Код документа: RU2137303C1
Настоящее изобретение относится в основном к управлению одного устройства, которое выполняет команды, подаваемые другим устройством. Более конкретно, настоящее изобретение относится к процессу удостоверения подлинности команд, подаваемых одним устройством, до выполнения этих команд другим устройством.
Многие системы нуждаются в ведущей станции, подающей команды на выполнение критических управляющих функций на удаленную ведомую станцию. Пример этому дает управление околоземным спутником, для реализации которого наземная ведущая управляющая станция подает команды, подобные корректирующим орбиту командам, на ведомую спутниковую станцию. Однако критические управляющие функции могут быть заданы дистанционно во исполнение финансовых, промышленных или правительственных решений.
Команды считаются критическими в силу серьезных последствий, которые могут произойти от неправильного выполнения ведомой станцией таких команд. На спутнике неправильное действие может повлечь уход спутника с предписанной орбиты или другие последствия, которые способны сократить срок службы или саму полезность этого спутника. По причине огромных затрат на разработку спутника и его выход на орбиту, потенциальные потери огромны. В финансовых ситуациях деньги могут быть выданы по неправильным счетам, что так же может повлечь большие финансовые потери. И в других ситуациях неправильное действие ведомой станции может создать серьезный риск для жизни или здоровья или сохранности окружающей среды.
Поэтому часто предпринимают меры по предотвращению таких нежелательных тяжелых последствий в системах, где критические команды подаются дистанционно. Такие меры обычно лежат по крайней мере в двух различных аспектах. Первый аспект характеризуется созданием гарантий того, что ведущая станция будет реагировать только на команды, подаваемые приписанной к ней ведущей станцией. Другими словами, процесс удостоверения подлинности используется для того, чтобы ведомая станция имела высокую степень уверенности, что команда, принятая ей фактически пришла от приписанной к ней ведущей станции, а не от какого-нибудь другого контроллера. В другом аспекте внимание уделяется созданию гарантий того, что ведомая станция, которая приняла команду от приписанной к ней ведущей станции, действительно получила предписанную команду, а не какую-либо другую команду. Другими словами, процесс удостоверения подлинности используется для создания гарантий того, что не произойдет ошибки в передаче команды.
Многочисленные эффективные, действенные и в других смыслах удовлетворительные процессы удостоверения подлинности известны специалистам в данной области техники. С другой стороны, известные процессы удостоверения подлинности не способны дать удовлетворительных решений задач удостоверения подлинности для систем, которые подобны описанным выше. Известные процессы удостоверения подлинности достаточно сложны, чтобы быть реализованы и эксплуатироваться. Такие известные процессы часто предполагают использование специальных "защитных" аппаратных средств для реализации процессов шифрования и дешифрования. Хотя такие известные процессы позволяют достичь высоких уровней гарантии подлинности, вес, стоимость и ограниченная надежность, если сравнивать с процессом, который не использует дополнительного аппаратного оборудования, являются нежелательными признаками известных процессов.
Дополнительно, многие известные процессы используют процесс симметричного шифрования. Процессы симметричного шифрования используют один ключ для шифрования и дешифрования. Этот ключ сохраняется в секрете, чтобы только ведущая и ведомая станция знали его. Однако эта система должна использовать схему замены ключа в том случае, если нарушение секретности делает секретный ключ известным или какие-то поломки делают невозможным удостоверение подлинности санкционированных сообщений. Такие заменяющие ключ схемы чрезвычайно сложны и дорогостоящи, если требуется сохранять высокий уровень секретности удостоверения подлинности.
Хотя перечисленные выше проблемы являются недостатком известных процессов удостоверения подлинности, проблемы становятся особо значимыми применительно к управлению спутниками. В управляющих спутниками системах физический доступ к спутнику, после того как спутник выведен на орбиту, чрезвычайно непрактичен. Помимо этого, расходы, обусловленные повышенной массой, приходящейся на защитную аппаратуру, и понижением общей надежности по причине использования защитной аппаратуры, сильно возрастают.
Преимуществом настоящего изобретения является то, что разработан усовершенствованный процесс удостоверения подлинности.
Следующим преимуществом настоящего изобретения является то, что процесс удостоверения подлинности не требует использования аппаратуры, специально предназначенной для организации этого процесса.
Следующим преимуществом настоящего изобретения является то, что разработан процесс удостоверения подлинности, который прост в реализации и эксплуатации.
Следующим преимуществом настоящего изобретения является, то что обеспечивается высокий уровень секретности подлинности. Эти и другие преимущества настоящего изобретения осуществляются одновременно способом передачи команд на любую ведомую станцию таким образом, что команды могут быть подвергнуты проверке на подлинность ведомой станции. По этому способу настоящего изобретения наполнитель поступает от ведомой станции. Наполнитель хранится по-крайней мере до того, как возникнет надобность в передаче команды на ведомую станцию. Этот наполнитель комбинируется с командой для образования сообщения, и сообщение передается на ведомую станцию.
Перечисленные выше другие преимущества настоящего изобретения могут быть реализованы в другой форме способом удостоверения подлинности команд, принятых от ведущей станции, до выполнения инструкции, сообщенной в командах. По этому способу настоящего изобретения наполнитель создается с помощью процесса генерирования случайных чисел. Этот наполнитель запоминается и передается на ведущую станцию. Затем принимается передающее данные сообщение. Команда и значение наполнителя извлекаются из сообщения. Извлеченное значение наполнителя сравнивается с хранящимся наполнителем для определения соответствия. Если соответствия нет, то команда не выполняется.
Более глубокое
понимание настоящего изобретения можно обрести путем ознакомления с подробным описанием и формулой, которая проиллюстрирована приложенными фигурами, на которых одинаковыми цифровыми позициями
обозначены одинаковые элементы и:
Фиг. 1 представляет спутниковую коммуникационную сеть, охватывающую Землю, в которой работает предпочтительный вариант осуществления настоящего изобретения;
фиг. 2 иллюстрирует блок-схему аппаратуры, используемой в спутниковой станции и наземной управляющей ведущей станции в соответствии с предпочтительным вариантом осуществления настоящего изобретения;
фиг. 3А-3В совместно представляют блок-схему задач, выполняемых ведущей станцией и ведомой станцией при обмене между ними подлинной командой в соответствии с предпочтительным вариантом осуществления
настоящего изобретения; фиг.4 представляет блок-схему структур, относящихся к наполнителям данных, используемых ведущей и ведомой станциями в соответствии с предпочтительным вариантом осуществления
настоящего изобретения; фиг. 5А-5В представляют блок-схему структуры команды и ее соотношение с передающим данные сообщением в соответствии с предпочтительным вариантом осуществления настоящего
изобретения; фиг. 6А-6В совместно представляют блок-схему задач, выполняемых ведущей и ведомой станцией при создании списков наполнителей в соответствии с предпочтительным вариантом осуществления
настоящего изобретения.
Фиг. 1 иллюстрирует спутниковую коммуникационную сеть 10. Сеть 10 распределена поверх всей Земли через посредство многих околоземных летательных аппаратов, подобных орбитальным спутникам 12. В предпочтительном варианте осуществления спутники 12 занимают полярные околоземные орбиты, которые заставляют их двигаться относительно Земли в направлении юг-север и север-юг. Все вместе спутники 12 образуют созвездие, в котором спутники 12 остаются сравнительно неподвижными относительно друг друга, исключая их орбиты, сходящиеся и расходящиеся друг от друга в полярных регионах.
Спутники 12 сообщаются с устройствами на Земле через многие шлюзы 14, из которых на фиг. 1 показан только один, несколько управляющих станций 16, из которых фиг. 1 показывает две, и любое число радиокоммуникационных устройств 18, из которых одно показано на фиг. 1. Радиокоммуникационные устройства 18 могут размещаться где угодно на поверхности Земли. Шлюзы 14 предпочтительно распределяют по поверхности Земли в соответствии с геополитическими границами. Наземные управляющие станции 16 предпочтительно располагаются в северных широтах, где сходимость орбит спутников 12 заставляет большее число спутников 12 входить в зону прямой видимости из одной точки на поверхности Земли в сравнении с более экваториальными широтами. Предпочтительно, около четырех управляющих наземных станций использовать так, чтобы все спутники созвездия 12 могли бы в некоторой точке собственной орбиты входить в зону прямой видимости предписанной им наземной управляющей станцией 16.
Нет никаких препятствий к расположению шлюза 14 и наземной управляющей станции 16 в одном пункте на Земле. Однако шлюзы 14 выполняют отличные функции от тех, которые выполняют наземные управляющие станции 16. Предпочтительно, чтобы шлюзы 14 в основном работали как коммуникационные узлы 20 в сети 10. Разнообразные наземные коммуникационные системы, подобные всемирной телефонной коммуникационной сети /PSTN/ получают доступ к сети 10 через шлюзы 14. Сеть 10 может устанавливать коммуникационное соединение через шлюзы 14 и созвездие спутников 12 с конкретным одним из спутников 12, который в текущий момент находится над нужным пунктом для другой стороны соединений, как иллюстрируют коммуникационный маршрут 22 между спутником 12 и радиокоммуникационным устройством 18. Поэтому каждый из спутников 12 также служит в качестве узла 20 в сети 10.
Наземные управляющие станции 16 выполняют функцию телеметрии, слежения и передачи команд /TT& C/ для созвездия спутников 12. Предпочтительно, чтобы чрезвычайные меры секретности предпринимались на каждой наземной управляющей станции 16 для предотвращения несанкционированного управления спутниками 12. Наземные управляющие станции 16 также служат в качестве узлов 20 для сети 10. Однако наземные управляющие станции 16 отличаются от шлюзов 14 тем, что они в основном выполняют функции телеметрии при приеме и передаче команд для сети 10, а не просто стыка с другими коммуникационными сетями и системами для сети 10. Поскольку для размещения наземных управляющих станций 16 выбраны северные широты, один или более спутников 12 всегда находится в зоне прямой видимости от наземной управляющей станции 16. Наземная управляющая станция 16 может сообщаться с приписанными спутниками 12 в пределах сети 10 непосредственно, как иллюстрируют прямые связи 24, когда, следуя по своим орбитам, такие приписанные спутники 12 находятся над наземной управляющей станцией 16. Дополнительно, любая наземная стация 16 может сообщаться с любым спутником 12 через орбитальный спутник 12 и разнообразные промежуточные узлы 20 сети 10.
В предпочтительном варианте осуществления прямые соединения 24 позволяют наземной управляющей станции 16 сообщаться с приписанными спутниками 12 на таких высоких частотах, предпочтительно в K диапазоне, на которых оказывается возможность лишь существенно прямолинейное распространение коммуникационных сигналов. Любой несанкционированный участник должен находиться вблизи прямой видимости между спутником 12 и наземной управляющей станцией 16, чтобы принять такие коммуникационные сигналы. Таким образом, несанкционированный прием коммуникационных сигналов, передаваемых от наземной станции к спутнику 12 весьма трудно осуществить, поскольку это требует физического размещения приемника между наземным передатчиком и приемником, размещенным на спутнике.
В соответствии со своими управляющими функциями наземные станции 16 передают команды на приписанные спутники 12. Эти команды передаются на спутники 12 в виде передающих данных сообщений. Такие команды управляют многочисленными разнообразными операциями спутников 12. Например, такие команды могут активизировать исполнительное устройство для изменения орбит, подавать питание на системы для воздействия на способность спутника служить в качестве узла в сети 10 и управлять переключательными системами, чтобы влиять на способность спутника обрабатывать коммуникационный график. Эти и другие команды имеют критическое значение для эффективной работы сети 10. Альтернативной критической командой может быть команда "не работать" или ловушка секретности. Следовательно, сеть 10 выполняет операции, гарантирующие, что эти и другие критические команды являются подлинными, для предотвращения повреждений, которые в противном случае могут быть вызваны неумелым обращением, безответственными процедурами или намеренным саботажем.
Фиг. 2 представляет блок-схему аппаратуры 161, используемой ведущей станцией, подобной наземным управляющим станциям 16, и аппаратуры 121, используемой ведомой станцией подобной спутнику 12. Станции 12 и 16, будучи ведомой и ведущей имеют общим то, что они являются управляемыми компьютером устройствами. В частности, аппаратура ведущей станции 121 включает в себя процессор 26, который сообщается с памятью 28. Память 28 включает в себя постоянную память 30, программирование которой не может быть изменено спутником 26, и временную память 32, программирование которой может быть выполнено процессором 26. Для специалистов в данной области техники должно быть ясно, что многие процедуры, процессы и задачи, выполняемые ведомой станцией 12, управляются процессором 26 по запрограммированным инструкциям, хранящимся в памяти 28.
В частности, под управлением процессора 26 активизируется и останавливаются различные исполнительные устройства 34. Такие исполнительные механизмы могут заставить сработать реактивные двигатели, выставить или изменить положение солнечных панелей и управлять перемещением антенны, а также выполнять многие другие действия. Аналогично, разнообразные переключатели 36 могут работать под управлением процессора 26. Переключатели 36 могут, среди других вещей, управлять подачей питания на разнообразные подсистемы, входящие в состав станции 12. Разнообразные коммуникационные органы управления 28 работают под управлением процессора 26. Органы управления 38 используются для того, чтобы предоставить возможность ведомой станции 12 выполнять роль коммуникационного узла при работе сети 10.
Процессор 26 также сообщается с таймером 40, который помогает процессору 26 вести счет суток и времени суток. Процессор 26 передает данные, предпочтительно используя известные способы QPSK, подавая такие данные на модулятор 42. Процессор 26 также соединен с синтезатором 44 для управления частотными каналами, по которым передаются данные. После модулирования данных в модуляторе 42, коммуникационный сигнал передается от ведомой станции 12 на передающую секцию 46 антенны 48. Процессор 26 принимает данные через приемную секцию 50 антенны 48, которая соединена с демодулятором 52. Демодулятор 52 имеет управляющий вход, который соединен с выходом синтезатора 44. Демодулятор 52 демодулирует принятые данные, которые затем направляются на процессор 26.
Аппаратура управляющей станции 161 включает в себя аналогичные схемы. В частности, процессор 54 соединен и сообщается с памятью 56. Многие процедуры, процессы и задачи, выполняемые ведущей станцией 16, управляются процессором 54 по запрограммированным инструкциям, хранящимся в памяти 56. Процессор 54 дополнительно соединен с разнообразными входными/выходными устройствами 58. Входные/выходные устройства 58 включают любые известные клавиатуры, индикаторное устройство, видео-дисплейный терминал, принтер и другие автоматизированные системы, подобные другим компьютерам или рабочим станциям, соединенным через компьютерную сесть или непосредственно передающие данные связи.
Процессор 54 также сообщается с таймером 60, который помогает процессору 54 вести счет суткам и времени суток. Процессор 54 передает данные, предпочтительно используя известные способы QPSK, подавая такие данные на модулятор 62. Процессор 54 также соединен с синтезатором 64 для управления частотными каналами, не которым передаются данные. После модулирования данных в модуляторе 62, коммуникационный сигнал передается от ведущей станции на передающую секцию 66 антенны 68. Процессор 54 принимает данные через приемную секцию 79 антенны 68, которая соединена с демодулятором 72. Демодулятор 72 имеет управляющий вход, который соединен с выходом синтезатора 64. Демодулятор 72 демодулирует принятые данные, которые затем направляются на процессор 54. Как сказано выше применительно к фиг. 1, данные могут быть переданы через непосредственное соединение 24 или через сеть 10 через один или более промежуточных узлов 20.
Как видно, ведомая станция 12 и ведущая станция 16 включают в себя схемы, которые необходимы для работы фактически любого коммуникационного устройства, управляемого компьютером. В частности, станции 12 и 16 не содержат схем, которые предназначены выполнять проверку подлинности команд. Более того, проверка подлинности команд выполняется в основном в процессорах 26 и 54 в соответствии с запрограммированными инструкциями, хранящимися в памятях 28 и 56 соответственно. Процессоры 26 и 54, используемые станциями 12 и 16 идентичны. Поэтому аппаратурная надежность удостоверения подлинности команд оказывается приблизительно эквивалентна надежности соответствующих процессоров, памяти и обеспечивающих радиокоммуникацию схем. Более того, общая надежность станций 12 и 16 не понижена и не увеличена масса спутниковой ведомой станции 12 включением аппаратуры, подтверждающей подлинность команд.
Конечно, для специалистов в данной области техники должно быть ясно, что аппаратура, представления фиг. 2 может быть существенно изменена без существенного изменения исполняемых функций. Например, можно ввести разнообразные функции переключения, тактирования и управления коммуникациями в процессор 26, и процессоры 26 и 54 могут быть реализованы с использованием одиночной процессорной схемы или нескольких процессорных схем. Аналогично, функции модулирования и демодулирования можно сконфигурировать различными способами, включая введение промежуточных модулирующих каскадов. Более того, для специалистов в данной области техники должно быть ясно, что станции 12 и 16 могут использовать общую антенну для передачи и приема коммуникационных сигналов.
Фиг. 3А - 3В вместе показывает блок-схему задач, выполняемых ведущей станцией 16 и ведомой станцией 17, и показывает взаимосвязи между такими задачами. Конкретные задачи, изображенные на фиг. 3А - 3В, относятся к посылке и проверке подлинности команды, посылаемой ведущей станцией 16 на ведомую станцию 12. Более того, конкретные задачи, представленные на фиг. 3А-3В, выполняются в ходе нормальной работы станций 16 и 12. Другими словами, процессоры 26 и 54 /см. фиг. 2/ выполняют задачи, представленные на фиг. 3А-3В, одновременно уделяя внимание нормальным операциям спутников 12 и 16 соответственно.
Как видно на фиг. 3А, время от времени ведущие станции 16 принимают сообщения о числе команд, полученных ведомой станцией, от одной из приписанных ведомых станций 12, что иллюстрирует задача 74. Предпочтительно, чтобы ведомая станция 12 включала число принятых ею команд в рутинную операционную телеметрию, которая сообщается ведущей станцией, что иллюстрирует задача 76. Таким образом, ведущая станция 16 регулярно получает сведения о числе команд, полученных ведомой станций. Более того, это информационное сообщение можно посылать открыто /т.е. без предварительного шифрования/.
Фиг. 4 представляет блок-схему наполнителей 78 и 80, формируемых в памятях 28 и 56 ведомой и ведущей станций 12 и 16 соответственно, для использования в процессе удостоверения подлинности команд, соответствующего настоящему изобретению. Списки наполнителей 78 - 80 работают совместно со счетчиками команд ведущей и ведомой станции 82 - 84, соответственно. Каждый из списков наполнителей 78 - 80 включает много одноразовых наполнителей 86, точное число которых не имеет значения для реализации настоящего изобретения.
Термин "одноразовый наполнитель" относится к потоку случайной информации конечной длины, который комбинируется, например, посредством линейного процесса, подобного сложению, с сообщением такой же длины, чтобы зашифровать сообщение. Дешифрование сообщения требует использования того же самого потока случайной информации или наполнителя, комбинируемого так же или комплементарным способом. Одноразовость объясняется тем, что один и тот же случайный поток существенно никогда не будет использован более чем с одним сообщением. Поэтому процесс одноразового наполнения, говорят, безусловно секретен. Каждый наполнитель 86 представляет собой переменную, в которой хранится численное значение наполнителя. Термин "наполнитель" относится одновременно к переменной и к ее значению. Наполнитель 86 формируется с помощью известных процессов генерирования случайных чисел. Генерирование более подробно излагается ниже. Таким образом, каждый список 78 и 80 включает в себя набор случайных чисел. Более того, списки 78 и 80 включают в себя один и тот же набор случайных чисел, предпочтительно, в одном и том же порядке.
Счетчики 82-84 служат поинтерами для списков 78 - 80, соответственно. Когда счетчики 82 и 84 имеют одно и то же показание, они указывают на один и тот же наполнитель без фактического упоминания значения идентифицируемого наполнителя. Таким образом, в задаче 76 /см. фиг. 3A/ ведомая станция 12 идентифицирует конкретный наполнитель 86 для ведущей станции 16 без фактического поминания значения этого наполнителя. По этой причине сообщение о числе команд, полученных ведомой станцией, передаваемое или принимаемое при выполнении задач 76 и 74, соответственно, можно передавать открыто.
Как видно на фиг. 3A, когда ведущая станция 16 принимает число принятых ведомой станцией команд при выполнении задачи 74, она синхронизирует свой счетчик числа команд, поданных ведущей станцией 84 /см. фиг. 4/, с этим числом. Способ использования наполнителей 86 в предпочтительном варианте осуществления настоящего изобретения описан ниже более подробно. По причинам, которые в дальнейшем станут очевидными, ведущая станция 16 и ведомая станция 12 используют общий наполнитель 86 для каждой команды, подлежащей проверке на подлинность в соответствии с предпочтительным вариантом осуществления настоящего изобретения. В том случае, если счетчики команд ведущей и ведомой станций окажутся несинхронизированными, ведущая станция 16 и ведомая станция 12 предпримут попытку проверки подлинности команды, используя различные наполнители 86. Как результат, команды, подвергнутые проверке на подлинность, не получат подтверждения в подлинности. Нормальная работа сети 10 поддерживает синхронизм в работе счетчиков 82 - 84. Однако, если возникает какое-либо затруднение при синхронизации счетчиков 82 и 84, ведомая и ведущая станции 12 и 16 вновь обретут синхронность при выполнении задач 74 - 76.
Во время выполнения нормальных операций ведущая станция 16 может получить передающее данные сообщение, которое подтверждает прием команды ведомой станцией 12, как иллюстрирует задача 87. Поскольку ведущая станция 16 не посылала команды на этом этапе процесса, такое подтверждение не ожидается и означает возникновение проблемы. Например, такое подтверждение может указывать на попытку вмешательства в работу ведомой станции 12 или на порчу в ведомой станции 12. В любом случае, когда задача 87 обнаруживает подтверждающее сообщение, подходящее предупреждающее сообщение может быть активизировано с тем, чтобы можно было предпринять корректирующие действия. Предупреждающее сообщение может быть выведено на дисплей, напечатано, передано в звуковой форме или в другой форме доведено до внимания живого оператора через подходящее управление входных/выходных устройств 58 /см. фиг. 2/.
Занимаясь нормальными операциями, ведомой станции 12 может потребоваться выполнить или другим образом осуществлять команды, которые предварительно были приняты, что иллюстрирует задача 88. Необходимость действий в соответствии с такими командами зависит от содержания временной памяти 32 /см. фиг. 2/.
Фиг. 5A-5B, соответственно показывают блок-схему информационного сообщения 89, передаваемого на ведомые станции 12, и структуру данных команды 90, которая может быть передана этим информационным сообщением. Структура данных 90 может воспроизводиться внутри памяти 32 для любого числа команд. Структура 90 включает временную метку, которая инструктирует процессор о том, когда выполнить инструкцию, содержащую в команде. Разрешающий элемент данных используется для указания, что соответствующая команда разрешена. Запрещенная команда не будет выполнена, но разрешенная команда может быть выполнена. Идентифицирующая команду элемент данных точно указывает, какое действие должна предпринять ведомая станция 12, и различные параметры характеризуют это действие. Например, идентификатор команды может предписать включение конкретного двигателя, и параметры установить длительность его работы. Временная отметка указывает, когда должна начаться работы двигателя.
Обратимся обратно к фиг. 3A; в ходе выполнения задачи 88 процессор 26 /смотри фиг. 2/ рутинно следит за временной памятью 32 /смотри фиг. 2/ в поиске разрешенных команд, которые нуждаются в обработке в текущий момент. Если удовлетворены требования разрешенности и тактирования, процессор 26 выполняет эту команду. Хотя специально не изображено, ведомая станция 12 может передать после этого сообщение на ведущую станцию 16, чтобы сообщить о факте выполнения команды.
В ходе нормальной работы ведущей станции 16 может возникнуть потребность подачи команды на некоторую конкретную ведомую станцию 12. Например, может потребоваться коррекция орбиты или возникает необходимость получения конкретных данных от ведомой станции 12. При возникновении подобной потребности ведущая станция 16 формулирует подходящую команду, что иллюстрировано в задаче 92. Предпочтительно, чтобы эта команда имела форму, представленную структурой данных 90 на фиг. 5A-5B.
Как видно на фиг. 5A, может возникнуть потребность но не обязательно, в выполнении нескольких команд, как иллюстрирует сообщение 89. При формировании команд, адреса, присваивается данным, которые служат как командные структуры 90. Эти адреса указывают ячейки временной памяти 32 /смотри фиг. 2/, где должны храниться эти команды. Далее, подходящий заголовок ассоциируется с сообщением. Заголовок существенно идентифицирует ведомую станцию 12, на которую направляются команды, и инструктирует эту ведомую станцию 12 загрузить эти командные данные по временную память 32 по указанным адресам.
Вернемся обратно к фиг. 3A; после выполнения задачи 92 может возникнуть необходимость в выполнении вспомогательной задачи 94. В предпочтительном варианте осуществления настоящего изобретения команда может быть классифицирована как критическая команда или как некритическая команда. Критические команды требуют удостоверения подлинности в силу серьезных последствий, которые могут произойти в силу неуместного исполнения этих команд. С другой стороны, некритические команды не влекут серьезных последствий, если выполнены не ко времени. Примером некритической команды может служить инструкция отрегулировать мощность передатчика спутника в предопределенных пределах. Другим примером является команда послать показания счетчика команд. При передаче некритической команды на ведомую станцию 12 не требуется выполнения удостоверения подлинности, и поэтому задача 94 не выполняется.
При критических командах задача 94 берет наполнитель 86 /смотри фиг. 4), шифрует подходящий код подлинности /AC/ наполнителем 86 и комбинирует зашифрованный код подлинности с командами в сообщении 89 /смотри фиг. 5/. Наполнитель 86, получаемый в задаче 94, предпочтительно является наполнителем 86, который указывает ведущий командный счетчик 84 /смотри фиг. 4/. В предпочтительном варианте осуществления это просто следующий наполнитель 86, который находится в списке 80 /смотри фиг. 4/ после ранее использованного наполнителя 86. Шифрование, выполняемое задачей 94, предпочтительно является обычным линейным процессом, подобным побитовой операции Исключающее ИЛИ. В предпочтительном варианте осуществления наполнители 86 и код подлинности имеют одинаковое количество битов. Поскольку наполнитель 86 является случайным числом, он шифрует код подлинности. Как показано на фиг. 5, зашифрованный код подлинности приставляется к и становится частью сообщения 89.
Одним из преимуществ, обусловленных различием между критическими и некритическими командами, состоит в том, что некритические команды можно подавать из других пунктов, помимо наземной управляющей станции 16 /смотри фиг. 1/. Например, шлюзы 14 /смотри фиг. 1/ могут в ограниченной мере управлять спутниками 12 / смотри фиг. 1/. Степень секретности не уменьшается, а стоимость процесса удостоверения подлинности минимизируется путем воздержания от транспортировки и синхронизации списков наполнителей 80 /смотри фиг. 4/ между всеми ячейками, которые способны в ограниченной степени управлять спутниками 12. Более того, список наполнителей 80 остается в рамках секретности на наземной управляющей станции 16. Другим преимуществом различения критических и некритических команд является то, что ведущей станции может быть дана инструкция передать показание счетчика команд для ускорения любого процесса восстановления синхронизации.
После выполнения задачи 92 или задачи 94 для некритических команд задача 96 передает передающее данные сообщение 89 /смотри фиг.5A/, содержащее команды и возможно содержащее закодированный код подлинности на целевую ведомую станцию 12. На этом ведущая станция 16 временно завершает свою часть процесса удостоверения подлинности, и процесс подтверждения подлинности продолжает целевая ведомая станция 12.
В частности, во время выполнения формальных операций, ведомая станция 12 в какой то момент принимают передающие данные сообщения 89, как показывает задача 98. Задача 98 затем восстанавливает командные части сообщения 89. При выполнении задачи опроса 100 ведомая станция 12 исследует идентифицирующие команды части команд в сообщении 89 для установления, есть ли по крайней мере одна команда в сообщении 89, которая является критической командой. Ведомая станция 12 затем устанавливает, является ли команда критической или нет путем выполнения операции просмотра справочной таблицы /не изображена/, предпочтительно запрограммированной в постоянной памяти 30 /смотри фиг. 2/.
Если в сообщении 89 нет критической команды, то ведомая станция 12 выполняет задачу 102. При выполнении задачи 102 процессор 26 ведомой станции 12 формулирует подтверждающее сообщение, которое содержит данные, указывающие, что приняты некритические команды. Обычно некритические команды программируются с разрешающим элементом данных /смотри фиг.5/ в разрешенном состоянии, и ведомая станция 12 выполнит ее в нужное время. Содержащую временную метку часть команды /смотри фиг. 5/ можно запрограммировать так, чтобы команда исполнялась немедленно. В этом случае в последующий момент ведомая станция выполнит задачу 88, реализуя эту команду.
Если по крайней мере одна команда, включенная в сообщение 89, является критической командой, станция 12 выполняет задачу 104. Задача 104 выбирает наполнитель 86 из списка 88 /смотри фиг. 4/. В предпочтительном варианте осуществления настоящего изобретения конкретный наполнитель из наполнителей 86, выбранный при выполнении задачи 104, соответствует текущему показателю ведомого счетчика команд 82 /смотри фиг. 4/. Этот наполнитель предпочтительно является следующим наполнителем 86, который находится в списке 88 после ранее использованного наполнителя 86.
Затем задача 104 использует выбранный наполнитель 86 для восстановления значения исполнителя из зашифрованной версии кода подтверждения подлинности, включенного в сообщение 89 /смотри фиг. 5A/. Как сказано выше, в предпочтительном варианте осуществления настоящего изобретения наполнитель 86 используется для шифрования кода подтверждения подлинности с помощью операции Исключающее ИЛИ. Задача 104 дешифрует, выполняя операцию Исключающее ИЛИ над выбранным наполнителем 86 и зашифрованным кодом подтверждения подлинности.
Как видно на фиг. 3B, процессор 26 ведомый станции 12 далее выполняет задачу опроса 106. Задача 106 оценивает результаты использования значения наполнителя в задаче 104 для определения, является ли код проверки правильности подлинным. Установление правильности может быть выполнено путем сравнения установленного кода подлинности с одним или большим количеством значений, запрограммированных в память 28, и предпочтительно такой памятью является постоянная память 30 /смотри фиг. 2/. Если установлено, что восстановленный код подтверждения подлинности правильный, то восстановленное значение наполнителя совпадает с выбранным наполнителем 86, и устанавливается совпадение наполнителя 86, использованного для шифрования кода, подтверждающего подлинность, и наполнителя 86, использованного для шифрования зашифрованного кода подтверждения подлинности. В такой ситуации команду можно считать подлинной. Поскольку наполнители 86 являются существенно случайными числами, ведомая станция 12 может иметь уровень доверительности приблизительно эквивалентным 1-2-n, где n является числом битов, включенных в каждый наполнитель 86 команды, пришедший от ведущей станции 16.
В первом альтернативном варианте осуществления код подтверждения подлинности совсем может не использоваться в процессе удостоверения подлинности. Вместо того, чтобы шифровать и дешифровать код подтверждения подлинности, наполнитель 86 может быть включен непосредственно в сообщении 89 ведущей станции 16 и непосредственно восстанавливаться из сообщения 89 ведомой станцией 12. В этой ситуации ведомая станция 12 может оценить восстановленное значение наполнителя более простым способом. В частности, значение восстановленного наполнителя может быть непосредственно сопоставлено с выбранным наполнителем из списка 88 для обнаружения совпадения.
Во втором альтернативном варианте осуществления код подтверждения подлинности может быть зашифрован наполнителем 86, как описано выше. Однако ведущая станция может дешифровать зашифрованный подлинный код с помощью операции Исключающее ИЛИ с помощью санкционированного кода подтверждения подлинности, а не с помощью выбранного наполнителя. В этой ситуации ведущая станция 16 оценивает значение восстановленного наполнителя непосредственным сравнением результата операции Исключающее ИЛИ с выбранным наполнителем 86. Вне зависимости от конкретного варианта осуществления, который будет использоваться, специалисты, в данной области техники должны понимать, что ведомая станция 12 оценивает значение восстановленного наполнителя для определения совпадения между наполнителем 86, использованным ведущей станцией 16 и наполнителем 86, выбранным ведомой станцией 12.
Когда задача 106 опознает совпадение наполнителей, задача 108 формулирует подтверждающее сообщение "команда с удостоверенной подлинностью". Затем задача 110 увеличивает показания ведомого командного счетчика 82 /смотри фиг. 4/. Увеличение показаний счетчика 82 означает, что ранее выбранный наполнитель 86, который был использован при выполнении задач 104 - 106 не будет вновь использоваться в процессе удостоверения подлинности. Конечно, для специалистов в данной области должно быть ясно, что это не означает, что значение наполнителя, который имел ранее выбранный наполнитель 86 не появится снова. Вероятность того, что любой наполнитель 86 вновь будет иметь некоторое конкретное значение остается равной приблизительно 2-n .
Если задача 106 не обнаружит совпадения наполнителей, задача 112 запретит эту команду. Команда может быть запрещена путем обработки разрешающего элемента данных в структуре командных данных 90 /смотри фиг. 5/. Как результат запрещения команды, спутник 12 не выполнит эту команду. Далее задача 114 формулирует подтверждающее сообщение "отсутствие подлинности". Это сообщение "отсутствие подлинности" может включать подробности, относящиеся к идентификации команды, или может включать всю команду целиком. Такие данные могут помочь ведущей станции 16 установить причину появления подтверждающего сообщения об отсутствии подлинности и предпринять соответствующие ответные действия.
После завершения формулирования подтверждающего сообщения в ходе выполнения задачи 102, 110 или 114 задача 116 передает подтверждающее сообщение на ведущую станцию 16. В этот момент ведущая станция 16 завершает свою часть процесса удостоверения подлинности, и возобновляется процедура, изображенная на алгоритмической блок-схеме фиг. 3A - 3B. Другими словами, ведомая станция 12 продолжает нормальные операции ведомой станции. Подобные нормальные операции заставляют ведомуюстанцию 12 работать, выполняя разрешенные команды в запрограммированные моменты, о чем было сказано выше применительно к задаче 88.
В то время, когда ведомая станция 12 была занята удостоверением подлинности сообщения 86 /смотри фиг. 5A/, ведущая станция 16 была занята выполнением нормальных станционных операций. В некоторый момент подтверждающее сообщение приходит на ведущую станцию 16, что иллюстрирует задача 118. Задача опроса 120 оценивает подтверждающее сообщение. Если получено подтверждающее сообщение "команда удостоверенной подлинности", то задача 122 увеличивает показания ведущего командного счетчика 84 /смотри фиг. 4/. Увеличение показания счетчика 84 означает, что ранее выбранный наполнитель 86, который был использован выше в задаче 94, не будет использован вновь в процессе удостоверения подлинности. Увеличение показания счетчика 84 также сохраняет синхронизм счетчика 84 с ведомым командным счетчиком 82 /смотри фиг 4/. Следующая критическая команда будет использовать другой наполнитель 86 для целей удостоверения подлинности. Посредством воздержания от использования одного и того же наполнителя дважды уровень секретности процесса удостоверения подлинности удерживается на высоком уровне.
После задачи 122 задача 124 выполняет любые подтверждающие процессы, какие могут потребоваться. Как сказано выше, подтверждающие процессы отличаются от процессов удостоверения подлинности. Процессы удостоверения подлинности гарантируют, что команды исходят лишь от санкционированных источников. Подтверждающие процессы гарантируют, что команды принятые ведомой станцией 12, являются преднамеренными командами.
Благодаря программируемой природе настоящего изобретения достигается большая гибкость подтверждающих процессов. Эти подтверждающие процессы управляются ведущей станцией 16. Для некритических команд подтверждение не требуется. Далее, некритические команды не влекут серьезных последствий, если неправильно исполнены, и такие команды могут быть просто повторены, если необходимо.
Применительно к критическим командам процедуры, реализуемые ведущей станцией 16, могут показывать, насколько различны эти критические команды. Например, низкого уровня критические команды не нуждаются в каком-либо подтверждении. Такие команды могут передаваться с временной меткой и разрешающим элементом данных командной структуры 90 /смотри фиг. 5B/, подготовленными для исполнения ведущей станцией 16. Применительно к низкого уровня критическим командам ведущая станция 16 не предпринимает каких-либо действий при выполнении задачи 124. Среднего уровня критические команды могут передаваться с временной меткой и разрешающим элементом данных командной структуре 90, подготовленными для будущего исполнения ведомой станцией 12. После приема подтверждения ведущая станция 16 может подтвердить команду, заставив ведомую станцию 12 считать команду вновь для ведущей станции 16 при выполнении задачи 124. Если команда указывается правильно при выполнении операции обратного считывания, ведущая станция 16 не предпринимает дальнейших действий. Но, если операция обратного считывания покажет на неправильность команды, тогда ведущая станция 16 может запретить или переписать команду. Высокого уровня критические команды можно передавать в запрещенном состоянии. Операция обратного считывания может быть выполнена в ходе задачи 124. Если обратное считывание оказывается правильным, то другое командное сообщение может разрешить выполнение команды, а другая операция обратного считывания может подтвердить, что команда действительно была разрешена. Если высокого уровня критические команды окажутся неправильными при выполнении операции обратного считывания, то есть шанс, что нет надобности в превентивных действиях, поскольку команда в любом случае будет запрещена. Эти и другие подтверждающие процессы, которые известны или очевидны для специалистов в данной области реализуются в задаче 124.
После задачи 124 или после обнаружения подтверждения некритической команды задачей 120 процедура, проиллюстрированная на блок-схеме фиг. 3A - 3B, воспроизводится для ведущей станции 16. Другими словами, ведущая станция 16 продолжает нормальные операции ведущей станции.
Когда задача 120 обнаружит подтверждающее сообщение об отсутствии подлинности, запрашивающая задача 126 определяет, надо ли выходить из программного цикла. Если ведущая станция 16 не выходить из цикла, то программное управление переходит обратно к задаче 94, описанной выше. Вообще говоря, задача 94 добавляет наполнитель к критической команде и последующая задача передает команду и наполнитель на ведомую станцию 12. Однако, при этой итерации цикла ведущая станция 16 предполагает, что счетчик ведомых команд 82 и счетчик ведущих команд 84 /смотри фиг. 4/ слегка вышли из синхронизма. Соответственно, команда повторяется с использованием последовательных исполнителей 86 из списка 80 /смотри фиг. 4/ в попытке предоставить ведомой станции 12 возможность удостоверить подлинность команды. Команда передается несколько раз с различными наполнителями 86 для определенного числа итераций и до тех пор, пока не будет принято подтверждающее сообщение "подлинная команда". Когда это предопределенное число будет достигнуто, задача 126 выходит из цикла на задачу 128, которая активизирует подходящее предупреждающее сообщение. После задачи 128 программное управление ведущей станции 16 воспроизводит процедуру, проиллюстрированную алгоритмической блок-схемой фиг. 3A-3B.
Процедура, описанная выше со ссылками на фиг. 3A-3B, предполагает, что списки или наборы наполнителей 86 уже хранятся в памятях 52 и 56 ведомой и ведущей станции 12 и 16 соответственно. В предпочтительном варианте осуществления настоящего изобретения не накладывается никаких пределов на число критических команд, которые могут быть переданы между станциями 16 и 12. Другими словами, процедуры, представленные фиг. 3A-3B, повторяются неопределенное число итераций. Число итераций может быть потенциально исключительно большим, если учесть продолжительность службы ведомой станции 12. Дополнительно, конечный объем памяти выделен для хранения списков 78 и 80. Поэтому настоящее изобретение включает процедуру создания списков 78 и 80, как это требуется. Эта организующая процедура проиллюстрирована блок-схемой, изображенной на фиг. 6A-6B.
Процедура создания списков 78 и 80 использует общеключевую или ассиметричную шифрующую систему. Специалистам в данной области должно быть понятно, что ассиметричная система использует один ключ или значение для шифрования сообщений и другой ключ для дешифрования сообщений. Шифрующий ключ считается общим ключом, поскольку его можно сделать известным без нарушения секретности системы.
Как видно из фиг. 6A, первичный секретный дешифрующий ключ и исходный набор наполнителей 86 запоминается в памяти 56 ведущей станции при выполнении задачи 130. Эти исходные значения генерируются с помощью известных процессов под установки ведомой станцией 12 или запуска на орбиту спутниковой ведомой станции 12. Идентичный исходный набор наполнителей 86 запоминается в памяти 28 ведомой станции 12 при выполнении задачи 132. При выполнении задачи 132 также запоминается шифрующий общий исходный ключ в памяти 28 ведомой станции 12. Общий ключ предпочтительно запоминается в постоянной части 30 памяти 28 чтобы с высокой степенью доверительности он оставался в наличии на протяжении всей жизни ведомой станции 12. Исходные наполнители 86 могут быть заполнены или в постоянной памяти 30, либо во временной памяти 32, ведомой станции 12.
Как видно на фиг. 6A, задача 132 выполняется до установки ведомой станции 12 в удаленном пункте /например, на орбите/ чтобы до запуска был возможен физический доступ к ведомой станции 12. Если есть опасение за физическую сохранность исходного набора наполнителей 86, то исходный набор наполнителей можно генерировать на ведомой станции 12 после ее установки и автоматически переслать на ведущую станцию 16, используя существенно процесс, изображенный на фиг. 6B для последовательных наполнителей.
После задачи 132 задача 134 предполагает запуск или иной способ установки ведомой станции 12 в удаленном пункте. В соответствии с процессом, соответствующим настоящему изобретению, дальнейший физический доступ к ведомой станции 12 не нужен. Непосредственно после установки ведомой станции 12 может возникнуть крайняя необходимость выдать несколько изначальных команд. Ведущая станция 16 передает такие первоначальные команды в ходе выполнения задачи 136, и ведомая станция 12 принимает такие первоначальные команды в ходе выполнения задачи 138. Процесс удостоверения подлинности, описанный выше со ссылками на фиг. 3A-3B, используется в задачах 136-138. Команды дешифруются с помощью первоначальных наполнителей 86, загруженных до запуска и хранящихся в задачах 130-132, или, альтернативно, первоначальные наполнители 86 генерируются на орбите в ходе выполнения задач 154-170. Ведомая станция 12 выполняет такие первоначальные команды после удостоверения их подлинности, о чем сказано выше. Другими словами, задачи 136-138 относятся к нормальной работе ведущей и ведомой станций 16 и 12 соответственно.
В соответствии с этой нормальной работой ведущая станция 16 выполняет задачу опроса 140. Задача 140 определяет, есть ли надобность в дополнительном наборе наполнителей 86. Эта надобность может быть вызвана исчерпанием большинства наполнителей 86 списка 78 /смотри фиг. 4/. Альтернативно, задача 140 может прийти к такому заключению, исходя из неудачи приема любой подлинной критической команды от ведущей станции 16 на предопределенном периоде времени. Подобное отсутствие критических команд на продолжительном периоде времени возможно указывает на то, что возник серьезный сбой в системе удостоверения подлинности. Новый набор наполнителей часто позволяет восстановить такие серьезные сбои.
Когда задача 140 установит, что новый набор наполнителей не нужен, ведомая станция 12 продолжает нормальные операции. В то же время после запуска ведомой станции 12 ведущая станция 16 включает задачу опроса 142 в свои нормальные операции. Задача 142 определяет, находится ли ведомая станция 12 "над головой" /в зените/ и в предопределенном временном окне. Ведущая станция 12 располагается непосредственно над любой управляющей наземной станцией 16, именуемой ведущей управляющей наземной станцией 16, когда управляющая наземная станция 16 может сообщаться с ним через прямое звено 24 /смотри фиг. 1/. Предопределенное временное окно задается так, чтобы оно возникало только тогда, когда ведомая станция 12 находится в зените. Пока расположение и время ведомой станции 12 не удовлетворяют критериям задача 142, ведущая станция 16 продолжает выполнение своих нормальных операций. С другой стороны, когда ведомая станция 12 находится в зените и в преодпределенном временном окне, ведущая станция 16 выполняет задачу 144.
Задача 144 передает новый общий ключ на ведущую станцию 16 и настроечном передающем данные сообщения. Это новый общий ключ не зашифрован, и нет надобности его расшифровывать на ведомой станции 12. Настроечное сообщение форматировано как команда для ведомой станции 12 и считается критической командой. Таким образом, настроечное сообщение включает в себя код подтверждения подлинности. Непосредственно после запуска ведомой станции 12 этот код удостоверения подлинности накладывается на один из исходных наполнителей 86, запомненных в задаче 130 /или 170/. Как сказано выше, со ссылками на фиг. 3A-3B, управляющая станция 16 может ожидать некоторое подтверждающее сообщение в ответ на настроечное сообщение.
Ведомая станция принимает настроечное сообщение при выполнении задачи 146. Новый общий ключ восстанавливается из этого сообщения, сообщение подвергается проверке на подлинность, и подтверждающее сообщение передается обратно на ведущую станцию 16. После выполнения задач 146 задача опроса 148 определяет, находится ли спутник над ведущей станцией 16 и в предопределенном временном окне. Данные о расположении могут быть получены путем определения, было ли получено настроечное сообщение по прямой цепи 24 /смотри фиг. 1/ или через другие цепи сети 10. Данные о временном окне могут быть запрограммированы в постоянную память 30. Если задача 146 не установит, что ведомая станция 12 находится в предопределенных положении и временном окне, вновь принятый общий ключ уничтожается при выполнении задачи 150, и ведомая станция 12 продолжает выполнение нормальных операций. С другой стороны, если положение и временное окно правильны, то новый общий ключ сохраняется в временной памяти 32 при выполнении задачи 152.
Степень секретности повышается благодаря тому, что передачи новых общих ключей происходит только тогда, когда ведомая станция 12 находится в зените. В предпочтительном варианте осуществления ведомая станция 12 находится в зените от 2 до 14 раз ежедневно, что зависит от широты. Как сказано выше, коммуникационные сигналы, передаваемые с Земли на спутник исключительно трудно перехватить, и вероятность тяжелых последствий по причине нежелательного перехвата нового общего ключа значительно снижена.
Обратимся к фиг. 6B; после задачи 152 и когда задача 140 определит, что нужен новый список наполнителей, задача 154 генерирует и запоминает новый набор случайных наполнителей 86 в списке 78 /смотри фиг. 4/. Задача 154 также генерирует и сохраняет набор случайных временных значений и сохраняет их в списке 156 /смотри фиг. 4/, ассоциированном со случайными наполнителями 86.
Для ведомой станции 12 нет необходимости выполнять задачу 154 как задачу высокого приоритета. Более того, ведомая станция 12 может выполнять более насущные нормальные операции и в какой-то момент приступить к генерированию случайных значений, когда наступит время сделать это. Для специалистов в данной области техники должно быть понято, что процессы генерирования псевдослучайных чисел хорошо известны и что такие процессы можно порождать временными значениями или другими произвольными величинами, но зависящими от времени, для формирования существенно случайных значений. Случайные временные значения форматируются как длительности с некоторыми предопеределенными ограничениями на максимально допустимую длительность. Эти временные значения используются в последующей задаче для передачи случайных наполнителей на ведущую станцию 16.
После выполнения задачи 154 ведомая станция выполняет задачу 160, шифруя случайные наполнители, сформированные в задаче 154, используя наивысшей приоритетности общий ключ, известный ведомой станции 12. В предпочтительном варианте осуществления настоящего изобретения используется хорошо известный способ шифрования, подобный способам RSA или Хелмана. Зашифрованные наполнители /E/Pad// запонимаются в списке 162 /смотри фиг. 4/, в котором зашифрованные наполнители ассоциируются с наполнителями 86 и случайными временными значениями из списков 78 и 156, соответственно. Задача 160 может выполняться в режиме низкого приоритета ведомой станцией 12, когда ведомая станция 12 свободная от выполнения более насущных задач, предшествующих завершению задачи 160. Поэтому шифрование не снижает критическую обрабатывающую способность, необходимую для нормальной работы ведомой станции 12.
Наивысшего приоритета общим ключом, имеющимся у ведомой станции 12, обычно является тот, который получен последним от ведущей станции 16. Поэтому общим ключом, изначально загруженным в задаче 132 нет необходимости пользоваться, если приняты другие общие ключи от ведущей станции 16. Дополнительно, когда задачи 140, как сказано выше, решает, что необходим новый набор наполнителей, поскольку за определенный период времени от ведущей станции 16 не было получено фактических сообщений, задачи 160 использует первоначальный общий ключ для шифрования по умолчанию в предположении, что другой общий ключ может быть испорченным.
После выполнения задачи 160 ведомая станция 12 вновь возвращается к нормальным операциям. Эти нормальные операции включают задачу опроса 164, которая просматривает список 156 временных отрезков случайной длительности. Если длительность, указанная в ассоциации со следующим наполнителем уже истекла, то задача 166 передает соответствующий зашифрованный наполнитель из списка 162 на ведущую станцию 16. Этот наполнитель включается в передающие данные сообщения с показанием счетчика покоманд ведомой станции 82. В альтернативном варианте задача 166 передает несколько зашифрованных наполнителей, но общее число их меньше всего набора наполнителей, на ведущую станцию 16. После выполнения задачи 166 ведомая станция 12 возвращается к нормальным операциям, включающим выполнение задачи 164. Ведомая станция 12 будет находиться в цикле между задачами 164 и 166, пока не будут переданы все наполнители на ведущую станцию 16. Наполнители следует передавать через случайные интервалы времени, чтобы еще больше снизить вероятность перехвата и расшифрования их. Эта передача зашифрованных наполнителей не ограничивается временем, когда ведомая станция 12 находится над ведущей станцией 16. Более того, информационное сообщение, которое содержит зашифрованные наполнители может быть передана от ведомой станции 12 через сеть 10 /смотри фиг. 1/ в любое время и из любого положения.
В то время, когда ведомая станция 12 генерирует случайные числа и зашифрованные наполнители, ведущая станция 16 продолжает выполнение нормальных операций. В некоторый момент ведущая станция 16 принимает передающее данное сообщение, которое содержит зашифрованные наполнители и показание счетчика команд ведомой станции, что проиллюстрировано в задаче 168. Когда это сообщение принято, задача 170 дешифрует принятый наполнитель /наполнители/, используя секретный ключ. Этот секретный ключ соответствует общему ключу, посланному последним на ведомую станцию 12, или изначальному общему ключу, загруженному в ведомую станцию 12. Задача 170 запоминает расшифрованные наполнители в списке 80 /смотри фиг. 4/ и также запоминает показания счетчика команд ведомой станции для использования в процессе синхронизации. После выполнения задачи 170 ведущая станция 16 продолжает выполнение нормальных операций, в которые время от времени включаются приемы дополнительных зашифрованных наполнителей в задаче 168.
Соответственно, случайные наполнители можно формировать по необходимости в основном под управлением ведомой станции 12. Однако при этом ведущая станция 16 может возобновлять через равные интервалы передачу нового общего ключа на ведомую станцию 12, если есть подозрение на нарушение секретности или если закончился неудачей процесс удостоверения подлинности. Ведомая станция 12 будет реагировать на этот новый общий ключ новым набором наполнителей.
Говоря кратко, настоящее изобретение обеспечивает усовершенствованный способ удостоверения подлинности. Процессе, соответствующий настоящему изобретению, не требует использования аппаратуры, специально предназначенной для удостоверения подлинности команд. Более того, процесс по настоящему изобретению прост в реализации и эксплуатации. Не требуется наличия физического доступа к ведомой станции 12, и процесс может быть реализован вместе с другими нормальными рабочими процессами, используя только ту аппаратную часть, которая необходима для выполнения таких нормальных операций.
Дополнительно, настоящее изобретение обеспечивает высокий уровень секретности удостоверения подлинности. Одноразовые наполнители формируются по необходимости для удостоверения подлинности команд, а затем уничтожаются. Подобные наполнители не используются повторно, и процесс оказывается безусловно секретным. Между ведомой и ведущей станциями происходит обмен этими наполнителями, используя ассиметричную систему шифрования с общим ключом. Эти наполнители не так часто передаются, и эти наполнители передаются через случайные интервалы для повышения уровня секретности. Замена ключа является простой операцией, поскольку общим ключом пользуются ведомые станции. Секретность еще больше увеличивается за счет того, что операция замены ключа происходит только тогда, когда спутниковая ведомая станция располагается в заданном пункте и заданном временном окне. Конкретный пункт является тем, где нежелательные перехваты коммуникационных сигналов, передаваемых ведущей станцией на ведомую станцию, является исключительно трудным, по причине прямолинейности распространения этих сигналов.
Настоящее изобретение описано со ссылками на предпочтительные варианты осуществления. Однако для специалистов в данной области техники должно быть ясно, что в эти предпочтительные варианты осуществления можно внести изменения или модификации без отклонения от существа настоящего изобретения. Например, для специалистов в данной области техники должно быть ясно, что числа, которые в настоящем описании считаются случайными, могут быть действительно существенно случайными для конкретных целей, которые касаются настоящего изобретения, но могут в то же время считаться псевдослучайными числами. Более того, для специалистов в данной области техники должно быть ясно, что аппаратная часть и конкретные задачи, описанные в настоящем описании, являются объектом существенной модификации, однако достигающей тех же самых результатов. Эти и другие изменения и модификации, которые очевидны для специалистов в данной области техники, включены в объем настоящего изобретения.
Ведомая станция, подобная спутнику на орбите, и ведущая станция, подобная наземной управляющей станции, имеют собственные списки случайных наполнителей. Списки ведомой и ведущей станций идентичны. Когда ведущая станция передает критическую команду на ведомую станцию, один из наполнителей комбинируется с командой и передается на ведомую станцию в качестве передающего данные сообщения. Каждый наполнитель используется лишь один раз. Ведомая станция оценивает принятое значение наполнителя, используя для этого свою версию того же самого выбранного наполнителя. Если результатом оценки будет совпадение, то команда полагается подлинной и ведомая станция выполняет эту команду. Случайные наполнители генерируются ведомой станцией. Они шифруются асимметричным шифровальным процессом и передаются на ведущую станцию, чтобы ведущая и ведомая станции работали с одинаковыми наборами наполнителей. Достигаемым техническим результатом является обеспечение высокого уровня секретности удостоверения подлинности. 3 с. и 25 з.п.ф-лы, 6 ил.