Интерфейс с динамическим шифрованием информации, обеспечивающий защиту передаваемых данных от несанкционированного доступа в системах связи

Заявленная группа изобретений относится к области микроэлектроники и вычислительной техники и может быть использовано для построения высокопроизводительных вычислительных систем, обеспечивающих защиту данных от любых нештатных воздействий, включая и преднамеренную подмену.

Введение. Ответственность разработчиков автоматизированных систем управления (АСУ) в обеспечении оптимальной и безопасной работы управляемого ею сложного, дорогостоящего и опасного объекта заставляет их затрачивать огромные усилия при синтезе алгоритмов управления. Но все их усилия могут оказаться тщетными, если эти алгоритмы будут оперировать ложной или ошибочной информацией источника. И потому сегодня тренд разработки сложных систем управления смещается в сторону обеспечения АСУ достоверной информацией, т.е. информацией, которая в точности соответствует посылаемой источником.

Задача, которую так или иначе решают все разработчики, может быть сформулирована следующим образом: «Обеспечить максимальную защиту используемой в АСУ информации без существенной потери производительности системы». Но широкое разнообразие условий, в которых работает система (уровень помеховой обстановки, характеристики используемых процессорных устройств, требования по безопасности, возможности бесконтактного внешнего воздействия, условия эксплуатации и т.д.) и противоречивость различных по природе критериев оценки качества ее работы (производительность и уровень защиты информации от внешних информационных воздействий и др.) обусловливают дополнительное желание Заказчика получить адаптивную систему, приспосабливающуюся к складывающейся (конкретной) ситуации.

Нижеописанный киберустойчивый интерфейс обеспечивает высокий уровень защиты информации в любых нештатных ситуациях (преднамеренное воздействие, случайный сбой, ошибка оператора и др.) и предоставляет возможность достаточно просто приспособить его к реальным условиям эксплуатации для обеспечения оптимального управления.

Уровень техники. Достоверность информации в АСУ имеет огромное значение, поскольку она используется для управления технологическим процессом и принятия решений в нештатных ситуациях. Недостоверная информация может привести к принятию неправильных решений, имеющих негативные последствия с точки зрения безопасности функционирования объекта управления.

Достоверной информацией для приемника может быть только та, которая в точности соответствует информации, переданной передатчиком, и потому очень важно уметь защищать и проверять полученные данные непосредственно на их достоверность. Таким образом, можно избежать ловушек дезинформации.

Вопрос защиты информации путем ее видоизменения, исключающего ее прочтение недружественным лицом, является актуальным с давних времен. История шифрования информации - почти ровесница истории человеческой речи. С тех пор как письменность стала широко распространенной, шифрование информации (криптография) стало развиваться как наука. Бурное развитие шифровальных систем пришлось на период первой и второй мировых войн.

Появление же современных вычислительных систем дало толчок следующему этапу развития криптографии, причиной которого стало существенное расширение области применения цифровой информации, где решение проблемы получения достоверной информации стало просто необходимо. Это связано с необходимостью решения новых актуальных и существенно более сложных задач, требующих:

- работы с огромными массивами информации различного назначения, в том числе и с информацией ограниченного доступа к ней посторонних лиц;

- оптимального управления во всем многообразии условий функционирования объекта управления;

- точной оценки текущего качества функционирования и прогнозирования изменений функционального качества, участвующих в работе уникальных и дорогостоящих устройств и систем;

- защиты объекта управления от возникающих в процессе работы различных нештатных ситуаций и от несанкционированных воздействий на систему для минимизации наносимого этим ущерба;

- строгого учета произведенных затрат для последующей их минимизации. Криптография - наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним) и аутентичности (целостности и подлинности авторства, а также невозможности отказа от авторства) информации. Изначально криптография изучала методы шифрования информации - обратимого преобразования открытого (исходного) текста на основе секретного алгоритма и/или ключа в шифрованный текст (шифротекст). Традиционная криптография образует раздел симметричных криптосистем [1], в которых зашифровка и расшифровка проводится с использованием одного и того же секретного ключа. Помимо этого раздела, современная криптография включает в себя асимметричные криптосистемы, системы электронной цифровой подписи (ЭЦП), хеш-функции, управление ключами, получение скрытой информации, квантовую криптографию. Но все известные способы шифрования являются статическими, то есть в процессе проектировании системы главный архитектор выбирает конкретный способ и параметры шифрования информации, которые в процессе функционирования системы не меняются.

Используемые способы шифрования информации достаточно сложны и специалисту, не знающему алгоритм кодирования, но имеющему доступ к результатам работы, нелегко, но все же возможно за определенное время распознать алгоритм кодирования, внедриться, обмануть приемник и создать проблемы в работе управляемого объекта, вплоть до серьезной аварийной ситуации.

Известны способы шифрования информации, основанные на использовании криптографического преобразования информации с помощью случайных таблиц замены. В первом из известных способов такого шифрования, называемом «Полибианский квадрат», предполагается использование таблицы, в которой случайным образом записаны значения букв используемого алфавита. Значение шифруемой буквы используется как адрес, по которому считывается из таблицы записанная там буква, которая является результатом криптографического преобразования. С позиций современной криптографии, такое преобразование не изменяет вероятности появления отдельных букв в шифруемом тексте, а лишь меняет соотношение вероятностей отдельных букв в криптограмме. Если буква «а», в соответствии с таблицей замены, переходит в букву «т», то вероятность появления в исходном тексте буквы «а» будет равна вероятности появления в криптограмме буквы «т». Известно, что анализ статистики отдельных букв в тексте криптограммы дает возможность для дешифрования теста противником и потому подобные таблицы замены используется в различных криптографических алгоритмах, в том числе в отечественном стандарте шифрования ГОСТ 28147-89 [2], в качестве одной из операций усложнения преобразования.

Известны математические принципы построения абсолютно стойких шифров, сформулированные К. Шенноном [3], в соответствии с которыми абсолютно секретным может быть только шифр, обеспечивающий на выходе шифратора последовательность, близкую по своим статистическим свойствам к случайной равновероятной последовательности, вне зависимости от статистики появления отдельных букв в исходной шифруемой последовательности.

Но общим недостатком известных способов шифрования двоичной информации является их статичность. Способы шифрования выбираются, модифицируются и закладываются в схему аппаратуры на этапе проектирования и не изменяются в процессе функционирования системы. При современном уровне развития вычислительной техники, в этом случае, появляется возможность за реальное время раскрыть шифр и дешифровать передаваемую информацию. Кроме того, снижение производительности системы за счет обеспечения полноценной защиты информации в большинстве случаев просто недопустимо. Оно существенно ограничивает область применения систем, реализующих эти способы.

Известен способ защиты информации, основанный на использовании свойств случайного природного процесса - метеорного распространения радиоволн [4], где в качестве элементов ключа симметричного шифрования применяют двоичные эквиваленты измерений случайного времени метеорного распространения радиоволн от передатчика к приемнику.

Недостатком способа [4] является громоздкость, большое энергопотребление, высокая себестоимость применяемой аппаратуры и ее эксплуатации. Эти недостатки существенно ограничивают использование способа в системах связи для повышения надежности защиты информации, например, делают невозможным использование способа в системах мобильной радиосвязи. Другим существенным недостатком этого способа является низкая (~10² бит/с) пропускная способность используемого метеорного радиоканала, что «затормаживает» и замедляет процесс обмена конфиденциальной информацией.

Известен способ защиты информации, основанный на использовании свойств случайного природного процесса - случайной траектории многолучевого распространения радиоволн [5]. В способе, в качестве элементов ключа симметричного шифрования, применяют двоичные эквиваленты измерений случайной фазы результирующего радиосигнала, претерпевшего распространение через многолучевый радиоканал. Однако имеющиеся недостатки способа существенно ограничивают область его использования. К недостаткам способа [5] относятся:

- трудно выполнимые на практике требования к точности синхронизации шкал времени устройств связи, расположенных на обеих сторонах взаимного многолучевого радиоканала;

- необходимость обеспечения высокого отношения (сигнал/шум) для выполнения точных когерентных измерений фазы несущей и/или промежуточной частоты;

- сосредоточенность большой мощности зондирующих сигналов в узкой полосе частот, что создает интенсивную помеху для других информационно-телекоммуникационных систем (ИТС) и не обеспечивает удовлетворяющую стандартам [6, 7] электромагнитную совместимость (ЭМС) с ними.

Наиболее близким по сути и выполняемым функциям аналогом (прототипом) к заявляемому является способ защиты информации, основанный на двусторонней передаче и последующем обнаружении зондирующих радиосигналов, несущих отметки времени момента своего излучения, привязанные к предварительно сведенным шкалам времени, и исходящих от расположенных на обоих концах радиолинии устройств связи, проведении необратимых математических преобразований над числовыми последовательностями, шифровании и дешифровании сообщений с использованием ключа [8]. В способе выполняют операцию взаимного опознавания участников информационного обмена, синхронизуют шкалы времени устройств связи участников, задают интервал времени работы средств защиты информации, в течение которого на обоих концах радиолинии накапливают два совпадающих друг с другом набора двоичных эквивалентов оцифрованных результатов измерений случайных относительных задержек моментов прихода в точку приема различных копий зондирующего многолучевую среду сигнала. Накопленные наборы измерений, в каждом из устройств связи подвергают одинаковым необратимым математическим преобразованиям, формируют на приемном и передающем концах пару идентичных экземпляров ключа симметричного шифрования. Накопленные наборы двоичных эквивалентов пополняют двоичными эквивалентами оцифрованных результатов очередных измерений случайных относительных задержек моментов прихода в точку приема различных дошедших до приемника по независимым путям случайной протяженности копий зондирующего многолучевую среду сигнала, при этом в качестве механизма распределения экземпляров ключа симметричного шифрования используют свойства взаимности условий многолучевого распространения радиоволн.

Недостатками способа - прототипа [8] являются:

- необходимость установки приемопередатчиков, работающих на одинаковых частотах в режиме запрос-ответ, на всех устройствах - участниках информационного обмена, что существенно увеличивает себестоимость применяемой аппаратуры и ее эксплуатации;

- необходимость выделения из общей памяти каждого приемопередатчика памяти для хранения его шкалы времени;

- необходимость периодической организации процедуры опроса каждого терминала для опознания и выдачи по встречному запросу каждому поправок к его временной шкале, что делает невозможной организацию непрерывной работы системы.

Эти недостатки существенно ограничивают использование способа в системах, нуждающихся в надежной защите информации и поддерживающих непрерывный процесс в течение длительного времени, например, делают невозможным использование данного способа в автоматизированных системах управления (АСУ) с непрерывным технологическим процессом.

Целью заявленной группы изобретений является устранение недостатков известного уровня техники. Техническим результатом заявленной группы изобретений является повышение уровня информационной и функциональной безопасности объекта управления в жестких условиях информационного противодействия за счет гарантированного обеспечения АСУ достоверной информацией.

Техническим решением, позволяющим достичь поставленной цели, то есть гарантированно обеспечивать АСУ достоверной информацией, является разработка способа защиты передаваемой информации и автоматизированной системы управления (АСУ) объектами, в которой реализован интерфейс с динамическим шифрованием информации, обеспечивающего АСУ информацией в точности соответствующей информации, передаваемой источником, и исключающего возможность умышленного искажения и подмены передаваемой информации.

Указанная цель и технический результат достигаются:

1. Введением этапа «Инициализация», применяемом перед каждым началом работы автоматизированной системы, на котором:

- скрытно автоматически (без участия оперативного состава и без возможности его повлиять на результаты) при использовании генератора нестационарных натуральных случайных чисел (ГННСЧ), подчиняющихся равномерному закону распределения, формируются непредсказуемые, независимые от предыстории, неизвестные и недоступные разработчику и оперативному составу, одинаковые для всех терминалов «блоки», которые в дальнейшем будут использоваться в рабочем процессе шифрования пересылаемых сообщений:

а) Новая «Таблица шифров», содержащая широкий набор перечней шифруемых параметров, шифров и логик их применения;

б) Новый рандомизированный набор вариантов различных логик шифрования данных;

в) Новый рандомизированный набор вариантов различных сочетаний шифруемых подразделов контрольного пакета;

- каждым, участвующим в работе системы, терминалом с помощью ГННСЧ скрытно формируется новый цифровой отпечаток;

- формируются не менее трех групп формул расчета контрольных сумм, разделенных по объему пересылаемой информации, в каждой из которых содержится две формулы, обеспечивающие с заданной степенью достоверности проверку целостности принимаемой информации при заданном, отличающемся от максимального, и максимальном уровне защиты информации от вредоносного информационного воздействия (при совпадении заданного уровня защиты с максимальным в каждой группе содержится одна формула).

2. Обеспечением скрытности хранения сформированных блоков, формул для расчета контрольных сумм и цифровых отпечатков в недоступной для оперативного состава защищенной оперативной памяти процессора каждого терминала.

3. Использованием на этапе «Штатная работа» динамического шифрования передаваемой информации, при котором параметры шифрования (перечень шифруемых параметров, сами шифры и логика их применения) каждого пакета в каждом сообщении каждого источника информации определяются с помощью ГННСЧ.

4. Обеспечением нестационарности и непредсказуемости вырабатываемых ГННСЧ чисел, подчиняющихся равномерному закону распределения, благодаря подаче на вход генератора переменных величин, имеющих нестационарную природу - температуры внутри интегральной схемы и сигнала с выхода триггера, находящегося в метастабильном состоянии при переходе сигнала в новый домен синхронизации.

5. Обеспечением несоответствия исходных номеров (априори заданных) логик шифрования данных и номеров сочетаний шифруемых подразделов КП номерам логик шифрования и номерам сочетаний подразделов КП, полученным в результате операции рандомизации, то есть формированием практически новых наборов логик шифрования и сочетаний подразделов КП, неизвестных разработчику программного обеспечения и оперативному составу.

6. Созданием условий (у всех терминалов одинаковые «блоки» для выбора шифра), исключающих необходимость прямой передачи Приемнику шифров, использованных Источником при шифровании, для дешифрования принятого сообщения.

Сущность заявляемого изобретения. 1. Заявляется способ защиты передаваемой информации, основанный на шифровании и дешифровании сообщений с использованием операции взаимного опознавания участников обмена и формировании на приемном и передающем концах пары одинаковых копий ключа симметричного шифрования, при этом: вводится этап - «инициализация», на котором Master (Ведущее устройство-Ведущий), подготавливая систему к штатной работе, автоматически, без возможности оперативного состава влиять на процедуру и результат, формирует у себя, с помощью генератора нестационарных натуральных случайных чисел (ГННСЧ), нестационарность, которых обеспечивается подачей на вход генератора переменных величин, имеющих нестационарную природу, температуры внутри интегральной схемы и сигнала с выхода триггера, находящегося в метастабильном состоянии при переходе сигнала в новый домен синхронизации, а закон распределения случайных чисел подчиняется равномерному закону распределения, «Таблицу шифров», размерности Lo х Мо, где Lo - общее количество шифруемых параметров и данных в контрольном пакете (КП) и пакете данных (ПД) (количество столбцов), а Мо - количество различных сочетаний перечней шифруемых параметров и данных, их шифров и логик шифрования КП и ПД каждого сообщения (количество строк), рандомизирует априори заданные наборы (блоки) вариантов шифрования данных ПД с соответствующими им признаками kj и вариантов сочетаний шифруемых подразделов КП с соответствующими признаками qi, создает свой цифровой отпечаток, а также формирует набор (блок) формул расчета контрольной суммы (CRC), обеспечивающих, с точностью не хуже требуемой, проверку целостности пересылаемой в каждом пакете информации в зависимости от ее объема и уровня защиты от вредоносного информационного воздействия, разделенный на не менее чем три группы по объему пересылаемой информации и содержащий внутри каждой группы не более двух формул, соответствующих разным уровням защиты, которые вместе с своим адресом и номером адресного пространства через запрос передает по закрытому (защищенному) каналу всем Slave (Ведомым устройствам - Ведомым), участвующим в работе системы, принимает от каждого Ведомого по закрытому (защищенному) каналу уникальный цифровой отпечаток устройства, сформированный самим Ведомым с помощью своего ГННСЧ, использование которого в процессе обмена информацией значительно повышает уровень безопасности системы, адрес и номер его адресного пространства, после чего формирует у себя таблицу соответствия «Адрес терминала - Отпечаток», включающую свой цифровой отпечаток, свой адрес и номер своего адресного пространства, цифровые отпечатки Ведомых устройств, их адреса и номера адресных пространств, которую вместе с «Таблицей шифров», набором формул расчета CRC, рандомизированными наборами (блоками) вариантов шифрования данных ПД с соответствующими им признаками kj, и вариантов сочетаний шифруемых подразделов КП с соответствующими признаками qi помещает в защищенную недоступную оперативному составу область памяти своего процессора, а каждое Ведомое устройство системы помещает в защищенную недоступную оперативному составу область памяти своего процессора свой цифровой отпечаток, адрес своего терминала и номер своего адресного пространства, и переданные Ведущим: «Таблицу шифров», набор (блок) формул расчета CRC, для проверки целостности информации, рандомизированные наборы (блоки) вариантов шифрования данных ПД с соответствующими им признаками kj и вариантов сочетаний шифруемых подразделов КП с соответствующими признаками qi, цифровой отпечаток Ведущего, его адрес и номер его адресного пространства, что обеспечивает строгую конфиденциальность информации по шифрованию в каждом терминале и в системе в целом, невозможность доступа к ней оперативного состава и незнание разработчиком системы перечня параметров, выбранного для шифрования, самих шифров и логики шифрования во всех случаях применения системы, и передает Ведущему сигнал своей готовности к работе, который после получения от всех Ведомых устройств сигнала готовности к работе формирует сигнал «Система готова к работе» и после команды оператора (нажатия кнопки) «Пуск» приступает непосредственно к рабочему этапу в условиях информационного противодействия - «штатной работе», отличающейся тем, что в процессе работы Ведущий в цикле принимает от всех Ведомых системы шифрованную информацию, дешифрирует ее, комплексирует и передает АСУ в логике, определенной системным алгоритмом, причем для шифрования передаваемой информации Ведомым и Ведущим используется метод динамического шифрования, заключающийся в том, что шифруется каждый пакет (КП и ПД) в каждом сообщении каждого источника информации (Ведущего и Ведомого) изменяемым, случайным, независимым от предыстории, непредсказуемым, неизвестным оперативному составу и разработчику шифром, определяемым непосредственно перед отправкой сообщения с помощью своего ГННСЧ, подчиняющихся равномерному закону распределения, который перед каждым отправлением сообщения случайным образом формирует конкретные номера варианта из рандомизированного набора вариантов шифрования данных ПД, варианта из рандомизированного набора вариантов сочетаний шифруемых подразделов КП и строки из «Таблицы шифров», с указанными в них перечнем шифруемых параметров и данных, шифрами и логикой их применения, в совокупности определяющих сложный, многоступенчатый и неизвестный оперативному составу и разработчику системы алгоритм шифрования передаваемого сообщения, причем используемые источником информации параметры шифрования (перечень шифруемых параметров и данных, шифры и логика их применения) непосредственно приемнику информации в сообщении не передаются, в сообщении источником информации передаются номера вариантов в наборах и номер строки или номера строк, в зависимости от режима шифрования, в «Таблице шифров», представляющие собой изменяемые в каждой передаче случайные, независимые от предыстории числа, вырабатываемые его ГННСЧ, понятные приемнику и позволяющие ему с помощью своих рандомизированных блоков вариантов шифрования данных ПД и вариантов сочетаний шифруемых подразделов КП, а также «Таблицы шифров», идентичных с блоками вариантов и «Таблицей шифров» источника, определить используемые источником параметры шифрования сообщения и расшифровать переданное сообщение, при этом в формат КП дополнительно вводится подраздел, в который Ведущий непосредственно перед передачей сообщения Ведомому записывает «кодовое слово», представляющее собой изменяемое в каждой передаче случайное число, вырабатываемое ГННСЧ, которое Ведомый возвращает в КП ответного сообщения, подтверждая свои полномочия ответа на конкретный запрос Ведущего, что существенно затрудняет возможность подмены штатного устройства вредоносным, в тоже время техническая реализуемость и эффективность заявляемого способа динамического шифрования информации подтверждена на программно-аппаратной модели интерфейса (модели взаимодействия программы и пользователя), включающей разработанные для нее блок приема /передачи, предназначенный для реализации системного протокола обмена информацией TSI между блоком центрального процессора (БЦП) и модулями периферии, ГННСЧ, вырабатывающий случайные числа, подчиняющиеся равномерному закону распределения, нестационарность которых обеспечивается подачей на вход генератора переменных величин, имеющих нестационарную природу, температуры внутри интегральной схемы и сигнала с выхода триггера, находящегося в метастабильном состоянии при переходе сигнала в новый домен синхронизации, и выделенный внутренний контур БЦП, предназначенный для выбора на этапе «инициализации» параметров шифрования: «Таблицы шифров», определяющей возможные для использования варианты перечней шифруемых параметров, самих шифров и логик шифрования данных, рандомизации исходных наборов вариантов шифрования данных ПД и вариантов сочетаний шифруемых подразделов КП, а в процессе штатной работы для скрытного определения перечня шифруемых параметров, конкретных шифров, конкретной логики их применения и формул, для проверки, с точностью не хуже требуемой, целостности пересылаемой источником информации различного объема и обеспечения защиты передаваемых данных от несанкционированного доступа в системах связи.

2. Заявляется автоматизированная система управления (АСУ) объектами, в которой реализован интерфейс с динамическим шифрованием информации, основанный на шифровании и дешифровании сообщений с использованием операции взаимного опознавания участников обмена и формировании на приемном и передающем концах пары одинаковых копий ключа симметричного шифрования, при этом: вводится этап - «инициализация», на котором Master (Ведущее устройство-Ведущий), подготавливая систему к штатной работе, автоматически, без возможности оперативного состава влиять на процедуру и результат, формирует у себя, с помощью генератора нестационарных натуральных случайных чисел (ГННСЧ), нестационарность, которых обеспечивается подачей на вход генератора переменных величин, имеющих нестационарную природу, температуры внутри интегральной схемы и сигнала с выхода триггера, находящегося в метастабильном состоянии при переходе сигнала в новый домен синхронизации, а закон распределения случайных чисел подчиняется равномерному закону распределения, «Таблицу шифров», размерности Lo х Мо, где Lo - общее количество шифруемых параметров и данных в контрольном пакете (КП) и пакете данных (ПД) (количество столбцов), а Мо - количество различных сочетаний перечней шифруемых параметров и данных, их шифров и логик шифрования КП и ПД каждого сообщения (количество строк), рандомизирует априори заданные наборы (блоки) вариантов шифрования данных ПД с соответствующими им признаками kj и вариантов сочетаний шифруемых подразделов КП с соответствующими признаками qi, создает свой цифровой отпечаток, а также формирует набор (блок) формул расчета контрольной суммы (CRC), обеспечивающих, с точностью не хуже требуемой, проверку целостности пересылаемой в каждом пакете информации в зависимости от ее объема и уровня защиты от вредоносного информационного воздействия, разделенный на не менее чем три группы по объему пересылаемой информации и содержащий внутри каждой группы не более двух формул, соответствующих разным уровням защиты, которые вместе с своим адресом и номером адресного пространства через запрос передает по закрытому (защищенному) каналу всем Slave (Ведомым устройствам - Ведомым), участвующим в работе системы, принимает от каждого Ведомого по закрытому (защищенному) каналу уникальный цифровой отпечаток устройства, сформированный самим Ведомым с помощью своего ГННСЧ, использование которого в процессе обмена информацией значительно повышает уровень безопасности системы, адрес и номер его адресного пространства, после чего формирует у себя таблицу соответствия «Адрес терминала - Отпечаток», включающую свой цифровой отпечаток, свой адрес и номер своего адресного пространства, цифровые отпечатки Ведомых устройств, их адреса и номера адресных пространств, которую вместе с «Таблицей шифров», набором формул расчета CRC, рандомизированными наборами (блоками) вариантов шифрования данных ПД с соответствующими им признаками kj, и вариантов сочетаний шифруемых подразделов КП с соответствующими признаками qi помещает в защищенную недоступную оперативному составу область памяти своего процессора, а каждое Ведомое устройство системы помещает в защищенную недоступную оперативному составу область памяти своего процессора свой цифровой отпечаток, адрес своего терминала и номер своего адресного пространства, и переданные Ведущим: «Таблицу шифров», набор (блок) формул расчета CRC, для проверки целостности информации, рандомизированные наборы (блоки) вариантов шифрования данных ПД с соответствующими им признаками kj и вариантов сочетаний шифруемых подразделов КП с соответствующими признаками qi, цифровой отпечаток Ведущего, его адрес и номер его адресного пространства, что обеспечивает строгую конфиденциальность информации по шифрованию в каждом терминале и в системе в целом, невозможность доступа к ней оперативного состава и незнание разработчиком системы перечня параметров, выбранного для шифрования, самих шифров и логики шифрования во всех случаях применения системы, и передает Ведущему сигнал своей готовности к работе, который после получения от всех Ведомых устройств сигнала готовности к работе формирует сигнал «Система готова к работе» и после команды оператора (нажатия кнопки) «Пуск» приступает непосредственно к рабочему этапу в условиях информационного противодействия - «штатной работе», отличающейся тем, что в процессе работы Ведущий в цикле принимает от всех Ведомых системы шифрованную информацию, дешифрирует ее, комплексирует и передает АСУ в логике, определенной системным алгоритмом, причем для шифрования передаваемой информации Ведомым и Ведущим используется метод динамического шифрования, заключающийся в том, что шифруется каждый пакет (КП и ПД) в каждом сообщении каждого источника информации (Ведущего и Ведомого) изменяемым, случайным, независимым от предыстории, непредсказуемым, неизвестным оперативному составу и разработчику шифром, определяемым непосредственно перед отправкой сообщения с помощью своего ГННСЧ, подчиняющихся равномерному закону распределения, который перед каждым отправлением сообщения случайным образом формирует конкретные номера варианта из рандомизированного набора вариантов шифрования данных ПД, варианта из рандомизированного набора вариантов сочетаний шифруемых подразделов КП и строки из «Таблицы шифров», с указанными в них перечнем шифруемых параметров и данных, шифрами и логикой их применения, в совокупности определяющих сложный, многоступенчатый и неизвестный оперативному составу и разработчику системы алгоритм шифрования передаваемого сообщения, причем используемые источником информации параметры шифрования (перечень шифруемых параметров и данных, шифры и логика их применения) непосредственно приемнику информации в сообщении не передаются, в сообщении источником информации передаются номера вариантов в наборах и номер строки или номера строк, в зависимости от режима шифрования, в «Таблице шифров», представляющие собой изменяемые в каждой передаче случайные, независимые от предыстории числа, вырабатываемые его ГННСЧ, понятные приемнику и позволяющие ему с помощью своих рандомизированных блоков вариантов шифрования данных ПД и вариантов сочетаний шифруемых подразделов КП, а также «Таблицы шифров», идентичных с блоками вариантов и «Таблицей шифров» источника, определить используемые источником параметры шифрования сообщения и расшифровать переданное сообщение, при этом в формат КП дополнительно вводится подраздел, в который Ведущий непосредственно перед передачей сообщения Ведомому записывает «кодовое слово», представляющее собой изменяемое в каждой передаче случайное число, вырабатываемое ГННСЧ, которое Ведомый возвращает в КП ответного сообщения, подтверждая свои полномочия ответа на конкретный запрос Ведущего, что существенно затрудняет возможность подмены штатного устройства вредоносным, в тоже время техническая реализуемость и эффективность заявляемого способа динамического шифрования информации подтверждена на программно-аппаратной модели интерфейса (модели взаимодействия программы и пользователя), включающей разработанные для нее блок приема /передачи, предназначенный для реализации системного протокола обмена информацией TSI между блоком центрального процессора (БЦП) и модулями периферии, ГННСЧ, вырабатывающий случайные числа, подчиняющиеся равномерному закону распределения, нестационарность которых обеспечивается подачей на вход генератора переменных величин, имеющих нестационарную природу, температуры внутри интегральной схемы и сигнала с выхода триггера, находящегося в метастабильном состоянии при переходе сигнала в новый домен синхронизации, и выделенный внутренний контур БЦП, предназначенный для выбора на этапе «инициализации» параметров шифрования: «Таблицы шифров», определяющей возможные для использования варианты перечней шифруемых параметров, самих шифров и логик шифрования данных, рандомизации исходных наборов вариантов шифрования данных ПД и вариантов сочетаний шифруемых подразделов КП, а в процессе штатной работы для скрытного определения перечня шифруемых параметров, конкретных шифров, конкретной логики их применения и формул, для проверки, с точностью не хуже требуемой, целостности пересылаемой источником информации различного объема и обеспечения защиты передаваемых данных от несанкционированного доступа в системах связи.

Способ динамического шифрования передаваемой информации с случайно изменяемыми в процессе функционирования системы перечнем шифруемых параметров, шифрами и логикой их применения позволяет с высокой вероятностью доставлять приемнику АСУ информацию в точности соответствующую информации, передаваемой источником. Программно-аппаратная реализация способа шифрования в виде интерфейса TSI, позволяет подтвердить:

- возможность реализации предлагаемого способа динамического шифрования передаваемой информации с случайно изменяемыми в процессе функционирования системы перечнем шифруемых параметров, шифрами и логикой их применения;

- существенное повышение уровня функциональной безопасности системы (АСУ с объектом управления), за счет практической невозможности умышленной подмены информации или принятия случайно искаженной информации (например: из-за ошибки оператора или сбоя в работе АСУ) в качестве достоверной.

Заявляемый интерфейс TSI может работать в двух режимах: без шифрования и с шифрованием информации. Работа без шифрования информации применяется в условиях, когда исключены возможности искажения и подмены любой передаваемой информации. Работа с шифрованием информации - когда необходимо обеспечить штатную работу объекта управления в жестких условиях информационного противодействия.

Благодаря новой совокупности существенных признаков в заявленном способе достигается повышение уровня информационной и функциональной безопасности объекта управления в жестких условиях информационного противодействия за счет гарантированного обеспечения АСУ достоверной информацией (обеспечения доставки Приемнику информации, в точности соответствующей информации, передаваемой Источником), что обеспечивается применением динамического шифрования информации (шифрования каждого пакета каждого источника в каждом цикле) случайно изменяемыми непредсказуемыми неизвестными оперативному составу и разработчику параметрами шифрования и созданием условий (у всех терминалов одинаковая «Таблица шифров», одинаковые наборы алгоритмов и формул для выбора шифра), исключающих необходимость непосредственной передачи Приемнику шифров, использованных Источником для шифрования отсылаемого сообщения.

Заявленные объекты изобретения поясняются чертежами, схемами и таблицами, на которых показаны:

Фиг. 1. Функциональная схема этапа «Инициализация». Фиг. 2. Функциональная схема этапа «Штатная работа». Фиг. 3. Применяемые форматы сообщений. Фиг. 4. Структура КП в режиме «С шифрованием данных».

Фиг. 5. Структура ПД.

Фиг. 6. Структура КП в режиме «Без шифрования данных».

Фиг. 7. Формирование Ведомым ответного сообщения Ведущему в режиме «Чтение» при нарушении целостности входящего сообщения.

Фиг. 8. Формирование Ведомым ответного сообщения Ведущему в режиме «Чтение» при подтверждении целостности входящего сообщения.

Фиг. 9. Определение формата получаемого сообщения.

Фиг. 10. Оценка Ведущим достоверности полученного сообщения.

Фиг. 11. Структура системы, осуществляющей заявляемое динамическое шифрование данных.

Фиг. 12. Схема обмена данными по шине по протоколу TSI.

Табл. 1. «Таблица шифров».

Табл. 2. Структура подразделов КП в режимах «С шифрованием данных» и «Без шифрования данных».

Табл. 3. Структура КП в режиме «Без шифрования данных»

Табл. 4. Структура КП в режиме «С шифрованием данных».

Табл. 5. Структура поля подраздела «Control Field» КП.

Табл. 6. Структура ПД.

Табл. 7. Схема рандомизации набора алгоритмов шифрования.

1. Способ динамического шифрования передаваемой информации с случайно изменяемыми в процессе функционирования системы перечнем перечнем шифруемых параметров, шифрами и логикой их применения.

Заявляемый способ шифрования делится на два этапа:

- этап 1 - «Инициализация» - это автоматический, скрытый от оперативного состава, способ настройки внутреннего контура интерфейса каждого терминала системы в части формирования одинаковых перечней шифруемых параметров, их шифров и логики шифрования, одинаковых для всех терминалов системы рандомизированных наборов алгоритмов шифрования данных и вариантов сочетаний различных подразделов КП, подлежащих шифрованию, а также в части определения набора формул, обеспечивающих проверку с точностью не хуже требуемой целостности информации, пересылаемой источником, в зависимости от ее объеме и заданного уровня защиты от вредоносного информационного воздействия (Функциональная схема этапа «Инициализация» приведена на Фиг. 1).

- этап 2 - «Штатная работа» - это работа внешнего контура интерфейса с «настроенным» на этапе 1 внутренним контуром, то есть способ непосредственного шифрования и дешифрования информации в процессе работы АСУ с целью существенного повышения достоверности принимаемой информации и, как следствие, существенного снижения вероятности использования умышленно подмененной или непреднамеренно (случайно) искаженной из-за ошибки оператора или сбоя в работе АСУ информации в управления объектом. (Функциональная схема этапа «Штатная работа» приведена на Фиг. 2). 1.1. «Инициализация».

Настройка внутреннего контура интерфейса, к которой пользователь не имеет прямого доступа, на этапе «Инициализация» осуществляется автоматически без участия оператора в следующей последовательности (см. Фиг. 1):

1.1.а. Вначале Ведущим с помощью своего ГННСЧ формируется «Таблица шифров» (см. Табл.1.) размерности L₀ ^х М₀, где

L₀ - количество столбцов - общее количество признаков шифруемых параметров (lc_j, n_j rd_j, m_j, k_j, dr_j, p_j) в пересылаемых пакетах информации КП и ПД (в приведенном примере L₀=7); М₀ - количество строк, каждая из которых определяет перечень (состав) и (состав) и значения признаков шифруемых параметров в пересылаемом пакете в зависимости от типа пакета (КП (i=0) или ПД (i=l)) и шифруемого параметра в пакете (в КП это «CRC (z=0)», в ПД-это «CRC (z=1)» и «Данные (z=2)»); в заявляемом варианте в КП (i=0) шифруется только CRC, причем двумя параметрами (lc_j и n_j), а в ПД (i=l) шифруется CRC двумя параметрами (rd_j, m_j) и данные - тремя параметрами (k_j, dr_j, p_j); принимаемое значение М₀ снизу ограничивается величиной M_0min, позволяющей обеспечить необходимое разнообразие вариантов шифрования передаваемой информации для затруднения информационного противодействия на систему (в заявляемом варианте M_0min=10), а сверху - величиной М_0mах, ограниченной возможностями ОЗУ микропроцессора устройства, в котором размещается «Таблица шифров» (в заявляемом варианте М_0mах=32). Для этого он с помощью своего ГННСЧ, нестационарность которого обеспечивается подачей на вход переменных величин, имеющих нестационарную природу (температуры внутри интегральной схемы и сигнала с выхода триггера, находящегося в метастабильном состоянии при переходе сигнала в новый домен синхронизации), а закон распределения чисел подчиняется равномерному закону распределения, последовательно вырабатывает случайные числа, которые определенным образом записывает сверху вниз в столбцы [3], [5] и [8] «Таблицы шифров». Заполнение столбцов [2], [4], [6] и [7] «Таблицы шифров» осуществляется по предлагаемым здесь алгоритмам на основании результатов заполнения случайными числами столбцов [3], [5] и [8] (см. п. 2 г. подраздела 2.2. «Подготовка системы к «штатной» работе).

Каждая клетка «Таблицы шифров» (j, 1), где j - номер строки, а 1-номер столбца определяет конкретный шифр, применяемый для шифрования передаваемого параметра (lc_j, n_j, rd_j, m_j, dr_j или p_j) или логику его применения (k_j) в том или ином пакете.

«Таблица шифров» формируется автоматически без участия оператора.

Полностью алгоритм ее формирования представлен в пункте 2 г подраздела 2.2. «Подготовка системы к «штатной» работе». Хранится таблица в защищенной памяти процессора. Она скрыта от пользователя и к ней пользователь не имеет прямого доступа;

1.1.6. Затем Ведущим априори сформированный и пронумерованный от 1 до K₀, набор вариантов (алгоритмов) шифрования данных ПД, где K₀ - их общее количество, с помощью ГННСЧ автоматически сначала рандомизируется (алгоритм рандомизации набора вариантов шифрования данных ПД приведен в пункте 2а подраздела 2.2. «Подготовка системы к «штатной» работе».).

Затем из рандомизированного набора K₀ алгоритмов шифрования формируется усеченный рабочий набор k_j^max первых перенумерованных алгоритмов шифрования, где k_j^max<=K₀. Полученный набор алгоритмов шифрования k_j^max с соответствующими им признаками k_j, представляет собой перенумерованный случайным образом исходный набор, в котором каждому алгоритму присвоен новый номер k_j, где k_j,=l,k_j^max, в порядке возрастания, то есть набор, в котором искусственно нарушено соответствие между номером алгоритма шифрования и самим алгоритмом, в отличие от исходного набора, задаваемого оператором. И поскольку процедура рандомизации исходного набора недоступна оперативному составу и новый набор алгоритмов размещен в недоступной области памяти процессора, а при передаче информации от источника к приемнику в штатном режиме передается только номер алгоритма, соответствие нового номера используемому алгоритму шифрования установить в процессе работы системы очень затруднительно, а при K₀>=10 и k_j^max>=5 за ограниченное время практически невозможно.

Операция присвоения каждому алгоритму нового номера k_j, осуществляется автоматически. Она недоступна для вмешательства оперативному составу. Число различных алгоритмов (k_j^max), которые будут использованы при шифровании данных, задается в исходных данных и не может превышать числа априори сформированных алгоритмов - K₀.

Сформированный рандомизированный набор вариантов шифрования данных ПД также как и «Таблица шифров» хранится в защищенной памяти процессора. Он скрыт от пользователя и к нему пользователь не имеет прямого доступа;

1.1.в. Далее априори сформированное и пронумерованное множество вариантов различных сочетаний подразделов КП (кроме подразделов «Sync», «Sync», «Control Field», «Shift step» и «CRC32») - I(q_i) (Структура подразделов КП в режимах «Без шифрования данных» и «С шифрованием данных» приведена в Табл. 2.), где q_i - номер варианта сочетаний подразделов КП на множестве вариантов I(q_i), в котором a 3<=q₀<=10), подлежащих шифрованию шифром, записанным в строке «Таблицы шифров» (см. Табл. 1, раздел Контрольный пакет (i=0)), номер которой в каждом варианте указан в битах подраздела «Shift step» КП (номера бит подраздела «Shift step», в которые занесен номер строки «Таблицы шифров», в каждом варианте q_i различные), Ведущим с помощью ГННСЧ автоматически (случайным образом) рандомизируется и аналогично приведенному выше набору вариантов (алгоритмов) шифрования данных ПД усекается, то есть из него формируется новое (перенумерованное

и усеченное) множество I*(q_i), где a 3<=q₁<=5 и q₁<=q₀.

Алгоритм рандомизации и усечения априори сформированного набора вариантов различных сочетаний подразделов КП, подлежащих шифрованию приведен в п. 2б подраздела 2.2. «Подготовка системы к «штатной» работе».

Сформированный рандомизированный и усеченный набор вариантов различных сочетаний подразделов КП, подлежащих шифрованию, также как и «Таблица шифров» и рандомизированный и усеченный набор вариантов шифрования данных ПД хранится в защищенной памяти процессора. Он также скрыт от пользователя и к нему пользователь не имеет прямого доступа;

- далее Ведущим автоматически из предварительно определенного и хранящегося в ОЗУ процессора набора формул расчета контрольной суммы (CRC) для различных объемов передаваемой информации и уровней ее защиты от вредоносного информационного воздействия формируются три группы формул, разделенных по объему передаваемой информации:

- первая группа формул расчета CRC при объеме передаваемой информации менее V₁, т.е. V_i<V₁;

- вторая группа формул расчета при объеме передаваемой информации не менее V₁ и не более V₂, T.e.V₁<=V_i<=V₂;

- третья группа формул расчета CRC при объеме передаваемой информации более V₂, т.е. V_i>V₂, где V₁<V₂).

А поскольку объем передаваемой в задаче информации (V_i) определяется двумя факторами: принятой структурой ПД, то есть количеством передаваемых в ПД слов (N) и длиной каждого слова (L) - 8, 16 или 32 бита, то в качестве граничных значений сформированных групп в заявляемом способе принимаются V₁=8xN; V₂=16xN.

В каждую группу включаются три формулы расчета CRC, соответствующие различным уровням защиты системы от вредоносного информационного воздействия (Ys), где s - уровень вредоносного информационного воздействия (s=1, 3):

- s=1 - соответствует минимальному уровню воздействия, требующему минимального уровня защиты информации (Y₁=1);

- s=2 - соответствует среднему уровню, требующему среднего уровня защиты (Y₂=2);

- s=3 - соответствует максимальному уровню защиты (Y₃=3).

Алгоритм формирования рабочего набора формул для расчета CRC приведен в пункте 2в подраздела 2.2. «Подготовка системы к «штатной» работе» в разделе 2. «Осуществление изобретения».

Априори сформированный блок представляет собой набор из девяти формул, разделенных на три группы, каждая из которых соответствует определенному объему передаваемой информации и содержит три формулы, обеспечивающие надежную проверку целостности сообщения, полученного приемником (Ведомым или Ведущим) от передатчика (Ведущего или Ведомого) при различном уровне защиты информации от вредоносного воздействия. Сформированный же рабочий блок формул, как и сформированный рандомизированный набор вариантов шифрования данных ПД, хранится в защищенной памяти процессора, также скрыт от пользователя и к нему пользователь не имеет прямого доступа;

- затем Ведущий формирует с помощью своего ГННСЧ свой уникальный цифровой отпечаток, необходимый Ведомым, работающим с ним в одной системе, для безошибочной адресации ему своих сообщений;

- затем он определяет адрес и адресное пространство, в котором содержится вся информация необходимая Ведомым;

- затем Ведущий по закрытому (защищенному) каналу передает всем Slave (Ведомым), участвующим в работе системы:

- сформированную «Таблицу шифров»;

- сформированный набор (блок) формул расчета CRC, для трех диапазонов информации: [V_i<8xN], [8xN<=V_i<=16xN] и [V_i>16xN], состоящий из не более шести формул (см. п. 2в подраздела 2.2.- по две формулы в каждом диапазоне - для двух уровней защит Y_i и Y_max);

- рандомизированный набор «вариантов шифрования данных ПД» с соответствующими признаками k_j;

- рандомизированный набор вариантов сочетаний шифруемых подразделов КП с указателями мест записи номеров строк «Таблицы шифров» для определения шифра в каждом варианте и соответствующими признаками q_i;

- свой уникальный цифровой отпечаток;

- свои адрес и номер адресного пространства, по которым Ведомые могут обращаться к Ведущему;

- далее по команде Ведущего каждый Slave (Ведомый) формирует с помощью своего ГННСЧ свой уникальный цифровой отпечаток, позволяющий Ведущему однозначно определять источник (Slave) сообщения, определяет свои адрес и адресное пространство, к которым должен обращаться Ведущий;

- получив по закрытому (защищенному) каналу от всех Ведомых уникальные цифровые отпечатки устройств, с адресом и номером адресного пространства каждого, Ведущий формирует у себя таблицу соответствия «Адрес терминала -номер адресного пространства - отпечаток» (далее таблицу «Адрес терминала - отпечаток»), включающую и свой цифровой отпечаток, свой адрес терминала и свой номер адресного пространства, которую вместе с «Таблицей шифров», со сформированным набором формул расчета CRC, с рандомизированным набором «вариантов шифрования данных ПД» с признаками k_j и рандомизированным набором вариантов сочетаний шифруемых подразделов КП с указателями мест записи номеров строк «Таблицы шифров» и соответствующими признаками помещает в защищенную недоступную оперативному составу область памяти своего процессора;

- после передачи Ведущему цифрового отпечатка, каждое Ведомое устройство системы помещает в защищенную недоступную оперативному составу область памяти своего процессора свой цифровой отпечаток, свой адрес терминала и номер своего адресного пространства, и переданные Ведущим «Таблицу шифров», набор формул расчета CRC для проверки целостности принимаемой информации, набор «вариантов шифрования данных ПД» с соответствующими признаками k_j, рандомизированный набор

вариантов сочетаний подразделов КП, подлежащих шифрованию, с указателями мест записи номера строки «Таблицы шифров» и соответствующими признаками, цифровой отпечаток, адрес и номер адресного пространства Ведущего и передает ему сигнал своей готовности к работе;

- Ведущий, после получения от всех Ведомых устройств сигнала готовности к работе формирует сигнал готовности к «штатной работе» системы в целом.

После завершения этапа «Инициализация» все терминалы (Ведущий и все Ведомые) в защищенной недоступной для оперативного состава памяти своих процессоров содержат одинаковые «блоки»:

- «Таблицу шифров»;

- блоки «формул расчета CRC»;

- рандомизированный набор «вариантов шифрования данных ПД» с соответствующими признаками k_j;

- рандомизированный набор вариантов сочетаний шифруемых подразделов КП с указателями места записи номеров строк «Таблицы шифров» для определения шифра и признаками (номерами) q_i, позволяющие исключить необходимость прямой (непосредственной) передачи шифров (перечня шифруемых параметров, самих шифров и логики их применения) в составе передаваемой информации и скрытно проводить шифрование и дешифрование передаваемой информации неизвестным оперативному составу и разработчику шифром.

И поскольку в «Штатной работе» общение Ведомых предполагается только с Ведущим, а Ведущий общается со всеми Ведомыми, в защищенной памяти процессора Ведущего дополнительно содержится таблица соответствия «Адрес терминала - отпечаток», включающая цифровые отпечатки, адреса и номера адресных пространств всех Ведомых, свой цифровой отпечаток, свой адрес терминала и свой номер адресного пространства. В защищенной же памяти процессора каждого Ведомого дополнительно содержится цифровой отпечаток Ведущего, его адрес и номер адресного пространства, свой цифровой отпечаток, свой адрес терминала и свой номер адресного пространства.

На этапе инициализации, благодаря автоматическому (без участия оперативного состава) формированию Ведущим (с помощью ГННСЧ, вырабатывающего случайные числа, подчиняющиеся равномерному закону распределения) «Таблицы шифров», рандомизированного набора «вариантов шифрования данных ПД» и рандомизированного набора «вариантов сочетаний шифруемых подразделов КП», а также благодаря передаче их всем Ведомым по закрытому защищенному каналу, у всех терминалов системы формируются одинаковые неизвестные разработчику и оперативному составу «блоки шифрования» («Таблица шифров», рандомизированный набор «вариантов шифрования данных ПД», рандомизированный набор «вариантов сочетаний шифруемых подразделов КП»), предназначенные для шифрования пересылаемых сообщений случайным, заранее неизвестным, непредсказуемым, независимым от предыстории, недоступным для оперативного состава шифром и точного их дешифрирования Приемником.

Благодаря хранению настроек (блоков шифрования) в защищенной недоступной для оперативного состава области памяти своих процессоров и благодаря исключению необходимости непосредственной передачи Приемнику шифров, примененных Источником при шифровании информации для ее дешифрирования, на этапе инициализации создаются предпосылки реализации высоконадежной передачи информации, практически исключающей возможность умышленной ее подмены или принятия случайно искаженной, из-за ошибки оператора или сбоя в работе системы, информации в качестве достоверной. 1.2. «Штатная работа».

При «Штатной работе», в условиях информационного противодействия, для получения достоверной информации от нужного источника, используется двунаправленная ее защита, то есть:

- сначала шифруется запрос Ведущего устройства Ведомому. Полученный зашифрованный запрос Ведомым проверяется на целостность и, в случае положительной проверки, дешифрируется. Далее Ведомый выполняет заказанные Ведущим действия и формирует ответ;

- затем ответ Ведомого шифруется и в зашифрованном виде отсылается Ведущему. Ведущий проверяет целостность пришедшей информации и, в случае положительной проверки, дешифрирует ответ ведомого. Полученную расшифрованную информацию Ведущий передает в АСУ для выработки управляющего сигнала объектом управления.

1.2.1. Исходные данные для работы.

Штатная работа всегда начинается с оценки предполагаемых условий эксплуатации системы, с оценки угроз вредоносного информационного воздействия и выбора структуры и параметров внешнего контура системы шифрования для гарантированного обеспечения АСУ достоверной информацией. Желаемая, в этом случае, логика работы системы обеспечивается заданием следующих исходных данных, к числу которых относятся:

- признак (Si), определяющий уровень вредоносного информационного воздействия на систему в предполагаемых условиях эксплуатации системы Y_s, который задается системным оператором. При предполагаемом минимальном уровне информационного вредоносного воздействия задается минимальный уровень защиты - Y₁:=1, при предполагаемом среднем - средний - Y₂:=2 и при предполагаемом максимальном - максимальный - Y₃:=3;

- признаки, определяющие режим работы системы, в предполагаемых условиях информационного воздействия:

- признак шифрования информации (Рk), обозначающий:

- при Рk=1 - вся передаваемая информация шифруется;

- при Рk=0 - вся передаваемая информация не шифруется;

- признак режима шифрования (Rk), обозначающий:

- при Rк=0 - режим простого шифрования, то есть режим шифрования КП и ПД шифром из одной строки «Таблицы шифров», номер которой определяется при однократном обращение к ГННСЧ;

- при Rк=1 - режим усложненного шифрования, то есть режим шифрования каждого пакета своим шифром, получаемым из своей строки «Таблицы шифров», номер которой определяется при отдельном обращении к ГННСЧ -двукратное обращение к ГННСЧ;

- признак использования дополнительного алгоритма шифрования повышенной сложности (q_i), обозначающий применение (не применение) шифрования подразделов КП:

- при q_i=0 - подразделы КП не шифруются, алгоритм шифрования повышенной сложности не применяется:

- при задании любого натурального числа из q₁=1 или 2 или 3 дополнительно применяется соответствующий принятому значению q_i вариант (алгоритм) шифрования повышенной сложности (шифруются подразделы КП);

(Все варианты (алгоритмы) шифрования повышенной сложности множества I(q_i) отличаются друг от друга неповторяемым перечнем шифруемых подразделов КП, неповторяемыми указателями номеров ячеек подраздела «Shift step» КП, в которых записывается, изменяемый в каждой передаче, определяемый с помощью ГННСЧ, случайный номер строки «Таблицы шифров», непосредственно содержащей параметры шифрования шифруемых подразделов. Необходимость применения шифрования повышенной сложности возникает при высокой вероятности вредоносного информационного воздействия на систему (например, при среднем (Y₂) или максимальном (Y₃) уровне вредоносного информационного воздействия на систему).

Задание системным оператором любого натурального числа q_i (в нашем случае - 1, 2 или 3), соответствует принятию неизвестного оперативному составу варианта перечня шифруемых подразделов КП и параметров их шифрования, поскольку исходный набор вариантов шифруемых подразделов КП, известный разработчикам программного обеспечения, на этапе инициализации был автоматически скрытно рандомизирован и усечен (см. п. 1.1.));

- признак предоставления (использования) полного объема памяти для записи информации в ПД (ADP), обозначающий:

- при ADP=0 - для записи каждого слова информации предоставляется (используется) полный объем памяти (все 32 бита);

- при ADP=1 - для записи данных в ПД необходимо и достаточно меньшего объема памяти (менее 32 бит);

- признак уровня защиты информации «Ys» при Pk=0 - Y₁:=l. Принятые исходные данные на этапе «Штатная работа» не изменяются.

Коррекция исходных данных осуществляется только в случае несоответствия с точки зрения уровня вредоносного информационного воздействия на систему ранее предполагаемых условий эксплуатации реальным. 1.2.2. Режим «запись».

1.2.2.1. Формирование Ведущим запроса на «запись».

Режим «запись» используется Ведущим при необходимости частично скорректировать настройки внешнего контура, заданные ранее исходными данными, ввиду изменения условий функционирования системы или при необходимости переконфигурировать систему из-за включения в ее состав резервного терминала, взамен вышедшего из строя:

- изменения условий функционирования системы (работа в новых условиях информационного противодействия отличных от заданных в исходных данных) обусловливает целесообразность:

-либо перехода на шифрование информации (Рк:=1, вместо Рк=0) с различной, в зависимости от угрозы, степенью сложности алгоритма шифрования, которая определяется заданием различных значений признаков: Ys, Rк, и q_i (Ys=: 2 или Ys=: 3, вместо Ys=1; Rк=:1 вместо Rк=0; q_i:=1, 3, вместо q_i=0);

- либо повышения уровня защиты информации: Ys:=2 или Ys:=3, вместо Ys=1;

- либо усложнения алгоритма шифрования при Рк=1: Rк:=1 вместо Rк=0;

- либо при Рк:=1 перехода со «стандартного» алгоритма шифрования (q_i=0) на алгоритм шифрования повышенной сложности -

(«Стандартным» алгоритмом шифрования здесь называется алгоритм шифрования CRC КП, данных ПД и CRC ПД случайным шифром, выбор которого осуществляется с помощью ГННСЧ по «Таблице шифров», сформированной на этапе инициализации. Алгоритм шифрования повышенной сложности предполагает дополнительное (по отношению к «стандартному» алгоритму шифрования) шифрование неизвестных оперативному составу отдельных подразделов КП шифром, случайные значения которого определяются с помощью ГННСЧ по «Таблице шифров», сформированной на этапе инициализации):

- либо перехода на упрощенный алгоритма шифрования за счет:

- снижения уровня защиты информации, когда Ys:=2 или Ys:=1 вместо Ys=3, или, когда Ys:=l, вместо Ys=2;

- или перехода на простое шифрование, когда Rk:=0 вместо Rк=1;

- или перехода с алгоритма шифрования повышенной сложности, при котором 1=<q_i<=3, на алгоритм «стандартного» шифрования, при котором q_i=0;

- либо перехода на работу без шифрования информации (Рк:=0).

- переконфигурирование системы при включении в ее состав резервного терминала (взамен вышедшего из строя), прошедшего этап инициализации, но имеющего не актуальные настройки внешнего контура интерфейса, предполагает:

- при замене Ведомого:

- ведущий по команде, сформированной системным оператором «Замена Ведомого» передает ему по закрытому (защищенному) каналу актуальные исходные данные, свой адрес, номер своего адресного пространства и цифровой отпечаток, а Ведомый Ведущему - свой адрес, номер адресного пространства и цифровой отпечаток;

получив эту информацию, Ведущий заменяет строку таблицы «Адрес терминала - отпечаток», где находилась информация о вышедшем из строя терминале, на новую, включающую цифровой отпечаток, адрес и номер адресного пространства нового Ведомого и вырабатывает сигнал готовности системы к «Штатной» работе;

- при замене Ведущего:

- по команде, сформированной системным оператором, «Замена Ведущего» по закрытому (защищенному) каналу терминал, объявленный «Ведущим», передает всем Ведомым свой адрес, адресное пространство и цифровой отпечаток, а от каждого Ведомого получает цифровой отпечаток, адрес и адресное пространство, к которым должен обращаться в в процессе работы; получив от всех Ведомых уникальные цифровые отпечатки устройств, с адресом и адресным пространством каждого, Ведущий формирует у себя таблицу соответствия «Адрес терминала - отпечаток», включающую и свой цифровой отпечаток, свой адрес и свой номер адресного пространства, и помещает ее в защищенную недоступную оперативному составу область памяти своего процессора; затем Ведущий актуализирует, в соответствии с последней редакцией исходных данных, настройки своего внешнего контура шифрования и вырабатывает сигнал готовности системы к «Штатной» работе; «Штатная» работа в описанных выше случаях начинается с инициирования Ведущим режима «запись». В этом режиме Ведущий формирует сообщение в формате КП+ПД (см. Фиг. 3а. Применяемые форматы сообщений) и рассылает его в соответствии с системным алгоритмом либо каждому вновь включенному в систему Ведомому, либо всем Ведомым, если произведена замена самого Ведущего или вводимые изменения касаются всех Ведомых. В сообщении передаются фактически новые исходные данные (осуществляется коррекция ранее заданных исходных данных), позволяющие гарантированно обеспечивать САУ в сложившихся условиях достоверной информацией. Выбор варианта коррекции исходных данных осуществляет системный администратор.

Информация, передаваемая в режиме «запись» всегда шифруется независимо от условий, заданных в исходных данных.

Структура КП в режиме «запись» представляет собой синхросигнал (3 бита), управляющую (служебную) информацию - (2 слова - 32 бита на слово) и CRC (32 бита) (см. Фиг. 4. Структура КП в режиме «С шифрованием данных»).

Структура ПД, используемая во всех режимах работы системы, представляет собой синхросигнал Sync (3 бита), передаваемые данные (DATA word N), где N может принимать значения от 1 до 256 слов (32 бита на слово) и CRC (32 бита) (см. Фиг. 5. Структура ПД).

Параметры шифрования для режима «запись» соответствуют условиям работы системы в самых жестких условиях информационного противодействия и имеют значения, означающие:

Р_k=1 - вся информация шифруется;

Y_s=3 - уровень защиты информации от внешнего противодействия максимальный; q_i=2 - применяется шифрование повышенной сложности;

R_k=l - используется усложнение шифрования,

Они вместе с подтверждением режима «запись» сразу заносятся в соответствующие биты подразделов КП:

- признак режима передачи информации - запрос Ведущего на «запись», заносится в подраздел «Control Field», в биты [20:19] (в них записывается «00»). Порядок применения режимов передачи информации (запрос Ведущего на «запись» или запрос Ведущего на «чтение») и, соответственно, форматов сообщения регулируется системным алгоритмом работы Ведущего. При запросе на «запись» применяется формат сообщения КП+ПД, а при запросе на «чтение» - КП. При ответе Ведомого на «запись» - КП, а при ответе на «чтение» - КП+ПД или КП, в зависимости от результата выполнения запроса Ведущего;

- затем, заносятся параметры, определяющие условия шифрования:

- признак шифрования «Рk» - в подраздел «Control Field», бит [22];

- признак уровня защиты Ys - в подраздел «Таble Line number», в вбиты [25:24];

- признак использования шифрования повышенной сложности «q_j» - в биты [9:8] подраздела «Shift step»;

- признак усложнения шифрования «Rk» - в подраздел «Control Field», бит [21].

Далее формируется ПД (см. стр. 34, метку Fпд*⁾).

Оставшиеся незаполненными подразделы КП заполняются после заполнения ПД (см. стр. 35, метку Fкп*⁾), поскольку необходимая для их заполнения информация появляется после заполнения ПД.

Fпд*^} Под каждый параметр, предназначенный для записи в ПД, вначале предоставляется два 32-разрядных слова, одно из которых предназначено для записи идентификатора изменяемого параметра, а второе для записи его значения.

Например, при включении в систему резервного Ведомого устройства (взамен вышедшего из строя), прошедшего этап настройки внутреннего контура интерфейса на этапе инициализации, в его память необходимо записать адрес и номер адресного пространства Ведущего, к которому должен обращаться Ведомый. В этом случае Ведущий, формируя запрос резервному Ведомому, в первое слово ПД записывает идентификатор адреса Ведущего, а во второе непосредственно его адрес. Процедура записи в ПД данных, необходимых для подготовки к работе включенного в систему резервного терминала (актуализации его структуры и параметров), выполняется автоматически. Система автоматически определяет вид терминала (Ведомый или Ведущий, его адрес, тип и номер адресного пространства) и перечень необходимых для его актуализации данных. Системному программисту достаточно лишь периодически подтверждать свои права доступа и следить за ходом выполнения процедуры. В первое слово следующей пары слов ПД Ведущий записывает идентификатор номера адресного пространства Ведущего, а во второе непосредственно номер адресного пространства Ведущего, к которому в процессе функционирования системы должен обращаться Ведомый.

При использовании для записи той или иной информации лишь части предоставленного объема (менее 32 бит, предоставленных для записи слова), в конце записи ставится идентификатор конца записи слова - «F», а по окончанию последней записи ПД ставится идентификатор конца записи «FF».

При использовании для записи той или иной информации лишь части предоставленного объема (наличие идентификатора «FF») признаку ADP:=1. После заполнения ПД данными, по объему записанной в нем информации (числу занятых бит) определяется группа формул для расчета CRC ПД и затем переходят к заполнению незаполненных подразделов КП.

Fкп*⁾ С учетом результатов заполнения ПД в подразделы КП заносятся:

-сначала номер группы формул для расчета CRC ПД-в биты [17:16] подраздела «Shift Direction»;

- затем параметры, определяющие логику работы системы шифрования в целом:

- признак использования максимального объема памяти (размера поля) при записи данных в ПД (ADP) - в подраздел «Control Field», бит [23] (фомируется по результатам заполнения ПД):

- ADP=0 - означает, что предоставленные для записи данных в ПД 32 бита использованы полностью;

- ADP=1» - означает, что при записи данных в ПД предоставленный объем памяти полностью не использован (занято менее 32 бит);

- количество слов, передаваемых в сформированном ПД (Nзад_i), которое не может быть более 256 (Nзад_i=<256) - в подраздел «Data size» биты [7:0];

- затем параметры, определяющие порядок (схему) обращения к ГННСЧ для обеспечения необходимой степени сложности шифрования КП и ПД:

- в режиме шифрования КП и ПД по различным наборам шифров (Rk=1), когда перечень шифруемых параметров, шифры и логика их применения для шифрования КП и ПД определяются разными строками «Таблицы шифров», в соответствующие разделы КП записываются числа, получаемые с помощью ГННСЧ при последовательном двукратном к нему обращении: сначала для определения «номера строки «Таблицы шифров» для шифрования КП», который заносится в подраздел «Table Line number» в биты [31:26], а затем для определения «номера строки «Таблицы шифров» для шифрования ПД», который заносится в подраздел «Shift Direction)) биты [23:18];

- далее во втором слове КП заполняется подраздел «Shift step» биты [15:10] «кодовым словом», представляющим собой случайное число, вырабатываемое ГННСЧ, вводимое в каждый КП, посылаемый Ведущим, позволяющее исключить ошибки с опознаванием ответа Ведомого на заданный запрос Ведущего и существенно затруднить возможность подмены штатного устройства вредоносным, а значит значительно повысить уровень безопасности системы, поскольку системный алгоритм предусматривает обязательное повторение кодового слова в КП ответного сообщения Ведомого;

- в подраздел КП «Terminal Stamp» биты [7:0], записывается цифровой отпечаток Ведущего - терминала, посылающего «запрос»;

- после заполнения КП определяется номер группы формул для расчета CRC КП, зависящий от объема передаваемой в КП информации, то есть от структуры КП, которая в системе с шифрованием отличается от формата КП в системе без шифрования (см. Фиг. 6. Структура КП в режиме «Без шифрования данных»), то есть зависит от признака шифрования «Рк» в КП;

- затем определяется номер формулы расчета CRC КП в этой группе, зависящий от заданного в битах [25:24] подраздела «TableLine number» КП значения признака - «Ys»;

- далее по формуле расчета CRC КП, которая определяется по выше определенному номеру группы формул расчета CRC и номеру формулы внутри группы, непосредственно рассчитывается CRC КП;

- затем по номеру строки (j), записанному в подразделе КП «TableLine number» в битах [31:26], своей «Таблицы шифров» в разделе CRC (z=0) Ведущий определяет шифр (n_j и lс_j), используя который, шифрует CRC, и в зашифрованном виде заносит его в подраздел CRC32 КП;

- далее по номеру строки (j) своей «Таблицы шифров», записанному в подразделе КП «Shift Direction)) биты [23:18], в разделе «Данные» (z=2) Ведущий (источник информации) определяет шифр (p_j, dr_j и k_j), используя который шифрует данные и в зашифрованном виде записывает их вместо записанных ранее незашифрованных данных в ПД;

- затем по номеру группы формул для расчета CRC ПД, указанному в подразделе «Shift Direction)) биты [17:16] КП, и уровню защиты информации от вредоносного информационного воздействия - Ys, указанному в подразделе «Таblе Line number» биты [25:24] КП, определяется формула расчета CRC ПД;

- далее по формуле расчета CRC ПД непосредственно рассчитывается CRC ПД зашифрованных данных ПД;

- затем по номеру строки (j), записанному в подразделе КП «Shift Direction)) в битах [23:18], Ведущий по своей «Таблице шифров» в разделе CRC (z=l) определяет шифр (m_j и rd_j), используя который шифрует CRC, и в зашифрованном виде заносит его в подраздел CRC32 ПД.

- затем, поскольку в режиме «запись» предусматривается применение алгоритма шифрования повышенной сложности:

- по номеру q_i, записанному в битах [9:8] подраздела «Shift step», из рандомизированного набора вариантов сочетаний подразделов подразделов КП (см. п. 1.1.) выбирается вариант (в данном случае q_i=2), в котором определен:

- перечень шифруемых подразделов КП;

- номера бит подраздела «Shift step», где указан номер строки «Таблицы шифров», в которой в разделе CRC (z=0) записан применяемый для шифрования подразделов шифр;

- далее по номеру указанной строки по «Таблице шифров» определяются сами шифры;

- с помощью этих шифров зафиксированные подразделы шифруются и в зашифрованном виде заносятся в соответствующие подразделы КП; сформированный КП готов к пересылке;

- затем формируется сообщение в формате КП+ПД, которое в соответствии с логикой работы системного алгоритма при введении в структуру системы резервных Ведомых, Ведущим рассылается только им, а при введении в структуру системы резервного Ведущего или изменений, касающихся всех Ведомых - всем Ведомым, последовательно указывая в КП:

- адрес Ведомого, к которому обращается Ведущий, («Terminal address» биты [31:24]);

- тип адресного пространства Ведомого - место для «записи» передаваемых данных (последовательность обращения Ведущего к Ведомым, входящим в состав системы, определяются системным алгоритмом, которому известны номера адресных пространств и пространств конфигураций каждого Ведомого):

- если это адресное пространство данных, в биты [18:16] подраздела «Control Field» заносятся [0:0:0];

- если адресное пространство конфигурации, в биты [18:16] подраздела «Control Field» заносятся [1:1:1];

- номер адресного пространства Ведомого, к которому в текущий момент обращается Ведущий (подраздел «Page Address)) биты [15:8]);

Формат отсылаемого Ведомому сформированного сообщения в режиме «запрос на запись» содержит два пакета ПК+ПД.

Подготовленный к пересылке ПД, поскольку в режиме «запись» всегда применяется режим «С шифрованием данных», представляет собой:

а) Совокупность данных, зашифрованых шифром (p_j, dr_j и k_j), взятым из строки «Таблицы шифров», номер которой указан в битах [23:18] подраздела «Shift Direction)) КП, в разделе «Данные (z=2)»;

б) CRC ПД, рассчитанную по зашифрованным данным по по формуле, которая определена по номеру группы, записанному в битах [17:16] подраздела «Shift Direction)) КП, и номеру формулы в группе,

соответствующему максимальному уровню защиты информации от вредоносного информационного воздействия - Ys=3, записанному в битах [25:24] подраздела «Таblе Line number» КП, и затем зашифрованную шифром (rd_j, m_j), записанным в той же строке «Таблицы шифров», что и шифр для шифрования данных ПД (ее номер указан в битах [23:18] подраздела «Shift Direction)) КП), но в разделе «CRC (z=1)» «Таблицы шифров».

Структура КП и ее информационное наполнение в режиме «запись» всегда соответствуют режиму «С шифрованием данных»:

а) Структура КП представляет собой синхросигнал (Збита), управляющую (служебную) информацию - (2 слова - 32 бита на слово) и CRC (32 бита);

б) Информация, занесенная в КП, всегда шифруется (Рk=1). Для шифрования КП применяется усложненное шифрование (Rk=1) повышенной сложности (q_i=2), как при работе системы в условиях жесткого информационного противодействия (Ys=3);

в) Последовательность выполняемых при шифровании функций следующая:

- вначале все подразделы КП заполняются незашифрованной информацией;

- по формуле, определенной по признаку шифрования «Рk=1», занесенному в бит [22] подраздела «Control Field» КП, и уровню защиты информации от вредоносного информационного воздействия «Ys=3», занесенному в биты [25:24] подраздела «Таblе Line number» КП, по незашифрованной информации рассчитывается CRC КП;

- рассчитанная CRC шифруется шифром (lc_j, n_j), указанным в «Таблице шифров» в разделе «CRC (z=0)» в строке, номер которой указан в битах [31:26] подраздела «Таblе Line number», и в зашифрованном виде записывается в подраздел CRC32 КП;

- по номеру q_i, занесенному в биты [9:8] подраздела «Shift step» КП (в данном случае q_i=2), определяется логика последующих действий:

- из сформированного на этапе инициализации рандомизированного набора вариантов сочетаний подразделов КП, подлежащих шифрованию, выбирается выбирается вариант q_i=2, в котором определены перечень перечень дополнительно шифруемых подразделов и номера бит подраздела «Shift step», в которых указан номер строки, по которой в разделе CRC (z=0) «Таблицы шифров» определяются шифры, используемые при шифровании информации выбранных подразделов КП;

- зашифрованная этим шифром информация заносится (заменяет нешифрованную) в соответствующие подразделы КП.

1.2.2.2. Проверка Ведомым целостности присланного сообщения.

Процедура проверки целостности является универсальной, поскольку всегда прежде чем начать предусмотренную рабочим алгоритмом работу принятое приемником сообщение проверяется на целостность.

Ведомый в режиме «запись» получает предназначенное ему сообщение (КП+ПД), выделяя его из потока сообщений по адресу, записанному в Подразделе КП «Terminal address» биты [31:24], и вначале проверяет его на целостность.

Поскольку в этом режиме Ведущий всегда шифрует передаваемую информацию (Рк=1) и использует 99-ти байтовую структуру КП (см. Фиг. 4. Структура КП в режиме «С шифрованием данных» и Табл. 2. Структура подразделов КП в режимах «С шифрованием данных» и «Без шифрования данных»), а параметры q_i, Rк, Ys, определяющие примененный им алгоритм шифрования, фиксированы (см. п. 1.2.2.1.), для проверки целостности присланного сообщения Ведомым совершаются следующие действия:

- сначала в соответствии с номером q_i=2, занесенным в биты [9:8] подраздела «Shift step» пришедшего КП, из рандомизированного рабочего набора вариантов I₀(q_i) Ведомого, где (см. п. 1.1.) выбирается заданный вариант q_i, с указанными в нем перечнем зашифрованных подразделов КП и номерами бит подраздела «Shift step», в которых записан номер строки «Таблицы шифров», используемый Ведущим при выборе шифра;

- затем по записанному в указанных битах подраздела «Shift step» номеру строки Ведомый по своей «Таблице шифров» в разделе КП (i=0) определяет шифры, которыми пользовался Ведущий при шифровании подразделов КП;

- затем, используя полученные шифры, Ведомый расшифровывает указанный в варианте q_i перечень подразделов КП и переходит к определению формулы расчета CRC КП:

- по объему передаваемой в КП информации (признаку Рk, записанному в бите [22] подраздела «Control Field») определяется номер группы формул для расчета CRC КП;

- затем по уровню защиты информации Ys от вредоносного информационного воздействия, записанному в битах [25:24] подраздела «Таblе Line number», определяется номер формулы в группе;

- далее по номеру группы и номеру формулы внутри группы в сформированном на этапе инициализации блоке формул определяется формула расчета CRC КП, которой пользовался Ведущий;

- затем по этой формуле рассчитывается CRC КП;

- затем рассчитанная CRC шифруется, для чего по номеру строки (j), записанному в подразделе КП «Таblе Line number» в битах [31:26], по своей «Таблице шифров» в разделе CRC (z=0) Ведомый определяет шифр (n_j и lc_j), которым Ведущий зашифровал свою CRC, и, которым Ведомый шифрует рассчитанную CRC, и по битам сравнивает ее с записанной в подразделе CRC32 (биты [31:0]) пришедшего КП.

Результатом операции сравнения расчетного значения CRC КП с значением CRC, записанным в подразделе CRC32 пришедшего КП может быть два исхода, в зависимости от которого изменяется алгоритм последующих действий:

- несовпадение сравниваемых значений означает, что принятые данные отличаются от переданных, то есть целостность переданного сообщения нарушена (см. далее стр. 42, метку NSкпз*⁾);

- совпадение сравниваемых значений означает подтверждение целостности принятого сообщения (см. далее стр. 43, метку Sкпз*⁾); NSкпз*⁾: в случае несовпадения контрольных сумм КП, анализ целостности ПД не проводится, Ведомый в формате «один пакет - КП» (см. Фиг. 3а. Применяемые форматы сообщений) формирует ответное сообщение Ведущему (см. п. 1.2.2.4.), информируя его в подразделе «Control Field» в битах [20:19] о типе ответа («ответ на запись» - [1:0]), а в битах [18:16] - о невозможности выполнения присланного Ведущим запроса и причинах его невыполнения, например: «ошибка пакета» -[0:1:0], или «невозможно

прочитать данные» - [0:1:1], или «неверный адрес адресного пространства» -[1:0:0], или «запрос на повторную запись - [1:1:1].

Sкпз*⁾: - в случае полного совпадения контрольных сумм CRC КП, Ведомый по номеру группы расчета CRC ПД, указанному в подразделе КП «Shift Direction» в битах [17:16], и уровню защиты информации, указанному в подразделе КП «Таblе Line number» в битах [25:24], определяет формулу расчета CRC ПД;

- далее по этой формуле рассчитывается CRC присланного ПД;

- затем рассчитанная CRC шифруется; шифрование рассчитанной CRC осуществляется в следующей последовательности:

- сначала определяется номер строки «Таблицы шифров» (j), записанный в битах [23:18] подраздела «Shift Direction» КП;

- затем по своей «Таблице шифров», идентичной «Таблице шифров» Ведущего, в разделе CRC (z=1) по номеру строки (j) Ведомый определяет шифр (m_j и rd_j), которым Ведущий зашифровал рассчитанную им CRC ПД;

- затем Ведомый шифром (m_j и rd_j), шифрует рассчитанную CRC;

- и затем шифрованная CRC по битам сравнивается с записанной в подразделе CRC32 ПД (биты [31:0]) пришедшего ПД; результатом операции сравнения расчетного зашифрованного значения CRC с значением CRC, записанным в подразделе CRC32 пришедшего ПД могут быть два исхода, в зависимости от которого изменяется алгоритм последующих действий:

- несовпадение сравниваемых значений, означающее, что принятые данные отличаются от переданных, то есть целостность переданного сообщения нарушена (см. далее стр. 44, метку NSпд*⁾);

- полное совпадение сравниваемых значений, означающее целостность принятого сообщения (см. далее стр. 44, метку Sпд*⁾.

NSпд*⁾: в случае несовпадения сравниваемых контрольных сумм CRC ПД, Ведомый в формате «один пакет - КП» (см. Фиг. 3а. Применяемые форматы сообщений) формирует ответное сообщение Ведущему (см. п. 1.2.2.4.), информируя его в подразделе «Control Field» в битах [20:16] о том, что присланное сообщение проверку на целостность не прошло, указывая в битах [20:19] подраздела «Control Field» тип ответа («ответ на запись» - [1:0]), а в битах [18:16] -причины непрохождения проверки (см. п. 2.1. «Структура интерфейса») п. 1.2.2.6. Завершение Ведущим процедуры «запись»), например: «ошибка пакета» - [0:1:0]; или «невозможно прочитать данные» - [011]; или «неверный адрес адресного пространства» - [100]; или «неверный размер данных для записи» - [010]; Sпд*⁾: - в случае совпадения контрольных сумм ПД целостность пришедшего сообщения подтверждена и Ведомый переходит к дешифрованию присланного ПД (См. п. 1.2.2.3.)

1.2.2.3. Дешифрование Ведомым присланного шифрованного сообщения.

Дешифрирование присланного сообщения осуществляется после подтверждения его целостности (См. п. 1.2.2.2.) в следующем порядке:

- сначала Ведомый по своей «Таблице шифров», идентичной «Таблице шифров» Ведущего, в разделе «Данные» (z=2) по номеру строки (j), указанному в подразделе «Shift Direction» биты [23:18] пришедшего КП, определяет вариант логики шифрования данных (k_j) и шифры (p_j и dr_j) (см. табл.1), которыми пользовался Ведущий при шифровании данных ПД;

- затем в соответствии с логикой k_j данные ПД с помощью шифров p_j и dr_j дешифрируются.

- и затем дешифрированные актуальные данные в соответствии с указанными в ПД их идентификаторами заносятся в ОЗУ Ведомого (замещают ранее принятые) для дальнейшего использовании в работе.

После штатного завершения процедуры занесения актуальных данных в защищенную память ОЗУ Ведомым в формате «один пакет - КП» (см. Фиг. 3а. Применяемые форматы сообщений) формируется ответное сообщение Ведущему (см. п. 1.2.2.4.).

1.2.2.4. Формирование Ведомым ответного сообщения Ведущему.

Формат штатного ответного сообщения Ведомого на запрос Ведущего «на запись» - КП.

Структура КП в режиме «запись» всегда соответствует режиму «С шифрованием данных» (см. Фиг. 4. Структура КП в режиме «С шифрованием данных»).

В других режимах («Чтение» и «Невозможно выдать запрашиваемые данные») структура КП зависит от того шифруется передаваемая информация или нет. В случае шифрования передаваемой информации (Рк=1), используется 99-битовая структура (см. Фиг. 4), в случае обмена нешифрованной информацией (Рк=0) - 67-битовая (см. Фиг. 6.).

Порядок заполнения Ведомым ответного сообщения Ведущему в режиме «Запись» следующий:

Вначале заполняется первое слово служебной информации:

- в подраздел «Terminal address» биты [31:24] КП записывается адрес Ведущего;

- в подраздел «Control Field» записываются:

- в бит [23] - признак ADP=0, означающий, что в формируемом КП используются полностью все предоставленные для записи информации биты;

- в биты [22:21 перезаписываются признаки Рк и Rk, записанные соответственно в битах [22:21] подраздела «Control Field», пришедшего КП;

- в подраздел «Control Field» биты [20:16] записываются:

-в биты [20:19] - режим передачи информации «ответ на запись» (код (1:0);

-в биты [18:16] - пояснения к «ответу на запись»:

- либо «ошибок нет и нет необходимости сервисного обслуживания» - [0:0:0];

- либо «ошибок нет, но ввиду истечения срока работы Ведомого без сервисного обслуживания, необходимо его проведение» - [0:0:1];

-в подраздел «Page address» биты [15:8] записывается номер адресного пространства Ведущего;

- в подраздел «Data Size» биты [7:0] заносится число, записанных Ведомым в ОЗУ параметров.

Затем переходят к заполнению второго слова служебной информации:

-в подразделы КП «Таblе Line number» биты [31:26] и «Shift Direction» биты [23:18], поскольку формат передаваемого сообщения один пакет - КП, записывается одно и то же число, получаемое при одном обращении к ГННСЧ и идентифицируемое как номер строки (j) «Таблицы шифров» для шифрования CRC КП;

- в биты [25:24] подраздела «Таblе Line number» перезаписывается из подраздела «Таblе Line number» биты [25:24] пришедшего КП заданный уровень защиты информации «Ys»;

-в биты [17:16] подраздела «Shift Direction)) записываются-«00» и приемником не читаются;

-далее в подраздел «Shift step» биты [15:10] перезаписывается «кодовое слово», присланное Ведущим в подразделе «Shift step» биты [15:10] КП «запроса на запись», позволяющее существенно упростить процедуру опознавания Ведущим ответа Ведомого на заданный запрос и существенно затруднить возможность подмены штатного устройства вредоносным;

- в биты [9:8] подраздела «Shift step» перезаписывается значение q_i, которое было прислано Ведущим в битах [9:8] подраздела «Shift step» КП при «запросе на запись»;

- в подраздел КП «Terminal Stamp» биты [7:0], Записывается цифровой отпечаток Ведомого - терминала, который посылает сообщение.

Затем определяется формула для расчета контрольной суммы КП:

- сначала определяется номер группы формул для расчета CRC КП, зависящий от объема передаваемой в КП информации, то есть от признака шифрования «Рк», записанного в бите [22] подраздела «Control Field)) КП;

- далее - номер формулы расчета CRC КП в этой группе, зависящий от признака - «Ys», записанного в битах [25:24] подраздела «TableLine number)) отсылаемого КП;

- далее по номеру группы формул расчета CRC и номеру формулы формулы внутри группы определяется формула расчет CRC КП. Далее по формуле, непосредственно рассчитывается CRC КП. Далее по номеру строки (j), записанному в подразделе КП «Table Line number» в битах [31:26] в своей «Таблице шифров», в разделе CRC (z=0) Ведомый определяет шифр (n_j и lc_j), используя который шифрует CRC и в зашифрованном виде заносит его в подраздел CRC32 КП.

Затем из рандомизированного набора вариантов сочетаний подразделов КП, подлежащих шифрованию I₀(q_i), выбирается вариант под номером q_i=2, в котором определены перечень дополнительно шифруемых подразделов и номера бит подраздела «Shift step», в которых указан номер строки, по которой в разделе CRC (z=0) «Таблицы шифров» определяются шифры (n_j и lc_j), для шифрования соответствующих подразделов КП.

Далее зашифрованная этим шифром информация заносится (заменяет нешифрованную) в соответствующие подразделы КП. Этой операцией завершающей процесс по формированию КП для отправки Ведущему.

Затем сформированный Ведомым КП отсылается Ведущему (См. п. 1.2.2.5.).

1.2.2.5. Проверка Ведущим целостности ответного сообщения Ведомого.

Ведущий получает предназначенное ему сообщение (КП), выделяя его из потока сообщений по адресу, записанному в подразделе КП «Terminal address» биты [31:24], и вначале проверяет его на целостность.

Так как в режиме «Запись» признак Рк=1, то есть Ведомый всегда передает Ведущему зашифрованную информацию, используя 99-ти битовую структуру КП (см. Фиг. 4. Структура КП в режиме «С шифрованием данных» и Табл. 2. Структура подразделов КП… (режим «С шифрованием данных»)), и всегда использует алгоритм шифрования повышенной сложности (q_i не равно нулю), логика проверки пришедшего сообщения на целостность следующая:

- в начале, в соответствии с номером q_i, занесенным в биты [9:8] подраздела «Shift step» пришедшего КП, Ведущий из своего рандомизированного набора вариантов I₀(q_i), где q_i=1,3 (см. п. 1.1.) выбирает вариант q_i=2 с указанными в нем перечнем зашифрованных подразделов КП и номерами ячеек подраздела «Shift step», в которых записан номер строки «Таблицы шифров», использованный Ведомым при выборе шифра;

- далее по указанному номеру строки Ведущий по своей «Таблице шифров» в разделе КП (i=0) определяет шифры (n_j и lc_j), которыми пользовался Ведомый при шифровании информации в указанных в варианте q_i=2 подразделах КП;

- затем, используя полученные шифры, Ведущий расшифровывает информацию, записывает ее в соответствующие подразделы КП вместо зашифрованной;

- далее определяется формула расчета CRC КП:

- сначала по объему передаваемой в КП информации (признаку Рк, записанному в бите [22] подраздела «Control Field») определяется номер группы формул для расчета CRC КП;

- затем по уровню защиты информации Ys от вредоносного информационного воздействия, записанному в битах [25:24] подраздела «Таblе Line number», определяется номер формулы в группе;

- далее по номеру группы и номеру формулы внутри группы в сформированном на этапе инициализации блоке формул Ведущим определяется формула расчета CRC КП, которой пользовался Ведомый.

- затем по этой формуле непосредственно рассчитывается CRC КП;

- затем CRC шифруется:

- сначала по номеру строки (j), записанному в подразделе КП «Таblе Line number» в битах [31:26], по своей «Таблице шифров» в разделе CRC (z=0) Ведущий определяет шифр (n_j и lc_j), которым Ведомый зашифровал свою рассчитанную CRC;

- затем, используя этот шифр, Ведущий шифрует рассчитанную CRC;

- затем зашифрованная CRC по битам сравнивается с записанной в подразделе CRC32 (биты [31:0]) пришедшего КП; результатом операции сравнения расчетного зашифрованного значения CRC с значением CRC, записанным в подразделе CRC32 пришедшего КП может быть два исхода:

- несовпадение сравниваемых значений, означающее, что принятые данные отличаются от переданных, то есть целостность переданного сообщения нарушена;

- совпадение сравниваемых значений CRC, означающее, что целостность принятого сообщения подтверждена.

В зависимости от результата сравнения Ведущим принимаются различные решения:

- при нарушении целостности принятого КП Ведущим в логике системного алгоритма проводится анализ причин нарушения целостности, оцениваются возможные варианты исправления ситуации и принимается решение о последующих действиях, к которым относятся:

- передающее устройство неисправно - необходима техническая замена Ведомого устройства резервным устройством;

- проблема приема/передачи - необходимо повторение «запроса на запись» к этому Ведомому с параметрами, обеспечивающими более высокий уровень защиты системы от вредоносного информационного воздействия. Решение о необходимости повторения «запроса на запись» Ведущим принимается при отсутствии непреодолимых причин для его выполнения и достаточности оставшегося временного запаса (tзaпac_i), который должен быть больше максимально необходимого времени работы i-того Ведомого при штатном осуществлении процедуры «запись» (tзапись_i):

tзaпac_i=(tотв_i - tзaтp_i), где: tотв_i - время, отведенное Ведущим на работу с i-тым Ведомым в режиме «запись», предусматривающее возможность повторения процедуры в текущем сеансе связи после проверки Ведомым целостности пришедшего ПД, равное:

tотв_i - (t*зaтp_i+tзaпиcь_i), где

t*зaтp_i - максимальное время работы i-того Ведомого от момента получения им запроса Ведущего до момента завершения проверки целостности ПД;

tзaпиcь_i - максимальное время работы i-того Ведомого от момента получения им запроса Ведущего до момента штатного завершения процедуры «запись» (до момента отправки КП Ведущему о штатном завершении процедуры «запись»); tзaтp_i - реальное время, затраченное i-тым Ведомым от момента получения запроса Ведущего на запись» до момента оценки целостности пришедшего сообщения (tзaтp_i<=t*затр_i). Но поскольку, после проверки целостности КП оставшийся временной запас всегда больше времени, необходимого для повторного проведения процедуры «запись» (tзaпac_i>tзапись_i), то возможность повторного запроса в этом случае всегда остается, а целесообразность повторного запроса сохраняется при наличии возможности устранения причин невыполнения первого запроса, например, «исправлением адреса адресного пространства», «уточнением размера данных для записи» или устранением другой выявленной ошибки. Окончательное решение о повторении «запроса» к данному Ведомому в данном цикле работы с ним или о переходе к работе с другим Ведомым принимается в соответствии с априори разработанным системным алгоритмом, одной из задач которого является обеспечение заданных требований по циклу обмена с Ведомыми в режиме «запись» при имеющихся технических возможностях системы - при полном совпадении сравниваемых значений CRC КП, означающем, что целостность принятого сообщения от данного Ведомого подтверждена, Ведущим в соответствии с системным алгоритмом принимается решение о формировании нового «запроса на запись» к следующему Ведомому, либо, при завершении режима «запроса на запись» для всех Ведомых и о переходе к режиму «чтение». 1.2.2.6. Завершение Ведущим процедуры «запись».

При штатном завершении процедуры «запись» в принятых от каждого Ведомого сообщениях в подразделе «Control Field» КП в битах [20:19] записаны цифры [1:0], сообщающие о том, что выполняемая Ведомым операция - «ответ на запись», а запись в битах [18:16] этого подраздела - нулей ([0:0:0]), фиксирует «отсутствии ошибок при выполнения запроса». Такие сообщения Ведущий воспринимает как сигнал готовности каждого Ведомого к дальнейшей работе. Получив сигнал готовности к работе от всех Ведомых системы Ведущий может начать непосредственно штатную работу - «режим чтение»: получать информацию от Ведомых и передавать ее в АСУ для управления объектом. 1.2.3. Режим «чтение».

1.2.3.1. Формирование запроса Ведущего Ведомому «на чтение».

В режиме «запрос на чтение» Ведущий последовательно опрашивает каждого Ведомого системы и получает от них необходимую информацию (запрос Ведущего к конкретному Ведомому в виде КП, ответ конкретного Ведомого Ведущему в виде КП+ПД - малый цикл в режиме «запрос на чтение»; число малых циклов равно числу Ведомых в системе). Получив информацию от всех Ведомых, Ведущий объединяет полученные данные в информационный массив, привязывает его ко времени и передает его в АСУ для формирования сигнала управления объектом (большой цикл в режиме «запрос на чтение»).

Режим «запрос на чтение» отличается от режима «запрос на запись» тем, что от Ведущего Ведомому уходит сообщение в формате «КП», а ответное сообщение Ведомого приходит в формате «КП+ПД». Процедуры же формирования пакетов остаются теми же и для шифрования пакетов применяются та же последовательность операций, что описаны выше.

Процедура формирования и шифрования КП Ведущего в режиме «чтение» соответствует приведенной выше (см. п. 1.2.2.1.), но в логике принятого системного алгоритма, который определяет последовательность обращений и чередование «запросов» к Ведомым. В процедуре предусматривается прерывание обращений для проведения сервисного обслуживания и повторение «запросов» для уточнения ранее полученной информации. Параметры и признаки, определяющие условия работы системы (уровень вредоносного информационного противодействия, признаки использования шифрования и применяемого алгоритма шифрования передаваемой информации), задаются в исходных данных непосредственно перед началом штатной работы (см. п. 1.2.1.). Заполнение подразделов КП Ведущего при «запросе на чтение», независимо от того применяется ли режим шифрования информации или нет, всегда начинается с заполнения первого слова служебной информации:

Сначала подразделы КП заполняются параметрами и признаками, которые определяют режим работы системы:

- количество слов, которое должен передать Ведомый Ведущему в ответном сообщении в сформированном ПД - Nзад_i (Nзад_i=<256), записывается в подраздел «Data size» биты [7:0];

- режим передачи информации - запрос Ведущего на «чтение» (в подраздел «Control Field» в биты [20:19] записывается «01», (см. Табл. 2.);

- адресное пространство откуда прочитать информацию записывается в подраздел «Control Field» в биты [18:16]) причем, при чтении из адресного пространства данных в биты записывается «000», а при чтении из адресного пространства конфигурации - «111», (см. Табл. 2.);

- режим шифрования «Rк» записывается в подраздел «Control Field» в бит [21] в соответствии с исходными данными (записывается «0» при шифровании КП и ПД по единому шифру и «1» при шифровании КП и ПД по разным шифрам);

- признак шифрования «Рк» - в подраздел «Control Field» бит [22] в соответствии с исходными данными - при работе с шифрованием Рк:=1, без шифрования Рк:=0;

- признак «ADP» (признак предоставления Ведомому максимального объема памяти (32 бита) для записи в ПД прочитанных данных) – в подраздел ((Control Field» бит [23] записывается «О». Затем - переменными данными, определяемыми логикой работы системного алгоритма:

- адрес удаленного терминала, к которому в соответствии с системным алгоритмом в данный момент обращается Ведущий записывается в подраздел ((Terminal address» биты [31:24]);

- номер адресного пространства удаленного терминала, к которому, в соответствии с системным алгоритмом, в данный момент обращается Ведущий - в подраздел ((Page address» биты [15:8].

Дальнейшая последовательность действий зависит от признака шифрования информации Рk:

а) При Рк=0 (информация не шифруется) Ведущий в режиме «запрос на чтение» использует 67-ми битовую структуру КП (см. Фиг. 6.), содержащую только одно слово служебной информации, после заполнения которого переходят к определению формулы расчета CRC КП (см. стр. 56, метка OprF_CRC^кпзч)). При этом признак Ys, характеризующий уровень вредоносного информационного воздействия на систему и необходимый в дальнейшем для определения формулы расчета CRC КП в структуре первого служебного слова не содержится, в этом случае он принимается равным минимальному значению (Ys=1).

б) Если Рk=1 (информация шифруется), переходят к заполнению второго слова служебной информации:

- сначала второе слово КП заполняется постоянными параметрами и признаками из состава исходных данных, которые определяют режим режим работы системы:

- уровень защиты информации от вредоносного информационного воздействия - Ys, где (подраздел «Table Line number» биты [25:24]);

- потом - параметрами, получаемыми с помощью ГННСЧ, идентифицируемыми как номера строк «Таблицы шифров» для шифрования КП:

- в режиме работы Ведущего «запрос на чтение», когда пересылается и шифруется только КП, в подраздел «Table Line number» биты [31:26], идентифицируемый как «номер строки «Таблицы шифров» для шифрования КП», и в подраздел ((Shift Direction)) биты [23:18], идентифицируемый как «номер строки «Таблицы шифров» для шифрования ПД», записывается одно и то же число, получаемое при одном обращении к ГННСЧ;

- в режиме работы Ведущего «запрос на чтение», когда пересылается и шифруется только КП, подраздел «Shift Direction)) биты [17:16], в которых должен быть записан номер группы формул для расчета CRC ПД, заполняются «00» и

Ведомым не читаются;

-далее заполняется в КП подраздел «Shift step» биты [15:10] «кодовым «кодовым словом», представляющим собой случайное число, вырабатываемое ГННСЧ, вводимое в каждый КП, посылаемый Ведущим, для затруднения возможности подмены штатного Ведомого вредоносным и повышения уровня безопасности системы, поскольку системный алгоритм предусматривает обязательное повторение Ведомым кодового слова в КП ответного сообщения;

- затем два бита [9:8] подраздела «Shift step» заполняются признаком q_i, значение которого берется из исходных данных:

- при значении q_i равном любому натуральному числу из набора чисел 1, 2 или 3, применяется алгоритм шифрования повышенной сложности, в котором признак идентифицируется как номер варианта рандомизированного набора сочетаний шифруемых подразделов КП с указанием места записи номера строки «Таблицы шифров», в которой записаны шифры для шифрования подразделов (см. п. 1.2.1. «Исходные данные для работы»);

- присвоение признаку q_i нуля (в биты [9:8] подраздела «Shift step» заносятся [0:0]) означает, что алгоритм шифрования повышенной сложности не применяется, ввиду малой вероятности вредоносного информационного воздействия на систему;

- затем в подраздел КП «Terminal Stamp» биты [7:0], записывается цифровой отпечаток терминала, который посылает «запрос», в данном случае цифровой отпечаток Ведущего.

Далее необходимо заполнить подраздел CRC 32 КП, но для этого сначала определяется формула расчета CRC КП (см. стр. 56, метка OprF_CRC^кпзч)). OprF_СRC^кпзч): Для определения формулы расчета CRC КП необходимо определить номер группы для расчета CRC и номер формулы в группе:

- сначала определяется номер группы формул для расчета CRC КП, зависящий от объема передаваемой в КП информации, а поскольку, в режиме «с шифрованием» информации, когда Рk=1, объем передаваемой в КП информации составляет 99 бит, а в режиме «без шифрования» информации, когда Рk=0, -67 бит, фактически зависящий от признака шифрования Рk, занесенного в бит [22] подраздела «Control Field» КП;

- затем определяется номер формулы расчета CRC КП в этой группе, зависящий от признака «Ys», занесенного при Рk=1 в биты [25:24] подраздела «Таblе Line number» КП, а при Рk=0 принимаемому равным единице (Ys=l);

- далее по формуле расчета CRC КП, которая определяется по выше определенному номеру группы формул расчета CRC и номеру формулы внутри группы, непосредственно рассчитывается CRC КП, которая:

- в случае работы системы «без шифрования» передаваемой информации заносится в подраздел CRC32 КП и сформированное КП пересылается Ведомому (далее см. п. 1.2.3.2.).

- в случае работы системы «с шифрованием» информации, рассчитанное CRC КП сначала шифруется, а затем в зашифрованном виде заносится в подраздел CRC32 КП; шифрование рассчитанной CRC КП производится в следующей последовательности:

- по номеру строки (j), записанному в подразделе КП «Таblе Line number» в битах [31:26], в разделе CRC (z=0) «Таблицы шифров» Ведущий определяет шифр (n_j и lc_j);

- используя этот шифр, Ведущий шифрует CRC и в зашифрованном виде заносит его в подраздел CRC32 КП;

- затем анализируется признак q_i и:

- если признаку q_i, занесенному в биты [9:8] подраздела «Shift step», присвоено любое из трех возможных натуральных чисел (1, 2 или 3), применяется алгоритм шифрования повышенной сложности, в котором дополнительно шифруются соответствующие варианту q_i подразделы КП (перечень шифруемых подразделов КП и место записи номера строки «Таблицы шифров», в которой записаны шифры, для шифрования подразделов указываются в принятом варианте q_i); после шифрования этих подразделов и занесения их вместо нешифрованных, КП полностью сформирован и в сформированном виде пересылается Ведомому (далее см. п. 1.2.3.2.);

- если признаку q_i, занесенному в биты [9:8] подраздела «Shift step», присвоен «0» ([0:0]) - алгоритм шифрования повышенной сложности не применяется - подразделы КП не шифруются; КП в сформированном виде пересылается Ведомому (далее см. п. 1.2.3.2.).

1.2.3.2. Проверка Ведомым целостности присланного сообщения.

Процедура проверки Ведомым целостности присланного Ведущим сообщения в режиме «запрос на чтение» аналогична приведенной в режиме «запрос на запись» (см. п. 1.2.2.2.) и отличается от нее лишь тем, что присланное сообщение содержит один пакет - КП (см. Фиг. 3б. Формат сообщений в режиме «Чтение»).

В данном случае процедура проверки целостности представляет собой следующую последовательность действий:

- вначале Ведомый выделяет направленное ему Ведущим сообщение по адресу, записанному в подразделе КП «Terminal address» биты [31:24];

- затем по признаку шифрования Рk, записанному в подразделе «Control Field» бит [22] КП, им определяется логика последующих действий, которая при получении шифрованной информации (Рk=1) приведена на стр. 58, метка L_пцз*⁾, а при нешифрованной информации (Рk=0) - на стр. 61, метка L_пцн*⁾,): L_пцз*⁾: Если Рk=1- Ведущий передал Ведомому зашифрованную информацию и использовал для передачи 99-ти битовую структуру КП (см. Фиг. 4. Структура КП в режиме «С шифрованием данных» и Табл. 2. Структура подразделов КП в режимах «С шифрованием данных» и «Без шифрования данных»). Но признак Рk позволяет определить лишь факт шифрования и не позволяет определить примененный Ведущим алгоритм шифрования. Для определения алгоритма шифрования, примененного Ведущим, необходимо дополнительно, проанализировать признак q_i:

- при значении q_i равном нулю (q_i=0), записанном в битах [9:8] подраздела «Shift step» как [0:0], дополнительное шифрование подразделов КП не производилось; Ведущим применялось стандартное шифрование (шифрование CRC КП) и Ведомый сразу переходит к определению формулы расчета CRC КП (см. стр. 60 метка OprF_CRC^цкп));

- при любом из трех значений q_i не равном нулю (q_i=1, q_i=2 или q_i=3), записанном в двоичном виде в битах [9:8] подраздела «Shift step» КП, означающем, что Ведущий применил дополнительный алгоритм шифрования (шифрование подразделов КП), прежде чем непосредственно определять целостность пришедшего сообщения необходимо расшифровать зашифрованные в соответствии с вариантом q_i подразделы КП.

Для этого:

а) В соответствии с номером q_i, занесенным в биты [9:8] подраздела «Shift step» пришедшего КП, и рандомизированного рабочего набора вариантов I₀(q_i)

Ведомого, где (см. п. 1.1.) выбирается вариант q_i, с указанными в нем перечнем зашифрованных подразделов КП и номерами ячеек подраздела «Shift step», в которых записан номер строки «Таблицы шифров», использованной Ведущим при выборе шифра;

б) По указанному номеру строки (j) Ведомый по своей «Таблице шифров» в разделе КП (i=0) определяет шифры (n_j и lc_j), которыми пользовался Ведущий при шифровании подразделов КП;

в) Используя полученные шифры, Ведомый расшифровывает указанный в варианте q_i перечень подразделов КП, заменяет шифрованную информацию соответствующих подразделов на расшифрованную и переходит к определению формулы расчета CRC КП (см. стр. 60, метка OprF_CRC^цкп)). OprF_СRС^цкп): - сначала по объему передаваемой в КП информации (признаку Рк, записанному в бите [22] подраздела «Control Field») определяется номер группы формул для расчета CRC КП;

- затем по уровню защиты информации Ys от вредоносного информационного воздействия, записанному в битах [25:24] подраздела «Table Line number» - номер формулы в группе;

- далее по номеру группы и номеру формулы внутри группы в сформированном на этапе инициализации блоке формул определяется определяется формула расчета CRC КП, которой пользовался Ведущий (если, предварительно, на этапе инициализации после разбиения формул на группы проводился выбор формулы расчета CRC внутри группы для заданного в исходных данных «Ys», то процедура определения формулы сводится к определению только номера группы, поскольку в выбранной группе содержится лишь одна формула, соответствующая заданному «Ys»);

- затем по этой формуле рассчитывается CRC КП;

- далее, рассчитанная CRC шифруется, для этого:

- сначала Ведомым по номеру строки (j), записанному в Битах [31:26] подраздела КП «Таblе Line number», по своей «Таблице шифров» в разделе CRC (z=0) определяется шифр (n_j и lc_j), которым Ведущий перед отправкой сообщения зашифровал рассчитанную CRC;

- затем, используя этот шифр, Ведомый шифрует рассчитанную CRC;

- далее шифрованная CRC по битам сравнивается с записанной в подразделе CRC32 (биты [31:0]) пришедшего КП;

- далее в зависимости от результата сравнения контрольных сумм могут иметь место два исхода:

- несовпадение сравниваемых значений, означающее, что принятые данные отличаются от переданных, то есть целостность переданного сообщения нарушена;

- полное совпадение сравниваемых значений, означающее подтверждение целостности принятого сообщения;

- и каждый исход определяет свой алгоритм формирования Ведомым ответного сообщения Ведущему:

- в случае несовпадения контрольных сумм КП, Ведомый в формате «один пакет - КП» информирует Ведущего о нештатном завершении процедуры «чтение» (см. п. 1.2.3.3., стр. 62, метка Nкпч*^});

- в случае полного совпадения контрольных сумм CRC КП, целостность пришедшего сообщения подтверждена и Ведомый переходит к штатному выполнению заданной программы «чтение» (см. п. 1.2.3.3.,стр. 67, метка Sкпч*⁾). L_пцн*⁾: Если Рк=0 - Ведущий передал Ведомому не зашифрованную информацию и использовал для ее передачи 67-ми битовую структуру КП (см. Фиг. 6. Структура КП в режиме «Без шифрования данных» и Табл. 2. Структура подразделов КП в режимах «С шифрованием данных» и «Без шифрования данных»). Для подтверждения целостности не зашифрованной информации необходимо и достаточно побитового совпадения рассчитанной по данным пришедшего КП контрольной суммы (CRC КП) с занесенной в CRC32 КП. Формула расчета контрольной суммы в группе Рк=0 определяется по заданному в исходных данных признаку «Ys». Результатом операции побитового сравнения расчетного значения CRC со значением CRC, записанным в подразделе CRC32 пришедшего КП, может быть два исхода:

- несовпадение сравниваемых значений CRC КП, означающее, что целостность переданного сообщения нарушена;

- полное совпадение сравниваемых значений контрольных сумм CRC КП, означающее подтверждение целостности принятого сообщения;

- и каждый исход определяет свой алгоритм формирования Ведомым ответного сообщения Ведущему:

- в случае несовпадения контрольных сумм КП, Ведомый в формате «один пакет - КП» информирует Ведущего о нештатном завершении процедуры «чтения» (см. п. 1.2.3.3., стр. 62, метка Nкпч*⁾);

- в случае полного совпадения контрольных сумм CRC КП, целостность пришедшего сообщения подтверждена и Ведомый переходит к штатному выполнению заданной программы «чтение» (см. п. 1.2.3.3., стр. 67, метка Sкпч*⁾).

1.2.3.3. Формирование Ведомым ответного сообщения Ведущему Формат ответного сообщения Ведомого на запрос Ведущего на «чтение» зависит от результата проверки присланного Ведущим сообщения (КП) на целостность (см. п. 1.2.3.2.), которая определяется по совпадению контрольных сумм отправленного и принятого сообщений. При несовпадении контрольных сумм КП последовательность формирования ответного сообщения формата приведена на стр. 62 (метка Nкпч*⁾), при совпадении контрольных сумм КП - на стр. 67 (метка Sкпч*⁾).

Nкпч*⁾: При несовпадении контрольных сумм КП (целостность пересылаемой информации нарушена), Ведомый в формате «один пакет - КП» информирует Ведущего о невозможности исполнения присланного Ведущим «запроса на чтение» и причинах его неисполнения, при этом подразделы КП заполняются в следующей последовательности (см. Фиг. 7. «Формирование Ведомым ответного сообщения Ведущему в режиме «чтение» при нарушении целостности входящего сообщения»):

- вначале, независимо от того шифруется передаваемая информация или нет, аналогично изложенному в п. 1.2.2.4, заполняются подразделы первого слова КП, а именно:

- в подраздел «Terminal address» биты [31:24] КП записывается адрес Ведущего;

- в подраздел «Control Field»:

- в бит [23] переписывается значение признака «ADP» из «Control Field» бит [23] КП, пришедшего от Ведущего (ADP=0), поскольку к заполнению ПД в этом случае Ведомый даже не приступил;

- в бит [22] перезаписывается признак шифрования информации «Рk» из «Control Field» бит [22] КП, пришедшего от Ведущего;

(При работе системы в режиме «С шифрованием» («Рк=1») для передачи информации используется 99-ти битовая структура КП и, в зависимости от необходимой степени защиты информации, применяется либо стандартное шифрование (при q_i=0), когда шифруются CRC КП, CRC ПД, и данные ПД и шифрованными заносятся в соответствующие подразделы КП и ПД, либо шифрование повышенной сложности (при q_i равном 1 или 2, или 3)), когда к шифрованию CRC КП, CRC ПД и данных ПД добавляется шифрование подразделов КП, указанных в варианте q_i.

При работе системы в режиме «Без шифрования» («Рк=0») для передачи информации используется 67-ми битовая структура КП, и рассчитанные незашифрованные CRC КП, CRC ПД и данные ПД заносится в соответствующие подразделы КП и ПД (при Рк=0 шифрование подразделов КП так же не применяется; признак q_i в логике работы системы не используется)).

- в бит [21] перезаписывается признак режима шифрования «Rk» из подраздела «Control Field» бит [21] КП, пришедшего от Ведущего;

-в биты [20:19] записывается [1:1], что означает

- «ответ Ведомого на чтение», а в биты [18:16] - причина отказа в выполнении запроса из перечня предусмотренных:

- «Ошибка пакета» - [010];

- «Невозможно прочитать данные» - [011];

- «Неверный адрес адресного пространства» - [100];

- «Неверный размер данных для записи» - [101];

- в подраздел «Page address» биты [15:8] записывается номер адресного пространства Ведущего;

- в подраздел «Data Size» биты [7:0] записывается ноль, так как, ввиду нарушения целостности полученного КП, Ведомый даже не приступил к чтению заданных слов; - затем анализируется признак шифрования информации - Рk:

а) Если Рk=0 (в бит [22] подраздела «Control Field» КП занесен «0») - второе слово не заполняется и информация не шифруется, а сразу определяется формула расчета CRC КП (см. стр. 65, метка RasF_отв*⁾).

б) Если Рк=1 (в бит [22] подраздела «Control Field» КП занесена «1»), то передаваемая информация шифруется; в этом случае, аналогично изложенному в п. 1.2.2.4, заполняется второе слово КП, причем:

- в подразделы КП «Таblе Line number» биты [31:26] и «Shift Direction)) биты [23:18] записывается одно и то же число, получаемое при одном обращении к ГННСЧ, идентифицируемое как номер строки «Таблицы шифров» для шифрования КП, так как формат передаваемого сообщения один пакет - КП;

- в подраздел «Таblе Line number» биты [25:24] записывается обеспечиваемый (заданный) уровень защиты информации «Ys» (значение переносится из подраздела «Таblе Line number» биты [25:24] пришедшего КП), а в подраздел «Shift Direction)) биты [17:16] записываются нули, так как в данном случае ПД не сформировался и формат передаваемого сообщения - КП (информация для записи в биты [17:16] подраздела «Shift Direction)) КП до формирования ПД. Отсутствует; запись в указанные биты осуществляется после формирования ПД);

- далее в подраздел «Shift step» биты [15:10] переписывается «кодовое слово», присланное Ведущим в подразделе «Shift step» биты [15:10] КП «запроса на чтение», позволяющее существенно упростить процедуру опознавания Ведущим ответа Ведомого на заданный запрос и существенно затруднить возможность подмены штатного устройства вредоносным. В биты [9:8] подраздела «Shift step» переносится q_i из подраздела «Shift step» биты [9:8] КП, пришедшего от Ведущего;

- в подраздел КП «Terminal Stamp» биты [7:0] заносится цифровой отпечаток Ведомого - терминала, который посылает сообщение;

- затем определяется формула расчета CRC КП (см. стр. 65, метка RasF_отв*⁾).

RasF_отв*⁾ - для определения формулы расчета CRC КП последовательно осуществляются следующие действия:

- сначала определяется номер группы формул для расчета CRC КП, зависящий от признака шифрования «Рк», записанного в бите [22] подраздела «Control Field» формируемого КП;

- затем определяется номер формулы расчета CRC КП в этой группе, зависящий от признака уровня защиты информации «Ys», занесенного в биты [25:24] подраздела «Таblе Line number», если Рк=1, или заданного в исходных данных, если Рk=0 (см. п. 1.2.1.);

- далее по выше определенным номеру группы формул расчета CRC и номеру формулы внутри группы формул определяется формула расчета CRC КП;

- далее по этой формуле непосредственно рассчитывается CRC КП;

- затем вновь анализируется признак шифрования информации Рk:

- если Рk=0, то рассчитанная и не зашифрованная CRC КП непосредственно заносится в подраздел CRC32 КП; после выполнения этой операции КП полностью сформирован и готов к отправке Ведущему (далее см. стр. 75, метка Otprl*⁾);

- если Рк=1, то по номеру строки (j), записанному в подразделе КП «TableLine number» в битах [31:26]), по своей «Таблице шифров» в разделе CRC (z=0) Ведомым определяется шифр (n_j и lc_j), которым шифруется CRC:

- в случае применения стандартного шифрования КП (q_i=0), операция занесения в CRC32 КП зашифрованного CRC завершает процесс формирования КП; КП готов к отправке Ведущему (далее см. стр. 75, метка Otpr1*⁾);

- если же применяется алгоритм повышенной сложности шифрования (q_i, записанный в битах [9:8] подраздела «Shift step», заполняемого КП не равно нулю), то после операции занесения в подраздел CRC32 КП Ведомого зашифрованного CRC из рандомизированного набора вариантов I₀(q_i), где где (см. п. 1.1.), выбирается вариант, соответствующий q_i, в котором указан перечень подразделов КП, которые требуется зашифровать и номера ячеек подраздела «Shift step», в которых записан номер строки «Таблицы шифров», из которой в разделе CRC (z=0) берется шифр для их шифрования; зашифрованная этим шифром информация подразделов КП замещает ранее записанную информацию соответствующих подразделов; операция замещения ранее записанной в подразделах незашифрованной информации зашифрованной завершает процесс формирования КП (далее см. стр. 75, метка Otpr1*⁾). S_кпч*⁾_: При полном совпадении контрольных сумм КП, когда целостность пришедшего сообщения подтверждена, Ведомым готовится ответное сообщение в формате «КП+ПД» в следующей последовательности (см. Фиг. 8. «Формирование Ведомым ответного сообщения Ведущему в режиме «чтение» при подтверждении целостности входящего сообщения»):

- вначале в первое слово формируемого КП перезаписываются из полученного КП параметры, определяющие условия работы Ведомого:

- в бит [22] подраздела «Control Field» - признак шифрования информации «Рk» из подраздела «Control Field» бит [22] КП, пришедшего от Ведущего;

- в бит [21] подраздела «Control Field» - признак режима шифрования «Rk» из подраздела «Control Field» бит [21] КП, пришедшего от Ведущего;

- затем записываются параметры, уточняющие адресацию и вид данного передаваемого сообщения:

- в подраздел «Terminal address» биты [31:24] КП записывается адрес терминала, которому адресовано сообщение (в данном случае Ведущего);

- в биты [20:19] подраздела «Control Field» записывается признак передачи информации [1:1], означающий - ответ на «запрос на чтение»;

- в подраздел «Page address» биты [15:8] записывается номер адресного пространства терминала, которому адресовано обращение (в данном случае Ведущего) (информация для записи в незаполненные биты [18:16] и [23] подраздела «Control Field» и в биты [7:0] подраздела «Data Size» КП до формирования ПД отсутствует; запись в указанные биты КП осуществляется после формирования ПД);

- затем анализируется признак Рk:

- если признак Рk=0 (применяется режим работы системы «Без шифрования» и структура КП содержит только одно слово служебной информации) далее переходят к формированию ПД (см. стр. 69, метка Рпд*⁾).

- если признак Рk=1 - применяется режим работы системы «С шифрованием» передаваемой информации и структура КП содержит два слова служебной информации; в этом случае во второе слово служебной информации формируемого КП вначале перезаписываются из полученного КП следующие параметры:

- уровень защиты информации от вредоносного информационного воздействия (Y₃) - из подраздела «Таblе Line number» биты [25:24] пришедшего КП в подраздел «Таblе Line number» биты [25:24] формируемого;

- номер варианта перечня шифруемых подразделов КП (признак q_i) - из подраздела «Shift step» биты [9:8] пришедшего КП в биты [9:8] подраздела «Shift step» формируемого;

- «кодовое слово», присланное Ведущим в подразделе «Shift step» (биты [15:10]), - в подраздел «Shift step» биты [15:10] формируемого КП,

- затем в биты [31:26] подраздела КП «Таblе Line number» и биты [23:18] подраздела «Shift Direction)) записываются:

- при Rk=l различные числа, получаемые при последовательном двукратном обращении к ГННСЧ и идентифицируемые, как номера строк «Таблицы шифров», в которых определены шифры для шифрования, соответственно, КП и ПД;

- при Rk=0 одно и то же число, получаемое при однократном обращении к ГННСЧ и идентифицируемое как единый номер строки «Таблицы шифров» для шифрования КП и ПД;

- далее в подраздел «Terminal Stamp» биты [7:0] КП заносится цифровой отпечаток Ведомого, отправляющего сообщение (информация для записи в незаполненные биты [17:16] подраздела «Shift Direction)) КП номера группы формулы расчета CRC ПД до формирования ПД отсутствует. Запись в указанные биты КП осуществляется после формирования ПД);

- и далее переходят к формированию ПД (см. стр. 69, метка Fпд*⁾).

Fпд*⁾: В формируемый ПД записываются текущие значения измеряемых и контролируемых каждым Ведомым параметров. Например, количество обслуживаемых модулей по типам, количество обслуживаемых аналоговых и дискретных датчиков и их выходные данные, состояние технологических блокировок и защит, состояние резервируемых систем, результаты проведения проверок удовлетворения требованиям, данные регистратора хроники событий и т.д. Под запись каждому параметру отведено два 32-разрядных слова. Одно - для записи идентификатора параметра, второе - для записи его значения. Максимальное число 32-битных слов, которое может записать Ведомый в ПД не менее 256 (Nзад_i=<256). Место параметра в ПД определяется единым алгоритмом системы, позволяющим Ведомому записывать, а Ведущему читать присланные сообщения без дополнительных уточнений. При использовании Ведомым для записи параметра лишь части предоставленного объема (менее предоставленных для записи слова 32 бит) в конце записи каждого параметра ставится идентификатор конца записи - «F». Начало записи каждого параметра обозначается индексом «n». По окончанию последней записи в ПД ставится идентификатор конца записи ПД - «FF». Все значения измеряемых и контролируемых параметров, служебные слова и их идентификаторы заносятся в ПД.

После завершения записи в ПД текущих значений измеряемых и контролируемых параметров, их служебных характеристик и идентификаторов для обеспечения надежной проверки целостности получаемого Ведущим пакета (ПД) Ведомым предусматривается расчет контрольной суммы (CRC ПД) и ее запись в подраздел CRC32 ПД. Процедура формирования CRC ПД зависит от режима работы системы. При работе системы в режиме «С шифрованием» передаваемой информации (Рk=1), все занесенные в ПД данные сначала шифруются, затем по этим данным рассчитывается CRC ПД, которая также шифруется, а при работе системы в режиме «Без шифрования» передаваемой информации (Рk=0) шифрование ПД и CRC ПД не предусматривается:

- если режим работы системы «С шифрованием» передаваемой информации (Рk=1), то:

- сначала по номеру строки «Таблицы шифров» для шифрования ПД, занесенному в биты [23:18] подраздела «Shift Direction)) Формируемого КП, в подразделе своей «Таблицы шифров» (i=1; z=2) Ведомым определяются шифры (dr_j и p_j) и логика их применения (k_j) для шифрования данных ПД;

- затем шифрами (dr_j и p_j) в логике (k_j) данные ПД шифруются и ими замещаются, ранее занесенные в ПД, нешифрованные данные;

- далее по объему данных, записанных в ПД, (числу бит, занятых под запись прочитанных (заданных к прочтению) параметров, их служебных характеристик (типа «n», «F» и «FF»), и их идентификаторов, а также 32 бит под запись CRC ПД) определяется номер группы формул для расчета CRC ПД, который сразу заносится в биты [17:16] подраздела «Shift Direction)) формируемого КП (см. стр. 69, метка¹²*⁾);

- затем по уровню защиты информации от вредоносного информационного воздействия (Y₃), записанному в подразделе «Таblе Line number» биты [25:24] формируемого КП, определяется номер формулы расчета CRC ПД в этой группе;

- далее по номеру группы формул для расчета CRC ПД и номеру формулы расчета CRC ПД в группе определяется формула для расчета CRC ПД;

- далее по шифрованным данным ПД по этой формуле расчета непосредственно рассчитывается CRC ПД, которое заносится в подраздел CRC32 ПД формируемого ПД;

- затем по номеру строки «Таблицы шифров» для шифрования ПД, занесенному в биты [23:18] подраздела «Shift Direction)) формируемого КП, в подразделе своей «Таблицы шифров» (i=1; z=1) Ведомым определяются шифры (rd_j и m_j) для шифрования CRC ПД;

- затем шифрами (rd_j и m_j) CRC ПД шифруется и шифрованным CRC ПД замещаются ранее занесенные в CRC32 ПД нешифрованные данные.

ПД сформирован, но для подготовки сообщения формата КП+ПД необходимо завершить формирование КП (см. далее стр. 72, метка Zкп*⁾);

- если режим работы системы «Без шифрования» передаваемой информации (Рk=0), то:

- сначала по объему данных, занесенных в ПД, (числу бит, занятых под запись прочитанных (заданных к прочтению) параметров, их служебных характеристик (типа «n», «F» и «FF»), их идентификаторов, а также 32 бит под запись CRC ПД) определяется номер группы формул для расчета CRC ПД;

- затем по этому номеру группы формул для расчета CRC ПД и заданному в исходных данных для режима работы системы «Без шифрования» минимальному уровню защиты информации от вредоносного информационного воздействия Y₁=l (см.п.1.2.1.) определяется номер формулы расчета CRC ПД в группе;

- далее по этой формуле расчета непосредственно рассчитывается CRC ПД, которое заносится в подраздел CRC32 формируемого ПД; ПД полностью сформирован, но для подготовки сообщения формата КП+ПД необходимо завершить формирование КП (см. стр. 72, метка Zкп*⁾);

Zкп*⁾: - завершение формирования КП, осуществляется в следующей последовательности:

- сначала на основе анализа данных ПД определяются:

- количество записанных в ПД слов (N);

- ADP - признак использования предоставленного для записи максимального объема памяти (32 бита):

- «ADP:=1», если для записи в ПД хотя бы одного значения параметра, признака или идентификатора потребовалось менее 32 бит;

- «АDР:=0», если для записи в ПД каждому из записанных значений параметров, признаков и идентификаторов потребовался весь предоставленный объем памяти (все 32 бита);

- затем оценивается качество работы системы при выполнении запроса «на чтение» (из перечня предусмотренных оценок):

- [000] - «Ошибок нет»;

- [001] - «Ошибок нет + запрос на сервисное обслуживание;

- далее все вычисленные параметры и оценка качества работы системы заносятся в соответствующие подразделы КП (номер группы формул для расчета CRC ПД занесен в подраздел «Shift Direction» биты [17:16] КП ранее - после подсчета объема передаваемых в ПД шифрованных данных);

- «N» - в подраздел «Data Size» биты [7:0];

- «ADP» - в подраздел «Control Field» бит [23];

- оценка работы системы - в подраздел «Control Field» биты [18:16];

После этого переходят к определению формулы расчета CRC КП, для определения которой последовательно выполняются следующие действия:

- сначала определяется номер группы формул для расчета CRC КП, зависящий от признака шифрования «Рк», записанного в бите [22] подраздела «Control Field» формируемого КП;

- затем определяется номер формулы расчета CRC КП в этой группе, зависящий от признака уровня защиты информации «Ys», занесенного в биты [25:24] подраздела «Таblе Line number», если Pk=l, или заданного в исходных данных, если Рk=0 (см. п. 1.2.1.);

- далее по выше определенным номеру группы формул расчета CRC и номеру формулы внутри группы формул определяется формула расчета CRC КП;

- далее по этой формуле непосредственно рассчитывается CRC КП;

- затем вновь анализируется признак Рk:

- если Рk=0, то рассчитанная и не зашифрованная CRC КП заносится в подраздел CRC32 КП; операция занесения рассчитанной CRC в подраздел CRC32 КП завершает процесс формирования КП; КП и ПД готовы к отправке Ведущему (далее см. стр. 75, метка Otpr2*⁾); -если признак Рk=1, то по номеру строки (j), записанному в подразделе КП «Таblе Line umber» в битах [31:26]), по своей «Таблице шифров» в разделе CRC (z=0) определяется шифр (n_j и lc_j), которым CRC шифруется, и в зашифрованном виде заносится в подраздел CRC32 КП: - далее анализируется признак qi, определяющий применение усложненного шифрования (занесен в биты [9:8] подраздела «Shift step» КП):

- если q_i=0 - применяется стандартное (не усложненное) шифрование КП; операция занесения зашифрованного CRC в CRC32 КП завершает процесс формирования КП; КП и ПД готовы к отправке Ведущему (далее см. стр. 75, метка Otpr2*₎);

- если q_i не равно нулю (применяется алгоритм повышенной сложности шифрования), то после операции занесения в подраздел CRC32 КП зашифрованного CRC из рандомизированного рабочего набора вариантов I₀(q_i) Ведомого, где q_i=l,3 (см.п. 1.1.), выбирается вариант, соответствующий q_i, занесенному в биты [9:8] подраздела «Shift Step», в котором указаны перечень подразделов КП, которые требуется зашифровать и номера ячеек подраздела «Shift step», в которых записан номер строки «Таблицы шифров», из которой в разделе CRC (z=0) берется шифр для их шифрования; зашифрованная этим шифром информация подразделов КП замещает ранее записанную информацию соответствующих подразделов; операция замещения ранее записанной в подразделах незашифрованной информации зашифрованной завершает процесс формирования КП; КП и ПД готовы к отправке Ведущему (далее см. стр. 75, метка Otpr2*⁾).

Otprl*⁾ - здесь Ведомым формируется сообщение формата КП, которое отсылается Ведущему.

Otpr2*⁾ - здесь формируется сообщение формата КП+ПД, которое отсылается Ведущему.

1.2.3.4. Оценка Ведущим достоверности полученного сообщения.

Ведущий получает предназначенное ему сообщение, выделяя его из потока сообщений по адресу, записанному в подразделе КП ((Terminal address» биты [31:24]. Сообщения Ведомого могут иметь два формата:

- формат КП+ПД, когда Ведомый полностью выполнил запрос Ведущего;

- формат КП, когда возникли проблемы с выполнением запроса Ведущего;

и поэтому оценку достоверности предваряет определение формата получаемого сообщения (см. Фиг. 9. «Определение Ведущим формата получаемого сообщения»):

- для определения формата получаемого сообщения используется информация, содержащаяся в битах [18:16] подраздела ((Control Field» КП и поясняющая положительный итог работы Ведомого при выполнении запроса Ведущего «на чтение»:

- «000» - «ошибок нет» или

- «001» - «ошибок нет + запрос на сервисное обслуживание.

То есть, если в битах [18:16] подраздела ((Control Field» КП содержатся «000» или «001», полученное сообщение имеет формат КП+ПД. Любое другое содержание в них соответствует формату КП. Причем, в случае формата (КП+ПД) признаку формата Р_ф присваивается единица (Р_ф:=1), а в случае формата (КП) признаку формата Р_ф присваивается ноль (Р_ф:=0).

Однако оценка достоверности (целостности) сообщения любого формата, как это предусмотрено системным алгоритмом, всегда начинается с проверки на целостность КП (см. Фиг. 10. «Оценка Ведущим достоверности полученного сообщения» - принятое сообщение считается достоверным, если все пакеты информации, входящие в сообщение, прошли проверку на целостность. Если хотя бы один пакет не прошел проверку на целостность, сообщение считается недостоверным):

- если Рk=1 (признак занесен в бит [22] подраздела «Control Field») - Ведомый передал Ведущему зашифрованную информацию, используя 99-ти битовую структуру КП, и в этом случае, с целью определения непосредственно алгоритма шифрования, которым воспользовался Ведомый, анализируется признак q_i:

- при значении q_i равном нулю (q_i=0), записанном в битах [9:8] подраздела «Shift step» как (0:0), означающем, что Ведомым шифрование подразделов КП не применялось, а имело место лишь стандартное шифрование (шифрование CRC без шифрования подразделов КП) Ведущий сразу переходит к определению формулы расчета CRC КП (см. стр. 77, метка OprF*⁾);

- при любом из трех значений q_i не равном нулю (q_i=l, q_i=2 или q_i=3), записанном в двоичном коде в битах [9:8] подраздела «Shift step» КП, означающем, что Ведомый применил дополнительный алгоритм шифрования (шифрование подразделов КП), прежде чем определять формулу расчета CRC КП пришедшего сообщения, необходимо расшифровать зашифрованные в соответствии с вариантом q_i подразделы КП.

Для этого:

а) В соответствии с номером q_i, занесенным в биты [9:8] подраздела «Shift step» пришедшего КП, Ведущий из своего рандомизированного набора вариантов I₀(q_i), где (см. п. 1.1.), выбирает вариант q_i с указанными в нем перечнем зашифрованных подразделов КП и номерами ячеек подраздела «Shift step», в которых записан номер строки «Таблицы шифров», используемой Ведомым при выборе шифра.

б) По указанному номеру строки Ведущий по своей «Таблице шифров» в разделе КП (i=0) определяет шифры (n_j и lc_j), которыми пользовался Ведомый при шифровании указанных в варианте q_i подразделов КП.

в) Используя полученные шифры, Ведущий дешифрирует указанные зашифрованные подразделы КП, записывает расшифрованные значения в соответствующие подразделы КП вместо зашифрованных и переходит к определению формулы расчета CRC КП (см. стр. 77, метка OprF*⁾).

- если Рk=0 - Ведущий сразу переходит к определению формулы расчета CRC КП (см. стр. 77, метка OprF*⁾).

OprF*⁾: - здесь сначала по объему передаваемой в КП информации (признаку Рk, записанному в бите [22] подраздела «Control Field») определяется номер группы формул для расчета CRC КП;

- затем по уровню защиты информации Ys от вредоносного информационного воздействия, записанному при Рk=1 в битах [25:24] подраздела «Таblе Line пшпЬег», а при Рk=0 - в исходных данных, определяется номер формулы в группе;

- далее по номеру группы и номеру формулы внутри группы в сформированном на этапе инициализации блоке формул Ведущим определяется формула расчета CRC КП, которой пользовался Ведомый;

- затем по этой формуле рассчитывается CRC КП;

- далее, в зависимости от значения признака шифрования Рk (Рk=0 или Рk=1), записанного в бите [22] подраздела «Control Field» пришедшего КП, производятся следующие действия:

- если Рk=0 - (работа с незашифрованной информацией) рассчитанная CRC КП по битам сравнивается с записанной в подразделе CRC32 (биты [31:0]) пришедшего КП (см. стр. 78, метка Srкп*⁾);

- если Рk=1 - (работа с зашифрованной информацией) по номеру строки для шифрования КП, указанному в подразделе «Таblе Line number» биты [31:26], Ведущим по своей «Таблице шифров», идентичной «Таблице шифров» Ведомого, в разделе таблицы «CRC (z=0)» определяется шифр (n_j и lc_j), использованный Ведомым для шифрования CRC КП; затем рассчитанная CRC этим шифром (n_j и lc_j) шифруется и уже шифрованная CRC по битам сравнивается с CRC, записанной в подразделе CRC32 КП (биты [31:0]) пришедшего от Ведомого КП (см. стр. 78, метка Srкп*⁾).

Srкп*⁾: В зависимости от результата сравнения рассчитанного Ведущим CRC КП с CRC, записанным в подразделе CRC32 КП (биты [31:0]) Ведомого, и оценки Ведомым своей работы по выполнению запроса Ведущего, указанной в битах [18:16] подраздела «Control Field» КП, пришедшего от Ведомого, выполняются следующие действия, причем:

- при несовпадении рассчитанной CRC КП с записанной в подразделе CRC32 КП, означающем нарушение целостности полученного от Ведомого сообщения, в качестве основной причины создания сложившейся ситуации предполагается воздействие на систему агрессивного информационного воздействия и потому вначале оценивается заданный априори уровень защиты информации и параметры, его обеспечивающие (см. стр. 78, метка U_шифр*⁾). U_шифр*⁾: - если шифрование не применялось (агрессивное информационное противодействие не предполагалось) или применялось, но применяемые параметры шифрования задавались исходя из условия обеспечения минимального или среднего уровня защиты (не максимального), то Ведущим сначала задаются параметры шифрования, обеспечивающие максимальный уровень защиты от вредоносного информационного воздействия, причем:

- если, раньше применялся режим работы системы «С шифрованием», то:

- уровень защиты информации (Y_i) повышается до максимального - Y_i:=Y₃ и заносится в биты [25:24] подраздела «Таblе Line number»;

- вводится алгоритм повышенной сложности шифрования (q_i:=l и его значение заносится в биты [9:8] подраздела «Shift step»);

- задается шифрование КП и ПД по различным шифрам (Rk:=l и его значение заносится в бит [21] подраздела «Control Field»).

- если раньше применялся режим работы системы «Без шифрования» - переходят на режим «С шифрованием», признак которого Pk=1 заносится в бит [22] подраздела «Control Field», формируемого КП, с параметрами шифрования, обеспечивающими максимальный уровень защиты:

- Y_i:=Y₃, который заносится в биты [25:24] подраздела «Таblе Line пшпЬег»;

-q_i:=l, и его значение заносится в биты [9:8] подраздела «Shift step»;

- Rk:=l и его значение заносится в бит [21] подраздела «Control Field»,

- если передаваемая информация шифровалась и параметры шифрования задавались исходя из условия обеспечения максимального уровня защиты, то принятые ранее параметры: Pk=1, Y_i=Y₃, q_i=1 и Rk=1 сохраняются;

Pov*⁾: - затем оценивается возможность повторения запроса к данному Ведомому в текущем цикле общения с ним (см. п. 1.2.2.5., стр. 50, метка **⁾⁾); - и далее:

- при возможности его повторения формируется повторный «запрос на чтение» к этому же Ведомому с параметрами, обеспечивающими максимальный уровень защиты информации от вредоносного информационного воздействия на систему (на Фиг. 10. «Оценка Ведущим достоверности полученного сообщения») - Выход 1);

- при отсутствии возможности повторного опроса Ведомого в этом цикле (t_j) анализируется информация, полученная от него в предыдущем цикле (t_j - dt):

- при наличии данных (ПД) Ведомого, полученных предыдущем цикле:

- сначала в формируемый в ОЗУ массив данных с меткой времени t_j повторно передаются данные, полученные Ведущим от этого Ведомого в прошлом цикле общения с ним с временной меткой цикла t=t_j - dt, где dt - время цикла опроса всех Ведомых системы;

- затем формируется команда на проведение сервисного обслуживания Ведомого;

- а затем формируется «запрос на чтение» к следующему Ведомому (см. п. 1.2.3.1.) (на Фиг. 10 - Выход 2);

- при отсутствии данных Ведомого и в прошлом цикле:

- Ведущим принимается решение: «устройство неисправно, требуется замена», вырабатывается «код», подтверждающий отсутствие в двух подряд циклах информации от Ведомого и позволяющий системному алгоритму принять решение о приостановке работы системы и тестировании всех ее устройств и их программного обеспечения «на работоспособность», вышедшее из строя устройство заменить резервным (на Фиг. 10 - Выход 3);

- после восстановления работоспособности устройств работа системы в режиме «чтение» (см. п. 1.2.3.) возобновляется;

- при совпадении рассчитанной CRC КП с записанной в подразделе CRC32 КП, означающем целостность полученного от Ведомого КП, последующие действия Ведущего зависят от формата, пришедшего к нему, сообщения (признака, характеризующего формат сообщения - Р_ф):

- если признак Р_ф=1, (формат сообщения КП+ПД), переходят к проверке ПД Ведомого на целостность в следующей последовательности:

- сначала анализируется информация, занесенная в битах [18:16] подраздела «Control Field» пришедшего КП, с целью определения необходимости проведения сервисного обслуживания Ведомого:

-в случае записи в них кода «001», информирующего о том, что запрос Ведущего «на чтение» полностью выполнен, но срок работы Ведомого без сервисного обслуживания истек:

- сначала вырабатывается команда на сервисное обслуживание Ведомого;

- а затем определяется формула расчета CRC ПД (см. стр. 85, метка О_фпд*⁾);

- в случае записи в них кода «000», информирующего о безошибочной работе Ведомого, сразу определяется формула расчета CRC ПД (см. стр. 85, метка О_фпд*⁾);;

- если признак Р_ф=0, (формат сообщения КП - запрос «на чтение» Ведомым не выполнен, но достоверное сообщение о возникших при выполнении запроса проблемах в виде КП от Ведомого доставлено), то:

- сначала анализируется информация, занесенная в битах [18:16] подраздела «Control Field» пришедшего КП, с целью определения возможных ошибок, допущенных Ведущим при формировании запроса Ведомому, и в случае записи в них заранее зафиксированных кодов («010», «011», «100», «101»), означающих предположение Ведомого о соответствующей ошибке Ведущего при формировании «запроса на чтение» (например: «010» - ошибка пакета, «011» - невозможно прочитать/записать данные, «100» - неверный адрес адресного пространства, «101» - неверный размер данных для записи), Ведущий проверяет указанную ошибку и при ее подтверждении исправляет алгоритм формирования КП к данному Ведомому;

- затем, поскольку второй возможной причиной невыполнения Ведомым запроса Ведущего (в сообщении отсутствует ПД) является агрессивное вредоносное информационное воздействие на систему, то для ее устранения, аналогично вышеизложенному (см. стр. 78, метка U_шифр*⁾),

обеспечивается работа системы в режиме максимальной защиты от такого вредоносного информационного воздействия (см. Фиг. 10.) и для этого:

- в случае, если шифрование ранее не применялось (Рk=0), задается режим «С шифрованием» информации (Рk=1) с параметрами шифрования (Y_i, q_i и Rk), обеспечивающими максимальную защиту от вредоносного информационного воздействия Y_i=Y₃, q_i=1 и Rk=1; -в случае, если шифрование применялось (Рk=1), но параметры шифрования (Y_i, q_i и Rk), задавались исходя из обеспечения минимального или среднего уровня защиты, они корректируются до уровня, обеспечивающего максимальную защиту от вредоносного информационного воздействия Y_i=Y₃, q_i=1 и Rk=l;

- в случае, если шифрование применялось (Рk=1), и параметры шифрования (Y_i, q_i и Rk), Задавались исходя из обеспечения максимального уровня защиты, причиной нарушения целостности ожидаемого от Ведомого сообщения может быть случайный сбой и поэтому параметры шифрования не корректируются;

- затем также как и при несовпадении рассчитанной CRC КП с записанной в подразделе CRC32 КП, оценивается возможность повторения запроса к данному Ведомому в текущем цикле общения с ним (см. п. 1.2.2.5., стр. 50, метка **⁾⁾) и:

- при возможности повторения - формируется новый «запрос на чтение» к этому Ведомому с новыми параметрами, обеспечивающими максимальный уровень защиты информации от вредоносного информационного воздействия на систему - на Фиг. 10 - Выход 1;

- при отсутствии возможности повторного запроса к Ведомому в текущем цикле:

- при наличии данных (ПД), полученных от него в предыдущем цикле, сначала эти данные повторно передаются в ОЗУ, затем формируется команда на проведение сервисного обслуживания Ведомого, а затем формируется «запрос на чтение» к следующему Ведомому (см. п. 1.2.3.1.) (на Фиг. 10-Выход 2); - при отсутствии данных Ведомого и в прошлом цикле Ведущим принимается решение - «устройство неисправно, требуется его замена», вырабатывается «код», подтверждающий отсутствие в двух подряд циклах информации от Ведомого, позволяющий системному алгоритму принять решение о приостановке работы системы для тестирования устройства и его программного обеспечения, а также замене его, в случае выхода из строя, резервным (на Фиг. 10 - Выход 3); после восстановления работоспособности устройства или его замены работа системы в режиме «чтение» (см. п. 1.2.3.) восстанавливается;

О_фпд*⁾: - определение формулы расчета CRC ПД осуществляется уже известным способом:

- если Рk=0, по объему переданной Ведомым в ПД информации (числу бит, использованных Ведомым при записи информации в ПД), а, если Рk=1, по номеру, указанному в подразделе КП «Shift Direction)) биты [17:16], определяется номер группы формул расчета CRC ПД;

- затем по уровню защиты информации Ys от вредоносного информационного воздействия, записанному при Рk=1 в битах [25:24] подраздела «Таblе Line number», а при Рk=0 в исходных данных, определяется номер формулы в группе;

- далее по номеру группы и номеру формулы внутри группы в сформированном на этапе инициализации блоке формул Ведущим определяется формула расчета CRC ПД;

- затем по этой формуле рассчитывается CRC ПД;

- дальнейшие действия зависят от того, шифруется передаваемая информация или нет:

- если Рk=1 (информация шифруется):

- по номеру строки для шифрования ПД, указанному в КП в подразделе «Shift Direction)) в битах [23:18], Ведущим по своей «Таблице шифров», идентичной «Таблице шифров» Ведомого, в разделе таблицы «CRC (z=1)» «CRC (z=1)» определяется шифр (m_j и rd_j), использованный Ведомым для шифрования CRC ПД;

- затем рассчитанная CRC этим шифром (m_j и rd_j) шифруется и уже шифрованная CRC по битам сравнивается с CRC, записанной в подразделе CRC32 ПД (биты [31:0]) пришедшего от Ведомого ПД (см. стр. 86, метка Srпд*⁾);

- если Рк=0 (информация не шифруется):

- рассчитанная CRC сразу по битам сравнивается с CRC, записанной в подразделе CRC32 ПД (биты [31:0]) пришедшего от Ведомого ПД (см. стр. 86, метка Srпд*⁾).

Srпд*⁾: В зависимости от результата сравнения рассчитанной Ведущим CRC ПД с CRC, записанной в подразделе CRC32 ПД (биты [31:0]) Ведомого, выполняются различные действия (см. Фиг. 10):

- если результатом сравнения явилось несовпадение рассчитанной CRC ПД с записанной в подразделе CRC32 ПД, означающее нарушение целостности ПД, то:

- сначала Ведущим оцениваются применяемые параметры шифрования с точки зрения обеспечения защиты системы от информационного противодействия, которые при необходимости корректируются:

- и если информация не шифровалась (Рk=0) или шифровалась (Рk=1), но принятые параметры шифрования Y_i, q_i и Rk не обеспечивали максимальный уровень защиты системы от информационного противодействия, то:

- сначала для обеспечения максимальной защиты системы они корректируются (см. стр. 78, метку U_шифр*⁾):

- при Рk=0: устанавливается режим работы системы «С шифрованием»;

- (Рk:=1) и параметрам шифрования присваиваются значения, обеспечивающие максимальный уровень защиты системы от вредоносного информационного противодействия Y_i:=Y₃, q_i:=1 и Rk:=1;

- при Pk=l параметрам шифрования присваиваются значения, обеспечивающие максимальный уровень защиты системы от вредоносного информационного противодействия Y_i:=Y₃, q_i:=1 и Rk:=1;

- если передаваемая информация шифровалась и параметры шифрования задавались исходя из условия обеспечения максимального уровня защиты, то принятые ранее параметры: Рk=1, Y_i=Y₃, q_i=1 и Rk=l сохраняются;

- затем оценивается возможность повторения запроса к этому Ведомому в текущем цикле (см. стр. 80, метка Pov*⁾):

- и в случае возможности, «запрос на чтение» к нему повторяется, но уже со скорректированными параметрами шифрования, обеспечивающими максимальный уровень защиты от вредоносного информационного воздействия (на Фиг. 10 - Выход 1);

- а в случае невозможности повторения запроса в этом цикле:

- при наличии данных (ПД), полученных в предыдущем цикле:

- сначала данные, полученные Ведущим в прошлом цикле общения с этим Ведомым передаются в ОЗУ;

- затем формируется команда на проведение сервисного обслуживания Ведомого;

- затем формирует «запрос на чтение» к следующему Ведомому (на Фиг. 10 - Выход 2);

- при отсутствии данных Ведомого в прошлом цикле:

- Ведущим принимается решение: «Устройство неисправно, требуется его замена», вырабатывается «код», подтверждающий отсутствие в двух подряд циклах информации от Ведомого и позволяющий системному оператору приостановить работу системы, заменить проблемное устройство резервным и актуализировать его программное обеспечение (на Фиг. 10 - Выход 3);

- после положительного результата тестирования системы с резервным устройством ее работа в «режиме чтения» восстанавливается (см. п. 1.2.3);

- если результатом сравнения является совпадение рассчитанной CRC ПД с записанной в подразделе CRC32 ПД, то сообщение Ведомого (КП+ПД) считается достоверным, данные его ПД Ведущим дешифрируются, и в расшифрованном виде передаются в ОЗУ для формирования управляющего воздействия на объект управления. После этого Ведущий переходит к формированию «запроса на чтение» к следующему Ведомому (см. далее п. 1.2.3.5.). 1.2.3.5. Дешифрование достоверного сообщения Ведомого, начало нового цикла «чтение».

В случае полного совпадения рассчитанных контрольных сумм CRC КП и CRC ПД с занесенными соответственно в подразделы CRC32 КП и CRC32 ПД, информация в сообщении от Ведомого считается достоверной, а полученные данные ПД подлежат либо непосредственной передаче в АСУ, если Ведомый не применял их шифрование, либо предварительному дешифрированию, если Ведомый применял их шифрование, и последующей передаче в АСУ для выработки управляющего воздействия на объект управления..

Дешифрирование данных ПД, в случае Рk=1, осуществляется в следующей последовательности:

- Ведущим по номеру строки, указанному в КП в подразделе «Shift Direction)) биты [23:18], по своей «Таблице шифров», идентичной «Таблице шифров» Ведомого, в подразделе «Данные (z=2)» раздела «Пакет данных» (i=l) определяется шифр (k_j, p_j, dr_j), которым Ведомый зашифровал данные ПД;

- далее, используя шифр (k_j, p_j, dr_j), Ведущий осуществляет дешифрирование данных ПД: сначала по номеру варианта шифрования данных (k_j) он определяет перечень зашифрованных параметров, а затем, используя шифры p_j и dr_j дешифрирует их;

- затем дешифрованные актуальные данные ПД заносятся в ОЗУ; На этом цикл «запрос-ответ» Ведущего с конкретным Ведомым в режиме «чтение» заканчивается. Далее Ведущий начинает новый цикл общения с другим Ведомым (малый цикл). Количество малых циклов (Ведущий (запрос) - Ведомый (ответ)) зависит от числа Ведомых, обслуживаемых данным Ведущим.

По завершению опроса всех Ведомых (большого цикла) накопившемуся в ОЗУ массиву данных Ведущим присваивается метка времени t_j, вместе с которой он пересылается в блок выработки управляющего воздействия на объект управления. На этом i-тый большой цикл («запрос Ведущего на чтение» - «ответ всех Ведомых на чтение») заканчивается и система переходит к следующему (i+1) большому циклу, результатом которого также является новый массив данных с меткой времени t_j+1=t_j+dt, затем к следующему, результатом которого является массив с меткой t_j+2=t_j+1+dt, и так далее.

1.3. Отличительные особенности способа.

Отличительными особенностями заявляемого способа шифрования являются:

1. Вводится этап «инициализация», на котором при каждом запуске системы автоматически определяются новые независимые от предыстории неизвестные программисту и оперативному составу настройки, определяющие работу системы шифрования на этапе «штатная работа»:

- «таблица шифров»;

- рандомизированный блок различных алгоритмов шифрования данных ПД;

-рандомизированный блок различных сочетаний подразделов КП и логики их шифрования;

- цифровые отпечатки терминалов системы.

2. Все операции по определению новых данных для работы системы шифрования на этапе «инициализации» производятся в Ведущем устройстве и передаются один раз по защищенному закрытому каналу всем Ведомым. Хранятся полученные данные в защищенной памяти ОЗУ каждого терминала, к которой нет доступа оперативному составу.

3. Применяется динамическое шифрование, когда шифруется каждый пересылаемый пакет каждого сообщения каждого источника информации различным, заранее не известным, независимым от предыстории, случайным шифром, включающим перечень шифруемых параметров, сами шифры, логику шифрования подразделов КП и данных ПД.

4. Случайность применяемого в каждом случае шифра обеспечивается включением в логику определения шифра ГННСЧ, подчиняющихся равномерному закону распределения, позволяющего выбрать случайный вариант шифрования:

- конкретную, но случайную строку «Таблицы шифров», содержащую перечень шифруемых параметров, сам шифр и логику шифрования,

- конкретный случайный шифр и логику шифрования данных ПД;

- конкретное случайное сочетание шифруемых подразделов КП и логики их шифрования.

5. Непосредственному шифрованию подвергаются данные ПД, причем состав зашифрованных данных в каждом сообщении случайным образом меняется, подразделы КП, состав которых также в каждом сообщении случайным образом меняется, контрольная сумма КП (CRC КП) и контрольная сумма ПД (CRC ПД);

6. Нестационарность натуральных случайных чисел генераторов, входящих в состав каждого устройства системы (Ведущего и Ведомых), обеспечивается подачей на его вход переменных величин, имеющих нестационарную природу: температуры внутри интегральной схемы процессора и сигнала с выхода триггера, находящегося в метастабильном состоянии при переходе сигнала в новый домен синхронизации.

7. Вырабатываемые ГННСЧ натуральные числа подчиняются равномерному закону распределения, что практически исключает возможность их предсказания. Вырабатываемые ГННСЧ числа используются при выборе варианта шифрования (строки «Таблицы шифров»), сочетания шифруемых подразделов КП и логики шифрования данных ПД.

8. Применяемые для проверки целостности принимаемой информации формулы расчета контрольной суммы (CRC) учитывают объем передаваемой информации и уровень ее защиты от вредоносного информационного воздействия и потому при их изменении изменяются.

9. В пересылаемых сообщениях перечень шифруемых параметров, сами шифры, логика их применения, перечень шифруемых подразделов и формулы расчета контрольных сумм непосредственно не передаются.

10. Использование Ведомым алгоритма адаптации памяти (признак ADP), позволяет при записи параметра в ПД занимать необходимый для записи текущего значения параметра объем памяти вместо избыточного объема, предоставленного Ведущим, позволяющего записать максимальное его значение, что обусловливает сокращение времени передачи сообщения Ведущему и времени обработки им полученной информации.

11. Каждое сообщение Ведущего с целью затруднения возможности подмены передаваемой информации кодируется неповторяющимся случайным кодом, вырабатываемым ГННСЧ Ведущего и возвращаемым ему Ведомым в ответном сообщении. Включение в каждый пересылаемый Ведущим КП «кодового слова» позволяет дополнительно практически исключить ошибки с опознаванием ответа Ведомого на запрос Ведущего.

12. При штатной работе реализован двунаправленный автоматический способ шифрования пересылаемых сообщений, то есть шифрованию подлежат все отсылаемые сообщения, независимо от формы посылки («запрос» это или «ответ») и статуса терминала (Ведущий или Ведомый).

Перечисленные выше особенности (1-12) позволяют распознать любую подмену и любое искажение передаваемой информации, в том числе и хакерскую атаку, то есть практически исключить ситуацию, когда приемник принимает недостоверную информацию за достоверную и, как следствие, существенно повысить уровень информационной безопасности объекта управления. 2.

Осуществление изобретения.

Для подтверждения реализуемости и эффективности заявляемого способа динамического шифрования в существующую систему управления энергетическим объектом была дополнительно включена подсистема шифрования данных, реализующая заявляемый способ шифрования. Программно-аппаратная реализация заявляемого способа шифрования в виде интерфейса TSI позволила опытным путем подтвердить высокую вероятность исключения возможности принятия недостоверных данных за достоверные, независимо от места и причин их искажения, а значит и существенное повышение уровня информационной и функциональной безопасности системы (АСУ с объектом управления) в условиях информационного противодействия за счет практической невозможности умышленной подмены или пропуска случайно искаженной, из-за ошибки оператора или сбоя в работе АСУ, информации. 2.1 Структура интерфейса.

Структурно интерфейс каждого терминала (TSI) делится на два контура:

- внутренний контур интерфейса - контур, скрытый от пользователя (к нему пользователь не имеет прямого доступа) и содержащий настройки (рабочие параметры), определяющие работу системы шифрования на этапе «штатная работа». Рабочие параметры внутреннего контура: («Таблица шифров», рандомизированный блок алгоритмов шифрования данных ПД, рандомизированный блок сочетаний подразделов КП и логики их шифрования, а также цифровой отпечаток) формируются автоматически на этапе «инициализация» без возможности влияния оперативного состава на процессе их формирования и результат. Сформированные на этапе настройки они размещаются в защищенной памяти процессора;

- внешний контур интерфейса - контур, с помощью которого оператор-пользователь осуществляет управление режимом защиты информации (режимом шифрования) без возможности чтения и изменения настроек внутреннего контура, без возможности доступа к внутреннему контуру.

В ходе работ по созданию системы на кристалле для применения в АСУ были разработаны: протокол TSI, ГННСЧ и блок приема/передачи, предназначенный для программно-аппаратной реализации протокола TSI (см. Фиг. 11. Структура системы, осуществляющей заявляемое динамическое шифрование передаваемых данных).

При обмене данными по протоколу TSI каждое устройство на шине выполняет одну из следующих функций (см. Фиг. 12. Схема обмена данными по шине по протоколу TSI):

- ведущее устройство (Ведущий, Мастер шины, Master) -инициирует обмен в логике "запрос - ответ" с передачей полезных данных (КП+ПД) или без их передачи (КП) и может выполнять функцию монитора;

- ведомое устройство (Ведомый, Slave) - отвечает на запрос Ведущего с передачей полезных данных (КП+ПД) или без их передачи (КП);

- монитор (Monitor) - устройство, предоставляющее оператору возможность контроля процесса и оперативного вмешательства в процесс, с целью обеспечения оптимального управления.

Обмен данными по шине в режимах «С шифрованием данных» и «Без шифрования данных» происходит посредством пакетов КП и ПД. В КП, в зависимости от режима шифрования, структурируются 3 (в режиме «Без шифрования данных») и 4 (в режиме «С шифрованием данных») подраздела (см. Табл. 3. Структура КП в режиме «Без шифрования данных» и Табл. 4. Структура КП в режиме «С шифрованием данных».):

- в режиме «Без шифрования данных» - это:

- «Sync» - (3 бита) последовательность пакетной синхронизации (синхросигнал);

- первое служебное 32-х битовое поле, содержащее четыре 8-ми битовых подраздела, каждый из которых определяет:

- «Terminal address» - адрес терминала, к которому обращается источник информации;

- «Control Field» - режим передачи информации;

- «Page Address» - номер адресного пространства, к которому обращается источник информации;

- «Data Size» - количество передаваемых/запрашиваемых слов;

- «CRC32» - (32 бита) - контрольная сумма КП, рассчитанная по выбранной формуле, которая позволяет, с точностью не хуже требуемой, подтверждать целостность принятой информации на стороне приемника при заданном уровне обеспечения защиты и реальном объеме передаваемых в пакете данных;

- а в режиме «С шифрованием»:

- «Sync» - (3 бита) последовательность пакетной синхронизации (синхросигнал);

- первое 32-х битовое поле служебной информации, содержащее те же подразделы и выполняющее те же функции, что и в режиме без шифрования:

- «Terminal address»;

- «Control Field»;

- «Page Address»;

- «Data Size»;

- второе 32-х битовое поле, содержащее четыре 8-ми битовых подраздела, каждый из которых определяет:

- «Таblе Line пшпЬег» - признак шифрования КП и условие защиты информации;

- «Shift Direction)) - признаки шифрования ПД и номер группы формул расчета CRC ПД;

- «Shift Step» - кодовое слово, позволяющее Ведущему удостовериться, что пришедшее сообщение это ответ Ведомого именно на его запрос и признак сложности применяемого алгоритма шифрования;

- «Terminal Stamp» - цифровой отпечаток источника информации;

- «CRC32» - (32 бита) - контрольная сумма КП, рассчитанная по выбранной формуле, которая позволяет, с точностью не хуже требуемой, подтверждать целостность принятой информации на стороне приемника при заданном уровне обеспечения защиты и реальном объеме передаваемых в пакете данных.

Отличие КП, применяемого в режиме «С шифрованием данных», от КП, применяемого в режиме «Без шифрования данных», заключается в наличии у него второго 32-битового слова служебной информации, косвенно определяющего параметры шифрования пересылаемой информации (см. Табл. 3 и Табл. 4).

Структура поля подраздела «Control Field» КП, единая для режимов «С шифрованием данных» и «Без шифрования данных», представлена в Табл. 5. Структура ПД представлена в Табл. 6.

На физическом уровне передача пакетов происходит в модифицированном манчестерском коде. Начало и тип пакета идентифицируются по виду синхросигнала размером 3 бита.

Возможные форматы сообщений (транзакций), которыми обмениваются Ведущее устройство (Master) и Ведомое устройство (Slave) путем передачи друг другу КП и ПД, следующие:

- Формат 1 - формат сообщений в режиме «Запись» (см. Фиг. 3а) - Ведущий передает Ведомому сообщение в формате КП+ПД и Ведомый отвечает Ведущему сообщением в формате КП;

- Формат 2 - формат сообщений в режиме «чтение» (см. Фиг. 3б). - Ведущий передает Ведомому сообщение в формате КП и Ведомый отвечает Ведущему сообщением в формате КП+ПД;

-Формат 3 - формат сообщения в режиме «Невозможно выдать запрашиваемые данные» - (см. Фиг. 3в) - Ведущий передает Ведомому сообщение в формате КП и Ведомый отвечает Ведущему сообщением в формате КП.

Формат 3 является частным случаем формата 2. Этот формат используется Ведомым в случае наличия проблем с выполнением «запроса Ведущего» на «чтение данных» из устройства.

Устройство (Master) при «запросе на чтение» передает устройству (Slave) сообщение формата КП (см. Фиг. 3б). Устройство (Slave), проверяет пришедшее сообщение на целостность, начиная с проверки на целостность КП (см. п. 1.2.2.2.): - если передаваемая информация шифровалась (Рк=1), то сначала уточняется алгоритм шифрования, определяемый значением q_i:

- если q_i=0, то Master_ом применялся стандартный алгоритм шифрования, при котором шифровались CRC КП, CRC ПД, и данные ПД и шифрованными заносились в соответствующие подразделы КП и ПД;

- если q_i не равно нулю (q_i равно 1 или 2, или 3), то Master_ом применялся алгоритм повышенной сложности шифрования, при котором после расчета CRC КП, его шифрования и занесения в подраздел CRC32 КП дополнительно была зашифрована информация подразделов КП, соответствующих принятому q_i и в зашифрованном виде занесена в переданный Slave КП;

- затем:

- если Master_ом применялся алгоритм повышенной сложности, (q_i не равно нулю), то сначала информация подразделов, соответствующих принятому q_i, дешифрируется, затем рассчитывается контрольная сумма (CRC) полученного КП, которая шифруется и уже шифрованная CRC по битам сравнивается с CRC, записанной в подразделе CRC32 полученного КП; - если Master_ом применялся стандартный алгоритм шифрования (q_i=0), то сразу после получения КП рассчитывается контрольная сумма КП, которая затем шифруется и шифрованная по битам сравнивается с контрольной суммой, записанной в подразделе CRC32 полученного КП;

- если шифрование Master_ом не применялось (Рк=0), то рассчитанная по данным пришедшего ПК CRC сразу сравнивается с CRC, записанной в подразделе CRC32 полученного КП;

Далее в зависимости от результата сравнения рассчитанной CRC КП с CRC, записанной в подразделе CRC32 КП (биты [31:0]), выполняются следующие действия:

- если результатом сравнения явилось несовпадение рассчитанной CRC КП с записанной в подразделе CRC32 КП, означающее нарушение целостности КП (проблема 1), то ведомое устройство игнорирует запрос и передает устройству (Master) ответный КП, в котором биты [18:16] поля «Control Field» (см. табл.5, столбцы 5 и 6) заполняются значениями, соответствующими («признакам состояния») транзакции;

- при совпадении контрольных сумм КП, но при невозможности выдать, по каким-либо причинам, запрашиваемые в режиме «чтение» данные (проблема 2) ведомое устройство также передает устройству (Master) только ответный КП, в котором в битах [18:16] поля «Control Field» (см. табл.5, столбцы 5 и 6) указываются возможные причины невыполнения «запроса».

Для осуществления заявляемого динамического шифрования передаваемых данных в каждое устройство (в устройство Master и во все устройства Slave) устанавливаются блок приема/передачи, предназначенный для реализации протокола, и ГННСЧ (см. Фиг. 11).

2.2. Подготовка системы к «штатной» работе. Инициализация.

Подготовка Ведущим (Master_ом) системы к работе - настройка внутреннего контура интерфейса TSI (инициализация) каждого терминала системы в части формирования одинаковых «Таблиц шифров», в которых определены перечни шифруемых параметров, их шифры и логика шифрования, одинаковых для всех терминалов системы рандомизированных вариантов алгоритмов шифрования данных и рандомизированных вариантов сочетаний различных подразделов КП, подлежащих шифрованию, а также в части определения набора формул обеспечивающих проверку, с точностью не хуже требуемой, целостности пересылаемой источником информации при различном ее объеме в зависимости от заданного уровня ее защиты от вредоносного информационного воздействия осуществляется в режиме «запись» в следующей последовательности:

1) Вначале Ведущему (Master_y) системным программистом задаются исходные данные, определяющие условия работы системы:

- Мо - число вариантов шифрования данных, причем Мо - не менее 6 и не более числа строк, отведенных в «Таблице шифров» для записи вариантов шифрования (в данном примере реализации принималось Мо=11);

- Mmin - Mmax - диапазон изменения натуральных случайных чисел, вырабатываемых ГННСЧ каждого источника информации: Mmin>=0, Mmax=<maxW_o(i), где: max W_o - максимальный размер поля (в битах), из i отведенных полей для записи каждого шифруемого параметра, где i - количество шифруемых в ПД параметров. В этом случае закон распределения случайных натуральных чисел, вырабатываемых ГННСЧ, будет подчиняться равномерному закону распределения с математическим ожиданием:

m=[(Mmax - Mmin) /2] и среднеквадратическим отклонением:

б=[(Mmax - Mmin) /6], где […] означают взятие целой части результата деления.

В данном примере реализации принимались:

Mmin:=0; Mmax:=12;

W₀:=16; i:=20;

- Ys - необходимый уровень защиты информации из набора Y₁, Y₂, Y₃:

- Y₁=1 - минимальный уровень защиты информации;

- Y₂=2 - средний уровень защиты информации;

- Y₃=3 - максимальный уровень защиты информации (в данном примере Y_s:=3)

- k_j^max - максимальное число различных вариантов шифрования данных

ПД, которое будет использоваться в данной задаче, причем: 2<=k_j^max<=K₀, где

K₀ - число упорядоченных вариантов шифрования предварительно сформированных (до начала этапа «инициализация») и хранящихся в защищенной памяти процессора (в данном примере K₀:=10; k_j^max:=5).

- признаки, определяющие режим работы системы, в предполагаемых условиях информационного воздействия:

- признак шифрования информации (Рk:=1);

- признак режима шифрования (Rк:=1);

- признак использования дополнительного алгоритма шифрования повышенной сложности (q_i:=2);

- признак предоставления (использования) полного объема памяти для (при) записи информации в ПД (ADP:=0).

Все исходные данные помещаются в блок исходных данных Master_a.

2) Затем системным программистом формируется команда «запись», по которой все штатные устройства системы переводятся в рабочее состояние, а управление процессом и непосредственное автоматическое формирование блоков, определяющих параметры и логику шифрования в режиме «чтение» берет на себя Ведущий (см. п. 2а-2 г),:

2а) Сначала Ведущим априори выбранные и пронумерованные в порядке возрастания K₀ правил логики шифрования данных ПД - рандомизируются, то есть с помощью ГННСЧ перенумеровываются:

ГННСЧ последовательно вырабатывает K₀ неповторяющихся различных чисел из диапазона от 1 до K₀, которые присваиваются последовательно ранее выбранным алгоритмам шифрования (см. Табл. 7. Схема рандомизации алгоритмов шифрования данных).

Операция рандомизации, то есть присвоение каждому алгоритму нового номера kj, осуществляется автоматически и недоступна для вмешательства оперативному составу. Алгоритм ее выглядит следующим образом:

- ГННСЧ в диапазоне натуральных чисел от 1 до K₀ вырабатывается случайное число (новый номер алгоритма) (см. столбец 3 Табл. 7), которое присваивается первому алгоритму;

- затем ГННСЧ вырабатывает второе случайное число, не совпадающее с первым (новый номер алгоритма), которое присваивается второму алгоритму;

- далее третье случайное число, выработанное ГННСЧ, и не совпадающее с первыми двумя, присваивается третьему алгоритму и так далее до K₀-го случайного числа, которое не совпадает с предыдущими (K₀ - 1) числами (номерами);

- затем все алгоритмы перестраиваются в порядке возрастания новых номеров, начиная с первого (см. столбцы 3 и 4 Табл. 7).

В качестве исходных, подлежащих рандомизации, алгоритмов шифрования данных ПД в примере реализации заявляемого способа динамического шифрования данных (см. Табл. 7) используются десять, приведенных ниже, априори разработанных алгоритмов (K₀=10):

- №1 - шифрование нечетных слов пересылаемых в ПД данных;

- №2 - шифрование первого и последнего слов пересылаемых данных;

- №3 - шифрование четных слов пересылаемых в ПД данных;

- №4 - шифрование первых двух слов пересылаемых в ПД данных;

- №5 - шифрование только первого слова пересылаемых в ПД данных;

- …

- №k_j - шифрование всех слов пересылаемых в ПД данных (k_j=8);

- …

- №K₀ - шифрование первых пяти слов (K₀=10), хранящиеся в ОЗУ процессора.

Принятое в примере реализации заявляемого способа число вариантов шифрования данных ПД, которое из всего исходного количества вариантов будет использоваться в данной задаче k_j^max равно 5 (k_j^max=5).

В результате рандомизации (см. Табл. 7) первый номер присваивается алгоритму №4, второй номер - алгоритму №10, третий номер - алгоритму №2, четвертый номер - алгоритму №1, пятый номер - алгоритму №3, …, восьмой номер - алгоритму №5, …, а десятый - алгоритму №8.

Выбранные в результате проведенной рандомизации первые пять номеров нового рандомизированного набора представляют собой тот рабочий набор алгоритмов шифрования, который будет использоваться в дальнейшем для шифрования данных и который вместе с идентификаторами k_j помещается в блок «варианты шифрования данных ПД» в защищенную память процессора Ведущего для последующей пересылки всем Ведомым.

2б) Затем по алгоритму, аналогичному приведенному в п. 2а этого раздела, Ведущим с помощью ГННСЧ автоматически случайным образом рандомизируется априори сформированное и пронумерованное множество (набор) вариантов сочетаний подразделов 99-ти битового КП (кроме подразделов «Sync», «Control Field», «Shift step» и «CRC32») - I(q_i), подлежащих шифрованию, где:

q_i-номер варианта сочетаний подразделов КП на множестве вариантов I(q_i), причем ( a q₀>=3 (в данном примере q₀:=4),

с указанными в каждом варианте различными номерами бит подраздела «Shift step», где занесен номер строки «Таблицы шифров», в которой в разделе КП (i=0) непосредственно указан шифр для их шифрования. Из I(qi) формируется новое рандомизированное множество вариантов I₀(q_i) меньшей размерности:

(a q_i<=q₀, в данном примере q₁:=3), в котором каждому варианту присваивается новый номер, неизвестный оперативному составу.

В новом рандомизированном усеченном множестве каждому номеру варианта соответствуют, в общем случае, новые наборы подразделов, с привязанными к ним номерами ячеек подраздела «Shift step», указывающими номер строки «Таблицы шифров», в которой занесен используемый для шифрования этих подразделов шифр. То есть исходное соответствие номера варианта перечню шифруемых подразделов, шифру и логике их шифрования искусственно случайным образом изменено. Новое соответствие номера варианта перечню шифруемых подразделов, шифру и логике их шифрования неизвестно ни системному программисту, ни оперативному составу.

В предложенном для подтверждения осуществления заявляемого способа динамического шифрования варианте априори сформированный набор вариантов сочетаний подразделов представляется четырьмя вариантами сочетаний подразделов КП (q₀=4) с соответствующими каждому из вариантов номерами бит подраздела «Shift step» КП, в которых указывается номер строки «Таблицы шифров», где записан применяемый шифр, а усеченный набор должен представляться тремя вариантами (q₁=3):

Вариант №1 - шифруется подраздел КП «Shift Direction)) биты [23:16] шифром для шифрования КП (см. «Таблицу шифров», i=0), записанным в строке, номер которой указан в битах [14:12] подраздела «Shift step» КП (вариант №1 соответствует признаку q₁=1);

Вариант №2 - шифруется подраздел КП «Таblе Line number» биты [31:24] шифром для шифрования КП (см. «Таблицу шифров», i=0), записанным в строке, номер которой указан в битах [15:13] подраздела «Shift step» КП (вариант №2 соответствует признаку q₂=2);

Вариант №3 - шифруются подразделы КП «Таblе Line number» биты [31:24] и «Shift Direction)) биты [23:16] шифром для шифрования КП (см. «Таблицу шифров», i=0), записанным в строке, номер которой указан в битах [12:10] подраздела «Shiftstep» КП (вариант №3 соответствует признаку q₃=3);

Вариант №4 - шифруются подразделы КП«Data Size» биты [7:0], «Таblе Line number» биты [31:24] и «Shift Direction)) биты [23:16] шифром для шифрования КП (см. «Таблицу шифров», i=0), записанным в строке, номер которой указан в битах [13:11] подраздела «Shift step» (вариант №4 соответствует признаку q₄=4); После проведенной операции рандомизации (случайного изменения номеров вариантов сочетаний подразделов КП) вариантам присвоены следующие новые номера:

- №1 стал №3;

- №2 остался №2;

- №3 стал №4;

- №4 стал №1.

Из них для последующей работы выбраны первые три номера. И теперь каждому номеру соответствуют в общем случае новые наборы подразделов, с привязанными к ним номерами ячеек подраздела «Shift step», указывающими номер строки «Таблицы шифров»:

Вариант №1 - шифруются подразделы КП «Data Size» биты [7:0], «Таblе Line number» биты [31:24] и «Shift Direction)) биты [23:16] шифром для шифрования КП (см. «Таблицу шифров», i=0), записанным в строке, номер которой указан в битах [13:11] подраздела «Shift step» (соответствует признаку q₁=l);

Вариант №2 - шифруется подраздел КП «Таblе Line number)) биты [31:24] шифром для шифрования КП (см. «Таблицу шифров», i=0), записанным в строке, номер которой указан в битах [15:13] подраздела «Shift step» (соответствует признаку q₂=2);

Вариант №3 - шифруется подраздел КП «Shift Direction» биты [23:16] шифром для шифрования КП (см. «Таблицу шифров», i=0), записанным в строке, номер которой указан в битах [14:12] подраздела «Shift step» КП (соответствует признаку q₃=3);

Вариант №4 - шифруются подразделы КП «TableLine number» биты [31:24] и «Shift Direction» биты [23:16] шифром для шифрования КП (см. «Таблицу шифров», i=0), записанным в строке, номер которой указан в битах [12:10] подраздела «Shift step» (соответствует признаку q₄=4). Процедура изменения номеров вариантов аналогична описанной выше процедуре рандомизации алгоритмов шифрования данных. На нее также не может влиять оперативный состав, также новый набор может быть меньше исходного, также набор вариантов сочетаний подразделов КП с новыми номерами размещается в недоступной области памяти процессора, также соответствие нового номера определенному сочетанию подразделов неизвестно пользователю, а при передаче информации от источника к приемнику в битах [9:8] подраздела «Shift step» КП передается только номер варианта (q_i) из нового рандомизированного набора вариантов сочетаний подразделов КП, по которому определить перечень шифруемых подразделов в процессе работы системы очень затруднительно, а при q₀>5 за ограниченное время практически невозможно.

При задании q_i=0 описанный алгоритм шифрования различных вариантов сочетаний подразделов КП не применяется.

При задании любого натурального числа из q_i=1,3 реализуется соответствующий q_i вариант дополнительного шифрования подразделов КП, переводящий стандартный алгоритм шифрования передаваемой информации (при q_i=0) в алгоритм шифрования повышенной сложности.

Для дополнительного затруднения нештатного вмешательства в процесс передачи информации возможна также отдельная рандомизация номеров бит, указывающих строку «Таблицы шифров», в которой записан шифр, применяемый для шифрования подразделов.

2в) Далее из набора формул расчета CRC, сформированного на этапе «Инициализация» и разбитого (в данном случае) на три группы в зависимости от объема передаваемой информации V_i (1-я группа для (V_i<V₁); 2-я группа для (V₁=<V_i=<V₂); 3-я группа для (V_i>V₂)) и содержащего в каждой группе три формулы, позволяющие оценивать целостность переданной информации в зависимости от уровня защиты от вредоносного информационного воздействия Ys_i, где Ведущим выбирается по одной формуле из группы, обеспечивающей максимальный уровень защиты информации Y₃, если этот уровень задан в исходных данных, и по две формулы из группы, одна из которых обеспечивает с точностью не хуже требуемой проверку целостности пересылаемой информации при заданном в исходных данных уровне защиты Ys меньшем максимального (при минимальном Y₁ или среднем Y₂), а вторая при максимальном уровне защиты Y3.

Сформированный блок формул представляет собой набор не более шести формул, разделенный на три группы в зависимости от объема передаваемой информации, который размещается в защищенной памяти процессора Master для последующей его пересылки всем Ведомым (в данном примере, поскольку Y_s=3 (см.п.1 данного раздела), сформированный блок формул представляет собой набор из трех формул).

2 г) Затем Ведущим формируется «Таблица шифров» (см. табл.1). Ее формирование осуществляется в следующей последовательности:

Master выдает своему ГННСЧ команду на выработку Мо (Мо=11) случайных чисел n_j, Мо случайных чисел m_j, и Мо случайных чисел p_j, где Выработанные случайные числа записываются в «Таблицу шифров» (см. табл.1) сверху вниз, начиная с j=1 до j=Мо, причем, сначала в столбец [3] «Смещение записи CRC в поле CRC32 КП (Q=0)» подраздела «CRC (z=0)» раздела «Контрольный пакет (i=0)» - nj, затем в столбец [5] «Смещение записи CRC в поле CRC32 ПД (Q=0)» подраздела «CRC (z=1)» раздела «Пакет данных (i=1)» -m_j, а затем в столбец [8] «Смещение записи данных в поле данных ПД (Q=0)» подраздела «Данные (z=2)» раздела «Пакет данных» (i=1) - p_j. Выработанные с помощью ГННСЧ случайные числа n_j, m_j и p_j определяют номер бита, с которого начинается запись соответствующего параметра в поле записи.

Столбец [2] таблицы (1 с_j) - «Направление заполнения CRC в поле CRC32 КП (Q=1)» подраздела «CRC (z=0)» раздела «Контрольный пакет» (i=0)», столбец [4] -(rd_j) - «Направление заполнения CRC в поле CRC32 ПД (Q=l)» подраздела «CRC (z=l)» раздела «Пакет данных» (i=l) и столбец [7] - (drj) - «Направление заполнения данных в поле данных ПД в варианте k_j (Q=1)» подраздела «Данные» (z=2)» раздела «Пакет данных» (i=l) заполняются последовательно, причем после получения каждого случайного числа:

- lc_j, заполняется после каждого n_j, для

- rd_j, - после каждого m_j, для

- dr_j, - после каждого p_j, для

В описываемом примере реализации заявляемого способа шифрования используются следующие алгоритмы определения k_j, rd_j и dr_j:

- для раздела «Контрольный пакет» (i=0):

Если n_j<=Mmax /2, то lc_j:=0 и записываем это значение lc_j в строку j столбца «Направление заполнения CRC в поле CRC32 КП (Q=l)» подраздела «CRC (z=0)» раздела «Контрольный пакет (i=0)» «Таблицы шифров»; Если n_j>Mmax/12, то lc_j:=1 и записываем это значение lc_j в строку j столбца «Направление заполнения CRC в поле CRC32 КП (Q=l)» подраздела «CRC (z=0)» раздела «Контрольный пакет (i=0)» «Таблицы шифров»;

- для раздела «Пакет данных» (i=l) подраздела «CRC (z=l)»:

Если m_j<=Mmax /2, то rd_j:=0 и записываем это значение в строку j столбца «Направление заполнения CRC в поле CRC32 ПД (Q=l)» подраздела «CRC (z=l)» раздела «Пакет данных (i=l)» «Таблицы шифров»;

Если m_j>Mmax /2, то rd_j:=1 и записываем это значение в строку j столбца «Направление заполнения CRC в поле CRC32 ПД» подраздела «CRC (z=l)» раздела «Пакет данных, (i=1)» «Таблицы шифров»;

- и для раздела «Пакет данных» (i=1) подраздела «Данные (z=2)»:

Если p_j<=Mmax /2, то dr_j:=0 и записываем это значение dr_j в строку j столбца «Направление заполнения данных в поле данных ПД в варианте k_j (Q=l)» подраздела «Данные (z=2)» раздела «Пакет данных 0=1)» «Таблицы шифров»; Если p_j>Mmax /2, то dr_j:=1 и записываем это значение dr_j в строку j столбца «Направление заполнения данных в поле данных ПД в варианте k_j (Q=l)» подраздела «Данные (z=2)» раздела «Пакет данных, (i=1)» «Таблицы шифров». Смысловое значение признаков lc_j, rd_j и dr_j, зафиксированных в j-той строке «Таблицы шифров» в подразделах «CRC (z=0)», «CRC (z=l)» и «Данные (z=2)») и определяющих направление заполнения соответствующих полей КП и ПД, определяется архитектором ПО и означает, как, например, в нашем случае:

- «0» - направление заполнения соответствующего поля - «справа налево»;

- «1» - направление заполнения поля - «слева направо».

Столбец [6] «Таблицы шифров» - «Вариант шифрования данных ПД (Q=2)» подраздела «Данные (z=2)» в разделе «Пакет данных (i=1)» - (k_j) заполняется последовательно для каждого j после определения dr_j=f(p_j) по априори принятому алгоритму. В данном случае (при Mmax=12, a k_j^max=5) используется следующий алгоритм определения k_j:

Если 0<=p_j<[Mmax / k_j^max], где [] - означает взятие целой части от деления Mmax / k_j^max, то k_j:=1 и в строку j столбца «Вариант шифрования данных ПД (Q=2)» подраздела «Данные (z=2)» раздела «Пакет данных (i=l)» записывается «1»;

Если [Mmax / k_j^max]<=p_j<2[Mmax / k_j^max], то k_j:=2 и в строку j столбца «Вариант шифрования данных ПД (Q=2)» подраздела «Данные (z=2)» раздела «Пакет данных (i=l)» записывается «2»;

Если 2 [Mmax / k_j^max]<=p_j<3[Mmax / k_j^max], то k_j:=3 и в строку j столбца «Вариант шифрования данных ПД (Q=2)» подраздела «Данные (z=2)» раздела «Пакет данных» (i=l) записывается «3»;

Если 3[Mmax / k_j^max]<=p_j<4[Mmax / k_j^max], to k_j:=4 и в строку j столбца «Вариант шифрования данных ПД (Q=2)» подраздела «Данные (z=2)» раздела «Пакет данных» (i=l) записывается «4»;

Если 4 [Mmax / k_j^max]<=p_j<=5 [Mmax / k_j^max], то k_j:=5 и в строку j столбца «Вариант шифрования данных ПД (Q=2)» подраздела «Данные (z=2)» раздела «Пакет данных» (i=l) записывается «5».

Заполнение столбца [6] «Таблицы шифров» является последней операцией в процедуре ее формирования - «Таблица шифров» сформирована.

Конечно, алгоритмы формирования признаков «Направление заполнения …» (lc_j, rd_j и dr_j), признака «Вариант шифрования данных ПД» - (k_j) и признаков алгоритма шифрования подразделов КП могут быть другими, но при этом необходимо, чтобы терминалы (Slave) воспринимали новые правила так, как «задумал» Master. Для этого необходимо и достаточно разработать соответствующие рабочие алгоритмы реализации нового правила и обеспечить их передачу всем терминалам системы, что не является проблемой.

3) Затем микроконтроллер Master_a передает по защищенному (закрытому) каналу всем Slave (Ведомым), участвующим в работе системы:

- сформированный блок (набор) исходных данных (параметры Мо, Mmin, Mmax, Yi, k_j^max, и признаки Pk, Rк, q_i и ADP);

- сформированный блок с набором k_j^max «рандомизированных вариантов шифрования данных ПД» и соответствующих им признаков (k_j);

- сформированный блок q₀ рандомизированных вариантов различных сочетаний подразделов КП с указанными в них номерами ячеек подраздела «Shift step», в которых занесен номер строки «Таблицы шифров», определяющий логику шифрования соответствующих подразделов КП, с признаками q_i(q_i=1,q₀);

- сформированный блок с набором формул расчета контрольных сумм, позволяющих с точностью не хуже требуемой подтверждать целостность принимаемой приемником информации в зависимости от объема передаваемых данных и заданного в исходных данных уровня защиты информации от вредоносного информационного воздействия;

- «Таблицу шифров»;

- свой цифровой отпечаток и дает команду Ведомым на «инициализацию» своих внутренних контуров интерфейса;

4) Далее осуществляется инициализация внутренних контуров Ведомых (Slave) заключающаяся в том, что каждый Ведомый формирует с помощью своего ГННСЧ свой уникальный цифровой отпечаток терминала и шифрует его перед передачей их Master_y. Параметры шифрования отпечатков в каждом узле определяются по единому для всех Ведомых алгоритму, но поскольку каждый узел использует результаты работы своего уникального ГННСЧ, в каждом узле применяемые шифры различны. В данном случае, алгоритм определения параметров шифрования отпечатков принят следующим: внутренний локальный генератор нестационарных натуральных случайных чисел каждого узла (Slave) вырабатывает случайное число «S*» из диапазона которое определяет номер строки в «Таблице шифров», а конкретные параметры шифрования («Смещение» и «Направление заполнения») всегда берутся из соответствующих столбцов подраздела «CRC (z=1)» раздела «Пакет данных (i=1)» и строки «S*»;

Все источники информации (Slave и Master) в своей структуре содержат ГННСЧ, нестационарность которых обеспечивается подачей на их вход своих особенных, присущих только данному источнику величин, имеющих нестационарную природу: температуры внутри интегральной схемы и сигнала с выхода триггера, находящегося в метастабильном состоянии при переходе сигнала в новый домен синхронизации.

5) Далее каждый Ведомый системы помещает в защищенную недоступную оперативному составу область памяти своего процессора свой цифровой отпечаток и принятые от Ведущего: «Таблицу шифров», набор формул расчета контрольных сумм для проверки целостности получаемой информации, рандомизированный набор вариантов шифрования данных ПД с соответствующими им признаками k_j, рандомизированный набор вариантов сочетаний шифруемых подразделов КП с соответствующими признаками q_i и цифровой отпечаток Ведущего.

6) Затем каждый Ведомый по закрытому (защищенному) каналу отправляет Ведущему в составе КП в подразделе «Terminal Stamp» (см. Табл. 2. Структура подразделов КП в режимах «С шифрованием данных» и «Без шифрования данных») копию своего цифрового отпечатка в зашифрованном виде и сигнал своей готовности к «штатной работе»;

7) Далее Ведущий, получив по закрытому (защищенному) каналу от всех Ведомых уникальные цифровые отпечатки устройств, использование которых в процессе обмена информацией помогает ему исключить возможность подмены штатного устройства, к которому он обратился с запросом, вредоносным устройством и значительно повысить уровень безопасности системы, формирует у себя таблицу соответствия «Адрес терминала - Отпечаток», включающую и цифровой отпечаток самого Ведущего, которую вместе с «Таблицей шифров», набором формул расчета контрольных сумм, позволяющих, с точностью не хуже требуемой, подтверждать целостность принимаемой приемником информации в зависимости от объема передаваемых данных при заданной в исходных данных степени защиты информации от вредоносного информационного воздействия, набором k_j^max «рандомизированных вариантов шифрования данных ПД» с соответствующими признаками k_j, и набором рандомизированных вариантов сочетаний шифруемых подразделов КП с соответствующими признаками q_i помещает в защищенную недоступную оперативному составу защищенную область памяти своего процессора.

8) Получив от всех Ведомых устройств сигнал готовности к «штатной работе», Ведущий формирует для системного оператора сигнал готовности к работе системы в целом.

В результате, после завершения этапа «инициализация» в защищенной недоступной оперативному составу области памяти процессора каждого Ведомого устройства системы остаются записанными неизвестные оперативному составу:

- свой цифровой отпечаток устройства;

- свой адрес и номер адресного пространства; а также полученные от Ведущего:

- адрес и номер адресного пространства Ведущего;

- «Таблица шифров»;

- набор (блок) формул для проверки целостности присылаемой информации различного объема в общем случае при заданном и максимальном уровне защиты информации Y_s;

- рандомизированный набор (блок) «вариантов шифрования данных ПД» с соответствующими им признаками k_j;

- рандомизированный набор (блок) вариантов сочетаний шифруемых подразделов КП с соответствующими признаками q_i;

- цифровой отпечаток Ведущего,

а в защищенной недоступной оперативному составу области памяти процессора Ведущего устройства системы сохраняются неизвестные оперативному составу:

- таблица соответствия «Адрес терминала - Отпечаток» всех устройств системы, включающая цифровые отпечатки, адреса и номера адресных пространств всех Ведомых и самого Ведущего, а также переданные всем Ведомым:

- «Таблица шифров»;

- набор (блок) формул для проверки целостности принимаемой информации;

- набор (блок) рандомизированных вариантов шифрования данных ПД с соответствующими им признаками k_j;

- рандомизированный набор вариантов сочетаний шифруемых подразделов КП с соответствующими признаками q_i.

2.3. «Штатная» работа в режиме «С шифрованием данных».

Обмен данными по шине в режиме «штатная работа» с шифрованием данных происходит в соответствии с системным рабочим алгоритмом в логике шифрования, описанной в п. 1.2. заявляемого способа, посредством сообщений, форматы которых представлены на Фиг. 3, а структуры пакетов, входящих в сообщения - на Фиг. 4 и 6 для КП и на Фиг. 5 для ПД.

Заявляемый интерфейс реализуется в каждом терминале (Ведущем или Ведомом) в виде двух контуров и обладает следующими особенностями:

а) Внутренний контур:

- внутренний контур каждого скрыт от пользователя, к нему пользователь не имеет прямого доступа;

- рабочие параметры внутренних контуров Ведомых и Ведущего (набор формул расчета контрольных сумм для проверки целостности принимаемой информации, блок рандомизированных вариантов шифрования данных ПД с соответствующими признаками k_j, блок рандомизированных вариантов сочетаний шифруемых подразделов КП с соответствующими признаками q_i и набор шифров и логик шифрования подразделов КП и данных ПД, представленный в виде «Таблицы шифров») формируются автоматически на этапе «инициализации» без возможности влияния на их выбор оперативного состава как в процессе формирования, так и в процессе размещения их в защищенной памяти своих процессоров;

- рабочие параметры внутренних контуров всех Ведомых и Ведущего идентичны, за исключением:

- Ведомые в защищенной недоступной оперативному составу области памяти своих процессоров дополнительно хранят свои цифровые отпечатки, цифровой отпечаток Ведущего, их адреса и номера адресных пространств;

- Ведущий в своей защищенной области памяти дополнительно хранит таблицу соответствия («Адрес терминала - Отпечаток»), в которой хранятся цифровые отпечатки всех Ведомых и цифровой отпечаток Ведущего, привязанные к своим адресам и адресному пространству;

- передача сообщений от Ведущего к Ведомому и обратно на этапе «инициализации» (этапе формирования параметров внутреннего контура) осуществляется по закрытому защищенному каналу;

б) Внешний контур:

- внешний контур интерфейса - контур, с помощью которого оператор-пользователь осуществляет управление режимом защиты информации:

- выбирает вначале и закрепляет в исходных данных режим работы системы: с шифрованием или без шифрования;

- изменяет при изменении условий внешнего информационного противодействия режим работы системы: с шифрованием или без шифрования;

- определяет (изменяет) параметры шифрования:

- стандартное шифрование или шифрование повышенной сложности;

- с шифрованием КП и ПД по единому варианту или с шифрованием КП и ПД по различным вариантам,

но не имеет возможности чтения перечня шифруемых данных, используемых шифров и логики их применения;

Заявляемый интерфейс TSI может работать в двух режимах: без шифрования и с шифрованием информации. Работа без шифрования информации применяется в условиях, когда исключены возможности искажения и подмены любой передаваемой информации. Работа с шифрованием информации - когда необходимо обеспечить штатную работу объекта управления в условиях информационного противодействия.

В ходе работ по осуществлению изобретения были разработаны:

- ГННСЧ, нестационарность которого обеспечивается подачей на его вход переменных величин, имеющих нестационарную природу: температуры внутри интегральной схемы и сигнала с выхода триггера, находящегося в метастабильном состоянии при переходе сигнала в новый домен синхронизации, а закон распределения выдаваемых им величин подчиняется равномерному закону распределения;

- блок приема/передачи, предназначенный для программно-аппаратной реализации протокола TSI;

- протокол TSI, позволивший:

-провести тестирование на техническую реализуемость заявляемого способа динамического шифрования информации;

- подтвердить достижение поставленной цели изобретения-обеспечение АСУ информацией в точности соответствующей информации, передаваемой источником в условиях внешнего враждебного информационного противодействия, сбоя в работе АСУ или непреднамеренных ошибок оперативного состава. Опыты, проведенные на экспериментальной системе управления энергетическим объектом с подсистемой шифрования данных по заявляемому способу подтвердили, что:

- заявляемое динамическое шифрование информации технически реализуемо;

- заявляемое динамическое шифрование информации позволяет практически защитить приемник от приема умышленно или непреднамеренного искаженных данных благодаря обеспечению:

- неопределенности и непредсказуемости применяемых шифров (перечня шифруемых данных, применяемых шифров и логики шифрования);

- постоянной и случайной изменчивости шифров (шифр изменяется в каждой передаче каждого источника независимо от других источников информации);

- передачи косвенных данных о используемом шифре в передаваемом сообщении;

- приемник, с высокой вероятностью, определяет недостоверную информацию (не принимает недостоверную информацию за достоверную) и не передает ее системе управления для выработки управляющего воздействия, что особенно необходимо при управлении опасными и критически важными промышленными объектами сегодня и в будущем.

Гарантированная доставка приемнику информации в точности соответствующей информации, передаваемой источником обеспечивает существенное повышение уровня функциональной безопасности системы (АСУ с объектом управления), позволяет разработчику САУ сосредоточиться на создании оптимальной системы управления и создает предпосылки для ее адаптации к уровню жесткости вредоносного информационного воздействия (автоматическому выбору степени сложности шифрования информации).

Программно-аппаратная реализация способа шифрования в виде интерфейса TSI, подтвердила следующее:

1. Заявленная группа изобретений технически реализуема, функционирует корректно, и позволяет с высокой вероятностью решить поставленную задачу доставки приемнику информации в точности соответствующей информации, передаваемой источником.

2. Использование заявленной группы изобретений обеспечивает существенное повышение уровня функциональной безопасности системы (АСУ с объектом управления), за счет практической невозможности умышленной подмены или принятия случайно искаженной, из-за ошибки оператора или сбоя в работе АСУ, информации в качестве достоверной.

3. Заявляемый интерфейс может быть применен в автоматизированных системах управления (АСУ) сложными, опасными, ответственными и дорогостоящими объектами.

Используемая терминология: 1. Кодирование - преобразование данных в другой формат, с целью организации более рационального хранения, обработки и передачи данных. При кодировании используется общедоступная, общеизвестная, легко применимая схема. Как правило, закодированная информация представляется более компактно и хорошо пригодна для хранения, обработки и передачи программно-техническими средствами

2. Шифрование - преобразование данных, существенно затрудняющее применение вредоносного программного обеспечения (ВПО) для прочтения и организации воздействия на информационную среду системы, с целью снижения уровня безопасности системы. В зависимости от степени защиты шифрование подразделяется на:

а) Стандартное шифрование (стандартная защита информации) - шифрование контрольной суммы (CRC) контрольного пакета (КП), данных пакета данных (ПД) и CRC ПД без шифрования подразделов КП;

б) Шифрование повышенной сложности (высокий уровень защиты информации) - шифрование CRC КП, различных неизвестных оперативному составу подразделов КП, данных ПД и CRC ПД.

3. Статическое шифрование - шифрование информации по априори выбранному и неизменяемому в процессе работы системы правилу, например, присоединение к полезным данным, записываемых в N бит поля данных, такой же по величине (N бит) случайной величины, получаемой от генератора белого шума.

4. Динамическое шифрование - шифрование каждым источником информации каждого пакета в каждом сообщении заранее неизвестным не предсказуемым различным случайным шифром по случайно определяемому в процессе работы правилу.

5. ВПО (вредоносное программное обеспечение) - специально созданная программа, которая позволяет непредусмотренным пользователям выполнять действия в информационной среде системы, причиняющие вред пользователю данной сети или системы, снижающие уровень безопасности системы.

6. Аппаратное шифрование - процесс шифрования, производимый при помощи специализированных вычислительных устройств.

7. Программно-аппаратное шифрование - процесс, при котором шифрование осуществляется при помощи программных средств и специализированных вычислительных устройств.

8. Признак шифрования (Рk), характеризует условия работы системы:

а) Работа в жестких условиях информационного противодействия -работа с шифрованием информации (Рk=1).

б) Работа в благоприятных условиях, когда исключена возможность внешнего информационного воздействия на систему с целью искажения или подмены передаваемой информации - работа без шифрования информации (Рk=0).

9. Режим шифрования (может быть двух типов):

а) Шифрование пакетов по единому набору шифров - шифрование контрольного пакета (КП) и пакета данных (ПД) осуществляется по единому набору шифров, содержащихся в одной строке «Таблицы шифров», то есть когда перечень шифруемых параметров, шифры и логика их применения для шифрования КП и ПД определяется одной строкой таблицы.

б) Шифрование пакетов по различным наборам шифров - шифрование пакетов КП и ПД осуществляется по различным наборам шифров, то есть набор шифров КП определяется одной строкой, а набор шифров ПД - другой строкой «Таблицы шифров».

10. Режимы передачи информации:

а) Режим «чтение» («запрос на чтение») - операция, проводимая между двумя устройствами, при которой полезная информация (результат «чтения») передается из ответного устройства к запрашиваемому запрашивающему (инициировавшему чтение);

б) Режим «запись» (запрос на «запись») - операция, проводимая между двумя устройствами, при которой полезная информация (результат «записи») передается от запрашивающего (инициировавшего запись) устройства к принимающему.

11. Формат - совокупность пакетов в одном сообщении.

12. Структура пакета - строгое разделение пакета (пакета информации) на подразделы, байты и биты определенного функционального назначения.

13. ADP - признак предоставления (использования) максимального или необходимого и достаточного объема памяти для/при записи характеристик параметров:

а) ADP=0 - означает: для/при записи характеристик параметров абонентов терминала предоставлен/использован максимальный объем памяти;

б) ADP=1 - означает: при записи характеристик параметров абонентов терминала в ПД использован объем памяти меньше предоставленного, но достаточный для их точной записи.

14. ГННСЧ - генератор нестационарных натуральных случайных чисел -устройство, генерирующее нестационарные натуральные случайные числа, нестационарность которых обеспечивается подачей на его вход переменных величин, имеющих нестационарную природу, температуры внутри интегральной схемы и сигнала с выхода триггера, находящегося в метастабильном состоянии при переходе сигнала в новый домен синхронизации, а закон распределения случайных чисел подчиняется равномерному закону распределения.

15. Рандомизация - процесс случайного изменения номеров какого-либо априори пронумерованного множества (проводится на этапе «Инициализация»).

16. Целостность информации - термин, означающий, что данные при выполнении операции передачи от передатчика (Ведущего или Ведомого) приемнику (Ведомому или Ведущему) не были изменены.

17. Достоверность информации - термин, характеризующий отсутствие ложных или каким-либо образом искаженных сведений в принимаемой от источника информации. Принятая приемником информация считается достоверной, если она в точности соответствует информации, переданной источником информации. Критерием достоверности информации является целостность пакетов информации, входящих в формат сообщения.

18. Информационная безопасность - свойство системы, обеспечивающее получение достоверной информации в условиях внешнего вредоносного информационного противодействия, ошибки оператора или программно-аппаратного сбоя и исключающее возможность принятия недостоверной информации за достоверную.

19. Функциональная безопасность - свойство системы, обеспечивающее корректное (безопасное) управления (выполнение заданных функций) в реальных условиях функционирования (внешнее информационное противодействие, программный или аппаратный сбой и др.). Легко обеспечивается при получении достоверной информации.

Использованные источники

1. Месси Д.Л. Введение в современную криптологию. - ТИИЭР, 1988, т. 176, №5. - С. 24-42.

2. ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.

3. Шеннон К.Э. Теория связи в секретных системах - Работы по теории информации и кибернетике. М. ИЛ, 1963 - С. 333-402.

4. Карпов А.В., Сидоров В.В. Способ защиты информации в метеорном радиоканале путем шифрования случайным природным процессом. Патент на изобретение RU №2265957 С1, приоритет от 25.02.2004, 10.12.2005, Бюл. №34. (аналог).

5. Сидоров В.В., Шерстюков О.Н., Сулимов А.И. Способ защиты информации. Патент на изобретение RU №2423800 С2, приоритет от 13.05.2010, опубл. 10.07.2011. Бюл. №19. - 9 с. (аналог).

6. ГОСТ Р 50016-92. Совместимость технических средств электромагнитная. Требования к ширине полосы радиочастот и внеполосным излучениям радиопередатчиков. Методы измерений и контроля. - М.: Изд-во стандартов, 1993.

7. ГОСТ Р 50842-95. Совместимость радиоэлектронных средств электромагнитная. Устройства радиопередающие народнохозяйственного применения. Требования к побочным радиоизлучениям. Методы измерения и контроля. - М.: Изд-во стандартов, 1996.

8. Сулимов А.И, Шерстюков О.Н, Карпов А.В., Каюмов И.Р., Смоляков А.Д.

Способ защиты информации. Патент на изобретение RU №2527734 С2, приоритет от 04.04.2012, опубл. 10.09.2014. Бюл. №25 (прототип).

1. Способ защиты передаваемой информации, основанный на шифровании и дешифровании сообщений с использованием операции взаимного опознавания участников обмена, отличающийся тем, что: вводится этап - «инициализация», на котором Master (Ведущее устройство-Ведущий), подготавливая систему к штатной работе, автоматически, без возможности оперативного состава влиять на процедуру и результат, формирует у себя, с помощью генератора нестационарных последовательностей натуральных случайных чисел (ГННСЧ), нестационарность последовательностей которых обеспечивается подачей на вход генератора переменных величин температуры внутри интегральной схемы и сигнала с выхода триггера, находящегося в метастабильном состоянии при переходе сигнала в новый домен синхронизации, «Таблицу шифров», размерности Lo х Мо, где Lo - общее количество шифруемых параметров и данных в контрольном пакете (КП) и пакете данных (ПД), а Мо - количество различных сочетаний перечней шифруемых параметров и данных, их шифров и логик шифрования КП и ПД каждого сообщения, рандомизирует априори заданные наборы вариантов шифрования данных ПД с соответствующими им признаками kj и вариантов сочетаний шифруемых подразделов КП с соответствующими признаками qi, создает свой цифровой отпечаток, а также формирует набор формул расчета контрольной суммы (CRC), обеспечивающих, с точностью не хуже требуемой, проверку целостности пересылаемой в каждом пакете информации в зависимости от ее объема и уровня защиты от вредоносного информационного воздействия, разделенный на не менее чем три группы по объему пересылаемой информации и содержащий внутри каждой группы не более двух формул, соответствующих разным уровням защиты, которые вместе со своим адресом и номером адресного пространства через запрос передает по закрытому каналу всем Slave (Ведомым устройствам - Ведомым), участвующим в работе системы, принимает от каждого Ведомого по закрытому каналу уникальный цифровой отпечаток устройства, сформированный самим Ведомым с помощью своего ГННСЧ, после чего формирует у себя таблицу соответствия «Адрес терминала - Отпечаток», включающую свой цифровой отпечаток, свой адрес и номер своего адресного пространства, цифровые отпечатки Ведомых устройств, их адреса и номера адресных пространств, которую вместе с «Таблицей шифров», набором формул расчета CRC, рандомизированными наборами вариантов шифрования данных ПД с соответствующими им признаками kj и вариантов сочетаний шифруемых подразделов КП с соответствующими признаками qi помещает в защищенную недоступную оперативному составу область памяти своего процессора, а каждое Ведомое устройство системы помещает в защищенную недоступную оперативному составу область памяти своего процессора свой цифровой отпечаток, адрес своего терминала и номер своего адресного пространства и переданные Ведущим: «Таблицу шифров», набор формул расчета CRC, для проверки целостности информации, рандомизированные наборы вариантов шифрования данных ПД с соответствующими им признаками kj и вариантов сочетаний шифруемых подразделов КП с соответствующими признаками qi, цифровой отпечаток Ведущего, его адрес и номер его адресного пространства и передает Ведущему сигнал своей готовности к работе, который после получения от всех Ведомых устройств сигнала готовности к работе формирует сигнал «Система готова к работе» и после команды оператора «Пуск» приступает непосредственно к рабочему этапу в условиях информационного противодействия - «штатной работе», в процессе которой Ведущий в цикле принимает от всех Ведомых системы шифрованную информацию, дешифрирует ее, комплексирует и передает автоматизированной системе управления (АСУ) в логике, определенной системным алгоритмом, причем для шифрования передаваемой информации Ведомым и Ведущим используется метод динамического шифрования, заключающийся в том, что шифруется каждый пакет (КП и ПД) в каждом сообщении каждого источника информации (Ведущего и Ведомого) изменяемым, случайным, независимым от предыстории, непредсказуемым, неизвестным оперативному составу и разработчику шифром, определяемым непосредственно перед отправкой сообщения с помощью своего ГННСЧ, подчиняющихся равномерному закону распределения, который перед каждым отправлением сообщения случайным образом формирует конкретные номера варианта из рандомизированного набора вариантов шифрования данных ПД, варианта из рандомизированного набора вариантов сочетаний шифруемых подразделов КП и строки из «Таблицы шифров», с указанными в них перечнем шифруемых параметров и данных, шифрами и логикой их применения, при этом приемнику в сообщении источником информации передаются только номера вариантов в наборах и номер строки или номера строк, в зависимости от режима шифрования, в «Таблице шифров», представляющие собой изменяемые в каждой передаче случайные, независимые от предыстории числа, вырабатываемые его ГННСЧ, понятные приемнику и позволяющие ему с помощью своих рандомизированных наборов вариантов шифрования данных ПД и вариантов сочетаний шифруемых подразделов КП, а также «Таблицы шифров», идентичных с наборами вариантов и «Таблицей шифров» источника, определить используемые источником параметры шифрования сообщения и расшифровать переданное сообщение, при этом в формат КП дополнительно вводится подраздел, в который Ведущий непосредственно перед передачей сообщения Ведомому записывает «кодовое слово», представляющее собой изменяемое в каждой передаче случайное число, вырабатываемое ГННСЧ, которое Ведомый возвращает в КП ответного сообщения, подтверждая свои полномочия ответа на конкретный запрос Ведущего.

2. Автоматизированная Система Управления объектами, в которой реализован интерфейс с шифрованием информации, основанный на шифровании и дешифровании сообщений с использованием операции взаимного опознавания участников обмена, отличающийся тем, что система содержит Ведущее устройство и Ведомые устройства, соединенные шиной, при этом каждое из Ведущего и Ведомых устройств включают блок приема-передачи, а также Генератор нестационарных последовательностей натуральных случайных чисел и защищенную память, соединенные с блоком приема-передачи, причем в блоке приема-передачи каждого из устройств выделяют внутренний контур, настройка которых для реализации предлагаемого способа шифрования осуществляется перед началом работы системы на этапе «инициализации», для этого во внутреннем контуре Ведущего устройства скрытно, без возможности влияния оперативного состава на результат, автоматически формируют неизвестные оперативному составу и разработчику системы состав и значения параметров, необходимых для шифрования пересылаемой информации по предлагаемому способу динамического шифрования: «Таблицу шифров», рандомизированные наборы вариантов шифрования данных ПД и вариантов сочетаний шифруемых подразделов КП, определяющие возможные перечни шифруемых параметров, сами шифры и логику шифрования передаваемых данных, формулы расчета контрольной суммы, обеспечивающие, с точностью не хуже требуемой, проверку целостности пересылаемой в каждом пакете информации в зависимости от ее объема и уровня защиты от вредоносного информационного воздействия и свой уникальный цифровой отпечаток, которые вместе с своим адресом и номером адресного пространства Ведущее устройство тиражирует по закрытому каналу каждому Ведомому устройству системы, внутренние контуры которых скрытно, без возможности влияния оперативного состава на результат, автоматически формируют неизвестные оперативному составу и разработчику системы свои уникальные цифровые отпечатки, которые вместе со своим адресом и номером адресного пространства по закрытому каналу отправляют Ведущему устройству, а полученные от Ведущего данные по шифрованию вместе с его уникальным цифровым отпечатком, адресом и номером адресного пространства и свой уникальный цифровой отпечаток вместе со своим адресом и номером адресного пространства помещают в свою защищенную память, обеспечивающую скрытное хранение в недоступной для оперативного состава защищенной оперативной памяти процессора каждого устройства, завершая настройку внутренних контуров Ведомых, Ведущий же, получив по закрытому каналу от каждого Ведомого устройства вместе с его адресом и номером адресного пространства сформированные ими неизвестные оперативному составу и разработчику системы уникальные цифровые отпечатки, формирует таблицу соответствия «Адрес терминала - Отпечаток», включающую свой цифровой отпечаток, свой адрес и номер своего адресного пространства, цифровые отпечатки Ведомых, их адреса и номера адресных пространств, которую вместе с сформированными им же ранее параметрами шифрования: «Таблицей шифров» и рандомизированными наборами вариантов шифрования данных ПД и вариантов сочетаний шифруемых подразделов КП, определяющими перечень шифруемых параметров, сами шифры и логику шифрования передаваемых в каждом пакете каждого сообщения каждого источника информации данных, и формулами расчета контрольной суммы, обеспечивающими, с точностью не хуже требуемой, проверку целостности пересылаемой в каждом пакете информации в зависимости от ее объема и уровня защиты от вредоносного информационного воздействия, помещает в свою защищенную память, обеспечивающую скрытное хранение в недоступной для оперативного состава защищенной оперативной памяти процессора, и этим завершает настройку своего внутреннего контура и системы в целом, установив во внутренних контурах Ведущего устройства и Ведомых устройствах системы одинаковые исходные данные: одинаковые «Таблицы шифров», определяющие возможные перечни шифруемых параметров, их шифры и логику шифрования, одинаковые рандомизированные наборы вариантов алгоритмов шифрования данных и вариантов сочетаний различных подразделов КП, подлежащих шифрованию, одинаковый набор формул, обеспечивающих проверку с точностью не хуже требуемой целостность информации, пересылаемой источником, в зависимости от ее объема и заданного уровня защиты от вредоносного информационного воздействия, позволяющие на этапе «штатная работа» реализовать метод динамического шифрования информации, заключающийся в том, что шифруется каждый пакет в каждом сообщении каждого источника информации изменяемым, случайным, независимым от предыстории, непредсказуемым, неизвестным оперативному составу и разработчику шифром, определяемым непосредственно перед отправкой сообщения с помощью своего ГННСЧ, генерирующего нестационарную последовательность натуральных случайных чисел, подчиняющихся равномерному закону распределения, благодаря подаче на вход каждого генератора двух переменных величин своего устройства, имеющих нестационарную природу, температуры внутри интегральной схемы и сигнала с выхода триггера, находящегося в метастабильном состоянии при переходе сигнала в новый домен синхронизации, а дешифрируется каждый пакет каждого сообщения каждым приемником информации, по номерам вариантов в рандомизированных наборах вариантов алгоритмов шифрования данных и вариантов сочетаний различных подразделов КП, по номеру строки или номерам строк, в зависимости от режима шифрования, в «Таблице шифров», передаваемым в сообщении источником информации, понятным приемнику и позволяющим ему с помощью своих рандомизированных блоков вариантов шифрования данных ПД и вариантов сочетаний шифруемых подразделов КП, а также «Таблицы шифров», идентичных с блоками вариантов и «Таблицей шифров» источника, определить используемые источником параметры шифрования сообщения и расшифровать переданное сообщение, при этом для обмена шифрованной информацией в каждом из устройств реализован протокол TSI, причем у Ведомых устройств реализован протокол обмена шифрованной информацией TSI с БЦП Ведущего устройства, а в блоке приема-передачи Ведущего устройства реализован системный протокол обмена шифрованной информацией TSI со всеми модулями Ведомых устройств.