PatentDB.ru — поиск по патентным документам

Способ обеспечения режимов обслуживания с ограниченной защитой данных в магистральной информационно-защищенной системе связи

Патент 2116006

Авторы

Классы МПК

Способ обеспечения режимов обслуживания с ограниченной защитой данных в магистральной информационно-защищенной системе связи

Реферат

 

Сущность изобретения: в магистральной информационно-защищенной системе связи режим обслуживания с ограниченной защитой данных, в периоды ограниченного обслуживания или процессорного сбоя осуществляется нижеследующим способом. Когда зафиксирована ситуация, отвечающая условиям ограниченного обслуживания или процессорного сбоя, всем подсистемам, использующим шифрующие ключи, включая устройства сопряжения пульта оператора (УСП) и пункты связи, посылается сообщение о переходе соответственно, в режим обслуживания с ограниченной защитой дан- ных или в режим процессорного сбоя. По получении сообщения о переходе в режим обслуживания с ограниченной зашитой данных путем связи вводят по меньшей мере один ключ ограниченного обслуживания. Одновременно устройства сопряжения пульта оператора также вводят по меньшей мере один ключ ограниченного обслуживания. По получении сообщения о переходе в режим процессорного сбоя устройства сопряжения пульта оператора вводят - по меньшей мере один ключ процессорного сбоя. Одновременно пункты связи также вводят по меньшей мере один ключ процессорного сбоя. Пункты связи и УСП используют ключи ограниченного обслуживания или процессорного сбоя до тех пор, пока ни восстановится штатная работа системы связи, что является техническим результатом. 3 з.п. ф-лы, 2 ил.

Изобретение относится к способам обслуживания информационно защищенных магистральных систем связи, в частности в условиях обслуживания с ограниченной защитой.

Известно [1], что защищенные магистральные системы связи содержат центральное управляющее устройство, пункты связи, радиотрансляционные модули, осуществляющие прием и передачу ограниченного числа коммуникационных ресурсов, пульт оператора и ограниченное число устройств сопряжения с остальными элементами системы. Кроме того, для обеспечения защиты сообщений в этих системах применяют единый для всей системы шифрующий ключ. При работе системы в штатных условиях оператор пункта связи при установлении типа переговоров для обеспечения их защиты, выбирая переговорную группу, вводит шифрующий ключ, заранее предусмотренный для данной переговорной группы. При нажатии оператором переговорной кнопки в центральное управляющее устройство посылается сигнал о запросе канала. Получив подобный сигнал, центральное управляющее устройство назначает один из коммуникационных ресурсов и посылает сигнал, задающий ключ для выбранной переговорной группы, на подводящую распределительную панель по линии, связывающей панель с управляющим устройством. Подводящая распределительная панель направляет сигнал, задающий ключ, на устройства сопряжения пульта оператора. Каждое устройство сопряжения пульта оператора, имеющее согласующие целевые адреса, декодирует предписывающий ключ сигнал и вводит заранее предусмотренный шифрующий ключ в шифрующий/ дешифрующий блок этого устройства сопряжения, позволяя тем самым пульту оператора сообщаться с пунктом связи. Изначально предусмотрено, что нормальная работа системы возможна лишь при исправном состоянии центрального управляющего устройства и линии его связи с подводящей распределительной панелью. Однако, использование во всей системе нескольких ключей может вызвать их несовместимость в случае выхода из строя отдельных подсистем. Например, если происходит потеря связи между центральным управляющим устройством и хотя бы одним устройством сопряжения пульта оператора (так называемый режим ограниченного обслуживания), то этот пульт (пульты)) могут оказаться изолированными от участия в сообщениях, поскольку устройство сопряжения не в состоянии определить какие ключи в настоящий момент следует использовать. Если же пункт связи включается систему в период бездействия центрального управляющего устройства (так называемый режим процессорного сбоя), то пункт связи не знает, каким ключом следует пользоваться для связи с другими пунктами.

Возможное разрешение данной проблемы состоит в опросе всех ключей системы и определение задействованных в настоящее время. В обоих указанных режимах это потребовало бы от устройств сопряжения попыток связаться с каждым из ключей системы. Даже в системе с ограниченным количеством ключей этот способ вызывает затруднения и малоэффективен. Поэтому существует потребность разработки способа, обеспечивающего по крайней мере ограниченную защиту сообщений в системах со многими ключами при работе в режимах процессорного сбоя и ограниченного обслуживания без необходимости опроса всех ключей.

Техническая задача, решаемая изобретением, состоит в повышении надежности работы магистральной информационно защищенной системы связи в нештатных условиях.

Технический результат, получаемый в результате реализации изобретения, состоит в обеспечении безотказной работы системы в условиях процессорного сбоя и ограниченного обслуживания.

Для достижения указанного технического результата изобретение реализуют следующим образом. В случае режима ограниченного обслуживания центральное управляющее устройство или устройства сопряжения фиксируют отсутствие работоспособного подключения центрального управляющего устройства к устройству сопряжения. Вследствие этого центральное управляющее устройство передает на пункты связи сообщение о переходе на режим обслуживания с ограниченной защитой данных. По принятию этого сообщения каждый пункт связи вводит по меньшей мере один ключ ограниченного обслуживания в соответствующие шифрующие (дешифрующие) блоки этого пункта связи. Устройства сопряжения также вводят по меньшей мере один ключ ограниченного обслуживания в соответствующие (шифрующие) дешифрующие блоки этих устройств сопряжения, обеспечивая тем самым связь между устройствами сопряжения и пунктами связи до тех пор, пока центральное управляющее устройство не окажется вновь способным сообщаться с устройствами сопряжения пульта оператора. В случае процессорного сбоя хотя бы один радиотрансляционный модуль или пункт связи фиксирует неработоспособность центрального управляющего устройства. Вследствие этого каждый радиотрансляционный модуль передает на соответствующее ему устройство сопряжения пульта оператора сообщение о переходе на режим обслуживания при наличии процессорного сбоя. По принятии этого сообщения устройства сопряжения вводят по меньшей мере один ключ процессорного сбоя в соответствующие шифрующие (дешифрующие) блоки этого устройства сопряжения. Пункты связи также вводят по меньшей мере один ключ процессорного сбоя в их соответствующие (шифрующие) дешифрующие блоки, обеспечивая тем самым связь между устройствами сопряжения пульта оператора и пунктами связи до тех пор, пока центральное управляющее устройство вновь не станет работоспособным.

На фиг. 1 приведена защищенная магистральная система связи, смонтированная в соответствии с изобретением; а на фиг. 2 приведена логическая диаграмма, используемая в защищенной магистральной системе связи при реализации изобретения.

На фиг. 1 показана магистральная система связи 100, включающая радиотрансляционные модули 104 - 105, устройства сопряжения пульта оператора 106, 107, центральное управляющее устройство 108, подводящую распределительную панель 109, пульт оператора 110, пункты связи 111 - 113, коммуникационные ресурсы 114 - 116, шифрующие/дешифрующие блоки 117 - 121, блоки памяти 122 - 126 линию связи 127 управляющего устройства с панелью. Радиотрансляционные модули 104, 105 могут быть выполнены в виде базовой радиостанции или ретранслятора. Устройства сопряжения пульта оператора 106, 107 обеспечивают сопряжение пульта с радиотрансляционными модулями 104, 105 и выполняют кодирующие и декодирующие функции. Подводящая распределительная панель 109 является репрограммируемым устройством, соединяющим устройства сопряжения 106, 107 с центральным управляющим устройством 108 и преобразующим различные сообщения в подходящие составляющие. Пульт оператора 110 состоит не менее чем из одной диспетчерской позиции и звукового устройства маршрутизаци. Диспетчерская позиция включает управляющие средства для каждого коммуникационного ресурса 114 - 116. Линия связи 127 между управляющим устройством и панелью может быть выполнена в виде наземного или микроволнового тракта. Пункты связи могут представлять собой портативные и/или мобильные радиостанции и содержать шифрующие (дешифрующие) блоки 117 - 119, а также блоки памяти 122 - 124. Блоки памяти 122 - 124 содержат переменные шифрующие ключи, включая по меньшей мере один ключ ограниченного обслуживания и по меньшей один ключ процессорного сбоя. Коммуникационные ресурсы 114 - 116 могут представлять собой аналоговые или цифровые сообщения, пересылаемые между радиотрансляционными модулями 104, 105 и пунктами связи 111 - 113 по радиочастотному каналу/каналам.

Режим ограниченного обслуживания вводят в случае, если линия 127 связи управляющего устройства с панелью выходит из строя, например, вследствие обрыва наземной линии или неполадок в микроволновом тракте, или выхода из строя панели. Все это приводит к тому, что устройства сопряжения 106, 107 не получают задающих ключ сигналов от центрального управляющего устройства 108 и, следовательно, не вводят соответствующих шифрующих ключей. Без собственных шифрующих ключей устройства сопряжения 106, 107 не могут кодировать и декодировать разговорную речь для пульта оператора, и оператор не может участвовать в защищенных переговорах.

Аналогично, режим процессорного сбоя вводится в случае неработоспособности центрального управляющего устройства 108, что обычно вызвано нарушением системы подвода питания. В этом случае пункты связи 111 - 113 и радиотрансляционные модули 104, 105 не располагают заранее определенными коммуникационными ресурсами 114 - 116 для связи друг с другом. Без центрального управляющего устройства невозможно координировать действия всей системы 100 и, в частности, нельзя определить ключи на пунктах связи 111 - 113 или в устройствах сопряжения 106, 107. Это не позволяет оператору участвовать в защищенных переговорах посредством этих устройств сопряжения.

На фиг. 2 представлена логическая диаграмма, которая может быть использована в защищенной магистральной системе связи при реализации изобретения. Процесс начинают с шага 200, на котором определяют, является ли работоспособным центральное управляющее устройство 108. Допуская, что центральное управляющее устройство 108 работоспособно, получаем ситуацию, когда оно тестирует линию 127 связи с панелью, периодически посылая на нее сигнал (контроль благополучного состояния) и получая от панели соответствующее уведомление. Панель 109 определяет аналогичным образом состояние линии 127 связи с центральным управляющим устройством 108. Кроме того, устройства сопряжения 106 - 107 определяют подобным образом могут ли они поддерживать связь с центральным управляющим устройством 108. При неполучении уведомления от панели 109 центральное управляющее устройство 108 вводит режим ограниченного обслуживания.

В другой ситуации, радиотрансляционные модули 104 - 105 и пункты связи 111 - 113 фиксируют неработоспособность центрального управляющего устройства. При этом каждый модуль передает сигнал о переходе работы в режим процессорного сбоя на соответствующие устройства сопряжения 106, 107. Устройства сопряжения по получению сигнала вводят режим процессорного сбоя. Аналогично действуют пункты связи 111 - 113.

Если на шаге 200 установлено, что центральное управляющее устройство 108 полностью работоспособно и подключено к устройствам сопряжения 106, 107 пульта оператора, то управляющее устройство вырабатывает сигнал о наличии обслуживания с полной защитой передаваемой информации (как часть более сложного сигнала о состоянии всей защищенной магистральной системы связи) и транслирует 208 этот сигнал на пункты связи 111 - 113 и на устройства сопряжения 106, 107. Сообщение о режиме обслуживания с полной защитой информации показывает, что система связи 100 работоспособна, а пункты связи 111 - 113 и устройства сопряжения 106, 107 могут вводить штатные шифрующие ключи переговорных групп. В этом случае продолжает осуществляться режим обслуживания с полной защитой 209 и процесс вновь начинается с шага 200.

Если установлено 200, что центральное управляющее устройство 108 работоспособно, но не подключено к устройствам сопряжения 106, 107, то переходят к шагу 201. На шаге 201 центральное управляющее устройство 108 посылает сигнал о переходе в режим обслуживания с ограниченной защитой данных на пункты связи 111 - 113 для указания перехода в режим ограниченного обслуживания. По получению этого сигнала каждый пункт связи 111 - 113 вводит по меньшей мере один ключ ограниченного обслуживания в свой шифрующий/дешифрующий блок 117 - 119. Очевидно, что каждый пункт связи 111 - 113 может иметь более одного шифрующего/дешифрующего блока 117 - 119 и вводить более одного ключа ограниченного обслуживания. Ключ ограниченного обслуживания является единым для всей системы, т.е. все устройства в системе используют именно этот шифрующий ключ.

Одновременно с вводом ключа ограниченного обслуживания на шаге 202 в шифрующие (дешифрующие) блоки 120, 121 каждого устройства сопряжения 106, 107 также вводят на шаге 203 по меньшей мере один аналогичный ключ. Эту операцию проводят, как только устройство сопряжения 106 (107) обнаружит невозможность своего общения с центральным управляющим устройством 108. Естественно, что каждое устройство сопряжения может ввести свой особенный ключ ограниченного обслуживания, вследствие чего оно будет способно сообщаться только с определенными пунктами связи, а именно с теми, которые имеют идентичный ключ ограниченного обслуживания.

После ввода по меньшей мере одного ключа ограниченного обслуживания через пункты связи 111 - 113 и устройства сопряжения 106, 107 могут передаваться защищенные сообщения с использованием ключа ограниченного обслуживания 204. Если затем установлено 205, что центральное управляющее устройство 108 восстановило связь с устройствами сопряжения 106, 107, то процесс переходит к шагу 208. Если же устройства сопряжения 106, 107 по-прежнему не могут взаимодействовать с центральным управляющим устройством 108 и никакие пункты связи 111 - 113 не подключены к системе 206, то процесс переходит к шагу 204.

Возможна ситуация, когда пункты связи 111 - 113, не действовавшие во время передачи сигнала о переходе к режиму обслуживания с ограниченной защитой данных, подключились к системе 206, в то время, когда центральное управляющее устройство 108 остается разобщенным 205 с устройствами сопряжения 106, 107. Однако, когда бы не подключился любой пункт связи, он должен вначале получить либо сигнал о режиме обслуживания с полной защитой сообщений, либо сигнал о режиме с ограниченной защитой информации 207, при этом в любом случае он получает информацию об используемом шифрующем ключе с переходом к шагу 202 в случае ограниченной защиты или к шагу 209 в случае полной защиты.

Если установлено 200, что центральное управляющее устройство не работоспособно, то процесс переходит к шагу 210, когда каждый радиотрансляционный модуль 104, 105 передает сообщение об обслуживании в режиме процессорного сбоя своему устройству сопряжения 106, 107. Получив такое сообщение, устройство сопряжения вводит по меньшей мере один ключ процессорного сбоя 211 в соответствующие им шифрующий/дешифрующий) блоки 120, 121. Предпочтительно, каждое из устройств сопряжения 106 (107) вводит свой особый ключ процессорного сбоя. На том же шаге 211 пункты связи 111 - 113, уже зафиксировавшие неработоспособность центрального управляющего устройства 108, вводят по меньшей мере один ключ процессорного сбоя в соответствующие им шифрующие (дешифрующие) блоки 117 - 119. Предпочтительно, каждый пункт связи 111 - 113 определяет отказавший радиотрансляционный модуль, основываясь на информации в виде кода идентификации радиотрансляционных модулей, заложенного в блоки памяти 122 - 124. Поскольку каждый радиотрансляционный модуль 104, 105 имеет соответствующее устройство сопряжения 106, 107, то идентификация отказавшего модуля 104, 105 с необходимостью устанавливает тот единственный ключ процессорного сбоя, который должен быть введен в устройства сопряжения 106, 107. Это позволяет использовать по меньшей мере один ключ процессорного сбоя для связи с остальными модулями (шаг 212) при условии защиты передаваемой информации с использованием пульта оператора 110 через по меньшей мере одно устройство сопряжения 106, 107.

После ввода по меньшей мере одного ключа процессорного сбоя радиотрансляционные модули 104, 105 постоянно запрашивают центральное управляющее устройство 108 о возможности обслуживания с полной защитой, т.е. пытаясь определить работоспособность 213 центрального управляющего устройства 108. Если центральное управляющее устройство вновь включилось в работу, то процесс переходит к шагу 208.

Если же центральное управляющее устройство все же не подключилось к работе, то следует определить не подключились ли к работе новые пункты связи 111 - 113. Если новые пункты не подключились, то процесс продолжается с шага 212. Если есть подключение новых пунктов связи, то им необходимо определить работоспособность 215 центрального управляющего устройства 108. Если оно по-прежнему не 1 работоспособно, то процесс продолжается с шага 211, если оно работоспособно, то процесс продолжается с шага 207.

Изобретение обеспечивает ограниченную защиту сообщений в магистральной информационно защищенной системе связи. Пульт оператора в системе со множеством шифрующих ключей может продолжать сообщаться в защитном режиме с пунктами связи в периоды ограниченного обслуживания или процессорного сбоя. Это достигается использованием идентичных ключей ограниченного обслуживания и процессорного сбоя.

Формула изобретения

1. Способ обеспечения режимов обслуживания с ограниченной защитой данных в магистральной информационно-защищенной системе связи, содержащей центральное управляющее устройство, множество пунктов связи, ограниченное число радиотрансляционных модулей, осуществляющих прием и передачу ограниченного числа коммуникационных ресурсов, по меньшей мере один пульт оператора, а также ограниченное число устройств сопряжения пульта оператора, которые функционально связаны с ограниченным числом радиотрансляционных модулей с по меньшей мере одним пультом оператора и центральным управляющим устройством, отличающийся тем, что определяют с помощью центрального управляющего устройства и ограниченного числа устройств сопряжения пульта оператора, что центральное управляющее устройство функционально не связано с указанным ограниченным числом устройств сопряжения, передают с помощью центрального управляющего устройства множеству пунктов связи сообщение о переходе в режим обслуживания с ограниченной защитой данных, при получении сообщения о переходе в режим обслуживания с ограниченной защитой данных вводят по меньшей мере один ключ ограниченного обслуживания в шифрующе-дешифрующий блок каждого из множества пунктов связи, вводят по меньшей мере один ключ ограниченного обслуживания в шифрующе-дешифрующий блок каждого устройства сопряжения пульта оператора, используют по меньшей мере один ключ ограниченного обслуживания для всего множества пунктов связи и ограниченного числа устройств сопряжения пульта оператора до тех пор, пока центральное управляющее устройство не восстановит функциональной связи с ограниченным числом устройств сопряжения пульта оператора.

2. Способ по п.1, отличающийся тем, что передачу с помощью центрального управляющего устройства множеству пунктов связи сообщения о переходе в режим обслуживания с ограниченной защитой данных осуществляют периодически.

3. Способ по п.2, отличающийся тем, что при использовании одного ключа ограниченного обслуживания для всего множества пунктов связи и ограниченного числа устройств сопряжения пульта оператора определяют с помощью центрального управляющего устройства и органического числа устройств сопряжения пульта оператора, что центральное управляющее устройство восстановило функциональную связь с указанным ограниченным числом устройств сопряжения, и передают с помощью центрального управляющего устройства множеству пунктов связи сообщение о переходе в режим обслуживания с полной защитой данных.

4. Способ по п.3, отличающийся тем, что при подключении одного из множества пунктов связи задерживают передачу им защищаемой информации до тех пор, пока на этот пункт связи не поступит сообщение о переходе в режим обслуживания с ограниченной либо полной защитой данных.

РИСУНКИ

Рисунок 1, Рисунок 2