Процесс удостоверения подлинности команд - RU2137303C1

Код документа: RU2137303C1

Чертежи

Показать все 7 чертежа(ей)

Описание

Настоящее изобретение относится в основном к управлению одного устройства, которое выполняет команды, подаваемые другим устройством. Более конкретно, настоящее изобретение относится к процессу удостоверения подлинности команд, подаваемых одним устройством, до выполнения этих команд другим устройством.

Многие системы нуждаются в ведущей станции, подающей команды на выполнение критических управляющих функций на удаленную ведомую станцию. Пример этому дает управление околоземным спутником, для реализации которого наземная ведущая управляющая станция подает команды, подобные корректирующим орбиту командам, на ведомую спутниковую станцию. Однако критические управляющие функции могут быть заданы дистанционно во исполнение финансовых, промышленных или правительственных решений.

Команды считаются критическими в силу серьезных последствий, которые могут произойти от неправильного выполнения ведомой станцией таких команд. На спутнике неправильное действие может повлечь уход спутника с предписанной орбиты или другие последствия, которые способны сократить срок службы или саму полезность этого спутника. По причине огромных затрат на разработку спутника и его выход на орбиту, потенциальные потери огромны. В финансовых ситуациях деньги могут быть выданы по неправильным счетам, что так же может повлечь большие финансовые потери. И в других ситуациях неправильное действие ведомой станции может создать серьезный риск для жизни или здоровья или сохранности окружающей среды.

Поэтому часто предпринимают меры по предотвращению таких нежелательных тяжелых последствий в системах, где критические команды подаются дистанционно. Такие меры обычно лежат по крайней мере в двух различных аспектах. Первый аспект характеризуется созданием гарантий того, что ведущая станция будет реагировать только на команды, подаваемые приписанной к ней ведущей станцией. Другими словами, процесс удостоверения подлинности используется для того, чтобы ведомая станция имела высокую степень уверенности, что команда, принятая ей фактически пришла от приписанной к ней ведущей станции, а не от какого-нибудь другого контроллера. В другом аспекте внимание уделяется созданию гарантий того, что ведомая станция, которая приняла команду от приписанной к ней ведущей станции, действительно получила предписанную команду, а не какую-либо другую команду. Другими словами, процесс удостоверения подлинности используется для создания гарантий того, что не произойдет ошибки в передаче команды.

Многочисленные эффективные, действенные и в других смыслах удовлетворительные процессы удостоверения подлинности известны специалистам в данной области техники. С другой стороны, известные процессы удостоверения подлинности не способны дать удовлетворительных решений задач удостоверения подлинности для систем, которые подобны описанным выше. Известные процессы удостоверения подлинности достаточно сложны, чтобы быть реализованы и эксплуатироваться. Такие известные процессы часто предполагают использование специальных "защитных" аппаратных средств для реализации процессов шифрования и дешифрования. Хотя такие известные процессы позволяют достичь высоких уровней гарантии подлинности, вес, стоимость и ограниченная надежность, если сравнивать с процессом, который не использует дополнительного аппаратного оборудования, являются нежелательными признаками известных процессов.

Дополнительно, многие известные процессы используют процесс симметричного шифрования. Процессы симметричного шифрования используют один ключ для шифрования и дешифрования. Этот ключ сохраняется в секрете, чтобы только ведущая и ведомая станция знали его. Однако эта система должна использовать схему замены ключа в том случае, если нарушение секретности делает секретный ключ известным или какие-то поломки делают невозможным удостоверение подлинности санкционированных сообщений. Такие заменяющие ключ схемы чрезвычайно сложны и дорогостоящи, если требуется сохранять высокий уровень секретности удостоверения подлинности.

Хотя перечисленные выше проблемы являются недостатком известных процессов удостоверения подлинности, проблемы становятся особо значимыми применительно к управлению спутниками. В управляющих спутниками системах физический доступ к спутнику, после того как спутник выведен на орбиту, чрезвычайно непрактичен. Помимо этого, расходы, обусловленные повышенной массой, приходящейся на защитную аппаратуру, и понижением общей надежности по причине использования защитной аппаратуры, сильно возрастают.

Преимуществом настоящего изобретения является то, что разработан усовершенствованный процесс удостоверения подлинности.

Следующим преимуществом настоящего изобретения является то, что процесс удостоверения подлинности не требует использования аппаратуры, специально предназначенной для организации этого процесса.

Следующим преимуществом настоящего изобретения является то, что разработан процесс удостоверения подлинности, который прост в реализации и эксплуатации.

Следующим преимуществом настоящего изобретения является, то что обеспечивается высокий уровень секретности подлинности. Эти и другие преимущества настоящего изобретения осуществляются одновременно способом передачи команд на любую ведомую станцию таким образом, что команды могут быть подвергнуты проверке на подлинность ведомой станции. По этому способу настоящего изобретения наполнитель поступает от ведомой станции. Наполнитель хранится по-крайней мере до того, как возникнет надобность в передаче команды на ведомую станцию. Этот наполнитель комбинируется с командой для образования сообщения, и сообщение передается на ведомую станцию.

Перечисленные выше другие преимущества настоящего изобретения могут быть реализованы в другой форме способом удостоверения подлинности команд, принятых от ведущей станции, до выполнения инструкции, сообщенной в командах. По этому способу настоящего изобретения наполнитель создается с помощью процесса генерирования случайных чисел. Этот наполнитель запоминается и передается на ведущую станцию. Затем принимается передающее данные сообщение. Команда и значение наполнителя извлекаются из сообщения. Извлеченное значение наполнителя сравнивается с хранящимся наполнителем для определения соответствия. Если соответствия нет, то команда не выполняется.

Более глубокое понимание настоящего изобретения можно обрести путем ознакомления с подробным описанием и формулой, которая проиллюстрирована приложенными фигурами, на которых одинаковыми цифровыми позициями обозначены одинаковые элементы и:
Фиг. 1 представляет спутниковую коммуникационную сеть, охватывающую Землю, в которой работает предпочтительный вариант осуществления настоящего изобретения; фиг. 2 иллюстрирует блок-схему аппаратуры, используемой в спутниковой станции и наземной управляющей ведущей станции в соответствии с предпочтительным вариантом осуществления настоящего изобретения; фиг. 3А-3В совместно представляют блок-схему задач, выполняемых ведущей станцией и ведомой станцией при обмене между ними подлинной командой в соответствии с предпочтительным вариантом осуществления настоящего изобретения; фиг.4 представляет блок-схему структур, относящихся к наполнителям данных, используемых ведущей и ведомой станциями в соответствии с предпочтительным вариантом осуществления настоящего изобретения; фиг. 5А-5В представляют блок-схему структуры команды и ее соотношение с передающим данные сообщением в соответствии с предпочтительным вариантом осуществления настоящего изобретения; фиг. 6А-6В совместно представляют блок-схему задач, выполняемых ведущей и ведомой станцией при создании списков наполнителей в соответствии с предпочтительным вариантом осуществления настоящего изобретения.

Фиг. 1 иллюстрирует спутниковую коммуникационную сеть 10. Сеть 10 распределена поверх всей Земли через посредство многих околоземных летательных аппаратов, подобных орбитальным спутникам 12. В предпочтительном варианте осуществления спутники 12 занимают полярные околоземные орбиты, которые заставляют их двигаться относительно Земли в направлении юг-север и север-юг. Все вместе спутники 12 образуют созвездие, в котором спутники 12 остаются сравнительно неподвижными относительно друг друга, исключая их орбиты, сходящиеся и расходящиеся друг от друга в полярных регионах.

Спутники 12 сообщаются с устройствами на Земле через многие шлюзы 14, из которых на фиг. 1 показан только один, несколько управляющих станций 16, из которых фиг. 1 показывает две, и любое число радиокоммуникационных устройств 18, из которых одно показано на фиг. 1. Радиокоммуникационные устройства 18 могут размещаться где угодно на поверхности Земли. Шлюзы 14 предпочтительно распределяют по поверхности Земли в соответствии с геополитическими границами. Наземные управляющие станции 16 предпочтительно располагаются в северных широтах, где сходимость орбит спутников 12 заставляет большее число спутников 12 входить в зону прямой видимости из одной точки на поверхности Земли в сравнении с более экваториальными широтами. Предпочтительно, около четырех управляющих наземных станций использовать так, чтобы все спутники созвездия 12 могли бы в некоторой точке собственной орбиты входить в зону прямой видимости предписанной им наземной управляющей станцией 16.

Нет никаких препятствий к расположению шлюза 14 и наземной управляющей станции 16 в одном пункте на Земле. Однако шлюзы 14 выполняют отличные функции от тех, которые выполняют наземные управляющие станции 16. Предпочтительно, чтобы шлюзы 14 в основном работали как коммуникационные узлы 20 в сети 10. Разнообразные наземные коммуникационные системы, подобные всемирной телефонной коммуникационной сети /PSTN/ получают доступ к сети 10 через шлюзы 14. Сеть 10 может устанавливать коммуникационное соединение через шлюзы 14 и созвездие спутников 12 с конкретным одним из спутников 12, который в текущий момент находится над нужным пунктом для другой стороны соединений, как иллюстрируют коммуникационный маршрут 22 между спутником 12 и радиокоммуникационным устройством 18. Поэтому каждый из спутников 12 также служит в качестве узла 20 в сети 10.

Наземные управляющие станции 16 выполняют функцию телеметрии, слежения и передачи команд /TT& C/ для созвездия спутников 12. Предпочтительно, чтобы чрезвычайные меры секретности предпринимались на каждой наземной управляющей станции 16 для предотвращения несанкционированного управления спутниками 12. Наземные управляющие станции 16 также служат в качестве узлов 20 для сети 10. Однако наземные управляющие станции 16 отличаются от шлюзов 14 тем, что они в основном выполняют функции телеметрии при приеме и передаче команд для сети 10, а не просто стыка с другими коммуникационными сетями и системами для сети 10. Поскольку для размещения наземных управляющих станций 16 выбраны северные широты, один или более спутников 12 всегда находится в зоне прямой видимости от наземной управляющей станции 16. Наземная управляющая станция 16 может сообщаться с приписанными спутниками 12 в пределах сети 10 непосредственно, как иллюстрируют прямые связи 24, когда, следуя по своим орбитам, такие приписанные спутники 12 находятся над наземной управляющей станцией 16. Дополнительно, любая наземная стация 16 может сообщаться с любым спутником 12 через орбитальный спутник 12 и разнообразные промежуточные узлы 20 сети 10.

В предпочтительном варианте осуществления прямые соединения 24 позволяют наземной управляющей станции 16 сообщаться с приписанными спутниками 12 на таких высоких частотах, предпочтительно в K диапазоне, на которых оказывается возможность лишь существенно прямолинейное распространение коммуникационных сигналов. Любой несанкционированный участник должен находиться вблизи прямой видимости между спутником 12 и наземной управляющей станцией 16, чтобы принять такие коммуникационные сигналы. Таким образом, несанкционированный прием коммуникационных сигналов, передаваемых от наземной станции к спутнику 12 весьма трудно осуществить, поскольку это требует физического размещения приемника между наземным передатчиком и приемником, размещенным на спутнике.

В соответствии со своими управляющими функциями наземные станции 16 передают команды на приписанные спутники 12. Эти команды передаются на спутники 12 в виде передающих данных сообщений. Такие команды управляют многочисленными разнообразными операциями спутников 12. Например, такие команды могут активизировать исполнительное устройство для изменения орбит, подавать питание на системы для воздействия на способность спутника служить в качестве узла в сети 10 и управлять переключательными системами, чтобы влиять на способность спутника обрабатывать коммуникационный график. Эти и другие команды имеют критическое значение для эффективной работы сети 10. Альтернативной критической командой может быть команда "не работать" или ловушка секретности. Следовательно, сеть 10 выполняет операции, гарантирующие, что эти и другие критические команды являются подлинными, для предотвращения повреждений, которые в противном случае могут быть вызваны неумелым обращением, безответственными процедурами или намеренным саботажем.

Фиг. 2 представляет блок-схему аппаратуры 161, используемой ведущей станцией, подобной наземным управляющим станциям 16, и аппаратуры 121, используемой ведомой станцией подобной спутнику 12. Станции 12 и 16, будучи ведомой и ведущей имеют общим то, что они являются управляемыми компьютером устройствами. В частности, аппаратура ведущей станции 121 включает в себя процессор 26, который сообщается с памятью 28. Память 28 включает в себя постоянную память 30, программирование которой не может быть изменено спутником 26, и временную память 32, программирование которой может быть выполнено процессором 26. Для специалистов в данной области техники должно быть ясно, что многие процедуры, процессы и задачи, выполняемые ведомой станцией 12, управляются процессором 26 по запрограммированным инструкциям, хранящимся в памяти 28.

В частности, под управлением процессора 26 активизируется и останавливаются различные исполнительные устройства 34. Такие исполнительные механизмы могут заставить сработать реактивные двигатели, выставить или изменить положение солнечных панелей и управлять перемещением антенны, а также выполнять многие другие действия. Аналогично, разнообразные переключатели 36 могут работать под управлением процессора 26. Переключатели 36 могут, среди других вещей, управлять подачей питания на разнообразные подсистемы, входящие в состав станции 12. Разнообразные коммуникационные органы управления 28 работают под управлением процессора 26. Органы управления 38 используются для того, чтобы предоставить возможность ведомой станции 12 выполнять роль коммуникационного узла при работе сети 10.

Процессор 26 также сообщается с таймером 40, который помогает процессору 26 вести счет суток и времени суток. Процессор 26 передает данные, предпочтительно используя известные способы QPSK, подавая такие данные на модулятор 42. Процессор 26 также соединен с синтезатором 44 для управления частотными каналами, по которым передаются данные. После модулирования данных в модуляторе 42, коммуникационный сигнал передается от ведомой станции 12 на передающую секцию 46 антенны 48. Процессор 26 принимает данные через приемную секцию 50 антенны 48, которая соединена с демодулятором 52. Демодулятор 52 имеет управляющий вход, который соединен с выходом синтезатора 44. Демодулятор 52 демодулирует принятые данные, которые затем направляются на процессор 26.

Аппаратура управляющей станции 161 включает в себя аналогичные схемы. В частности, процессор 54 соединен и сообщается с памятью 56. Многие процедуры, процессы и задачи, выполняемые ведущей станцией 16, управляются процессором 54 по запрограммированным инструкциям, хранящимся в памяти 56. Процессор 54 дополнительно соединен с разнообразными входными/выходными устройствами 58. Входные/выходные устройства 58 включают любые известные клавиатуры, индикаторное устройство, видео-дисплейный терминал, принтер и другие автоматизированные системы, подобные другим компьютерам или рабочим станциям, соединенным через компьютерную сесть или непосредственно передающие данные связи.

Процессор 54 также сообщается с таймером 60, который помогает процессору 54 вести счет суткам и времени суток. Процессор 54 передает данные, предпочтительно используя известные способы QPSK, подавая такие данные на модулятор 62. Процессор 54 также соединен с синтезатором 64 для управления частотными каналами, не которым передаются данные. После модулирования данных в модуляторе 62, коммуникационный сигнал передается от ведущей станции на передающую секцию 66 антенны 68. Процессор 54 принимает данные через приемную секцию 79 антенны 68, которая соединена с демодулятором 72. Демодулятор 72 имеет управляющий вход, который соединен с выходом синтезатора 64. Демодулятор 72 демодулирует принятые данные, которые затем направляются на процессор 54. Как сказано выше применительно к фиг. 1, данные могут быть переданы через непосредственное соединение 24 или через сеть 10 через один или более промежуточных узлов 20.

Как видно, ведомая станция 12 и ведущая станция 16 включают в себя схемы, которые необходимы для работы фактически любого коммуникационного устройства, управляемого компьютером. В частности, станции 12 и 16 не содержат схем, которые предназначены выполнять проверку подлинности команд. Более того, проверка подлинности команд выполняется в основном в процессорах 26 и 54 в соответствии с запрограммированными инструкциями, хранящимися в памятях 28 и 56 соответственно. Процессоры 26 и 54, используемые станциями 12 и 16 идентичны. Поэтому аппаратурная надежность удостоверения подлинности команд оказывается приблизительно эквивалентна надежности соответствующих процессоров, памяти и обеспечивающих радиокоммуникацию схем. Более того, общая надежность станций 12 и 16 не понижена и не увеличена масса спутниковой ведомой станции 12 включением аппаратуры, подтверждающей подлинность команд.

Конечно, для специалистов в данной области техники должно быть ясно, что аппаратура, представления фиг. 2 может быть существенно изменена без существенного изменения исполняемых функций. Например, можно ввести разнообразные функции переключения, тактирования и управления коммуникациями в процессор 26, и процессоры 26 и 54 могут быть реализованы с использованием одиночной процессорной схемы или нескольких процессорных схем. Аналогично, функции модулирования и демодулирования можно сконфигурировать различными способами, включая введение промежуточных модулирующих каскадов. Более того, для специалистов в данной области техники должно быть ясно, что станции 12 и 16 могут использовать общую антенну для передачи и приема коммуникационных сигналов.

Фиг. 3А - 3В вместе показывает блок-схему задач, выполняемых ведущей станцией 16 и ведомой станцией 17, и показывает взаимосвязи между такими задачами. Конкретные задачи, изображенные на фиг. 3А - 3В, относятся к посылке и проверке подлинности команды, посылаемой ведущей станцией 16 на ведомую станцию 12. Более того, конкретные задачи, представленные на фиг. 3А-3В, выполняются в ходе нормальной работы станций 16 и 12. Другими словами, процессоры 26 и 54 /см. фиг. 2/ выполняют задачи, представленные на фиг. 3А-3В, одновременно уделяя внимание нормальным операциям спутников 12 и 16 соответственно.

Как видно на фиг. 3А, время от времени ведущие станции 16 принимают сообщения о числе команд, полученных ведомой станцией, от одной из приписанных ведомых станций 12, что иллюстрирует задача 74. Предпочтительно, чтобы ведомая станция 12 включала число принятых ею команд в рутинную операционную телеметрию, которая сообщается ведущей станцией, что иллюстрирует задача 76. Таким образом, ведущая станция 16 регулярно получает сведения о числе команд, полученных ведомой станций. Более того, это информационное сообщение можно посылать открыто /т.е. без предварительного шифрования/.

Фиг. 4 представляет блок-схему наполнителей 78 и 80, формируемых в памятях 28 и 56 ведомой и ведущей станций 12 и 16 соответственно, для использования в процессе удостоверения подлинности команд, соответствующего настоящему изобретению. Списки наполнителей 78 - 80 работают совместно со счетчиками команд ведущей и ведомой станции 82 - 84, соответственно. Каждый из списков наполнителей 78 - 80 включает много одноразовых наполнителей 86, точное число которых не имеет значения для реализации настоящего изобретения.

Термин "одноразовый наполнитель" относится к потоку случайной информации конечной длины, который комбинируется, например, посредством линейного процесса, подобного сложению, с сообщением такой же длины, чтобы зашифровать сообщение. Дешифрование сообщения требует использования того же самого потока случайной информации или наполнителя, комбинируемого так же или комплементарным способом. Одноразовость объясняется тем, что один и тот же случайный поток существенно никогда не будет использован более чем с одним сообщением. Поэтому процесс одноразового наполнения, говорят, безусловно секретен. Каждый наполнитель 86 представляет собой переменную, в которой хранится численное значение наполнителя. Термин "наполнитель" относится одновременно к переменной и к ее значению. Наполнитель 86 формируется с помощью известных процессов генерирования случайных чисел. Генерирование более подробно излагается ниже. Таким образом, каждый список 78 и 80 включает в себя набор случайных чисел. Более того, списки 78 и 80 включают в себя один и тот же набор случайных чисел, предпочтительно, в одном и том же порядке.

Счетчики 82-84 служат поинтерами для списков 78 - 80, соответственно. Когда счетчики 82 и 84 имеют одно и то же показание, они указывают на один и тот же наполнитель без фактического упоминания значения идентифицируемого наполнителя. Таким образом, в задаче 76 /см. фиг. 3A/ ведомая станция 12 идентифицирует конкретный наполнитель 86 для ведущей станции 16 без фактического поминания значения этого наполнителя. По этой причине сообщение о числе команд, полученных ведомой станцией, передаваемое или принимаемое при выполнении задач 76 и 74, соответственно, можно передавать открыто.

Как видно на фиг. 3A, когда ведущая станция 16 принимает число принятых ведомой станцией команд при выполнении задачи 74, она синхронизирует свой счетчик числа команд, поданных ведущей станцией 84 /см. фиг. 4/, с этим числом. Способ использования наполнителей 86 в предпочтительном варианте осуществления настоящего изобретения описан ниже более подробно. По причинам, которые в дальнейшем станут очевидными, ведущая станция 16 и ведомая станция 12 используют общий наполнитель 86 для каждой команды, подлежащей проверке на подлинность в соответствии с предпочтительным вариантом осуществления настоящего изобретения. В том случае, если счетчики команд ведущей и ведомой станций окажутся несинхронизированными, ведущая станция 16 и ведомая станция 12 предпримут попытку проверки подлинности команды, используя различные наполнители 86. Как результат, команды, подвергнутые проверке на подлинность, не получат подтверждения в подлинности. Нормальная работа сети 10 поддерживает синхронизм в работе счетчиков 82 - 84. Однако, если возникает какое-либо затруднение при синхронизации счетчиков 82 и 84, ведомая и ведущая станции 12 и 16 вновь обретут синхронность при выполнении задач 74 - 76.

Во время выполнения нормальных операций ведущая станция 16 может получить передающее данные сообщение, которое подтверждает прием команды ведомой станцией 12, как иллюстрирует задача 87. Поскольку ведущая станция 16 не посылала команды на этом этапе процесса, такое подтверждение не ожидается и означает возникновение проблемы. Например, такое подтверждение может указывать на попытку вмешательства в работу ведомой станции 12 или на порчу в ведомой станции 12. В любом случае, когда задача 87 обнаруживает подтверждающее сообщение, подходящее предупреждающее сообщение может быть активизировано с тем, чтобы можно было предпринять корректирующие действия. Предупреждающее сообщение может быть выведено на дисплей, напечатано, передано в звуковой форме или в другой форме доведено до внимания живого оператора через подходящее управление входных/выходных устройств 58 /см. фиг. 2/.

Занимаясь нормальными операциями, ведомой станции 12 может потребоваться выполнить или другим образом осуществлять команды, которые предварительно были приняты, что иллюстрирует задача 88. Необходимость действий в соответствии с такими командами зависит от содержания временной памяти 32 /см. фиг. 2/.

Фиг. 5A-5B, соответственно показывают блок-схему информационного сообщения 89, передаваемого на ведомые станции 12, и структуру данных команды 90, которая может быть передана этим информационным сообщением. Структура данных 90 может воспроизводиться внутри памяти 32 для любого числа команд. Структура 90 включает временную метку, которая инструктирует процессор о том, когда выполнить инструкцию, содержащую в команде. Разрешающий элемент данных используется для указания, что соответствующая команда разрешена. Запрещенная команда не будет выполнена, но разрешенная команда может быть выполнена. Идентифицирующая команду элемент данных точно указывает, какое действие должна предпринять ведомая станция 12, и различные параметры характеризуют это действие. Например, идентификатор команды может предписать включение конкретного двигателя, и параметры установить длительность его работы. Временная отметка указывает, когда должна начаться работы двигателя.

Обратимся обратно к фиг. 3A; в ходе выполнения задачи 88 процессор 26 /смотри фиг. 2/ рутинно следит за временной памятью 32 /смотри фиг. 2/ в поиске разрешенных команд, которые нуждаются в обработке в текущий момент. Если удовлетворены требования разрешенности и тактирования, процессор 26 выполняет эту команду. Хотя специально не изображено, ведомая станция 12 может передать после этого сообщение на ведущую станцию 16, чтобы сообщить о факте выполнения команды.

В ходе нормальной работы ведущей станции 16 может возникнуть потребность подачи команды на некоторую конкретную ведомую станцию 12. Например, может потребоваться коррекция орбиты или возникает необходимость получения конкретных данных от ведомой станции 12. При возникновении подобной потребности ведущая станция 16 формулирует подходящую команду, что иллюстрировано в задаче 92. Предпочтительно, чтобы эта команда имела форму, представленную структурой данных 90 на фиг. 5A-5B.

Как видно на фиг. 5A, может возникнуть потребность но не обязательно, в выполнении нескольких команд, как иллюстрирует сообщение 89. При формировании команд, адреса, присваивается данным, которые служат как командные структуры 90. Эти адреса указывают ячейки временной памяти 32 /смотри фиг. 2/, где должны храниться эти команды. Далее, подходящий заголовок ассоциируется с сообщением. Заголовок существенно идентифицирует ведомую станцию 12, на которую направляются команды, и инструктирует эту ведомую станцию 12 загрузить эти командные данные по временную память 32 по указанным адресам.

Вернемся обратно к фиг. 3A; после выполнения задачи 92 может возникнуть необходимость в выполнении вспомогательной задачи 94. В предпочтительном варианте осуществления настоящего изобретения команда может быть классифицирована как критическая команда или как некритическая команда. Критические команды требуют удостоверения подлинности в силу серьезных последствий, которые могут произойти в силу неуместного исполнения этих команд. С другой стороны, некритические команды не влекут серьезных последствий, если выполнены не ко времени. Примером некритической команды может служить инструкция отрегулировать мощность передатчика спутника в предопределенных пределах. Другим примером является команда послать показания счетчика команд. При передаче некритической команды на ведомую станцию 12 не требуется выполнения удостоверения подлинности, и поэтому задача 94 не выполняется.

При критических командах задача 94 берет наполнитель 86 /смотри фиг. 4), шифрует подходящий код подлинности /AC/ наполнителем 86 и комбинирует зашифрованный код подлинности с командами в сообщении 89 /смотри фиг. 5/. Наполнитель 86, получаемый в задаче 94, предпочтительно является наполнителем 86, который указывает ведущий командный счетчик 84 /смотри фиг. 4/. В предпочтительном варианте осуществления это просто следующий наполнитель 86, который находится в списке 80 /смотри фиг. 4/ после ранее использованного наполнителя 86. Шифрование, выполняемое задачей 94, предпочтительно является обычным линейным процессом, подобным побитовой операции Исключающее ИЛИ. В предпочтительном варианте осуществления наполнители 86 и код подлинности имеют одинаковое количество битов. Поскольку наполнитель 86 является случайным числом, он шифрует код подлинности. Как показано на фиг. 5, зашифрованный код подлинности приставляется к и становится частью сообщения 89.

Одним из преимуществ, обусловленных различием между критическими и некритическими командами, состоит в том, что некритические команды можно подавать из других пунктов, помимо наземной управляющей станции 16 /смотри фиг. 1/. Например, шлюзы 14 /смотри фиг. 1/ могут в ограниченной мере управлять спутниками 12 / смотри фиг. 1/. Степень секретности не уменьшается, а стоимость процесса удостоверения подлинности минимизируется путем воздержания от транспортировки и синхронизации списков наполнителей 80 /смотри фиг. 4/ между всеми ячейками, которые способны в ограниченной степени управлять спутниками 12. Более того, список наполнителей 80 остается в рамках секретности на наземной управляющей станции 16. Другим преимуществом различения критических и некритических команд является то, что ведущей станции может быть дана инструкция передать показание счетчика команд для ускорения любого процесса восстановления синхронизации.

После выполнения задачи 92 или задачи 94 для некритических команд задача 96 передает передающее данные сообщение 89 /смотри фиг.5A/, содержащее команды и возможно содержащее закодированный код подлинности на целевую ведомую станцию 12. На этом ведущая станция 16 временно завершает свою часть процесса удостоверения подлинности, и процесс подтверждения подлинности продолжает целевая ведомая станция 12.

В частности, во время выполнения формальных операций, ведомая станция 12 в какой то момент принимают передающие данные сообщения 89, как показывает задача 98. Задача 98 затем восстанавливает командные части сообщения 89. При выполнении задачи опроса 100 ведомая станция 12 исследует идентифицирующие команды части команд в сообщении 89 для установления, есть ли по крайней мере одна команда в сообщении 89, которая является критической командой. Ведомая станция 12 затем устанавливает, является ли команда критической или нет путем выполнения операции просмотра справочной таблицы /не изображена/, предпочтительно запрограммированной в постоянной памяти 30 /смотри фиг. 2/.

Если в сообщении 89 нет критической команды, то ведомая станция 12 выполняет задачу 102. При выполнении задачи 102 процессор 26 ведомой станции 12 формулирует подтверждающее сообщение, которое содержит данные, указывающие, что приняты некритические команды. Обычно некритические команды программируются с разрешающим элементом данных /смотри фиг.5/ в разрешенном состоянии, и ведомая станция 12 выполнит ее в нужное время. Содержащую временную метку часть команды /смотри фиг. 5/ можно запрограммировать так, чтобы команда исполнялась немедленно. В этом случае в последующий момент ведомая станция выполнит задачу 88, реализуя эту команду.

Если по крайней мере одна команда, включенная в сообщение 89, является критической командой, станция 12 выполняет задачу 104. Задача 104 выбирает наполнитель 86 из списка 88 /смотри фиг. 4/. В предпочтительном варианте осуществления настоящего изобретения конкретный наполнитель из наполнителей 86, выбранный при выполнении задачи 104, соответствует текущему показателю ведомого счетчика команд 82 /смотри фиг. 4/. Этот наполнитель предпочтительно является следующим наполнителем 86, который находится в списке 88 после ранее использованного наполнителя 86.

Затем задача 104 использует выбранный наполнитель 86 для восстановления значения исполнителя из зашифрованной версии кода подтверждения подлинности, включенного в сообщение 89 /смотри фиг. 5A/. Как сказано выше, в предпочтительном варианте осуществления настоящего изобретения наполнитель 86 используется для шифрования кода подтверждения подлинности с помощью операции Исключающее ИЛИ. Задача 104 дешифрует, выполняя операцию Исключающее ИЛИ над выбранным наполнителем 86 и зашифрованным кодом подтверждения подлинности.

Как видно на фиг. 3B, процессор 26 ведомый станции 12 далее выполняет задачу опроса 106. Задача 106 оценивает результаты использования значения наполнителя в задаче 104 для определения, является ли код проверки правильности подлинным. Установление правильности может быть выполнено путем сравнения установленного кода подлинности с одним или большим количеством значений, запрограммированных в память 28, и предпочтительно такой памятью является постоянная память 30 /смотри фиг. 2/. Если установлено, что восстановленный код подтверждения подлинности правильный, то восстановленное значение наполнителя совпадает с выбранным наполнителем 86, и устанавливается совпадение наполнителя 86, использованного для шифрования кода, подтверждающего подлинность, и наполнителя 86, использованного для шифрования зашифрованного кода подтверждения подлинности. В такой ситуации команду можно считать подлинной. Поскольку наполнители 86 являются существенно случайными числами, ведомая станция 12 может иметь уровень доверительности приблизительно эквивалентным 1-2-n, где n является числом битов, включенных в каждый наполнитель 86 команды, пришедший от ведущей станции 16.

В первом альтернативном варианте осуществления код подтверждения подлинности совсем может не использоваться в процессе удостоверения подлинности. Вместо того, чтобы шифровать и дешифровать код подтверждения подлинности, наполнитель 86 может быть включен непосредственно в сообщении 89 ведущей станции 16 и непосредственно восстанавливаться из сообщения 89 ведомой станцией 12. В этой ситуации ведомая станция 12 может оценить восстановленное значение наполнителя более простым способом. В частности, значение восстановленного наполнителя может быть непосредственно сопоставлено с выбранным наполнителем из списка 88 для обнаружения совпадения.

Во втором альтернативном варианте осуществления код подтверждения подлинности может быть зашифрован наполнителем 86, как описано выше. Однако ведущая станция может дешифровать зашифрованный подлинный код с помощью операции Исключающее ИЛИ с помощью санкционированного кода подтверждения подлинности, а не с помощью выбранного наполнителя. В этой ситуации ведущая станция 16 оценивает значение восстановленного наполнителя непосредственным сравнением результата операции Исключающее ИЛИ с выбранным наполнителем 86. Вне зависимости от конкретного варианта осуществления, который будет использоваться, специалисты, в данной области техники должны понимать, что ведомая станция 12 оценивает значение восстановленного наполнителя для определения совпадения между наполнителем 86, использованным ведущей станцией 16 и наполнителем 86, выбранным ведомой станцией 12.

Когда задача 106 опознает совпадение наполнителей, задача 108 формулирует подтверждающее сообщение "команда с удостоверенной подлинностью". Затем задача 110 увеличивает показания ведомого командного счетчика 82 /смотри фиг. 4/. Увеличение показаний счетчика 82 означает, что ранее выбранный наполнитель 86, который был использован при выполнении задач 104 - 106 не будет вновь использоваться в процессе удостоверения подлинности. Конечно, для специалистов в данной области должно быть ясно, что это не означает, что значение наполнителя, который имел ранее выбранный наполнитель 86 не появится снова. Вероятность того, что любой наполнитель 86 вновь будет иметь некоторое конкретное значение остается равной приблизительно 2-n .

Если задача 106 не обнаружит совпадения наполнителей, задача 112 запретит эту команду. Команда может быть запрещена путем обработки разрешающего элемента данных в структуре командных данных 90 /смотри фиг. 5/. Как результат запрещения команды, спутник 12 не выполнит эту команду. Далее задача 114 формулирует подтверждающее сообщение "отсутствие подлинности". Это сообщение "отсутствие подлинности" может включать подробности, относящиеся к идентификации команды, или может включать всю команду целиком. Такие данные могут помочь ведущей станции 16 установить причину появления подтверждающего сообщения об отсутствии подлинности и предпринять соответствующие ответные действия.

После завершения формулирования подтверждающего сообщения в ходе выполнения задачи 102, 110 или 114 задача 116 передает подтверждающее сообщение на ведущую станцию 16. В этот момент ведущая станция 16 завершает свою часть процесса удостоверения подлинности, и возобновляется процедура, изображенная на алгоритмической блок-схеме фиг. 3A - 3B. Другими словами, ведомая станция 12 продолжает нормальные операции ведомой станции. Подобные нормальные операции заставляют ведомуюстанцию 12 работать, выполняя разрешенные команды в запрограммированные моменты, о чем было сказано выше применительно к задаче 88.

В то время, когда ведомая станция 12 была занята удостоверением подлинности сообщения 86 /смотри фиг. 5A/, ведущая станция 16 была занята выполнением нормальных станционных операций. В некоторый момент подтверждающее сообщение приходит на ведущую станцию 16, что иллюстрирует задача 118. Задача опроса 120 оценивает подтверждающее сообщение. Если получено подтверждающее сообщение "команда удостоверенной подлинности", то задача 122 увеличивает показания ведущего командного счетчика 84 /смотри фиг. 4/. Увеличение показания счетчика 84 означает, что ранее выбранный наполнитель 86, который был использован выше в задаче 94, не будет использован вновь в процессе удостоверения подлинности. Увеличение показания счетчика 84 также сохраняет синхронизм счетчика 84 с ведомым командным счетчиком 82 /смотри фиг 4/. Следующая критическая команда будет использовать другой наполнитель 86 для целей удостоверения подлинности. Посредством воздержания от использования одного и того же наполнителя дважды уровень секретности процесса удостоверения подлинности удерживается на высоком уровне.

После задачи 122 задача 124 выполняет любые подтверждающие процессы, какие могут потребоваться. Как сказано выше, подтверждающие процессы отличаются от процессов удостоверения подлинности. Процессы удостоверения подлинности гарантируют, что команды исходят лишь от санкционированных источников. Подтверждающие процессы гарантируют, что команды принятые ведомой станцией 12, являются преднамеренными командами.

Благодаря программируемой природе настоящего изобретения достигается большая гибкость подтверждающих процессов. Эти подтверждающие процессы управляются ведущей станцией 16. Для некритических команд подтверждение не требуется. Далее, некритические команды не влекут серьезных последствий, если неправильно исполнены, и такие команды могут быть просто повторены, если необходимо.

Применительно к критическим командам процедуры, реализуемые ведущей станцией 16, могут показывать, насколько различны эти критические команды. Например, низкого уровня критические команды не нуждаются в каком-либо подтверждении. Такие команды могут передаваться с временной меткой и разрешающим элементом данных командной структуры 90 /смотри фиг. 5B/, подготовленными для исполнения ведущей станцией 16. Применительно к низкого уровня критическим командам ведущая станция 16 не предпринимает каких-либо действий при выполнении задачи 124. Среднего уровня критические команды могут передаваться с временной меткой и разрешающим элементом данных командной структуре 90, подготовленными для будущего исполнения ведомой станцией 12. После приема подтверждения ведущая станция 16 может подтвердить команду, заставив ведомую станцию 12 считать команду вновь для ведущей станции 16 при выполнении задачи 124. Если команда указывается правильно при выполнении операции обратного считывания, ведущая станция 16 не предпринимает дальнейших действий. Но, если операция обратного считывания покажет на неправильность команды, тогда ведущая станция 16 может запретить или переписать команду. Высокого уровня критические команды можно передавать в запрещенном состоянии. Операция обратного считывания может быть выполнена в ходе задачи 124. Если обратное считывание оказывается правильным, то другое командное сообщение может разрешить выполнение команды, а другая операция обратного считывания может подтвердить, что команда действительно была разрешена. Если высокого уровня критические команды окажутся неправильными при выполнении операции обратного считывания, то есть шанс, что нет надобности в превентивных действиях, поскольку команда в любом случае будет запрещена. Эти и другие подтверждающие процессы, которые известны или очевидны для специалистов в данной области реализуются в задаче 124.

После задачи 124 или после обнаружения подтверждения некритической команды задачей 120 процедура, проиллюстрированная на блок-схеме фиг. 3A - 3B, воспроизводится для ведущей станции 16. Другими словами, ведущая станция 16 продолжает нормальные операции ведущей станции.

Когда задача 120 обнаружит подтверждающее сообщение об отсутствии подлинности, запрашивающая задача 126 определяет, надо ли выходить из программного цикла. Если ведущая станция 16 не выходить из цикла, то программное управление переходит обратно к задаче 94, описанной выше. Вообще говоря, задача 94 добавляет наполнитель к критической команде и последующая задача передает команду и наполнитель на ведомую станцию 12. Однако, при этой итерации цикла ведущая станция 16 предполагает, что счетчик ведомых команд 82 и счетчик ведущих команд 84 /смотри фиг. 4/ слегка вышли из синхронизма. Соответственно, команда повторяется с использованием последовательных исполнителей 86 из списка 80 /смотри фиг. 4/ в попытке предоставить ведомой станции 12 возможность удостоверить подлинность команды. Команда передается несколько раз с различными наполнителями 86 для определенного числа итераций и до тех пор, пока не будет принято подтверждающее сообщение "подлинная команда". Когда это предопределенное число будет достигнуто, задача 126 выходит из цикла на задачу 128, которая активизирует подходящее предупреждающее сообщение. После задачи 128 программное управление ведущей станции 16 воспроизводит процедуру, проиллюстрированную алгоритмической блок-схемой фиг. 3A-3B.

Процедура, описанная выше со ссылками на фиг. 3A-3B, предполагает, что списки или наборы наполнителей 86 уже хранятся в памятях 52 и 56 ведомой и ведущей станции 12 и 16 соответственно. В предпочтительном варианте осуществления настоящего изобретения не накладывается никаких пределов на число критических команд, которые могут быть переданы между станциями 16 и 12. Другими словами, процедуры, представленные фиг. 3A-3B, повторяются неопределенное число итераций. Число итераций может быть потенциально исключительно большим, если учесть продолжительность службы ведомой станции 12. Дополнительно, конечный объем памяти выделен для хранения списков 78 и 80. Поэтому настоящее изобретение включает процедуру создания списков 78 и 80, как это требуется. Эта организующая процедура проиллюстрирована блок-схемой, изображенной на фиг. 6A-6B.

Процедура создания списков 78 и 80 использует общеключевую или ассиметричную шифрующую систему. Специалистам в данной области должно быть понятно, что ассиметричная система использует один ключ или значение для шифрования сообщений и другой ключ для дешифрования сообщений. Шифрующий ключ считается общим ключом, поскольку его можно сделать известным без нарушения секретности системы.

Как видно из фиг. 6A, первичный секретный дешифрующий ключ и исходный набор наполнителей 86 запоминается в памяти 56 ведущей станции при выполнении задачи 130. Эти исходные значения генерируются с помощью известных процессов под установки ведомой станцией 12 или запуска на орбиту спутниковой ведомой станции 12. Идентичный исходный набор наполнителей 86 запоминается в памяти 28 ведомой станции 12 при выполнении задачи 132. При выполнении задачи 132 также запоминается шифрующий общий исходный ключ в памяти 28 ведомой станции 12. Общий ключ предпочтительно запоминается в постоянной части 30 памяти 28 чтобы с высокой степенью доверительности он оставался в наличии на протяжении всей жизни ведомой станции 12. Исходные наполнители 86 могут быть заполнены или в постоянной памяти 30, либо во временной памяти 32, ведомой станции 12.

Как видно на фиг. 6A, задача 132 выполняется до установки ведомой станции 12 в удаленном пункте /например, на орбите/ чтобы до запуска был возможен физический доступ к ведомой станции 12. Если есть опасение за физическую сохранность исходного набора наполнителей 86, то исходный набор наполнителей можно генерировать на ведомой станции 12 после ее установки и автоматически переслать на ведущую станцию 16, используя существенно процесс, изображенный на фиг. 6B для последовательных наполнителей.

После задачи 132 задача 134 предполагает запуск или иной способ установки ведомой станции 12 в удаленном пункте. В соответствии с процессом, соответствующим настоящему изобретению, дальнейший физический доступ к ведомой станции 12 не нужен. Непосредственно после установки ведомой станции 12 может возникнуть крайняя необходимость выдать несколько изначальных команд. Ведущая станция 16 передает такие первоначальные команды в ходе выполнения задачи 136, и ведомая станция 12 принимает такие первоначальные команды в ходе выполнения задачи 138. Процесс удостоверения подлинности, описанный выше со ссылками на фиг. 3A-3B, используется в задачах 136-138. Команды дешифруются с помощью первоначальных наполнителей 86, загруженных до запуска и хранящихся в задачах 130-132, или, альтернативно, первоначальные наполнители 86 генерируются на орбите в ходе выполнения задач 154-170. Ведомая станция 12 выполняет такие первоначальные команды после удостоверения их подлинности, о чем сказано выше. Другими словами, задачи 136-138 относятся к нормальной работе ведущей и ведомой станций 16 и 12 соответственно.

В соответствии с этой нормальной работой ведущая станция 16 выполняет задачу опроса 140. Задача 140 определяет, есть ли надобность в дополнительном наборе наполнителей 86. Эта надобность может быть вызвана исчерпанием большинства наполнителей 86 списка 78 /смотри фиг. 4/. Альтернативно, задача 140 может прийти к такому заключению, исходя из неудачи приема любой подлинной критической команды от ведущей станции 16 на предопределенном периоде времени. Подобное отсутствие критических команд на продолжительном периоде времени возможно указывает на то, что возник серьезный сбой в системе удостоверения подлинности. Новый набор наполнителей часто позволяет восстановить такие серьезные сбои.

Когда задача 140 установит, что новый набор наполнителей не нужен, ведомая станция 12 продолжает нормальные операции. В то же время после запуска ведомой станции 12 ведущая станция 16 включает задачу опроса 142 в свои нормальные операции. Задача 142 определяет, находится ли ведомая станция 12 "над головой" /в зените/ и в предопределенном временном окне. Ведущая станция 12 располагается непосредственно над любой управляющей наземной станцией 16, именуемой ведущей управляющей наземной станцией 16, когда управляющая наземная станция 16 может сообщаться с ним через прямое звено 24 /смотри фиг. 1/. Предопределенное временное окно задается так, чтобы оно возникало только тогда, когда ведомая станция 12 находится в зените. Пока расположение и время ведомой станции 12 не удовлетворяют критериям задача 142, ведущая станция 16 продолжает выполнение своих нормальных операций. С другой стороны, когда ведомая станция 12 находится в зените и в преодпределенном временном окне, ведущая станция 16 выполняет задачу 144.

Задача 144 передает новый общий ключ на ведущую станцию 16 и настроечном передающем данные сообщения. Это новый общий ключ не зашифрован, и нет надобности его расшифровывать на ведомой станции 12. Настроечное сообщение форматировано как команда для ведомой станции 12 и считается критической командой. Таким образом, настроечное сообщение включает в себя код подтверждения подлинности. Непосредственно после запуска ведомой станции 12 этот код удостоверения подлинности накладывается на один из исходных наполнителей 86, запомненных в задаче 130 /или 170/. Как сказано выше, со ссылками на фиг. 3A-3B, управляющая станция 16 может ожидать некоторое подтверждающее сообщение в ответ на настроечное сообщение.

Ведомая станция принимает настроечное сообщение при выполнении задачи 146. Новый общий ключ восстанавливается из этого сообщения, сообщение подвергается проверке на подлинность, и подтверждающее сообщение передается обратно на ведущую станцию 16. После выполнения задач 146 задача опроса 148 определяет, находится ли спутник над ведущей станцией 16 и в предопределенном временном окне. Данные о расположении могут быть получены путем определения, было ли получено настроечное сообщение по прямой цепи 24 /смотри фиг. 1/ или через другие цепи сети 10. Данные о временном окне могут быть запрограммированы в постоянную память 30. Если задача 146 не установит, что ведомая станция 12 находится в предопределенных положении и временном окне, вновь принятый общий ключ уничтожается при выполнении задачи 150, и ведомая станция 12 продолжает выполнение нормальных операций. С другой стороны, если положение и временное окно правильны, то новый общий ключ сохраняется в временной памяти 32 при выполнении задачи 152.

Степень секретности повышается благодаря тому, что передачи новых общих ключей происходит только тогда, когда ведомая станция 12 находится в зените. В предпочтительном варианте осуществления ведомая станция 12 находится в зените от 2 до 14 раз ежедневно, что зависит от широты. Как сказано выше, коммуникационные сигналы, передаваемые с Земли на спутник исключительно трудно перехватить, и вероятность тяжелых последствий по причине нежелательного перехвата нового общего ключа значительно снижена.

Обратимся к фиг. 6B; после задачи 152 и когда задача 140 определит, что нужен новый список наполнителей, задача 154 генерирует и запоминает новый набор случайных наполнителей 86 в списке 78 /смотри фиг. 4/. Задача 154 также генерирует и сохраняет набор случайных временных значений и сохраняет их в списке 156 /смотри фиг. 4/, ассоциированном со случайными наполнителями 86.

Для ведомой станции 12 нет необходимости выполнять задачу 154 как задачу высокого приоритета. Более того, ведомая станция 12 может выполнять более насущные нормальные операции и в какой-то момент приступить к генерированию случайных значений, когда наступит время сделать это. Для специалистов в данной области техники должно быть понято, что процессы генерирования псевдослучайных чисел хорошо известны и что такие процессы можно порождать временными значениями или другими произвольными величинами, но зависящими от времени, для формирования существенно случайных значений. Случайные временные значения форматируются как длительности с некоторыми предопеределенными ограничениями на максимально допустимую длительность. Эти временные значения используются в последующей задаче для передачи случайных наполнителей на ведущую станцию 16.

После выполнения задачи 154 ведомая станция выполняет задачу 160, шифруя случайные наполнители, сформированные в задаче 154, используя наивысшей приоритетности общий ключ, известный ведомой станции 12. В предпочтительном варианте осуществления настоящего изобретения используется хорошо известный способ шифрования, подобный способам RSA или Хелмана. Зашифрованные наполнители /E/Pad// запонимаются в списке 162 /смотри фиг. 4/, в котором зашифрованные наполнители ассоциируются с наполнителями 86 и случайными временными значениями из списков 78 и 156, соответственно. Задача 160 может выполняться в режиме низкого приоритета ведомой станцией 12, когда ведомая станция 12 свободная от выполнения более насущных задач, предшествующих завершению задачи 160. Поэтому шифрование не снижает критическую обрабатывающую способность, необходимую для нормальной работы ведомой станции 12.

Наивысшего приоритета общим ключом, имеющимся у ведомой станции 12, обычно является тот, который получен последним от ведущей станции 16. Поэтому общим ключом, изначально загруженным в задаче 132 нет необходимости пользоваться, если приняты другие общие ключи от ведущей станции 16. Дополнительно, когда задачи 140, как сказано выше, решает, что необходим новый набор наполнителей, поскольку за определенный период времени от ведущей станции 16 не было получено фактических сообщений, задачи 160 использует первоначальный общий ключ для шифрования по умолчанию в предположении, что другой общий ключ может быть испорченным.

После выполнения задачи 160 ведомая станция 12 вновь возвращается к нормальным операциям. Эти нормальные операции включают задачу опроса 164, которая просматривает список 156 временных отрезков случайной длительности. Если длительность, указанная в ассоциации со следующим наполнителем уже истекла, то задача 166 передает соответствующий зашифрованный наполнитель из списка 162 на ведущую станцию 16. Этот наполнитель включается в передающие данные сообщения с показанием счетчика покоманд ведомой станции 82. В альтернативном варианте задача 166 передает несколько зашифрованных наполнителей, но общее число их меньше всего набора наполнителей, на ведущую станцию 16. После выполнения задачи 166 ведомая станция 12 возвращается к нормальным операциям, включающим выполнение задачи 164. Ведомая станция 12 будет находиться в цикле между задачами 164 и 166, пока не будут переданы все наполнители на ведущую станцию 16. Наполнители следует передавать через случайные интервалы времени, чтобы еще больше снизить вероятность перехвата и расшифрования их. Эта передача зашифрованных наполнителей не ограничивается временем, когда ведомая станция 12 находится над ведущей станцией 16. Более того, информационное сообщение, которое содержит зашифрованные наполнители может быть передана от ведомой станции 12 через сеть 10 /смотри фиг. 1/ в любое время и из любого положения.

В то время, когда ведомая станция 12 генерирует случайные числа и зашифрованные наполнители, ведущая станция 16 продолжает выполнение нормальных операций. В некоторый момент ведущая станция 16 принимает передающее данное сообщение, которое содержит зашифрованные наполнители и показание счетчика команд ведомой станции, что проиллюстрировано в задаче 168. Когда это сообщение принято, задача 170 дешифрует принятый наполнитель /наполнители/, используя секретный ключ. Этот секретный ключ соответствует общему ключу, посланному последним на ведомую станцию 12, или изначальному общему ключу, загруженному в ведомую станцию 12. Задача 170 запоминает расшифрованные наполнители в списке 80 /смотри фиг. 4/ и также запоминает показания счетчика команд ведомой станции для использования в процессе синхронизации. После выполнения задачи 170 ведущая станция 16 продолжает выполнение нормальных операций, в которые время от времени включаются приемы дополнительных зашифрованных наполнителей в задаче 168.

Соответственно, случайные наполнители можно формировать по необходимости в основном под управлением ведомой станции 12. Однако при этом ведущая станция 16 может возобновлять через равные интервалы передачу нового общего ключа на ведомую станцию 12, если есть подозрение на нарушение секретности или если закончился неудачей процесс удостоверения подлинности. Ведомая станция 12 будет реагировать на этот новый общий ключ новым набором наполнителей.

Говоря кратко, настоящее изобретение обеспечивает усовершенствованный способ удостоверения подлинности. Процессе, соответствующий настоящему изобретению, не требует использования аппаратуры, специально предназначенной для удостоверения подлинности команд. Более того, процесс по настоящему изобретению прост в реализации и эксплуатации. Не требуется наличия физического доступа к ведомой станции 12, и процесс может быть реализован вместе с другими нормальными рабочими процессами, используя только ту аппаратную часть, которая необходима для выполнения таких нормальных операций.

Дополнительно, настоящее изобретение обеспечивает высокий уровень секретности удостоверения подлинности. Одноразовые наполнители формируются по необходимости для удостоверения подлинности команд, а затем уничтожаются. Подобные наполнители не используются повторно, и процесс оказывается безусловно секретным. Между ведомой и ведущей станциями происходит обмен этими наполнителями, используя ассиметричную систему шифрования с общим ключом. Эти наполнители не так часто передаются, и эти наполнители передаются через случайные интервалы для повышения уровня секретности. Замена ключа является простой операцией, поскольку общим ключом пользуются ведомые станции. Секретность еще больше увеличивается за счет того, что операция замены ключа происходит только тогда, когда спутниковая ведомая станция располагается в заданном пункте и заданном временном окне. Конкретный пункт является тем, где нежелательные перехваты коммуникационных сигналов, передаваемых ведущей станцией на ведомую станцию, является исключительно трудным, по причине прямолинейности распространения этих сигналов.

Настоящее изобретение описано со ссылками на предпочтительные варианты осуществления. Однако для специалистов в данной области техники должно быть ясно, что в эти предпочтительные варианты осуществления можно внести изменения или модификации без отклонения от существа настоящего изобретения. Например, для специалистов в данной области техники должно быть ясно, что числа, которые в настоящем описании считаются случайными, могут быть действительно существенно случайными для конкретных целей, которые касаются настоящего изобретения, но могут в то же время считаться псевдослучайными числами. Более того, для специалистов в данной области техники должно быть ясно, что аппаратная часть и конкретные задачи, описанные в настоящем описании, являются объектом существенной модификации, однако достигающей тех же самых результатов. Эти и другие изменения и модификации, которые очевидны для специалистов в данной области техники, включены в объем настоящего изобретения.

Реферат

Ведомая станция, подобная спутнику на орбите, и ведущая станция, подобная наземной управляющей станции, имеют собственные списки случайных наполнителей. Списки ведомой и ведущей станций идентичны. Когда ведущая станция передает критическую команду на ведомую станцию, один из наполнителей комбинируется с командой и передается на ведомую станцию в качестве передающего данные сообщения. Каждый наполнитель используется лишь один раз. Ведомая станция оценивает принятое значение наполнителя, используя для этого свою версию того же самого выбранного наполнителя. Если результатом оценки будет совпадение, то команда полагается подлинной и ведомая станция выполняет эту команду. Случайные наполнители генерируются ведомой станцией. Они шифруются асимметричным шифровальным процессом и передаются на ведущую станцию, чтобы ведущая и ведомая станции работали с одинаковыми наборами наполнителей. Достигаемым техническим результатом является обеспечение высокого уровня секретности удостоверения подлинности. 3 с. и 25 з.п.ф-лы, 6 ил.

Формула

1. Способ передачи команд от ведущей станции на ведомую станцию в системе, содержащей названную ведущую станцию и названную ведомую станцию, причем названная ведущая станция включает в себя первый процессор, первый передатчик, первый приемник и первое запоминающее устройство, при этом названная ведомая станция включает в себя второй процессор, второй передатчик, второй приемник и второе запоминающее устройство, чтобы названная ведомая станция могла подтвердить подлинность названных команд, отличающийся тем, что включает операции, на которых принимают с помощью указанного первого приемника на указанной ведущей станции первый кодовый наполнитель, эквивалентный второму кодовому наполнителю, хранящемуся в названном втором запоминающем устройстве на названной ведомой станции, сохраняют названный первый наполнитель в названном первом запоминающем устройстве, комбинируют названный первый кодовый наполнитель с названной командой с помощью названного первого процессора для формирования сообщения, и передают названное сообщение с помощью названного первого передатчика на названную ведомую станцию.
2. Способ по п. 1, отличающийся тем, что названная операция приема включает в себя шаг, на котором названный первый приемник на названной ведущей станции принимает первый набор кодовых наполнителей, передаваемых названным вторым передатчиком на названной ведомой станции, названная операция запоминания включает в себя шаг запоминания, на котором запоминают названный первый набор кодовых наполнителей в названном первом запоминающем устройстве, а названная операция комбинирования включает в себя шаг комбинирования, на котором названный первый процессор комбинирует первый выбранный один из названного первого набора кодовых наполнителей с названной командой для формирования названного сообщения.
3. Способ по п.2, отличающийся тем, что включает в себя операции повторения, по командам из названного первого процессора, названного шага сохранения, названного шага комбинирования и названной операции передачи для второй команды, при этом названный шаг комбинирования включает в себя еще один шаг комбинирования второго выбранного одного из названного первого набора кодовых наполнителей с названной второй командой с помощью названного первого процессора для формирования второго сообщения, а названная операция передачи включает в себя шаг передачи названного второго сообщения названным первым передатчиком на названную ведомую станцию.
4. Способ по п.2, отличающийся тем, что включает в себя операцию повторения, по командам из названного первого процессора, названного шага комбинирования и названной операции передачи для множества итераций, причем на каждой из названных итераций названного шага комбинирования используют отличный кодовый наполнитель из названного первого набора кодовых наполнителей для комбинирования с каждой отличной одной из названного множества команд для формирования множества сообщений, каждая из названных итераций названной операции передачи обеспечивает передачу отличного одного из названного множества сообщений названным первым передатчиком на названную ведомую станцию.
5. Способ по п.4, дополнительно отличающийся тем, что включает в себя операцию повторения названного шага приема и названного шага сохранения для приема и сохранения дополнительных наборов первых кодовых наполнителей, чтобы обеспечивалось достаточное наличие названных дополнительных наборов первых кодовых наполнителей для названного множества итераций.
6. Способ по п.4, отличающийся тем, что названная система дополнительно содержит счетчик на названной ведомой станции и счетчик команд ведущей станции на названной ведущей станции, причем названный способ дополнительно включает в себя операции, на которых принимают с помощью названного первого приемника сообщение с показаниями счетчика команд, передаваемое названным вторым передатчиком из названной ведомой станции, при этом названное сообщение с показаниями счетчика команд включает в себя значение счета команд ведомой станции из названного счетчика на названной ведомой станции, осуществляют синхронизацию счета команд ведущей станции в названном счетчике команд ведущей станции с названным значением счета команд ведомой станции, сохраняют счет команд ведущей станции в названном счетчике команд ведущей станции для отражения числа названных сообщений, передаваемых посредством названных итераций на названной операции повторения, и получают названный отличный кодовый наполнитель для использования на названных итерациях названного шага комбинирования в соответствии с названным счетом команд ведущей станции названного счетчика команд ведущей станции.
7. Способ по п.6, отличающийся тем, что включает в себя операции приема с помощью названного первого приемника, после каждой итерации названной операции передачи, подтверждающего данные сообщения, причем названное подтверждающее данные сообщение включает в себя данные, указывающие, подтвердила ли названная ведомая станция подлинность принятого непосредственно перед этим сообщения, переданного непосредственно на предыдущей операции передачи и регулируют названный счет команд ведущей станции в названном счетчике команд ведущей станции на названной операции сохранения только тогда, когда на названной операции приема с помощью названного первого приемника встречается подтверждающее данные сообщение, указывающее, что названная ведомая станция подтвердила подлинность названного переданного непосредственно перед этим сообщения.
8. Способ по п.2, дополнительно отличающийся тем, что включает в себя операцию передачи названным первым передатчиком передающего настроечные данные сообщения в названный второй приемник на названной ведомой станции, причем передающее настроечные данные сообщение включает в себя шифрующий ключ, при этом названный шифрующий ключ имеет форму, не требующую дешифрования названным вторым процессором на названной ведомой станции, а названная операция передачи выполняется названным первым передатчиком до названного шага приема.
9. Способ по п.8, отличающийся тем, что названный шаг приема включает в себя дополнительный шаг дешифрования названного набора первых кодовых наполнителей названным первым процессором с использованием секретного дешифрующего ключа, соответствующего названному шифрующему ключу.
10. Способ по п.8, отличающийся тем, что названный способ осуществляется наземной управляющей станцией, передающей названные сообщения с помощью названного первого передатчика на названной операции передачи, а названная операция передачи осуществляется первым приемником на названный второй передатчик, находящийся на околоземном летательном аппарате, причем названный околоземный летательный аппарат содержит названную ведомую станцию, названная наземная управляющая станция и названный околоземный летательный аппарат могут осуществлять связь друг с другом либо через сеть связи, имеющую множество узлов, либо через прямую линию связи между ними, а на названной операции передачи с помощью названного первого передатчика выполняют передачу названного дешифрующего кода только через названную прямую линию связи.
11. Способ работы ведомой станции по подтверждению подлинности команд, принимаемых от ведущей станции, в системе, содержащей названную ведущую станцию и названную ведомую станцию, причем названная ведущая станция включает в себя первый процессор, первый передатчик, первый приемник и первое запоминающее устройство, и при этом названная ведомая станция включает в себя второй процессор, второй передатчик, второй приемник и второе запоминающее устройство до выполнения команд, передаваемых на нее, отличающийся тем, что включает в себя операции, на которых генерируют первый кодовый наполнитель с помощью названного второго процессора, сохраняют названный первый наполнитель в названном втором запоминающем устройстве для получения хранящегося кодового наполнителя, передают названный первый кодовый наполнитель на названную ведущую станцию с помощью названного второго передатчика, принимают передающее данные сообщения от названной ведущей станции с помощью названного второго приемника, восстанавливают команду и кодовый наполнитель из названного передающего данные сообщения с помощью названного второго процессора для выдачи восстановленной команды и восстановленного кодового наполнителя, подтверждают подлинность названного передающего данные сообщения с помощью названного второго процессора путем оценки названного восстановленного кодового наполнителя для обнаружения совпадения названного восстановленного кодового наполнителя и названного хранящегося кодового наполнителя, и воздерживаются от выполнения названной команды, если на названной операции подтверждения подлинности не обнаружено названное совпадение.
12. Способ по п.11, отличающийся тем, что названная операция генерирования включает в себя шаг генерирования первого набора кодовых наполнителей названным вторым процессором, названная операция сохранения включает в себя шаг сохранения названного первого набора кодовых наполнителей в названном втором запоминающем устройстве для получения хранящегося набора первых кодовых наполнителей, названная операция передачи включает в себя шаг передачи названного первого набора кодовых наполнителей с помощью названного второго передатчика, а названная операция воздержания включает в себя шаги выбора кодового наполнителя из названного хранящегося набора первых кодовых наполнителей с помощью названного второго процессора для получения выбранного кодового наполнителя, и подтверждения подлинности названного передающего данные сообщения с помощью названного второго процессора путем оценки названного восстановленного кодового наполнителя с помощью названного выбранного кодового наполнителя для обнаружения названного совпадения.
13. Способ по п.12, также отличающийся тем, что включает в себя операции повторения по командам из названного второго процессора названной операции приема, названной операции восстановления, названной операции подтверждения подлинности и названной операции воздержания для второго передающего данные сообщения, чтобы получить вторую команду и второй восстановленный кодовый наполнитель, а названная операция повторения дополнительно включает в себя шаги выбора второго кодового наполнителя из названного хранящегося набора первых кодовых наполнителей с помощью названного второго процессора для получения второго выбранного кодового наполнителя, и подтверждения подлинности названного второго передающего данные сообщения с помощью названного второго процессора путем оценки названного второго восстановленного кодового наполнителя с использованием названного второго выбранного кодового наполнителя для обнаружения названного совпадения.
14. Способ по п.12, также отличающийся тем, что включает в себя операцию повторения названной операции приема, названной операции подтверждения подлинности и названной операции воздержания по командам из названного второго процессора для множества итераций, чтобы обнаружить названное совпадение для множества передающих данные сообщений, причем на каждой из названного множества итераций используют отличный кодовый наполнитель из названного сохраняющегося набора первых кодовых наполнителей для оценки с использованием названного восстановленного кодового наполнителя.
15. Способ по п.14, дополнительно отличающийся тем, что включает в себя операции повторения по командам из названного второго процессора названной операции генерирования и названной операции сохранения для генерирования, сохранения и передачи дополнительных наборов кодовых наполнителей, чтобы обеспечивалось достаточное наличие названных дополнительных наборов кодовых наполнителей для названного множества итераций.
16. Способ по п. 14, отличающийся тем, что названная система дополнительно содержит счетчик на названной ведомой станции и счетчик команд ведущей станции на названной ведущей станции, и дополнительно включающей операции, на которых сохраняют счет названных восстановленных команд, обнаруженных при выполнении названного множества итераций названной операции приема, названной операции восстановления, названной операции подтверждения подлинности и названной операции воздержания, причем названный счет сохраняют в названном счетчике, выбирают названные выбранные кодовые наполнители для использования в названном множестве итераций названной операции подтверждения подлинности в соответствии с названным счетом, и передают названный счет с помощью названного второго передатчика на названную ведущую станцию, чтобы названная ведущая станция могла сохранять синхронизацию названного счета в названном счетчике со счетом команд ведущей станции в названном счетчике команд ведущей станции.
17. Способ по п.16, дополнительно отличающийся тем, что включает в себя операцию регулировки названного счета каждый раз, когда на итерации названной операции подтверждения подлинности обнаруживают названное совпадение.
18. Способ по п.12, отличающийся тем, что названная операция передачи включает в себя шаг передачи названным вторым передатчиком каждой части названного первого набора кодовых наполнителей на названную ведущую станцию в процессе отличной одной из множества отдельных передач, причем каждая названная отличная одна из множества отдельных передач разнесена во времени на по существу случайные интервалы от другой отличной одной из множества отдельных передач.
19. Способ по п.11, отличающийся тем, что названная операция передачи включает в себя шаги шифрования названного кодового наполнителя названным вторым процессором с использованием шифрующего ключа для получения зашифрованного кодового наполнителя, и передачи названного зашифрованного кодового наполнителя названным вторым передатчиком.
20. Способ по п.19, дополнительно отличающийся тем, что содержит операцию приема с помощью названного второго приемника, передающего настроечные данные сообщения, передаваемого названным первым передатчиком, причем названное передающее настроечные данные сообщение включает в себя названный шифрующий ключ в форме, не требующей дешифрования, а названная операция приема осуществляется с помощью названного второго приемника до названного шага передачи.
21. Способ по п.20, отличающийся тем, что названный способ осуществляется околоземным летательным аппаратом, содержащим названную ведомую станцию, а названная ведущая станция содержит наземную управляющую станцию, сообщения которой включает в себя команды для названного околоземного летательного аппарата, при этом названный околоземный летательный аппарат может осуществлять связь с названной ведущей станцией либо через сеть связи, имеющую множество узлов, либо через прямую линию связи к названной ведущей станции, а названную операцию приема с помощью названного второго приемника выполняют так, что происходит прием названного дешифрующего кода только через названную прямую линия связи.
22. Способ по п.11, дополнительно отличающийся тем, что включает в себя операции проверки названной восстановленной команды названным вторым процессором для определения, является ли восстановленная команда критической командой, выполнения названной операции подтверждения подлинности и названной операции воздержания названным вторым процессором, если названная восстановленная команда является критической командой, и выполнения названной восстановленной команды названным вторым процессором, если названная восстановленная команда не является критической командой.
23. Способ по п.11, дополнительно отличающийся тем, что включает в себя операцию передачи названным вторым передатчиком сообщения о неподтверждении подлинности в названный первый приемник на названной ведущей станции, если на названной операции подтверждения подлинности не обнаруживается названное совпадение, чтобы можно было оповестить названную ведущую станцию о том, что названное передающее данные сообщение было принято с помощью названного второго приемника, но его подлинность не подтверждена.
24. Способ подтверждения подлинности команд, передаваемых между ведущим устройством и ведомым устройством, в системе, содержащей названное ведущее устройство и названное ведомое устройство, причем названное ведущее устройство включает в себя первый процессор, первый передатчик, первый приемник и первое запоминающее устройство, и при этом названное ведомое устройство включает в себя второй процессор, второй передатчик, второй приемник и второе запоминающее устройство, отличающийся тем, что включает в себя операции, на которых генерируют с помощью названного второго процессора в названном ведомом устройстве первый набор случайных кодовых наполнителей, сохраняют названный первый набор случайных кодовых наполнителей в названном втором запоминающем устройстве в названном ведомом устройстве, передают названный первый набор случайных кодовых наполнителей из названного ведомого устройства в названное ведущее устройство с помощью названного второго передатчика, принимают названный первый набор случайных кодовых наполнителей с помощью названного первого приемника в названном ведущем устройстве для получения второго набора случайных кодовых наполнителей, эквивалентного названному первому набору случайных кодовых наполнителей, сохраняют названный второй набор случайных кодовых наполнителей из названного сообщения в названном первом запоминающем устройстве, передают сообщение с помощью названного первого передатчика в названном ведущем устройстве в названное ведомое устройство, причем названное сообщение включает в себя команду и первый выбранный один из второго набора случайных кодовых наполнителей, принимают названное сообщение с помощью названного второго приемника в названном ведомом устройстве, восстанавливают кодовый наполнитель из названного сообщения с помощью названного второго процессора для получения восстановленного кодового наполнителя, оценивают названный восстановленный кодовый наполнитель с помощью названного второго процессора для обнаружения совпадения названного восстановленного кодового наполнителя и второго выбранного кодового наполнителя, эквивалентного названному первому выбранному кодовому наполнителю, и воздерживаются от выполнения названной команды с помощью названного второго процессора в названном ведомом устройстве, если на названной операции подтверждения подлинности не обнаруживают названное совпадение.
25. Способ по п.24, отличающийся тем, что названная операция генерирования включает в себя шаги передачи названным первым передатчиком передающего настроечные данные сообщения от названной ведущей станции на названную ведомую станцию до названной операции сохранения, причем названное передающее данные сообщение включает в себя шифрующий ключ в форме, не требующей дешифрования перед использованием названным вторым процессором на названной ведомой станции, и шифрования названным вторым процессором на названной ведомой станции названного первого набора случайных кодовых наполнителей для получения набора зашифрованных случайных кодовых наполнителей, причем на названной операции шифрования используют названный шифрующий ключ, названная операция передачи первого набора включает в себя шаг передачи названного набора зашифрованных случайных кодовых наполнителей с помощью названного второго передатчика, а названная операция приема названного первого набора включает в себя шаги приема названного набора зашифрованных случайных кодовых наполнителей с помощью названного первого приемника, и дешифрования с помощью названного первого процессора на названное ведущей станции названного набора зашифрованных случайных кодовых наполнителей для получения названного второго набора случайных кодовых наполнителей, при этом на названной операции дешифрования используют секретный дешифрующий ключ, соответствующий названному шифрующему ключу.
26. Способ по п.24, отличающийся тем, что названным ведомым устройством является околоземный летательный аппарат, а названным ведущим устройством является наземная управляющая станция, которая подает команды на названный околоземный летательный аппарат, названная наземная управляющая станция и названный околоземный летательный аппарат могут осуществлять связь друг с другом либо через сеть связи, имеющую множество узлов, либо через прямую линию связи, а на названной операции передачи с помощью названного первого передатчика выполняют передачу названного дешифрующего кода только через названную прямую линию связи.
27. Способ по п.24, отличающийся тем, что повторяют названную операцию передачи сообщения, названную операцию приема, названную операцию восстановления, названную операцию оценки и названную операцию воздержания для множества итераций, чтобы обнаружить названное совпадение для множества сообщений, причем на каждой из названных итераций используют отличный случайный кодовый наполнитель из названного второго набора случайных кодовых наполнителей в качестве названного первого выбранного.
28. Способ по п.24, отличающийся тем, что названная операция передачи названного первого набора включает в себя шаги передачи названным вторым передатчиком каждой части названного первого набора случайных кодовых наполнителей на названную ведущую станцию в процессе отличной одной из названного множества отдельных передач, и при этом каждая отличная одна из множества отдельных передач разнесена по времени от другой отличной одной из множества отдельных передач.

Патенты аналоги

Авторы

Патентообладатели

Заявители

СПК: G06F21/31 G06F21/74

Публикация: 1999-09-10

Дата подачи заявки: 1992-11-20

0
0
0
0
Невозможно загрузить содержимое всплывающей подсказки.
Поиск по товарам