Лекция 6. Защищенные ЛВСуСТС.
Защищенная сеть ГОСТ Р-5207-2003 (MILSTD 1553B). Физический уровень сети
Сеть создана для управления бортовой аппаратурой авиационно-космических изделий, имеющих в своем составе встроенные в бортовую аппаратуру (БА) ЦВМ. Стандарт сети утвержден впервые военным ведомством США в 1972 году под именем MILSTD 1553A. Стандарт получил широкое распространение во всем мире, и под этот стандарт произведены сотни тысяч образцов оборудования, соответствующих этому стандарту. Стандарт был утвержден в СССР в виде ГОСТ, а позже и в России. Последняя версия имеет наименование ГОСТ-Р-5207-2003.
Отличительная особенность стандарта – многоуровневые меры по защите предаваемой информации.
Рассматриваемая сеть имеет шинную топологию, к которой подключены абоненты – устройства интерфейса. Подключения абонентов возможны напрямую, а возможны на шлейфах (в отводах от шин) длинной до шести метров, что упрощает компоновку аппаратуры на объектах управления (спутниках, ракетах, самолетах). В последнем случае для согласования волновых сопротивлений шлейфов и линии передачи необходимо применение специальных согласующих устройств, описанных в стандарте. Среда передачи, предусмотренная стандартом – экранированная витая пара. Передача ведется фазоманипулированным кодом Манчестер II на частоте 1 МГц. Код Манчестер II нами рассмотрен ранее, является самосинхронизирующимся. На такой частоте передачи в линии имеют место волновые эффекты. С этим связаны ограничения на длину шлейфов и количество абонентов на линии – 32 (под адрес выделено 5 бит).
Централизованный метод доступа абонентов в сеть MILSTD1553B
На канальном уровне сети MILSTD1553B применен централизованный метод доступа абонентов в сеть. Один из абонентов сети объявлен центральным и называется контроллером сети. Остальные абоненты называются оконечными устройствами (ОУ) и играют подчиненную по отношению к контроллеру роль. ОУ постоянно слушают сеть, но не имеют права самостоятельно начать передачу до тех пор, пока не получат соответствующую команду от контроллера. Таким образом, обеспечивается разделение ресурсов общей шины между ОУ и контроллером. В каждый момент времени на линии может вести передачу только один абонент – контроллер либо Оу.
Передача каждым абонентом линии не может вестись сверх определенного времени, равного максимальной возможной длительности непрерывной передачи, вытекающей из формата сообщений. Это время равно 800 мксек и должно контролироваться специальным встроенным таймером, имеющимся в каждом ОУ и контроллере. Однако, не все производители оборудования придерживаются этого условия.
Передача команд и данных от контроллера к ОУ квитируется ОУ путем посылки им в ответ на полученную команду или данные «ответного слова» в контроллер. В ответном слове ОУ сообщает не только факт приема сообщения от контроллера, но и состояние абонента (его исправность или неисправность), а также состояние самого ОУ. Абонент формирует признаки своего состояния и засылает их в ОУ по своей внутренней логике, которая согласовывается дополнительно с разработчиком конкретной сети. Эта логика реализуется на прикладном уровне разработчиком ПО.
Отсутствие ответного слова в течение заданного времени рассматривается контроллером как нештатная ситуация. Порядок действий в этом случае стандартом не определен. Обычно контроллер повторяет передачу. Делает это также ПО прикладного уровня.
Типы и форматы сообщений сети MILSTD 1553B. Все сообщения, передаваемые в сети, имеют длину 20 бит и разделяются на три типа: командное слово, данные, ответное слово. В каждом двадцатибитном слове сообщений первые три бита – синхросигнал для вхождения в связь, а последний двадцатый бит – бит четности, для контроля целостности информации.
Командные слова передаются только контроллером. Здесь для ответного слова ОУ:
1. Бит четности
2. Бит «ошибка в сообщении»
3. Бит «признак ответного слова»
4. Бит «запрос на обслуживание»
5. Бит «групповая команда»
6. Бит «абонент занят и не может ответить»
7. Бит «абонент неисправен»
8. Бит «принято управление»
9. Бит «неисправное ОУ»
Кратко рассмотрим формат трех типов сообщений. Всего их шесть.
Кроме этих форматов существует формат группового сообщения, формат передачи данных от ОУ к ОУ, но только по команде котроллера и т.п.
Пауза t1 формируется ОУ после полученного сообщения и должна быть 4-12 мсек. Отсутствие ответного слова через t1>12 мсек воспринимается контроллером как неполучение ОУ направленного ему сообщения. Пауза t2 формируется контроллером и должна быть не менее 4 мсек.
Максимально число слов данных в сообщении равно 32.
Максимальное число ОУ на линии – 31 + с учетом адреса контроллера общее число адресов устройств интерфейса в сети = 32. Под Адрес выделено 5 бит информации (25=32).
Среди команд управления, число которых в стандарте задано 15 (остальные - резервные), имеется команда «переназначения котроллера» и команды к ОУ «дай ответное слово».
Если ОУ хочет по собственной инициативе начать передачу, то он этого сделать не может, но у него есть единственная возможность быть услышанным и в конце концов передать имеющееся у него сообщение. Для этого ОУ в ответном слове на команду «дай ответное слово» в 11 позиции должен установить в 1 – бит флага «запрос на обслуживание».
Получив в ответном слове эту информацию, контроллер по собственной логике, заложенной в его ПО может запросить информацию с ОУ командой запроса данных (формат 2). Таким образом, ОУ могут проявлять контролируемую инициативу по передаче данных в линию. Забота о периодическом опросе флагов ОУ «запрос на обслуживание» Лежит на контроллере, точнее на его ПО прикладного уровня, реализующем логику управления сетью.
Защита информации в сети MILSTD1553B
Разряд контроля четности во всех типах сообщений формируется таким образом, чтобы сумма всех 17 разрядов, несущих информацию, включая разряд контроля четности, была нечетной. Такой простой способ связан с тем, что он охватывает каждые 20 бит - очень короткие сообщения. На таких коротких сообщениях и на 1 МГц вероятность двойных и тройных сбоев очень мала. ОУ, контроллер и сама линия передачи информации дублированы – имеется канал А и канал В.
В каждый момент времени работает только один канал А или В. Переход на резервный канал осуществляется автоматически по логике, заложенной в ПО пользователя для контроллера, то есть на прикладном уровне. Возможны ситуации когда с одним ОУ ведется общение по каналу А, а с другим по каналу В.
Имеется защита от органического недостатка шинной топологии возможности атаки на доступность путем генерации в линию непрерывных сигналов одним из абонентов следствии отказа путем или по злому умыслу. Для этого в контроллере предусмотрена специальная команда блокировки генерящего. Если генерящий ОУ в канале А, то эта команда выдается по В, если генерящий в В, то команда выдается по А. Это стало возможным потому, что дублирование производится не пользователем, а является неотъемлемым свойством сети.
Кроме резервирования дублированием, наличия информационной обратной связи через ответное слово ОУ, наличия логического контроля правильности передачи по биту четности и содержимому контрольных битов в ответном слове, имеется также аппаратный контроль формы импульсов в среде передачи. Кроме того, сам фазоманипулированный код Манчестер II обладает повышенной помехозащищенностью.
Таким образом, в стандарте MILSTD1553B реализованы беспрецедентные меры по защите передаваемой в сети информации.
Описанная логика работы сети реализуется в наборе микросхем, имеющихся на рынке. Известный производитель - фирма DDC. Имеются отечественные производители плат, реализующих интерфейс M1LSTD1553B, которые могут быть подключены к ПК и другим ЦВМ.
Правила конструирования сети, заложенные в MILSTD1553B; обеспечивают отсутствие проблем при работе реальных сетей без проведения каких-либо дополнительных исследований или расчетов даже в наихудших из допущенных правилами сочетаний параметров и условий.
В случаях, когда рекомендации стандарта не могут быть выполнены по каким-либо причинам в конкретной конфигурации сети, могут быть проведен дополнительные исследования, в том числе и математическое моделирование этой конфигурации, которые во многих случаях, как показывает практика, могут допускать невыполнения указанных рекомендаций.
С точки зрения ИБ также имеются особенности работы MILSTD1553B., поскольку она внутрисистемная. Здесь существует опасность уже рассмотренных внутренних угроз.
Однако, есть примеры, когда в рамках международного сотрудничества на борту КА (Р-ДК, к примеру) устанавливается научная аппаратура иностранного производства («Памела») эта аппаратура подключена к сети и может записывать и обрабатывать все сообщения, циркулирующие по сети, что недопустимо. Имеется также возможность атаки на доступность путем непрерывной генерации си нала в линию, что ее парализует.
Поэтому в данном случае было принято простое решение о выделенной линии для аппаратуры Памела. Такую возможность системная ЦВМ изделия предоставляет, имея в своем составе два контроллера (резервированных) МКО.