СПОСОБ И СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ОРГАНИЗАЦИИ ИНФОРМАЦИОННОГО ОБМЕНА С КОСМИЧЕСКИМИ АППАРАТАМИ Российский патент 2023 года по МПК H04B7/185 H04L9/40 

Заявленное изобретение относится к области защиты информации в системах информационного обмена с космическими аппаратами (КА).

Из уровня техники известны способы и системы защиты информации, например, способ (см. RU2438941, опубл. 10.01.2021) (1) обеспечения управления полетами космических аппаратов, который применяется для создания информационно-вычислительного комплекса (ИВК) центра управления полетами (ЦУП) с использованием принципа унификации. По этому принципу, из состава секторов управления КА НСЭН выделяют некоторую общую часть аппаратно-программных средств (АПС) и методико-алгоритмического обеспечения. Данное обеспечение и АПС пригодны к использованию без ограничений при управлении полетами КА НСЭН практически любого типа. Выделяют в составе ИВК единый сегмент локальной вычислительной сети (ЛВС) путем интеграции специализированных ИВК секторов управления. Эту интеграцию, а также информационное взаимодействие между указанным сегментом ЛВС и АПС секторов управления обеспечивают коммуникационными средствами данного единого сегмента ЛВС. При этом АПС секторов управления обрабатывают специфическую информацию, свойственную каждому КА НСЭН. Выделение указанного единого сегмента ЛВС позволяет осуществлять обработку стандартной баллистической и телеметрической информации одновременно для всех управляемых КА НСЭН.

Способ (1) имеет следующие недостатки - требуется большое количество каналообразующей аппаратуры, которое является следствием следующих проблем:

- высокая стоимость космической системы в целом;

- высокие энергозатраты и массогабаритные характеристики бортовой аппаратуры (БА) КА;

- дополнительные задержки информации.

Наиболее близкими аналогами заявленного изобретения является способы управления космической системой связи (см. RU 2713293 С2, опубл. 16.05.2019) (2) и (см. RU 2690966 С2, опубл. 07.06.2019) (3). Способы (2) и (3) предлагают следующие принципы обмена информацией с КА:

1) применение универсальной земной станции (ЗС), обеспечивающей одновременно прием-передачу НИ и информацию управления (ИУ);

2) применение универсального бортового радиотехнического комплекса (БРТК) КА, обеспечивающего одновременно прием-передачу ЦИ и информацию управления (ИУ);

3) передача НИ и ИУ с применением стека протоколов TCP/IP в одной наземной ЛС и в одной спутниковой ЛС, но в разных виртуальных локальных сетях (VLAN);

4) применение CP с обработкой и маршрутизацией информации на борту, обеспечивающее интеграцию и дифференциализацию различных потоков информации.

Способы (2) и (3) имеют следующий недостаток - не обеспечивают защиту информации.

Техническим результатом заявленного изобретения является уменьшение количества бортовых и наземных СКЗИ и каналообразующей аппаратуры, что приводит к:

- уменьшению энергозатрат и массогабаритных характеристик БА КА;

- снижению задержки информации, вносимой СКЗИ;

- снижению стоимости космической системы в целом. Технический результат достигается за счет применения технологий:

- обеспечения сквозной передачи информации в закрытом виде между оконечными устройствами без снижения уровня криптостойкости;

- передача различных видов информации в едином потоке по единой физической проводной и беспроводной линии связи и соответственно, применение единой каналообразующей аппаратуры для обеспечения передачи различных видов информации.

Реализация отмеченных выше технологий осуществляется за счет применения следующего оборудования:

- маршрутизаторов, обеспечивающих интеграцию и дифференциализацию различных потоков информации;

- унификацированных бортовых и наземных СКЗИ, представляющих собой криптошлюзы (КШ), обеспечивающие раздельное шифрование и дешифрование различных видов информации.

Заявленное изобретение проиллюстрировано следующими чертежами:

Фиг. 1 - традиционная функциональная схема защиты информации при организации связи ЦУП и ЦУС с одним КА без применения CP;

Фиг. 2 - традиционная функциональная схема защиты информации при организации связи ЦУП и ЦУС с одним КА с применением CP;

Фиг. 3 - функциональная схема защиты информации при организации связи ЦУП/ЦУС с одним КА с применением одной ЗС (ЦУП/ЦУС-ЗС-КА);

Фиг. 4 - функциональная схема защиты информации при организации связи ЦУП/ЦУС с двумя КА с применением одной ЗС (ЦУП/ЦУС-ЗС-КА-1; КА-2);

Фиг. 5 - функциональная схема защиты информации при организации связи ЦУП/ЦУС с двумя КА с применением двух ЗС (ЦУП/ЦУС-ЗС-1-KA-1 и ЦУП/ЦУС-ЗС-2-КА-2);

Фиг. 6 - функциональная схема защиты информации при организации связи ЦУП/ЦУС с одним КА с применением одной ЗС и одного CP (ЦУП/ЦУС-ЗС-СР-КА);

Фиг.7 - функциональная схема защиты информации при организации связи ЦУП/ЦУС с двумя КА с применением одной ЗС и одного CP (ЦУП/ЦУС-ЗС-СР-КА-1; КА-2);

Фиг. 8 - функциональная схема защиты информации при организации связи ЦУП/ЦУС с двумя КА с применением одной ЗС и двух CP (ЦУП/ЦУС-ЗС-СР-1-КА; ЦУП/ЦУС-ЗС-СР-2-KA);

Фиг. 9 - функциональная схема защиты информации при организации связи ЦУП/ЦУС с одним КА с применением одной ЗС и двух CP, соединенных между собой МЛС, (ЦУП/ЦУС-ЗС-СР-1-СР-2-КА);

Фиг. 10 - функциональная схема защиты информации при организации связи ЦУП/ЦУС с двумя КА с применением двух ЗС и двух CP (ЦУП/ЦУС-ЗС-СР-1-СР-2-КА);

Фиг. 11 - алгоритм работы в прямом канале связи;

Фиг. 12 - алгоритм работы в обратном канале связи.

С целью упрощения на фигурах 1-10 изображено только сетевое оборудование и не изображено каналообразующее оборудование, а именно -антенные системы, приемники, передатчики, модуляторы и демодуляторы.

Позиции на фигурах 1-10 обозначают следующее:

1 - центр управления полетом / центр управления сетью космические аппаратами (ЦУП/ЦУС КА);

2 - центр управления полетом / центр управления сетью спутника-ретранслятора (ЦУП/ЦУС CP);

3 - центральный маршрутизатор ЦУП/ЦУС КА и ЦУП/ЦУС CP;

4 - автоматизированное рабочее место (АРМ) оператора управления космической платформы (КПл) КА;

5 - коммутатор Ethernet локальной вычислительно сети (ЛВС) управления КПл КА;

6 - криптошлюз (КШ) ЛВС управления КПл КА;

7 - АРМ оператора управления полезной нагрузки (ПН) КА;

8 - коммутатор Ethernet ЛВС управления ПН КА;

9 - КШ ЛВС управления ПН КА;

10 - АРМ оператора анализа целевой информации (НИ) КА;

11 - коммутатор Ethernet ЛВС анализа ЦИ КА;

12 - КШ ЛВС анализа НИ КА;

13 - АРМ оператора управления КПл CP;

14 - коммутатор Ethernet ЛВС управления КПл CP;

15 - КШ ЛВС управления КПл CP;

16 - АРМ оператора управления ПН CP;

17 - коммутатор Ethernet ЛВС управления ПН CP;

18 - КШ ЛВС управления ПН CP;

19 - АРМ оператора управления земной станции (ЗС);

20 - коммутатор Ethernet ЛВС управления ЗС;

21 - КШ ЛВС управления ЗС;

22 - АРМ администратора сети связи КА и ЗС;

23 - АРМ администратора сети связи CP и ЗС; 24 - ЗС-1;

25 - маршрутизатор ЗС-1;

26 - КШ ЛВС управления ЗС-1;

27 - компьютер управления (КУ) ЗС-1; 28 - СР-1;

29 - маршрутизатор СР-1;

30 - КШ ЛВС управления КПл СР-1;

31 - КУ работой КПл CP-1;

32 - КШ ЛВС управления ПН СР-1;

33 - КУ работой ПН СР-1; 34 - КА-1;

35 - маршрутизатор КА-1;

36 - КШ ЛВС управления КПл КА-1;

37 - КУ работой КПл КА-1;

38 - КШ ЛВС управления ПН КА-1;

39 - КУ работой ПН КА-1;

40 - КШ ЛВС ЦИ КА-1;

41 - КУ обработкой НИ КА-1;

42 - СР-2;

43 - маршрутизатор СР-2;

44 - КШ ЛВС управления КПл СР-2;

45 - КУ работой КПл СР-2;

46 - КШ ЛВС управления ПН СР-2;

47 - КУ работой ПН СР-2; 48 - ЗС-2;

49 - маршрутизатор ЗС-2;

50 - КШ ЛВС управления ЗС-1;

51 - компьютер управления (КУ) ЗС-1; 52 - КА-1;

53 - маршрутизатор КА-1;

54 - КШ ЛВС управления КПл КА-1;

55 - КУ работой КПл КА-1;

56 - КШ ЛВС управления ПН КА-1;

57 - КУ работой ПН КА-1; 58 - КШ ЛВС ЦИ КА-1;

59 - КУ обработкой НИ КА-1;

60 - АРМ администратора сети связи ЦУП-наземная командно-измерительная станция (НКИС);

61 - маршрутизатор ЦУП традиционной организации связи;

62 - НКИС традиционной организации связи;

63 - маршрутизатор НКИС традиционной организации связи;

64 - КШ НКИС традиционной организации связи;

65 - КУ НКИС традиционной организации связи;

66 - средство криптографической защиты информации (СКЗИ) НКИС традиционной организации связи;

67 - СКЗИ БА КИС КА традиционной организации связи;

68 - бортовой комплекс управления (БКУ) КА традиционной организации связи;

69 - телеметрическая система (ТМС) КПл КА традиционной организации связи;

70 - ЦУП КА традиционной организации связи;

71 - ЦУС КА традиционной организации связи;

72 - ЦУП CP традиционной организации связи;

73 - ЦУС CP традиционной организации связи;

74 - станция приема информации (СПИ) КА традиционной организации связи;

75 - СПИ CP традиционной организации связи;

76 - АРМ администратора сети связи ЦУС-СПИ традиционной организации связи;

77 - маршрутизатор ЦУС традиционной организации связи;

78 - маршрутизатор СПИ традиционной организации связи;

79 - КШ СПИ традиционной организации связи;

80 - КУ СПИ традиционной организации связи;

81 - СКЗИ СПИ традиционной организации связи;

82 - СКЗИ целевой аппаратуры (ЦА) КА традиционной организации

связи;

83 - ЦА КА традиционной организации связи;

84 - ТМС НА КА традиционной организации связи;

85 - бортовой радиотехнический комплекс (БРТК) командной радиолинии (КРЛ) КА традиционной организации связи;

86 - БРТК ЦИ КА традиционной организации связи.

Список сокращений на фигурах 1-12:

АЛС - абонентская ЛС - это ЛС между ЗС и КА или между CP и КА;

ВОЛС - волоконно-оптическая ЛС;

МЛС - межспутниковая ЛС - это ЛС между CP и CP;

РЧО - радиочастотное оборудование - тоже самое что и РТК;

РТК - радиотехнический комплекс;

ССПД - сеть связи и передачи данных;

ФЛС - фидерная ЛС - это ЛС между ЗС и СР.

Заявляемые способ и система защиты информации при осуществлении информационного обмена с КА обладает свойствами гибкости и универсальности, что позволяет эффективно организовать защиту информации при различных следующих вариантах организации связи.

Вариант №1. Организация связи ЦУП/ЦУС с одним КА с применением одной ЗС (ЦУП/ЦУС-ЗС-КА).

Функциональная схема защиты информации при организации связи ЦУП/ЦУС с одним КА с применением одной ЗС (ЦУП/ЦУС-ЗС-КА) изображена на фигуре 3.

Работа в прямом канале связи (ПК) - ЛС ЦУП/ЦУС-ЗС-КА.

Работа ЦУП/ЦУС.

ИУ космической платформой (КПл) КА формируется на автоматизированном рабочем месте (АРМ) 4 оператора управления КПл КА, представляющем собой компьютер, и через коммутатор Ethernet 5 локальной вычислительной сети (ЛВС, LAN) №1 совмещенного ЦУП/ЦУС 1 КА (далее по тексту - ЦУП/ЦУС 1), поступает на внутренний порт (LAN-порт) КШ 6, где IP-пакеты ИУ зашифровываются целиком вместе с заголовками сетевого уровня (L3). В качестве открытого заголовка зашифрованным IP-пакетам ИУ назначается IP-адрес получателя - IP-адрес внешнего порта (WAN-порта) бортового КШ 36 КА-1 34 и назначается IP-адрес отправителя информации - IP-адрес WAN-порта КШ 6 ЦУП/ЦУС 1. С WAN-порта КШ 6 ЦУП/ЦУС 1 зашифрованные IP-пакеты ИУ поступают на LAN-порт центрального маршрутизатора (ЦМ) 3 ЦУП/ЦУС КА и ЦУП/ЦУС CP (далее по тексту - ЦМ).

ИУ ПН КА формируется на АРМ 7 оператора управления ПН КА и через коммутатор Ethernet 8 LAN №2 ЦУП/ЦУС 1 КА, поступает на LAN-порт КШ 9, где IP-пакеты ИУ зашифровываются целиком вместе с заголовками L3. В качестве открытого заголовка зашифрованным IP-пакетам ИУ назначается IP-адрес получателя - IP-адрес WAN-порта бортового КШ 38 КА-1 34 и назначается IP-адрес отправителя информации - СПП Р-адрес WAN-порта КШ 9 ЦУП/ЦУС 1. С WAN-порта КШ 9 ЦУП/ЦУС 1 зашифрованные IP-пакеты ИУ поступают на LAN-порт ЦМ 3.

ИУ земной станцией КА формируется на АРМ 19 оператора управления ЗС и через коммутатор Ethernet 20 LAN №6 ЦУП/ЦУС 1 КА, поступает на LAN-порт КШ 21, где IP-пакеты ИУ зашифровываются целиком вместе с заголовками L3. В качестве открытого заголовка зашифрованным IP-пакетам ИУ назначается IP-адрес получателя - IP-адрес WAN-порта КШ 26 ЗС-1 24 и назначается IP-адрес отправителя информации - IP-адрес WAN-порта КШ 9 ЦУП/ЦУС 1. С WAN-порта КШ 21 ЦУП/ЦУС 1 зашифрованные IP-пакеты ИУ поступают на LAN-порт ЦМ 3.

Информация отрытого канала служебной связи (ОКСлС), служащая для проверки состояния наземных и спутниковых ЛС, а также - для удаленной первичной инсталляции наземных и бортовых маршрутизаторов, с АРМ 22 администратора сети связи КА и ЗС поступает на LAN-порт ЦМ 3.

В ЦМ 3 происходит интеграция всех потоков информации в единый поток IP-пакетов согласно приоритетов передачи информации. Наивысший приоритет имеют IP-пакеты ИУ КПл КА, затем - IP-пакеты ИУ ПН КА.

Работа ЗС.

С WAN-порта ЦМ 3 единый поток информации поступает по наземной ЛС на WAN-порт №1 маршрутизатора 25 ЗС-1 24, где происходит чтение IP-адреса получателя информации.

Если в заголовке IP-пакета в качестве адреса получателя указан IP-адрес маршрутизатора 25 ЗС-1 24, то это информация исходит от АРМ 22, предназначена этому устройству и служит для первичной инсталляции маршрутизатора 25 и для проверки канала связи с ним.

Если в заголовке IP-пакета в качестве адреса получателя указан IP-адрес КШ 26 ЗС-1 24, то это информация исходит от АРМ 19 и служит для управления работой ЗС-1. ИУ работой ЗС с LAN-порта маршрутизатора 25 поступает на WAN-порт КШ 26, где происходит дешифровка IP-пакетов и становиться видным IP-адрес получателя в закрытом сегменте сети. Затем ИУ работой ЗС-1 24 в открытом виде поступает на компьютер управления (КУ) 27 ЗС-1 24.

Если в заголовке IP-пакета в качестве адреса получателя указан IP-адрес бортового маршрутизатора (БМ) 35 КА-1 34, то это информация исходит от АРМ 22, предназначена этому устройству и служит для первичной инсталляции БМ 35 КА-1 и для проверки канала связи с ним. Если КА-1 в настоящий момент времени находиться в зоне радиовидимости (ЗРВ) ЗС-1, то ЗС-1 устанавливает связь с КА-1 и ИУ ОКСлС в едином потоке с другой информацией, предназначенной для КА-1, поступает на каналообразующее оборудование (радиотехнический комплекс, РТК) ЗС-1, где происходят преобразования, необходимые для излучения информации в спутниковой радиолинии (СРЛ): кодирование, модуляция, усиление и фильтрация.

Если в заголовке IP-пакета в качестве адреса получателя указан IP-адрес БКШ 36 КА-1 34, то это ИУ КПл и исходит от АРМ 4. Если КА-1 в настоящий момент времени находится в зоне радиовидимости (ЗРВ) ЗС-1, то ЗС-1 устанавливает связь с КА-1 и ИУ ПН в едином потоке с другой информацией, предназначенной для КА-1, поступает на РТК ЗС-1, где происходят преобразования, необходимые для излучения информации в СРЛ.

Если в заголовке IP-пакета в качестве адреса получателя указан IP-адрес БКШ 38 КА-1 34, то это ИУ ПН и исходит от АРМ 7. Если КА-1 в настоящий момент времени находится в зоне радиовидимости (ЗРВ) ЗС-1, то ЗС-1 устанавливает связь с КА-1 и ИУ ПН в едином потоке с другой информацией, предназначенной для КА-1, поступает на РТК ЗС-1, где происходят преобразования, необходимые для излучения информации в СРЛ.

Таким образом, в маршрутизаторе 25 ЗС-1 24 происходит интеграция всех потоков информации в единый поток IP-пакетов согласно приоритетов передачи информации, который передается для преобразования в РТК. БРТК принимает единый поток IP-пакетов, преобразует его и передает на WAN-порт БМ 35, осуществляющего его дальнейшую маршрутизацию, согласно IP-адресов получателя.

Работа БА КА.

БРТК КА-1 34 принимает ИУ ОКСлС, КПл и ПН в едином потоке информации, осуществляет все необходимые обратные преобразования, необходимые после приема из СРЛ: усиление и фильтрацию, демодуляцию и декодирование. С выхода БРТК информация поступает на WAN-порт БМ 35 КА-1 34, который по IP-адресу получателя определяет какому устройству предназначаются что IP-пакеты.

ИУ КПл с LAN-порта БМ 35 поступает на WAN-порт БКШ 36, где происходит дешифровка IP-пакетов и становится видным IP-адрес получателя в закрытом сегменте сети. Затем ИУ КПл в открытом виде поступает на БКУ 37 работой КПл КА-1 34.

ИУ ПН с LAN-порта БМ 35 поступает на WAN-порт БКШ 38, где происходит дешифровка IP-пакетов и становится видным IP-адрес получателя в закрытом сегменте сети. Затем ИУ ПН в открытом виде поступает на БКУ 39 работой ПН КА-1 34.

Работа в обратном канале связи (ОК) - ЛС КА-ЗС-ЦУП/ЦУС.

Работа БА КА.

IP-пакеты ИУ КПл от БКУ 37 адресуются АРМ 4 ПУП/ЦУС 1 и поэтому в их заголовке указывается в качестве IP-адреса получателя - IP-адрес АРМ 4, в качестве IP-адреса отправителя - IP-адрес БКУ 37. ИУ КПл от БКУ 37 поступает на LAN-порт БКШ 36 КА-1 34, где IP-пакеты зашифровываются целиком вместе с заголовками L3. В качестве открытого заголовка зашифрованным IP-пакетам ИУ КПл назначается IP-адрес получателя - IP-адрес WAN-порта КШ 6 ЦУП/ЦУС 1 и назначается IP-адрес отправителя информации - IP-адрес WAN-порта о БКШ 36 КА-1 34. С WAN-порта БКШ 36 зашифрованные IP-пакеты поступают на LAN-порт БМ 35, где происходит их интеграция с другими IP-пакетами и приоритизация согласно назначенных приоритетов.

IP-пакеты ИУ ГШ от БКУ 39 адресуются АРМ 7 ЦУП/ЦУС 1 и поэтому в их заголовке указывается в качестве IP-адреса получателя - IP-адрес АРМ 7, в качестве IP-адреса отправителя - IP-адрес БКУ 39. ИУ ПН от БКУ 39 поступает на LAN-порт БКШ 38 КА-1 34, где IP-пакеты зашифровываются целиком вместе с заголовками L3. В качестве открытого заголовка зашифрованным IP-пакетам ИУ ПН назначается IP-адрес получателя - IP-адрес WAN-порта КШ 8 ЦУП/ЦУС 1 и назначается IP-адрес отправителя информации - IP-адрес WAN-порта о БКШ 38 КА-1 34. С WAN-порта БКШ 36 зашифрованные IP-пакеты поступают на LAN-порт БМ 35, где происходит их интеграция с другими IP-пакетами и приоритизация согласно назначенных приоритетов.

IP-пакеты ЦИ от БКУ 41 адресуются АРМ 10 ЦУП/ЦУС 1 и поэтому в их заголовке указывается в качестве -адреса получателя - IP-адрес АРМ 10, в качестве IP-адреса отправителя - IP-адрес БКУ 41. ЦИ от БКУ 41 поступает на LAN-порт БКШ 40 КА-1 34, где IP-пакеты зашифровываются целиком вместе с заголовками L3. В качестве открытого заголовка зашифрованным IP-пакетам ЦИ назначается IP-адрес получателя - IP-адрес WAN-порта КШ 11 ЦУП/ЦУС 1 и назначается IP-адрес отправителя информации - IP-адрес WAN-порта БКШ 40 КА-1 34. С WAN-порта БКШ 40 зашифрованные IP-пакеты поступают на LAN-порт БМ 35, где происходит их интеграция с другими IP-пакетами и приоритизация согласно назначенных приоритетов.

С WAN-порта БМ 35 ИУ КПл в едином потоке информации поступает на БРТК, где происходят преобразования, необходимые для излучения информации в СРЛ.

Работа ЗС.

РТК ЗС-1 24 принимает в едином потоке информацию от КА-1 34, осуществляет все необходимые обратные преобразования, необходимые после приема из СРЛ. С выхода РТК информация поступает на WAN-порт №2 маршрутизатора 25 ЗС-1 24, который по IP-адресу получателя определяет, что IP-пакеты предназначаются ЦУП/ЦУС 1. С WAN-порта №2 информация направляется на WAN-порт №1 этого же маршрутизатора 25, где происходит ее интеграция в единый поток информации с ИУ ЗС-1 24.

Работа ЦУП/ЦУС.

По наземным ЛС единый поток информации от ЗС-1 24 поступает на WAN-порт ЦМ 3, где происходит чтение адресов получателей. После чего ИУ КПл с LAN-порта ЦМ 3 поступает на WAN-порт КШ 6, где происходит ее дешифровка и далее IP-пакеты в открытом виде через коммутатор 5 поступают на АРМ 4 ЦУП/ЦУС 1. ИУ ПН с LAN-порта ЦМ 3 поступает на WAN-порт КШ 9, где происходит ее дешифровка и далее IP-пакеты в открытом виде через коммутатор 8 поступают на АРМ 7 ЦУП/ЦУС 1. ЦИ с LAN-порта ЦМ 3 поступает на WAN-порт КШ 12, где происходит ее дешифровка и далее IP-пакеты в открытом виде через коммутатор 11 поступает на АРМ 10 ЦУП/ЦУС 1.

В представленной системе информационного обмена с КА ЦУП/ЦУС выступает в роли органа управления, а ЗС и КА выступают в роли объекта управления.

Таким образом, организуются виртуальные ЛВС (Virtual LAN, VLAN) для каждого вида трафика, где оконечные однотипные устройства КУ ЦУП/ЦУС и БКУ всех КА находятся в одной ЛВС, разделенной закрытым каналом связи, состоящим из наземных и спутниковых линий связи, где ЗС - выполняет функции ретрансляции, маршрутизаторы - объединяют и разделяют потоки информации, а КШ - закрывают канал связи между оконечными устройствами.

Организуемые VLAN при организации информационного обмена с КА без применения CP:

VLAN-0-ОКСлС ЗС и КА;

VLAN-1 - ЛВС управления КПл КА;

VLAN-2 - ЛВС управления ПН КА;

VLAN-3 - ЛВС анализа ЦИ;

VLAN-6 - ЛВС управления ЗС;

Вариант №2. Организация связи ЦУП/ЦУС с двумя КА одновременно с применением одной ЗС.

Функциональная схема защиты информации при организации связи ЦУП/ЦУС с двумя КА с применением одной ЗС (ЦУП/ЦУС-ЗС-КА-1; КА-2) изображена на фигуре 4.

Отличие данного варианта заключается в следующем:

1) ЗС связывается не с одним КА, а сразу с двумя. В данном случае предполагается, что ЗС должна быть многоагентной, т.е. может связываться одновременно с несколькими КА - от двух и более КА в зависимости от технических возможностей ЗС и от потребности, что особенно актуально при управлении многоспутниковыми орбитальными группировками (ОГ) КА.

2) АРМ управления работой КПл КА формирует ИУ сразу для двух и более КА. В качестве АРМ управления работой КПл КА может выступать не один, а несколько КУ. Аналогичным образом работают АРМ управления работой ПН КА и АРМ анализа ЦИ.

3) Маршрутизатор ЗС выделяет из единого потока информации сразу по два и более однотипных видов информации, маршрутизирует их на соответствующие комплекты РТК, установившие связь с этими КА.

4) В одной однотипной VLAN находятся сразу два и более абонентских БКУ.

Вариант №3. Организация связи ЦУП/ЦУС с двумя КА одновременно с применением двух ЗС.

Функциональная схема защиты информации при организации связи ЦУП/ЦУС с двумя КА с применением двух ЗС (ЦУП/ЦУС-ЗС-1-KA-1 и ЦУП/ЦУС-ЗС-2-КА-2) изображена на фигуре 5.

Отличие данного варианта заключается в следующем:

1) ЦУП/ЦУС 1 связывается не с одной ЗС, а сразу с двумя и более ЗС. В данном случае предполагается, что ЦУП/ЦУС 1 должен быть многоагентным, т.е. может связываться одновременно с несколькими ЗС - в зависимости от потребности в обеспечении глобальности и оперативности в установлении связи с КА, что особенно актуально при управлении многоспутниковыми ОГ КА.

2) АРМ управления работой ЗС формирует ИУ сразу для двух и более ЗС, а АРМ управления работой КПл КА формирует ИУ сразу для двух и более КА. Аналогичным образом работают АРМ управления работой ПН КА и АРМ анализа ЦИ. В качестве АРМ управления работой может выступать не один, а несколько КУ.

3) В одной однотипной VLAN находятся сразу два и более абонентских БКУ КА и КУ ЗС.

Вариант №4. Организация связи ЦУП/ЦУС с одним КА с применением одной ЗС и одного СР.

Функциональная схема защиты информации при организации связи ЦУП/ЦУС с одним КА с применением одной ЗС и одного CP (ЦУП/ЦУС-ЗС-СР-КА) изображена на фигуре 6.

Отличие данного варианта заключается в следующем:

1) ЗС связывается не с КА, а со CP, находящимся в ее ЗРВ и который в системе связи с КА, также, как и ЗС, выполняет функции ретранслятора. В данном случае предполагается, что ЗС должна быть многофункциональной и многоагентной, т.е. может связываться как с КА, так и с CP, причем может одновременно работать с несколькими CP и несколькими КА, что особенно актуально при управлении многоспутниковыми ОГ КА.

2) В организации связи дополнительно участвует ЦУП/ЦУС CP и поэтому дополнительно организуются следующие виртуальные ЛВС:

VLAN-4 - ЛВС управления КПл CP;

VLAN-5 - ЛВС управления ПН CP;

VLAN-7 - ОКСлС CP и ЗС.

3) БМ CP выделяет из общего единого потока информации ИУ КПл CP и ИУ ПН CP и маршрутизирует эти IP-пакеты на соответствующие - БКШ ЛВС управления КПл CP и БКШ ЛВС управления ПН СР. VLAN-7 служит для проверки линии связи ЦУП/ЦУС 2 с ЗС и CP и первичной инсталляции маршрутизаторов этой ЛС.

Вариант №5. Организация связи ЦУП/ЦУС с двумя КА с применением одной ЗС и одного СР.

Функциональная схема защиты информации при организации связи ЦУП/ЦУС с двумя КА с применением одной ЗС и одного CP (ЦУП/ЦУС-ЗС-СР-КА-1; КА-2) изображена на фигуре 7.

АРМ управления работой соответствующих БКУ и КУ работает аналогично вариантам №2-4.

Отличие данного варианта заключается в следующем:

1) CP в данном случае должен быть многоагентным, т.е. обеспечивать связь с двумя и более КА, в зависимости от технических возможностей CP и от потребностей, что особенно актуально при управлении многоспутниковыми ОГ КА.

3) БМ CP выделяет из единого потока информации сразу по два и более однотипных видов информации, маршрутизирует их на соответствующие комплекты БРТК, установившие связь с этими КА.

Вариант №6. Организация связи ЦУП/ЦУС с двумя КА с применением одной ЗС и двух СР.

Функциональная схема защиты информации при организации связи ЦУП/ЦУС с двумя КА с применением одной ЗС и двух CP (ЦУП/ЦУС-ЗС-СР-1-КА; ЦУП/ЦУС-ЗС-СР-2-KA) изображена на фигуре 8.

АРМ управления работой соответствующих БКУ CP, БКУ КА и КУ ЗС работает аналогично варианту №4.

Отличие данного варианта заключается в следующем:

1) ЗС в данном случае должна быть многоагентной, т.е. обеспечивать связь с двумя и более CP, в зависимости от технических возможностей ЗС и от потребностей, что особенно актуально при управлении многоспутниковыми ОГ КА.

2) Маршрутизатор ЗС выделяет из единого потока информации сразу по два и более однотипных видов информации, маршрутизирует их на соответствующие комплекты РТК, установившие связь с этими СР.

Вариант №7. Организация связи ЦУП/ЦУС с двумя КА с применением одной ЗС и двух CP, соединенных между собой МЛС.

Функциональная схема защиты информации при организации связи ЦУП/ЦУС с одним КА с применением одной ЗС и двух CP, соединенных между собой МЛС, (ЦУП/ЦУС-ЗС-СР-1-СР-2-КА) изображена на фигуре 9.

АРМ управления работой соответствующих БКУ CP, БКУ КА и КУ ЗС работает аналогично вариантам №4-6.

Отличие данного варианта заключается в следующем:

1) Если CP, установивший связь с КА, не находится в ЗРВ ЗС, то при наличии межспутниковой линии связи (МЛС) между CP можно ретранслировать информацию на КА через два и более СР.

2) CP, установивший связь с ЗС ретранслирует на CP, установивший связь с КА:

- информацию управления КПл КА;

- информацию управления ПН КА;

- целевую информацию от КА;

- информацию ОКСлС КА;

- информацию управления КПл CP;

- информацию управления ПН СР.

- информацию ОКСлС СР.

Вариант №8. Организация связи ЦУП/ЦУС с двумя КА с применением одной ЗС и двух СР.

Функциональная схема защиты информации при организации связи ЦУП/ЦУС с двумя КА с применением двух ЗС и двух CP (ЦУП/ЦУС-ЗС-1-СР-1; ЦУП/ЦУС-ЗС-2-СР-2-КА) изображена на фигуре 10.

АРМ управления работой соответствующих БКУ CP, БКУ КА и КУ ЗС работает аналогично вариантам №4-6.

Отличие данного варианта заключается в следующем:

1) ЦМ 3 маршрутизирует соответствующую ИУ различных КА сразу на две и более ЗС по двум и более наземным ЛС.

Предложенный подход в различных выше рассмотренных вариантах к организации защиты информации в системе информационного обмена с КА обладает следующими преимуществами по сравнению с традиционной организацией защиты информации:

1) обладает гибкостью и много вариантностью построения сети связи, где в качестве межспутниковых линий связи могут применяться как радиолинии так и оптические линии связи;

2) обеспечивает дифференциальный подход к защите информации различного вида;

3) не требует значительного увеличения аппаратно-программных комплексов СКЗИ.

Изобретение относится к области защиты информации в системах информационного обмена с космическими аппаратами (КА). Техническим результатом является обеспечение защиты информации при организации информационного обмена с космическими аппаратами. В способе организуются виртуальные локальные вычислительные сети для каждого вида трафика, и при этом все виды трафика передаются в едином потоке без снижения уровня криптостойкости, где оконечные однотипные устройства находятся в одной локальной вычислительной сети, разделенной закрытым каналом связи, при этом информационный обмен с космическим аппаратом без применения спутника ретранслятора организуют посредством виртуальных локальных компьютерных сетей: отрытого канала служебной связи; закрытой локальной вычислительной сети управления космической платформы космического корабля; закрытой локальной вычислительной сети управления полезной нагрузкой космического аппарата; закрытой локальной вычислительной сети передачи целевой информации, закрытой локальной вычислительной сети управления земной станцией; информационный обмен с космическим аппаратом с применения спутника ретранслятора дополнительно организуют посредством виртуальных локальных компьютерных сетей: закрытой локальной вычислительной сети управления космической платформы спутника-ретранслятора; закрытой локальной вычислительной сети управления полезной нагрузкой спутника-ретранслятора; локальной вычислительной сети отрытого канала служебной связи спутника-ретранслятора и земной станции. 2 н.п. ф-лы, 12 ил.

1. Способ защиты информации при организации информационного обмена с космическими аппаратами, включающий передачу информации от центра управления полетом космического аппарата и центра управления сетью к по меньшей мере одной земной станции, на по меньшей мере один космический аппарат непосредственно или через по меньшей мере один спутник-ретранслятор и обратно, отличающийся тем, что организуются виртуальные локальные вычислительные сети для каждого вида трафика, и при этом все виды трафика передаются в едином потоке без снижения уровня криптостойкости, где оконечные однотипные устройства: центр управления полетом, центр управления сетью космического аппарата и бортовой комплекс управления и целевая аппаратура всех космических аппаратов находятся в одной локальной вычислительной сети, разделенной закрытым каналом связи, состоящим из наземных и спутниковых линий связи, где земная станция выполняет функции ретрансляции, маршрутизаторы объединяют и разделяют потоки информации, а криптошлюзы закрывают канал связи между оконечными устройствами, при этом информационный обмен с космическим аппаратом без применения спутника ретранслятора организуют посредством виртуальных локальных компьютерных сетей: отрытого канала служебной связи; закрытой локальной вычислительной сети управления космической платформы космического корабля; закрытой локальной вычислительной сети управления полезной нагрузкой космического аппарата; закрытой локальной вычислительной сети передачи целевой информации, закрытой локальной вычислительной сети управления земной станцией; информационный обмен с космическим аппаратом с применения спутника ретранслятора дополнительно организуют посредством виртуальных локальных компьютерных сетей: закрытой локальной вычислительной сети управления космической платформы спутника-ретранслятора; закрытой локальной вычислительной сети управления полезной нагрузкой спутника-ретранслятора; локальной вычислительной сети отрытого канала служебной связи спутника-ретранслятора и земной станции.

2. Система защиты информации при организации информационного обмена с космическими аппаратами, содержащая сетевое оборудование центра управления полетом космического аппарата и центра управления сетью, сетевое оборудование по меньшей мере одной земной станции, сетевое оборудование по меньшей мере одного космического аппарата и/или сетевое оборудование по меньшей мере одного спутника-ретранслятора, отличающаяся тем, что включает виртуальные локальные вычислительные сети для каждого вида трафика, где оконечные однотипные устройства: центр управления полетом, центр управления сетью космического аппарата и бортовой комплекс управления всех космических аппаратов находятся в одной локальной вычислительной сети, разделенной закрытым каналом связи, состоящим из наземных и спутниковых линий связи, где земная станция выполняет функции ретрансляции, маршрутизаторы обеспечивают объединение и разделение потоков информации, а криптошлюзы обеспечивают закрытие канала связи между оконечными устройствами; а также виртуальные локальные компьютерные сети: отрытого канала служебной связи и космического аппарата; локальной вычислительной сети управления космической платформы космического корабля; локальной вычислительной сети управления полезной нагрузкой космического аппарата; локальной вычислительной сети управления земной станцией, которые обеспечивают информационный обмен с космическим аппаратом без применения спутника ретранслятора; и виртуальные локальные компьютерные сети: локальной вычислительной сети управления космической платформы спутника-ретранслятора; локальной вычислительной сети управления полезной нагрузкой спутника-ретранслятора; локальной вычислительной сети управления полезной нагрузкой отрытого канала служебной связи спутника-ретранслятора и земной станции, которые обеспечивают информационный обмен с космическим аппаратом с применения спутника ретранслятора.