RU39416U1 - DEVICE FOR CONTROL OF INTEGRITY AND PRIVACY OF NETWORK FRAME - Google Patents

DEVICE FOR CONTROL OF INTEGRITY AND PRIVACY OF NETWORK FRAME Download PDF

Info

Publication number
RU39416U1
RU39416U1 RU2004105722/20U RU2004105722U RU39416U1 RU 39416 U1 RU39416 U1 RU 39416U1 RU 2004105722/20 U RU2004105722/20 U RU 2004105722/20U RU 2004105722 U RU2004105722 U RU 2004105722U RU 39416 U1 RU39416 U1 RU 39416U1
Authority
RU
Russia
Prior art keywords
polynomial
network
register
checksum
network frame
Prior art date
Application number
RU2004105722/20U
Other languages
Russian (ru)
Inventor
Ю.Г. Бугров
В.В. Мирошников
Original Assignee
Государственный научно-исследовательский испытательный институт проблем технической защиты информации Государственной технической комиссии при Президенте Российской Федерации
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Государственный научно-исследовательский испытательный институт проблем технической защиты информации Государственной технической комиссии при Президенте Российской Федерации filed Critical Государственный научно-исследовательский испытательный институт проблем технической защиты информации Государственной технической комиссии при Президенте Российской Федерации
Priority to RU2004105722/20U priority Critical patent/RU39416U1/en
Application granted granted Critical
Publication of RU39416U1 publication Critical patent/RU39416U1/en

Links

Landscapes

  • Small-Scale Networks (AREA)

Abstract

Предлагаемое устройство относится к области средств вычислительной техники, а именно к системам защиты информации от несанкционированного доступа. Одной из основных угроз несанкционированного доступа к информации, передаваемой по локальной вычислительной сети (ЛВС), является неправомерное использование анализаторов протоколов. Анализаторы протоколов подключаются к ЛВС также как и рабочие станции и имеют функциональную возможность копировать весь сетевой трафик. Особенностью, затрудняющей противодействие злонамеренному использованию анализаторов протоколов, является их пассивность по отношению к среде распространения. Применяемые способы защиты информации от несанкционированного доступа в среде распространения ЛВС основываются в основном на криптографической защите файлов и пакетов, предназначенных для передачи. Предлагаемое устройство предоставляет дополнительную услугу в обеспечении безопасности информации при сетевом обмене. В основу технического решения положен принцип расчета контрольной суммы сетевого кадра по алгоритму CRC-32 с изменяемым значением полинома. Изменение значения полинома осуществляется предлагаемым устройством на легитимных рабочих станциях ЛВС в установленные моменты синхронизированного системного времени по единому правилу. При этом схема контроля целостности сетевого кадра дополнительно используется для обеспечения конфиденциальности информации. Передача сетевого кадра осуществляется по среде распространения ЛВС со значением контрольной суммы отличным от того, которое может быть рассчитано на нелегитимной рабочей станции с использованием стандартного з�The proposed device relates to the field of computer technology, and in particular to systems for protecting information from unauthorized access. One of the main threats to unauthorized access to information transmitted over a local area network (LAN) is the misuse of protocol analyzers. Protocol analyzers are connected to the LAN as well as workstations and have the ability to copy all network traffic. A feature that makes it difficult to counter the malicious use of protocol analyzers is their passivity with respect to the distribution environment. The methods used to protect information from unauthorized access in the LAN distribution environment are mainly based on the cryptographic protection of files and packages intended for transmission. The proposed device provides an additional service in ensuring the security of information during network exchange. The technical solution is based on the principle of calculating the network frame checksum using the CRC-32 algorithm with a variable polynomial value. The polynomial value is changed by the proposed device at legitimate LAN workstations at the set moments of synchronized system time according to a single rule. Moreover, the network frame integrity control scheme is additionally used to ensure the confidentiality of information. The network frame is transmitted over the LAN distribution environment with a checksum value different from that which can be calculated on an illegitimate workstation using a standard

Description

Предлагаемое устройство относится к области средств вычислительной техники, а именно к системам защиты информации от несанкционированного доступа.The proposed device relates to the field of computer technology, and in particular to systems for protecting information from unauthorized access.

Одним из распространенных средств, используемым для несанкционированного доступа к информации, передаваемой по локальной вычислительной сети, является анализатор протоколов. Анализатор протоколов представляет собой программно-аппаратное средство, подключаемое к среде распространения локальной вычислительной сети и предназначенное для локализации неисправностей и нештатных режимов работы сетевого оборудования посредством перехвата и анализа сетевого графика. Большинство известных анализаторов протоколов имеет функциональную возможность копировать как весь сетевой график, так и сетевые кадры, удовлетворяющие заданным критериям фильтрации, а также осуществлять буферизацию захваченных сетевых кадров, их визуализацию и анализ с целью восстановления исходной информации (файлов).One of the common tools used for unauthorized access to information transmitted over a local area network is a protocol analyzer. The protocol analyzer is a software and hardware tool that connects to the local area network distribution environment and is designed to localize malfunctions and abnormal operating modes of network equipment by intercepting and analyzing the network graph. Most well-known protocol analyzers have the ability to copy both the entire network diagram and network frames that meet the specified filtering criteria, as well as buffer captured network frames, visualize and analyze them to restore the original information (files).

Противоправное использование анализаторов протоколов является реальной угрозой конфиденциальности информации, передаваемой по локальной вычислительной сети. Анализатор протоколов подключается к сети также как и рабочая станция. Отличие состоит в том, что если обычная рабочая станция сети способна получать лишь широковещательные сетевые кадры, либо сетевые кадры, адресованные непосредственно ей, то анализатор протоколов способен копировать весь сетевой график среды распространения локальной вычислительной сети. Для этого в анализаторах The unlawful use of protocol analyzers is a real threat to the confidentiality of information transmitted over a local area network. The protocol analyzer is connected to the network as well as the workstation. The difference is that if a regular network workstation is able to receive only broadcast network frames, or network frames addressed directly to it, then the protocol analyzer is able to copy the entire network diagram of the local area network distribution environment. For this, in analyzers

протоколов используются сетевые адаптеры, поддерживающие на аппаратном или программном уровне режим "беспорядочного" захвата (promiscuous mode) сетевых кадров.protocols, network adapters are used that support the promiscuous mode of network frames at the hardware or software level.

Наибольшее распространение в настоящее время нашли анализаторы протоколов Network Monitor производства Microsoft, WinPcap, ScoopLm, WinDump, THC-parasite, SpyNet, Sniffer Pro LAN, Sniffer Basic, Packet Tracer, Iris, Hoppa Analyzer, CommView, ASniffer.Network Monitor protocol analyzers manufactured by Microsoft, WinPcap, ScoopLm, WinDump, THC-parasite, SpyNet, Sniffer Pro LAN, Sniffer Basic, Packet Tracer, Iris, Hoppa Analyzer, CommView, ASniffer are currently the most widely used.

Применяемые способы защиты информации от несанкционированного доступа в среде распространения локальной вычислительной сети (см., например, А.В.Соколов, О.М.Степанюк "Защита от компьютерного терроризма", Справочное пособие - СПб.: БХВ - Петербург: Арлет, 2002) основываются в основном на использовании средств криптографической защиты информации.The methods used to protect information from unauthorized access in the distribution environment of a local area network (see, for example, A.V.Sokolov, O.M. Stepanyuk "Protection against computer terrorism", Reference manual - St. Petersburg: BHV - Petersburg: Arlet, 2002 ) are based mainly on the use of cryptographic information protection.

Особенностью анализаторов протоколов, в значительной степени затрудняющей противодействие их злонамеренному использованию, является их пассивность по отношению к среде распространения сигналов. Для обнаружения нелегитимного анализатора в локальной вычислительной сети используются специальные программные средства контроля (см., например, Джон Чирилло "Защита от хакеров" - СПб.: издательский дом "Питер", 2002, стр.249). Однако, если на нелегитимной рабочей станции деинсталлировать все стандартные протоколы сетевого уровня и выше, то анализатор протоколов, установленный на этой станции, будет работать только в режиме перехвата и накопления перехваченных сетевых кадров на канальном уровне. При этом анализатор во время своей работы не будет откликаться на управляющие сетевые кадры сетевого уровня. В этом случае специальные программные средства контроля не способны обнаружить нелегитимный анализатор протоколов.A feature of protocol analyzers, which greatly complicates the counteraction to their malicious use, is their passivity with respect to the signal propagation environment. To detect an illegitimate analyzer in a local area network, special monitoring tools are used (see, for example, John Chirillo "Protection against hackers" - St. Petersburg: publishing house "Peter", 2002, p.249). However, if you uninstall all standard protocols of the network level and higher on an illegitimate workstation, the protocol analyzer installed on this station will work only in the mode of intercepting and accumulating intercepted network frames at the channel level. Moreover, the analyzer during its operation will not respond to control network frames at the network level. In this case, special control software is not able to detect an illegitimate protocol analyzer.

Для обеспечения сетевого обмена в локальной вычислительной сети Ethernet используются сетевые адаптеры, поддерживающие стандарты IEEE 802.2 и 802.3 (см., например, В.Г.Олифер, Н.А.Олифер, "Компьютерные сети.To ensure network exchange in a local Ethernet computer network, network adapters that support IEEE 802.2 and 802.3 standards are used (see, for example, V.G. Olifer, N.A. Olifer, "Computer Networks.

Принципы, технологии, протоколы: учебник для вузов. 2-е издание" - СПб.: издательский дом "Питер", 2003). Указанные стандарты предполагают контроль целостности сетевых кадров, передаваемых в среде распространения локальной вычислительной сети, с помощью контрольной суммы, рассчитываемой по алгоритму 32-разрядного циклического избыточного кодирования Cyclic Redundancy Code (CRC-32) со значением полинома степени 32, равным G(x)=х32262322161211108+ х75+x4+x2+x+1. В тех случаях, когда контрольная сумма, рассчитанная для принятого сетевым адаптером в соответствующий буфер сетевого кадра, не соответствует значению контрольной суммы, размещенному в поле Frame Check Sequence сетевого кадра, последний помечается сетевым адаптером как сбойный и не передается для дальнейшей обработки протоколам сетевого обмена канального уровня. Информация о том, что сетевой кадр забракован, передается протоколам канального уровня посредством передачи слова состояния сетевого кадра, которое формируется сетевым адаптером в соответствующем регистре.Principles, technologies, protocols: textbook for universities. 2nd edition "- St. Petersburg: publishing house" Peter ", 2003). These standards imply integrity control of network frames transmitted in the distribution environment of a local area network using a checksum calculated using the Cyclic Redundancy algorithm of 32-bit cyclic redundancy coding Code (CRC-32) with a polynomial value of degree 32 equal to G (x) = x 32 + x 26 + x 23 + x 22 + x 16 + x 12 + x 11 + x 10 + x 8 + x 7 + x 5 + x 4 + x 2 + x + 1. In cases where the checksum calculated for the network frame received in the corresponding adapter by the network adapter does not match value corresponds to the checksum value located in the Frame Check Sequence field of the network frame, the latter is marked by the network adapter as failed and is not transmitted for further processing to the network layer communication protocols. Information that the network frame is rejected is transmitted to the channel layer protocols by transmitting the network status word frame, which is formed by the network adapter in the corresponding register.

Сетевые адаптеры обслуживают интерфейс между программами протоколов сетевого обмена и средой распространения и используют как программное, так и микропрограммное управление. При обмене сетевыми кадрами между программами, реализующими сетевые протоколы, и сетевыми адаптерами, последние используют главным образом программное управление от драйверов операционных систем. При обмене сетевыми кадрами между средой распространения и сетевыми адаптерами, последние используют главным образом микропрограммное управление от собственных схем управления, размещенных в сетевых адаптерах. Как программное, так и микропрограммное управление сетевыми адаптерами может быть перехвачено, что использовано в предлагаемом устройстве с целью реализации дополнительной функции обеспечения безопасности информации.Network adapters serve the interface between network protocol protocols and the distribution environment and use both software and firmware control. When exchanging network frames between programs that implement network protocols and network adapters, the latter mainly use software control from operating system drivers. When exchanging network frames between the distribution medium and network adapters, the latter mainly use microprogram control from their own control circuits located in network adapters. Both software and firmware management of network adapters can be intercepted, which is used in the proposed device in order to implement an additional function of ensuring information security.

Целью разработанного устройства является противодействие несанкционированному копированию и модификации сетевых кадров в среде распространения локальной вычислительной сети, сбору сетевых пакетов, сегментов и файлов из несанкционированно перехваченных в среде распространения сетевых кадров.The purpose of the developed device is to prevent unauthorized copying and modification of network frames in the distribution environment of the local area network, the collection of network packets, segments and files from unauthorized intercepted in the network distribution environment.

Указанная цель достигается тем, что при расчете контрольной суммы сетевого кадра по алгоритму CRC-32 используется динамическое изменение значения полинома степени 32. Указанное изменение осуществляется предлагаемым устройством на легитимных рабочих станциях локальной вычислительной сети в установленные моменты синхронизированного системного времени по единому правилу. Перед передачей сетевого кадра устройство осуществляет расчет контрольной суммы с использованием текущего значения полинома. При приеме сетевого кадра из среды распространения устройство рассчитывает контрольную сумму для принятого сетевого кадра с использованием текущего значения полинома. Устройство учитывает возможность смены значения полинома за время передачи сетевого кадра по сети распространения. Для этого предусмотрена возможность проверки контрольной суммы для принятого сетевого кадра по предыдущему значению полинома. Устройство проверяет целостность и легитимность полученного сетевого кадра посредством проверки идентичности полученной в сетевом кадре и рассчитанной для сетевого кадра контрольных сумм. Передача сетевого кадра на подуровень MAC канального уровня осуществляется устройством в случае совпадения контрольных сумм. При несовпадении контрольных сумм устройство формирует признак сбойного кадра, что блокирует передачу сетевого кадра на подуровень MAC канального уровня.This goal is achieved by the fact that when calculating the checksum of the network frame using the CRC-32 algorithm, a dynamic change in the value of a polynomial of degree 32 is used. The specified change is carried out by the proposed device on legitimate workstations of the local computer network at set times of synchronized system time according to a single rule. Before transmitting the network frame, the device calculates the checksum using the current value of the polynomial. When receiving a network frame from a distribution medium, the device calculates a checksum for the received network frame using the current polynomial value. The device takes into account the possibility of changing the polynomial value during the transmission of a network frame over a distribution network. For this, it is possible to check the checksum for the received network frame against the previous polynomial value. The device checks the integrity and legitimacy of the received network frame by checking the identity obtained in the network frame and calculated for the network frame checksums. The transmission of the network frame to the MAC sublayer of the data link layer is carried out by the device in case of coincidence of the checksums. If the checksums do not match, the device generates a sign of a bad frame, which blocks the transmission of the network frame to the MAC sublayer of the data link layer.

Предлагаемое устройство обеспечивает активное противодействие несанкционированному копированию сетевого кадра из среды распространения локальной вычислительной сети. Обеспечивается указанная функция безопасности тем, что передача сетевого кадра осуществляется по The proposed device provides active opposition to unauthorized copying of a network frame from the distribution environment of a local area network. This security function is provided in that the transmission of the network frame is carried out by

среде распространения локальной вычислительной сети со значением контрольной суммы не соответствующим тому, которое будет рассчитано на нелегитимной рабочей станции локальной вычислительной сети, использующей при расчете контрольной суммы сетевого кадра стандартное значение полинома G(x)=х322623221612+x1110875+ x4+x2+x+1. В результате этого, при попытке несанкционированного перехвата сетевой кадр будет идентифицирован на нелегитимной станции как сбойный и не будет рассматриваться как объект перехвата.the distribution environment of a local computer network with a checksum value that does not correspond to that which will be calculated on an illegitimate workstation of a local computer network that uses the standard value of the polynomial G (x) = x 32 + x 26 + x 23 + x 22 in calculating the network frame checksum + x 16 + x 12 + x 11 + x 10 + x 8 + x 7 + x 5 + x 4 + x 2 + x + 1. As a result of this, if an unauthorized interception is attempted, the network frame will be identified at the illegitimate station as failed and will not be considered as an interception object.

Устройство косвенно проверяет то, что контрольная сумма сетевого кадра рассчитана с использованием полинома, сгенерированного по установленным правилам на легитимной станции, что обеспечивает своевременное обнаружение факта модификации сетевых кадров и блокирование трансляции несанкционированно модифицированных сетевых кадров с физического уровня на подуровень MAC канального уровня.The device indirectly verifies that the network frame checksum is calculated using the polynomial generated according to the established rules at a legitimate station, which ensures timely detection of the fact of modification of network frames and blocking the transmission of unauthorized modified network frames from the physical layer to the MAC sublayer of the data link layer.

Вышеуказанный механизм защиты информации, реализованный в предлагаемом устройстве, в известных средствах и системах защиты информации от несанкционированного доступа в локальной вычислительной сети не применяется, что позволяет сделать вывод о соответствии заявляемого технического решения критерию "новизна".The above information protection mechanism, implemented in the proposed device, in known means and systems for protecting information from unauthorized access in a local area network is not applied, which allows us to conclude that the claimed technical solution meets the criterion of "novelty."

Предлагаемое устройство реализует установленный стандартом IEEE 802.3 (Ethernet) алгоритм контроля целостности сетевого кадра дополнительно и для обеспечения конфиденциальности информации, передаваемой по среде распространения. Знание злоумышленником правил, по которым формируются значения полинома, а также наличие в его распоряжении образца предлагаемого устройства не являются достаточными условиями реализации несанкционированного доступа к информации через среду распространения локальной вычислительной сети. Необходимым условием является синхронизация системного времени на нелегитимной станции и на сервере ЛВС. При попытке синхронизации нелегитимная станция может быть обнаружена специальными программными средствами The proposed device implements an algorithm for monitoring the integrity of a network frame established by the IEEE 802.3 (Ethernet) standard in addition to ensure the confidentiality of information transmitted over a distribution medium. An attacker’s knowledge of the rules by which the polynomial values are formed, as well as the availability of a sample of the proposed device at his disposal, are not sufficient conditions for the implementation of unauthorized access to information through the local area network distribution environment. A prerequisite is the synchronization of system time on an illegitimate station and on a LAN server. When trying to synchronize an illegitimate station can be detected by special software

контроля, что позволит администратору безопасности принять адекватные организационные меры противодействия.control, which will allow the security administrator to take adequate organizational countermeasures.

Указанное свойство позволяет сделать вывод о соответствии предлагаемого технического решения критерию "изобретательский уровень".The specified property allows us to conclude that the proposed technical solution meets the criterion of "inventive step".

Принцип работы предлагаемого устройства поясняется графическими материалами, где на Фиг.1 показана блок-схема устройства.The principle of operation of the proposed device is illustrated in graphic materials, where figure 1 shows a block diagram of the device.

На Фиг.1 обозначено:In figure 1 is indicated:

1 - сетевой адаптер, в состав которого входят:1 - network adapter, which includes:

2 - регистр состояния сетевого кадра;2 - network frame status register;

3 - буфер сетевого кадра;3 - network frame buffer;

4 - устройство контроля целостности и конфиденциальности сетевого кадра, включающее:4 - a device for monitoring the integrity and confidentiality of a network frame, including:

5 - блок анализа условий смены полинома;5 - block analysis of the conditions for changing the polynomial;

6 - линия задержки;6 - delay line;

7 - формирователь полинома;7 - polynomial former;

8 - регистр полинома;8 - polynomial register;

9 - дополнительный регистр полинома;9 - additional register of the polynomial;

10 - селектор полинома;10 - polynomial selector;

11 - блок управления;11 - control unit;

12 - блок расчета контрольной суммы, включающий:12 is a block checksum calculation, including:

13 - сдвиговый регистр накопления контрольной суммы;13 - shift register accumulation of the checksum;

14 - сдвиговый регистр данных;14 - shift data register;

15 - сумматор;15 - adder;

16 - схема сравнения.16 is a comparison diagram.

Предлагаемое устройство имеет следующие функциональные связи. Устройство контроля целостности и конфиденциальности сетевого кадра 4 подключается навесным монтажом к сетевому адаптеру 1, в состав которого входят регистр состояния сетевого кадра 2 и буфер сетевого кадра 3.The proposed device has the following functional relationships. The integrity and confidentiality control device of the network frame 4 is connected by a hinged installation to the network adapter 1, which includes the status register of the network frame 2 and the buffer of the network frame 3.

Блок анализа условий смены полинома 5 через последовательно включенные формирователь полинома 7, регистр полинома 8, селектор полинома 10, сумматор 15, сдвиговый регистр накопления контрольной суммы 13, схему сравнения 16 и блок управления 11 соединен с селектором полинома 10, через линию задержки 6, регистр полинома 8 - с дополнительным регистром полинома 9, а через последний - с одним из входов селектора полинома 10. Выход блока управления 11 через последовательно включенный сдвиговый регистр данных 14, сдвиговый регистр накопления контрольной суммы 13 соединен со входом сумматора 15. Буфер сетевого кадра 3 сетевого адаптера 1 соединен со входами сдвигового регистра данных 14, блока управления 11, схемы сравнения 16. Один из выходов сдвигового регистра накопления контрольной суммы 13 соединен со входом буфера сетевого кадра 3 сетевого адаптера 1. Один из выходов блока управления 11 соединен со входом регистра состояния сетевого кадра 2 сетевого адаптера 1.The unit for analyzing the conditions for changing polynomial 5 through sequentially connected generator of polynomial 7, register of polynomial 8, selector of polynomial 10, adder 15, shift register accumulating checksum 13, comparison circuit 16 and control unit 11 is connected to the selector of polynomial 10, through delay line 6, register polynomial 8 with an additional register of polynomial 9, and through the last one with one of the inputs of the selector of polynomial 10. The output of the control unit 11 through a sequentially connected shift data register 14, shift register accumulation of checksum 13 is connected to the input of the adder 15. The network frame buffer 3 of the network adapter 1 is connected to the inputs of the shift data register 14, control unit 11, comparison circuit 16. One of the outputs of the shift accumulation register of the checksum 13 is connected to the buffer input of the network frame 3 of the network adapter 1. One of the outputs of the control unit 11 is connected to the input of the status register of the network frame 2 of the network adapter 1.

Устройство контроля целостности и конфиденциальности сетевого кадра 4 работает следующим образом.Device integrity and confidentiality of the network frame 4 operates as follows.

Блок анализа условий смены полинома 5 осуществляет проверку выполнения условий смены полинома, определенных администратором безопасности и зависящих от состояния устройства. Блок анализа условий смены полинома 5 работает в двух режимах.The unit for analyzing the conditions for changing the polynomial 5 verifies the fulfillment of the conditions for changing the polynomial, determined by the security administrator and depending on the state of the device. The unit for analyzing the conditions for changing polynomial 5 operates in two modes.

Первый режим работы блока анализа условий смены полинома 5 устанавливается автоматически при инициализации устройства. Длительность работы блока анализа условий смены полинома 5 в первом режиме задается в параметрах настройки устройства и может принимать значение от одной до тридцати минут. Конкретное значение устанавливается администратором безопасности при настройке устройства исходя из анализа времени, необходимого для загрузки операционных систем и синхронизации системного времени на рабочих станциях и сервере ЛВС.The first mode of operation of the unit for analyzing the conditions for changing polynomial 5 is set automatically when the device is initialized. The duration of the unit for analyzing the conditions for changing polynomial 5 in the first mode is set in the device settings and can take a value from one to thirty minutes. A specific value is set by the security administrator when configuring the device based on an analysis of the time required to load operating systems and synchronize system time on workstations and the LAN server.

В первом режиме работы блок анализа условий смены полинома 5 блокирует формирователь полинома 7, в результате чего регистр полинома 8 содержит константу 04C11DB716cc, соответствующую стандартному для протоколов Ethernet полиному степени 32:In the first operating mode, the polynomial change condition analysis block 5 blocks the polynomial 7 former, as a result of which the polynomial register 8 contains the constant 04C11DB7 16cc , which corresponds to the standard degree polynomial 32 for Ethernet protocols:

G(x)=х32262322161211108754+x2+x+1.G (x) = x 32 + x 26 + x 23 + x 22 + x 16 + x 12 + x 11 + x 10 + x 8 + x 7 + x 5 + x 4 + x 2 + x + 1.

Второй режим работы блока анализа условий смены полинома 5 устанавливается автоматически по истечении времени, установленного для первого режима. Работа блока анализа условий смены полинома 5 во втором режиме осуществляется вплоть до отключения или инициализации устройства.The second mode of operation of the unit for analyzing the conditions for changing the polynomial 5 is set automatically after the time set for the first mode. The unit for analyzing the conditions for changing polynomial 5 in the second mode is carried out until the device is turned off or initialized.

Во втором режиме работы блок анализа условий смены полинома 5 по истечении длительности интервала времени, заданного в параметрах устройства, и при условии, что устройство не занято расчетом контрольной суммы сетевого кадра, вырабатывает сигнал смены полинома. Величина указанного интервала времени выбирается администратором безопасности при настройке устройства и может принимать значения от одной до шестидесяти минут. В случае, если на момент завершения установленного интервала времени устройство занято расчетом контрольной суммы сетевого кадра, сигнал смены полинома вырабатывается после завершения текущей обработки кадра. С выхода блока анализа условий смены полинома 5 сигнал смены полинома поступает на вход формирователя полинома 7, на вход управления записью регистра полинома 8 и, через линию задержки 6, на вход управления записью дополнительного регистра полинома 9.In the second mode of operation, the unit for analyzing the conditions for changing the polynomial 5 after the time interval specified in the device parameters has expired and provided that the device is not busy calculating the checksum of the network frame, generates a polynomial change signal. The value of the specified time interval is selected by the security administrator when configuring the device and can take values from one to sixty minutes. If, at the end of the set time interval, the device is busy calculating the checksum of the network frame, the polynomial change signal is generated after completion of the current frame processing. From the output of the block for analyzing the conditions for changing polynomial 5, the signal for changing the polynomial is fed to the input of the shaper of polynomial 7, to the input of recording control of the register of polynomial 8, and, through the delay line 6, to the input of recording control of the additional register of polynomial 9.

При поступлении сигнала смены полинома на вход управления записью дополнительного регистра 9 осуществляется копирование 32-разрядного значения регистра полинома 8 в 32-разрядный дополнительный регистр полинома 9.When a polynomial change signal arrives at the recording control input of additional register 9, the 32-bit value of the register of polynomial 8 is copied to the 32-bit additional register of polynomial 9.

При поступлении сигнала смены полинома на вход формирователя полинома 7 последний формирует 32-разрядную константу, являющуюся производной от значения текущего системного времени и новым значением When a polynomial change signal arrives at the input of the polynomial 7 former, the latter generates a 32-bit constant, which is a derivative of the value of the current system time and a new value

полинома. Сформированная константа по 32-разрядной выходной шине формирователя полинома 7 поступает на входы регистра полинома 8.polynomial. The formed constant on the 32-bit output bus of the shaper of polynomial 7 goes to the inputs of the register of polynomial 8.

Запись нового значения полинома из формирователя полинома 7 в регистр полинома 8 осуществляется по сигналу смены полинома, поступающему с выхода блока анализа условий смены полинома 5 через линию задержки 6 на вход управления записью регистра полинома 8. Линия задержки 6 обеспечивает задержку, необходимую для формирования нового значения полинома формирователем полинома 7, а также для передачи старого значения полинома из регистра полинома 8 в дополнительный регистр полинома 9.The new polynomial value is written from the polynomial shaper 7 to the polynomial 8 register by the polynomial change signal coming from the output of the block for analyzing the conditions for changing the polynomial 5 through the delay line 6 to the control input of the register of the polynomial 8. The delay line 6 provides the delay necessary to generate a new value polynomial shaper of polynomial 7, as well as to transfer the old value of the polynomial from the register of polynomial 8 to the additional register of polynomial 9.

С выходов регистра полинома 8 и дополнительного регистра полинома 9 информация, соответствующая новому и старому значению полинома, поступает на входы селектора полинома 10. Управление коммутацией входов селектора полинома 10 с его выходом осуществляется узлом управления 11. По умолчанию, блок управления 11 определяет передачу на выход селектора полинома 10 информации со входа, принимающего новое значение полинома. Передача старого значения полинома на выход селектора полинома 10 задается узлом управления 11 только в том случае, когда последним зафиксировано несоответствие рассчитанного значения контрольной суммы для принятого из среды распространения ЛВС сетевого кадра, и процесс расчета контрольной суммы сетевого кадра выполняется вторично.From the outputs of the register of polynomial 8 and the additional register of polynomial 9, the information corresponding to the new and old value of the polynomial is fed to the inputs of the polynomial selector 10. The switching of inputs of the selector of the polynomial 10 with its output is controlled by the control unit 11. By default, the control unit 11 determines the transfer to the output selector polynomial 10 information from the input, taking the new value of the polynomial. The transfer of the old polynomial value to the output of the polynomial selector 10 is set by the control unit 11 only if the mismatch of the calculated checksum value for the network frame received from the LAN propagation medium is detected last and the process of calculating the network frame checksum is performed a second time.

С выхода селектора полинома 10 полином по 32-разрядной шине поступает на первый вход сумматора 15 блока расчета контрольной суммы 12. На второй вход сумматора 15 поступают 32 младших разряда 33-разрядного сдвигового регистра накопления контрольной суммы 13.From the output of the polynomial selector 10, the polynomial via a 32-bit bus goes to the first input of the adder 15 of the checksum calculation unit 12. The second input of the adder 15 receives the 32 least significant bits of the 33-bit shift register for accumulating the checksum 13.

Блок расчета контрольной суммы 12 обеспечивает расчет контрольный суммы сетевого кадра по алгоритму CRC-32 со значением полинома, получаемым из селектора полинома 10. Блок управления 11 обеспечивает синхронизацию всех узлов устройства и выработку сигналов управления и The checksum calculation unit 12 provides the CRC-32 algorithm for calculating the network frame checksum with the polynomial value obtained from the polynomial selector 10. The control unit 11 provides synchronization of all nodes of the device and generation of control signals and

тактирования для блока расчета контрольной суммы 12. Блок управления 11 перехватывает управление у сетевого адаптера 1 при приеме сетевого кадра из среды распространения ЛВС, а также при подготовке сетевого кадра к передаче в среду распространения.timing for the checksum calculation unit 12. The control unit 11 takes control from the network adapter 1 when receiving a network frame from a LAN distribution medium, as well as when preparing a network frame for transmission to a distribution medium.

Перед началом нулевого такта работы блока расчета контрольной суммы 12 блок управления 11 блокирует шину передачи сигнала смены полинома из блока анализа условий смены полинома 5 и инициирует обнуление сдвигового регистра накопления контрольной суммы 13 и 1514-байтного сдвигового регистра данных 14.Before the start of a zero clock cycle of the checksum calculation unit 12, the control unit 11 blocks the transmission bus of the polynomial shift signal from the polynomial change condition analysis unit 5 and initiates the reset shift register accumulation of the checksum 13 and 1514-byte shift data register 14.

Сетевой кадр, предназначенный для передачи по среде распространения ЛВС, либо принятый из среды распространения ЛВС, размещается в буфере сетевого кадра 3 сетевого адаптера 1.A network frame intended for transmission over a LAN distribution medium, or received from a LAN distribution medium, is located in the buffer of the network frame 3 of the network adapter 1.

В нулевом такте работы блока расчета контрольной суммы 12 выполняется передача из буфера сетевого кадра 3 сетевого адаптера 1 в сдвиговый регистр данных 14 фрагмента сетевого кадра, включающего все поля, начиная с поля "Адрес назначения" (Destination Address) и заканчивая полем данных включительно. При этом заполнение сдвигового регистра данных 14 осуществляется со старших разрядов. В этом же такте в блок управления 11 передается значение поля длины сетевого кадра, которое используется для расчета числа последующих тактов расчета контрольной суммы. Для расчета контрольной суммы блок управления 11 устанавливает значение внутреннего счетчика тактов, равное величине, на 32 большей битового размера фрагмента сетевого кадра, скопированного из буфера сетевого кадра 3 сетевого адаптера 1 в сдвиговый регистр данных 14.At the zero clock cycle of the checksum calculation unit 12, the network adapter 3 is transferred from the network frame 3 buffer to the data shift register 14 of the network frame fragment, which includes all fields starting from the Destination Address field and ending with the data field inclusive. In this case, the filling of the shift data register 14 is carried out from the higher digits. In the same cycle, the value of the network frame length field is transmitted to the control unit 11, which is used to calculate the number of subsequent cycles for calculating the checksum. To calculate the checksum, the control unit 11 sets the value of the internal clock counter equal to the value 32 larger than the bit size of the network frame fragment copied from the network frame buffer 3 of the network adapter 1 into the shift data register 14.

Каждый последующий такт работы блока расчета контрольной суммы 12 начинается с проверки узлом управления 11 значения старшего разряда сдвигового регистра накопления контрольной суммы 13.Each subsequent clock cycle of the checksum calculation unit 12 begins with a check by the control unit 11 of the value of the highest order of the shift register of the accumulation of the checksum 13.

В том случае, когда старший разряд сдвигового регистра накопления контрольной суммы 13 имеет нулевое значение, блок управления 11 инициирует сдвиг информации сдвигового регистра накопления контрольной In the case when the high order bit of the shift accumulation register of the checksum 13 has a zero value, the control unit 11 initiates a shift of the information of the shift register of the accumulation of the checksum

суммы 13 и сдвигового регистра данных 14 на один разряд влево. При этом старший разряд сдвигового регистра накопления контрольной суммы 13 теряется, старший разряд сдвигового регистра данных 14 переносится в младший разряд сдвигового регистра накопления контрольной суммы 13, младший разряд сдвигового регистра данных 14 заполняется нулем. На этом работа такта заканчивается.sum 13 and shift data register 14 one bit to the left. In this case, the highest bit of the shift register of the accumulation of the checksum 13 is lost, the highest bit of the shift register of the data 14 is transferred to the lowest bit of the shift register of accumulation of the checksum 13, the least significant bit of the shift register of data 14 is filled with zero. This completes the work of the beat.

В том случае, когда старший разряд сдвигового регистра накопления контрольной суммы 13 имеет единичное значение, блок управления 11 инициирует последовательное выполнение следующих операций: поразрядное сложение по модулю 2 в сумматоре 15, перенос 32-разрядного результата сложения в младшие разряды сдвигового регистра накопления контрольной суммы 13, сдвиг информации сдвигового регистра накопления контрольной суммы 13 и сдвигового регистра данных 14 на один разряд влево. При выполнении последней указанной операции старший разряд сдвигового регистра накопления контрольной суммы 13 теряется, старший разряд сдвигового регистра данных 14 переносится в младший разряд сдвигового регистра накопления контрольной суммы 13, младший разряд сдвигового регистра данных 14 заполняется нулем. На этом работа такта заканчивается.In the case when the highest bit of the shift register of accumulation of the checksum 13 has a single value, the control unit 11 initiates the sequential execution of the following operations: bitwise addition modulo 2 in the adder 15, transferring the 32-bit result of addition to the lower bits of the shift register of accumulation of the checksum 13 , shifting the information of the shift register of the accumulation of the checksum 13 and the shift register of the data 14 by one bit to the left. When performing the last specified operation, the highest bit of the shift register of the accumulation of the checksum 13 is lost, the highest bit of the shift register of the data 14 is transferred to the lowest bit of the shift register of accumulation of the checksum 13, the least significant bit of the shift register of data 14 is filled with zero. This completes the work of the beat.

После выполнения последнего такта контрольного суммирования в младших 32-х разрядах сдвигового регистра накопления контрольной суммы 13 находится контрольная сумма сетевого кадра.After completing the last check sum cycle in the lower 32 bits of the shift accumulation register of the checksum 13, the network frame checksum is found.

После расчета контрольной суммы работа устройства зависит от того, принят ли сетевой кадр из среды распространения ЛВС, либо предназначен для передачи в среду распространения.After calculating the checksum, the operation of the device depends on whether the network frame is received from the LAN distribution environment or is intended for transmission to the distribution environment.

В том случае, когда сетевой кадр предназначен для передачи в среду распространения, блок управления 11 инициирует последовательное выполнение следующих операций: перенос младших 32 разрядов сдвигового регистра накопления контрольной суммы 13 в буфер сетевого кадра 3 сетевого адаптера 1 по месту размещения поля контрольной суммы сетевого In the case when the network frame is intended for transmission to the distribution medium, the control unit 11 initiates the sequential execution of the following operations: transfer of the lower 32 bits of the shift register of accumulation of the checksum 13 to the buffer of the network frame 3 of the network adapter 1 at the location of the network checksum field

кадра (Frame Check Sequence); снятие блокировки с шины передачи сигнала смены полинома из блока анализа условий смены полинома 5; возврат управления сетевому адаптеру 1.frame (Frame Check Sequence); unlocking the bus for transmitting the polynomial change signal from the block for analyzing the conditions for changing the polynomial 5; returning control to the network adapter 1.

В том случае, когда сетевой кадр принят из среды распространения локальной вычислительной сети, блок управления 11 инициирует последовательное выполнение следующих операций: перенос младших 32-х разрядов сдвигового регистра накопления контрольной суммы 13 на первый вход схемы сравнения 16; перенос 32-х разрядов поля контрольной суммы (Frame Check Sequence) из буфера сетевого кадра 3 сетевого адаптера 1 на второй вход схемы сравнения 16; анализ результата сравнения. Если контрольные суммы идентичны, то блок управления 11 снимает блокировку с шины передачи сигнала смены полинома из блока анализа условий смены полинома 5 и возвращает управление сетевому адаптеру 1. Если контрольные суммы не совпадают, то блок управления 11 переключает выход селектора полинома 10 на значение полинома из дополнительного регистра полинома 9 и повторяет процедуру расчета контрольной суммы. Если при повторном расчете контрольные суммы также не совпадают, блок управления 11 передает на вход регистра состояния сетевого кадра 2 сетевого адаптера 1 признак сбойного приема кадра, снимает блокировку с шины передачи сигнала смены полинома из блока анализа условий смены полинома 5 и возвращает управления сетевому адаптеру 1.In the case when the network frame is received from the local area network distribution medium, the control unit 11 initiates the sequential execution of the following operations: transferring the lower 32 bits of the shift register of the accumulation of the checksum 13 to the first input of the comparison circuit 16; transfer of 32 bits of the Checksum field (Frame Check Sequence) from the buffer of the network frame 3 of the network adapter 1 to the second input of the comparison circuit 16; analysis of the comparison result. If the checksums are identical, then the control unit 11 unlocks the polynomial change signal transmission bus from the polynomial change condition analysis unit 5 and returns control to the network adapter 1. If the checksums do not match, the control unit 11 switches the output of the polynomial 10 selector to the polynomial value from additional register of polynomial 9 and repeats the procedure for calculating the checksum. If the checksums also do not match during the recalculation, the control unit 11 transmits a sign of a bad reception of the frame to the input of the status register of the network frame 2 of the network adapter 1, removes the block from the transmission bus of the polynomial change signal from the polynomial change condition analysis unit 5 and returns control to the network adapter 1 .

Claims (1)

Устройство контроля целостности и конфиденциальности сетевого кадра, подключаемое к сетевому адаптеру стандарта IEEE 802.3 (Ethernet), в состав которого входят буфер сетевого кадра и регистр состояния сетевого кадра, отличающееся тем, что в него дополнительно введены блок анализа условий смены полинома, линия задержки, формирователь полинома, регистр полинома, дополнительный регистр полинома, селектор полинома, блок управления, блок расчета контрольной суммы, состоящий из сдвигового регистра накопления контрольной суммы, сдвигового регистра данных, сумматора, схемы сравнения, причем выход блока анализа условий смены полинома последовательно через формирователь полинома, регистр полинома, селектор полинома, сумматор, сдвиговый регистр накопления контрольной суммы, схему сравнения соединен со входом блока управления, один из выходов последнего соединен со входом селектора полинома, второй вход которого через последовательно включенные линию задержки, регистр полинома, дополнительный регистр полинома соединен с выходом блока анализа условий смены полинома, а выход последнего соединен также со вторым входом дополнительного регистра, при этом второй выход блока управления через последовательно включенные сдвиговый регистр данных, сдвиговый регистр накопления контрольной суммы соединен со вторым входом сумматора, третий выход блока управления соединен со входом регистра состояния сетевого кадра сетевого адаптера, выходы буфера сетевого кадра сетевого адаптера соединены со входами сдвигового регистра данных, схемы сравнения и блока управления, а один из выходов сдвигового регистра накопления контрольной суммы соединен со входом буфера сетевого кадра сетевого адаптера.Integrity and confidentiality control device for a network frame connected to an IEEE 802.3 (Ethernet) network adapter, which includes a network frame buffer and a network frame status register, characterized in that it also includes an analysis unit for changing polynomial conditions, a delay line, a shaper polynomial, register of polynomial, additional register of polynomial, polynomial selector, control unit, checksum calculation unit, consisting of a shift register for accumulating a checksum, a shift register for data, adder, comparison circuit, and the output of the block for analyzing the conditions for changing the polynomial sequentially through the polynomial shaper, polynomial register, polynomial selector, adder, shift accumulation register of the checksum, the comparison circuit is connected to the input of the control unit, one of the outputs of the latter is connected to the input of the polynomial selector , the second input of which through the delay line, the polynomial register is connected in series, the additional polynomial register is connected to the output of the analysis unit of the conditions for changing the polynomial, and the last output о is also connected to the second input of the additional register, while the second output of the control unit is connected via a shift data register, the shift accumulation register of the checksum is connected to the second input of the adder, the third output of the control unit is connected to the input of the status register of the network frame of the network adapter, network buffer outputs the frame of the network adapter is connected to the inputs of the shift data register, the comparison circuit, and the control unit, and one of the outputs of the shift register of accumulation of the control sum is connected to the input of the network adapter frame buffer.
Figure 00000001
Figure 00000001
RU2004105722/20U 2004-03-01 2004-03-01 DEVICE FOR CONTROL OF INTEGRITY AND PRIVACY OF NETWORK FRAME RU39416U1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2004105722/20U RU39416U1 (en) 2004-03-01 2004-03-01 DEVICE FOR CONTROL OF INTEGRITY AND PRIVACY OF NETWORK FRAME

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2004105722/20U RU39416U1 (en) 2004-03-01 2004-03-01 DEVICE FOR CONTROL OF INTEGRITY AND PRIVACY OF NETWORK FRAME

Publications (1)

Publication Number Publication Date
RU39416U1 true RU39416U1 (en) 2004-07-27

Family

ID=48228776

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2004105722/20U RU39416U1 (en) 2004-03-01 2004-03-01 DEVICE FOR CONTROL OF INTEGRITY AND PRIVACY OF NETWORK FRAME

Country Status (1)

Country Link
RU (1) RU39416U1 (en)

Similar Documents

Publication Publication Date Title
Kurachi et al. CaCAN-centralized authentication system in CAN (controller area network)
US6167515A (en) Method and system for performing the transmission of private data over a public network
CN102124680B (en) The method and apparatus of the integrity protection of the data of transmission over networks
US7675867B1 (en) One-way data transfer system with built-in data verification mechanism
JP2610107B2 (en) Method and apparatus for managing a network
EP0768595B1 (en) System and method for providing masquerade protection in a computer network using session keys
US8705348B2 (en) Use of metadata for time based anti-replay
John et al. Passive internet measurement: Overview and guidelines based on experiences
US20120066764A1 (en) Method and apparatus for enhancing security in a zigbee wireless communication protocol
US10122755B2 (en) Method and apparatus for detecting that an attacker has sent one or more messages to a receiver node
CN113434474B (en) Flow auditing method, equipment and storage medium based on federal learning
EP4277206A1 (en) Securing network access using dynamically generated baud-rates
RU39416U1 (en) DEVICE FOR CONTROL OF INTEGRITY AND PRIVACY OF NETWORK FRAME
US20100023748A1 (en) Self checking encryption and decryption based on statistical sampling
Åkerberg et al. Exploring network security in profisafe
CN116938567A (en) Computer network data safety transmission method, device, equipment and medium
CN100596350C (en) Method for encrypting and decrypting industrial control data
US10171430B2 (en) Making a secure connection over insecure lines more secure
CN114584370A (en) Server data interaction network security system
Rrushi et al. By-design vulnerabilities in the ANSI C12. 22 protocol specification
CN103973674A (en) Method and device for synchronizing host and backup information
CN116094842B (en) State recognition system and method of network cipher machine
CN118378310B (en) Detection method and system of block chain system
Gudmestad et al. Saving Nine Without Stitching in Time: Integrity Check After-the-fact
Zhu et al. Random neighbour-based fault localization

Legal Events

Date Code Title Description
MM1K Utility model has become invalid (non-payment of fees)

Effective date: 20070302