения и информационных систем" (АО "Российские космические системы") Satellite communication system with protection of the remote operation management channel
RU2676081C1 (en) * 2018-03-02 2018-12-26 Федеральное государственное бюджетное учреждение "16 Центральный научно-исследовательский испытательный ордена Красной Звезды институт имени маршала войск связи А.И. Белова" Министерства обороны Российской Федерации Mobile hardware for operational telephone and documentary communication
RU2690966C1 (en) * 2018-07-12 2019-06-07 Акционерное общество "Российская корпорация ракетно-космического приборостроения и информационных систем" (АО "Российские космические системы") Satellite system controlled by inter-satellite radio link
EP3340545B1 (en) * 2016-12-20 2019-11-06 Gilat Satellite Networks Ltd. Methods and apparatus for optimizing tunneled traffic
RU2754947C1 (en) * 2021-02-11 2021-09-08 Игорь Николаевич Пантелеймонов Personal mobile satellite communication system based on a network of low-orbit relay satellites, providing access to the internet from a portable personal subscriber terminal
US11211999B2 (en) * 2017-12-28 2021-12-28 Hughes Network Systems, Llc Satellite network virtual LAN usage

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3340545B1 (en) * 2016-12-20 2019-11-06 Gilat Satellite Networks Ltd. Methods and apparatus for optimizing tunneled traffic
RU2647631C1 (en) * 2017-05-30 2018-03-16 Акционерное общество "Российская корпорация ракетно-космического приборостроения и информационных систем" (АО "Российские космические системы") Satellite communication system with protection of the remote operation management channel
US11211999B2 (en) * 2017-12-28 2021-12-28 Hughes Network Systems, Llc Satellite network virtual LAN usage
RU2676081C1 (en) * 2018-03-02 2018-12-26 Федеральное государственное бюджетное учреждение "16 Центральный научно-исследовательский испытательный ордена Красной Звезды институт имени маршала войск связи А.И. Белова" Министерства обороны Российской Федерации Mobile hardware for operational telephone and documentary communication
RU2690966C1 (en) * 2018-07-12 2019-06-07 Акционерное общество "Российская корпорация ракетно-космического приборостроения и информационных систем" (АО "Российские космические системы") Satellite system controlled by inter-satellite radio link
RU2754947C1 (en) * 2021-02-11 2021-09-08 Игорь Николаевич Пантелеймонов Personal mobile satellite communication system based on a network of low-orbit relay satellites, providing access to the internet from a portable personal subscriber terminal

Similar Documents

Publication Publication Date Title
Caini et al. Application of contact graph routing to LEO satellite DTN communications
EP3229445B1 (en) A system and a computer-implemented method for multi path communication with an unmanned aerial vehicle during a mission
ES2299254T5 (en) Aircraft flight data acquisition and transmission system
CN105490729B (en) A kind of one-to-many data transmission system and method based on satellite link
EP1324515A2 (en) Method and apparatus for routing information in satellite communication networks
US8982856B2 (en) Systems and methods for facilitating wireless network communication, satellite-based wireless network systems, and aircraft-based wireless network systems, and related methods
EP3340490B1 (en) Routing in a network constituted by satellites linked by two sets of rings in two different geographical orientations, each ring being composed of two ringlets transmitting in opposite directions.
US20110149849A1 (en) Wireless black box communication systems and methods
US7953110B1 (en) TCP/IP tunneling protocol for link 16
JPH08251093A (en) World-wide multiple satellite network
Amin et al. Design considerations in applying disruption tolerant networking to tactical edge networks
EP3629627A1 (en) Routing method for satellite constellations based on hop-by-hop autonomous decisions and minimizing the use of inter-plane links
ES2846101T3 (en) Data transmission system and procedure that jointly use a terrestrial link and a satellite link
Caini et al. DTN for LEO satellite communications
RU2795117C1 (en) Method and system for data security when organizing data exchange with spacecraft
CN111385184A (en) ARINC 664P7 and Ethernet-type hybrid avionics communication system with predetermined routing
Ali et al. Army Warfighter Network-Tactical (WIN-T) Theory of Operation
EP0772322A2 (en) System and methods of routing packets through a network with changing topology
Jiang et al. Fast recovery routing algorithm for software defined network based operationally responsive space satellite networks
Stewart et al. Application of mobile router to military communications
CN101114974A (en) Device and method for establishing private LAN using satellite network
CN201114131Y (en) Device for accomplishing satellite net and ground local area network interconnecting and communicating
RU2799503C1 (en) Method for routing delay-sensitive information flows in satellite communication network on non-geostationary spacecrafts connected by inter-satellite communication lines in one orbital plane and located on circular orbits
RU2713293C1 (en) Spacecraft flight control system using low-orbit satellites interconnected by inter-satellite links as transponders
RU2754947C1 (en) Personal mobile satellite communication system based on a network of low-orbit relay satellites, providing access to the internet from a portable personal subscriber terminal