Защищенная сеть ГОСТ Р-5207-2003 (MILSTD 1553B). Физический уровень сети

Сеть создана для управления бортовой аппаратурой авиационно-космических изделий, имеющих в своем составе встроенные в бортовую аппаратуру (БА) ЦВМ. Стандарт сети утвержден впервые военным ведомством США в 1972 году под именем MILSTD 1553A. Стандарт получил широкое распространение во всем мире, и под этот стандарт произведены сотни тысяч образцов оборудования, соответствующих этому стандарту. Стандарт был утвержден в СССР в виде ГОСТ, а позже и в России. Последняя версия имеет наименование ГОСТ-Р-5207-2003.

Отличительная особенность стандарта – многоуровневые меры по защите предаваемой информации.

Рассматриваемая сеть имеет шинную топологию, к которой подключены абоненты – устройства интерфейса. Подключения абонентов возможны напрямую, а возможны на шлейфах (в отводах от шин) длинной до шести метров, что упрощает компоновку аппаратуры на объектах управления (спутниках, ракетах, самолетах). В последнем случае для согласования волновых сопротивлений шлейфов и линии передачи необходимо применение специальных согласующих устройств, описанных в стандарте. Среда передачи, предусмотренная стандартом – экранированная витая пара. Передача ведется фазоманипулированным кодом Манчестер II на частоте 1 МГц. Код Манчестер II нами рассмотрен ранее, является самосинхронизирующимся. На такой частоте передачи в линии имеют место волновые эффекты. С этим связаны ограничения на длину шлейфов и количество абонентов на линии – 32 (под адрес выделено 5 бит).

 

Централизованный метод доступа абонентов в сеть MILSTD1553B

На канальном уровне сети MILSTD1553B применен централизованный метод доступа абонентов в сеть. Один из абонентов сети объявлен центральным и называется контроллером сети. Остальные абоненты называются оконечными устройствами (ОУ) и играют подчиненную по отношению к контроллеру роль. ОУ постоянно слушают сеть, но не имеют права самостоятельно начать передачу до тех пор, пока не получат соответствующую команду от контроллера. Таким образом, обеспечивается разделение ресурсов общей шины между ОУ и контроллером. В каждый момент времени на линии может вести передачу только один абонент – контроллер либо Оу.

Передача каждым абонентом линии не может вестись сверх определенного времени, равного максимальной возможной длительности непрерывной передачи, вытекающей из формата сообщений. Это время равно 800 мксек и должно контролироваться специальным встроенным таймером, имеющимся в каждом ОУ и контроллере. Однако, не все производители оборудования придерживаются этого условия.

Передача команд и данных от контроллера к ОУ квитируется ОУ путем посылки им в ответ на полученную команду или данные «ответного слова» в контроллер. В ответном слове ОУ сообщает не только факт приема сообщения от контроллера, но и состояние абонента (его исправность или неисправность), а также состояние самого ОУ. Абонент формирует признаки своего состояния и засылает их в ОУ по своей внутренней логике, которая согласовывается дополнительно с разработчиком конкретной сети. Эта логика реализуется на прикладном уровне разработчиком ПО.

Отсутствие ответного слова в течение заданного времени рассматривается контроллером как нештатная ситуация. Порядок действий в этом случае стандартом не определен. Обычно контроллер повторяет передачу. Делает это также ПО прикладного уровня.

Типы и форматы сообщений сети MILSTD 1553B. Все сообщения, передаваемые в сети, имеют длину 20 бит и разделяются на три типа: командное слово, данные, ответное слово. В каждом двадцатибитном слове сообщений первые три бита – синхросигнал для вхождения в связь, а последний двадцатый бит – бит четности, для контроля целостности информации.

 

 

Командные слова передаются только контроллером. Здесь для ответного слова ОУ:

1. Бит четности

2. Бит «ошибка в сообщении»

3. Бит «признак ответного слова»

4. Бит «запрос на обслуживание»

5. Бит «групповая команда»

6. Бит «абонент занят и не может ответить»

7. Бит «абонент неисправен»

8. Бит «принято управление»

9. Бит «неисправное ОУ»

 

Кратко рассмотрим формат трех типов сообщений. Всего их шесть.

Кроме этих форматов существует формат группового сообщения, формат передачи данных от ОУ к ОУ, но только по команде котроллера и т.п.

Пауза t1 формируется ОУ после полученного сообщения и должна быть 4-12 мсек. Отсутствие ответного слова через t1>12 мсек воспринимается контроллером как неполучение ОУ направленного ему сообщения. Пауза t2 формируется контроллером и должна быть не менее 4 мсек.

Максимально число слов данных в сообщении равно 32.

Максимальное число ОУ на линии – 31 + с учетом адреса контроллера общее число адресов устройств интерфейса в сети = 32. Под Адрес выделено 5 бит информации (25=32).

Среди команд управления, число которых в стандарте задано 15 (остальные - резервные), имеется команда «переназначения котроллера» и команды к ОУ «дай ответное слово».

Если ОУ хочет по собственной инициативе начать передачу, то он этого сделать не может, но у него есть единственная возможность быть услышанным и в конце концов передать имеющееся у него сообщение. Для этого ОУ в ответном слове на команду «дай ответное слово» в 11 позиции должен установить в 1 – бит флага «запрос на обслуживание».

Получив в ответном слове эту информацию, контроллер по собственной логике, заложенной в его ПО может запросить информацию с ОУ командой запроса данных (формат 2). Таким образом, ОУ могут проявлять контролируемую инициативу по передаче данных в линию. Забота о периодическом опросе флагов ОУ «запрос на обслуживание» Лежит на контроллере, точнее на его ПО прикладного уровня, реализующем логику управления сетью.

 

Защита информации в сети MILSTD1553B

Разряд контроля четности во всех типах сообщений формируется таким образом, чтобы сумма всех 17 разрядов, несущих информацию, включая разряд контроля четности, была нечетной. Такой простой способ связан с тем, что он охватывает каждые 20 бит - очень короткие сообщения. На таких коротких сообщениях и на 1 МГц вероятность двойных и тройных сбоев очень мала. ОУ, контроллер и сама линия передачи информации дублированы – имеется канал А и канал В.

В каждый момент времени работает только один канал А или В. Переход на резервный канал осуществляется автоматически по логике, заложенной в ПО пользователя для контроллера, то есть на прикладном уровне. Возможны ситуации когда с одним ОУ ведется общение по каналу А, а с другим по каналу В.

Имеется защита от органического недостатка шинной топологии возможности атаки на доступность путем генерации в линию непрерывных сигналов одним из абонентов следствии отказа путем или по злому умыслу. Для этого в контроллере предусмотрена специальная команда блокировки генерящего. Если генерящий ОУ в канале А, то эта команда выдается по В, если генерящий в В, то команда выдается по А. Это стало возможным потому, что дублирование производится не пользователем, а является неотъемлемым свойством сети.

Кроме резервирования дублированием, наличия информационной обратной связи через ответное слово ОУ, наличия логического контроля правильности передачи по биту четности и содержимому контрольных битов в ответном слове, имеется также аппаратный контроль формы импульсов в среде передачи. Кроме того, сам фазоманипулированный код Манчестер II обладает повышенной поме­хозащищенностью.

Таким образом, в стандарте MILSTD1553B реализованы беспрецедентные меры по защите передаваемой в сети информации.

Описанная логика работы сети реализуется в наборе микросхем, имеющихся на рынке. Известный производитель - фирма DDC. Имеются отечественные про­изводители плат, реализующих интерфейс M1LSTD1553B, которые могут быть подключены к ПК и другим ЦВМ.

Правила конструирования сети, заложенные в MILSTD1553B; обеспечивают отсутствие проблем при работе реальных сетей без проведения каких-либо дополнительных исследований или расчетов даже в наихудших из допущенных правилами сочетаний параметров и условий.

В случаях, когда рекомендации стандарта не могут быть выполнены по каким-либо причинам в конкретной конфигурации сети, могут быть проведен дополнительные исследования, в том числе и математическое моделирование этой конфигурации, которые во многих случаях, как показывает практика, могут допус­кать невыполнения указанных рекомендаций.

С точки зрения ИБ также имеются особенности работы MILSTD1553B., по­скольку она внутрисистемная. Здесь существует опасность уже рассмотренных внутренних угроз.

Однако, есть примеры, когда в рамках международного сотрудничества на борту КА (Р-ДК, к примеру) устанавливается научная аппаратура иностранного производства («Памела») эта аппаратура подключена к сети и может записывать и обрабатывать все сообщения, циркулирующие по сети, что недопустимо. Име­ется также возможность атаки на доступность путем непрерывной генерации си нала в линию, что ее парализует.

Поэтому в данном случае было принято простое решение о выделенной ли­нии для аппаратуры Памела. Такую возможность системная ЦВМ изделия предоставляет, имея в своем составе два контроллера (резервированных) МКО.

Сеть CAN-контроллерная местная сеть (Controller Area Network)

CAN (Controller area network) - название последовательного интерфейса, который был разработан компанией BOSCH - ведущим поставщиком автоэлектроники, в начале 90х годов, первоначально для использования в ав­томобильных приложениях. Сегодня на рынке можно найти более сотни реализаций протоколов CAN в нескольких модификациях (версиях) в виде отдельных микросхем или интерфейсов, интегрированных в оборудование, оснащенное мик­роконтроллерами.

Ныне CAN рассматривается как стандартный последовательный интерфейс - стандартная контроллерная сеть для распределенных систем управления в различных отраслях техники, в том числе в ав­томобильной, аэрокосмической, медицинской отраслях, а также в роботизированных промышленных установках. Рассматривается версия CAN2А

Массовое производство компонентов CAN десятками известных производителей тиражами в десятки миллионов штук сделала тех­нологию достаточно дешевой.

В качестве международного стандарта протокол CAN был при­знан в 1993г - ISO 11898.

Протокол отличается надежностью передачи, помехоустойчивостью и обладает следую­щими возможностями:

- Распределенный доступ абонентов в сеть с неразрушающим арбитражем,

- Обнаружение ошибочных ситуаций при передаче, когда ни один абонент правильного сообщения не принял, и информирование пере­датчика о них,

- Возможность подключения в сеть дополнительных абонентов без уточнения ПО существующих, из-за оригинальной системы адресации сообщений.

- Одно и тоже сообщение по CAN может быть принято несколькими абонентами ,настроенными на прием данного типа сообщений.

- Количество узлов на шине не ограничено логически, так как нет почтового адреса у абонента (ограничения только по электрической нагрузке).

Протокол CAN обеспечивает пользователю два коммуникационных сервиса: посылку сообщений (передача кадра данных) и запрос сообщения (удаленный запрос на передачу или remote transmission request , RTR).

Другие сервисы: сообщения об ошибках, повтор передачи после обнаружения ошибки и т.п. является для пользователя прозрачным, т.е. микросхемы CAN выполняют эти действия автоматически. В отличие от MILSTD1553В, где эти функции выполняются ПО прикладного уровня.

В CAN четко просматривается физиче­ский и канальный уровни семиуровневой OSI. Верхние уровни OSI объединены и программируются пользователем.

Физический уровень сети CAN.Топология сети CAN - шина. Подключение абонентов к линии передачи без шлейфов. Обычно физический уровень реализуется в виде трех проводов. Два сигнальных - экранированная витая пара, и один общий. Возможно использование неэкранированных параллельных проводов, однако при этом вероятность искажения кадров повышается в 50 раз.

Скорость передачи информации до 1 Мбит/с, при длине линии 50 - 60 м. С увеличением длины линии допустимая скорость передачи падает. При длине линии 1000 метров скорость передачи 50 - 60 кбит/с поэтому CAN допускает программирование скорости обмена от 10 кбит/с до 1 Мбит/с. Наилучшая помехозащищенность достигается при волновом сопротивлении линии 120 ом.

Возможна реализация физического уровня на оптоволокне, в радиоканале, в ИК канале. Синхронизация приемника и передатчика обеспечивается RZ кодированием бит, либо в случае NRZ кодирования небольшой длиной сообщений, перемежаемых периодически синхорсигналами.

Формат кадров сети CAN. Обмен информацией между узлами осуществляется кадрами переменного размера до 108 бит. При этом кадр начинается стартовым битом и идентификатором в 11 бит, длина поля данных может варьироваться от 0 до 8 байт. Сегмент контрольной суммы CRS занимает 15 бит.

Обращает на себя внимание само поле данных - не более 8 байт. Это обеспечивает малое время задержки при передаче (сообщение короткое) с одной стороны, а с другой стороны является достаточным для тех задач управления, которые решает сеть CAN. При необходимости передать по CAN длинного сообщения оно может быть фрагментировано на несколько коротких до 64 бит.

Общее количество CAN узлов в сети логически не ограничивается (нет адреса узла и соответственно нет поля для размещения адреса ограниченного размера и имеются только ограничения, связанные с числом нагрузок на электронику передатчиков. Для передатчиков одного из типов число узлов в сети может достигать значения 110.

Распределенный доступ абонентов в сети CAN. Арбитраж при возникновении столкновений сообщений

В отличии от сети MILSTD1553B, сеть CAN имеет не централизо­ванный, а распределенный доступ абонентов на шину, т.е. передача может быть инициирована любым узлом сети CAN при условии обнаружения им свободной шины. Поэтому после мониторинга шины передача может быть начата одновременно несколькими узлами сети, т.е. возможно возникновение столкновении сообщений - коллизий (как в Ethernet).

Каждый на­чавший передачу узел осуществляет мониторинг поля идентифика­тора и бита RTR, находящиеся в заголовке кадра, - поля арбитража. Идентификатор типа сообщения определяет одновременно его приоритет. Разрешение коллизий в сети осуществляется на базе трех основных положений.

1. Идентификатор типа сообщения передается в последовательности от старшего бита к младшему. Доминирующим уровнем сигнала в сети принят логический 0. Одновременная пе­редача по сети (столкновение) бита с доминирующим уровнем (лог.0) и рецессивным уровнем (лог.1) даетв результате уровень логического нуля т. е. логический 0 всегда побеждает. Столкновение бит одинакового логического уровня дает в результате сигнал на шине того же логического уровня.

2. Код идентификатора типа сообщения несет в себе информацию о приоритете сообщения. Чем меньше номер идентификатора сообщения т. е. больше нулей в старших битах идентификатора, тем более приоритетным является тип сообщения.

3. В процессе передачи «поля арбитража» - идентификатора + RTR каждый передатчик, ведущий передачу, проверяет текущий логический уровень на шине и сравнивает его с тем значением уровня, который он только что от­правил в шину и который он запоминает.

Как только одним из передающих узлов будет обна­ружено, что он передал лог.1, а на шине этот бит превратился в лог.0, он поймет, что его «перешибло» более приоритетное сообщение и ему надо уступать – сразу же прекращать свою передачу, так как его сооб­щение, во-первых, исказилось и во-вторых имеет меньший приоритет из двух сообщений, столкнувшихся на ЛПИ.

При этом узел, ведущий передачу более приоритетного сообщения, передачу не прекращает – ведь его сообщение не исказилось и доводит ее до конца. Именно поэтому такой метод арбитража мы назвали неразрушающим. В отличие от Ethernet, где тоже распределенный доступ, но при столкновении сообщений оба передающих узла прекращают передачу, так как оба сообщения искажаются. После этого проводится процедура «расшаркивания» и повторения попытки передачи. Все это снижает производительность сети Ethernet.

Таким образом, арбитраж при выходе на шину осуществ­ляется не по приоритету передающего узла, а по приоритету пере­дающегося сообщения, который заключен в его идентификаторе.

Рассмотрим коллизию узла1 и узла 2.

Узел 1 0 1 0 1 1 0 1 1 0 1 0 0 Это идентификатор+RTR

Узел 2 0 1 0 1 1 0 1 1 1 . . .Узел 2 прекратил передачу

На линии 0 1 0 1 1 0 1 1 0 1 0 0 Узел1 передает до конца

Таким образом, приоритетным в сети при столкновениях сообщений является сообщение с наименьшим номером. Чем больше нулей в старших разрядах иден­тификатора, тем выше приоритет сообщения.

После освобождения шины попытка передачи менее приори­тетного сообщения может быть повторена.

 

Обеспечение надежности передачи в сети CAN

В отличие от многих других коммуникационных технологий, ис­пользующих принцип подтверждения (квитирования) факта получе­ния узлом адресованного ему сообщения за требуемый интервал времени, в стандарте CAN подтверждения получения сообщения индивидуально каждым узлом отсутствуют, и передатчику сообщается:

появление кадра с ошиб­кой передачи, причем специальным сообщением об ошибке, факт, что хотя бы один узел сообщение при­нял.

Для этого используется упомянутый кадр сообщения об ошибке, а также бит подтверждения (в ASK поле) принятия сообщения. ASK поле - поле подтверждения передачи работает следующим образом. Передающий узел всегда посылает в этом поле рецессивный бит - логическую 1. Ес­ли приемник принял сообщение правильное (подтверждается кон­трольной суммой), то он успевает в рамках этой передачи сразу установить в это поле бит доминирующего уровня - логический 0, который по определению «перешибает» рецессивный уровень.

Передатчик читает значение этого бита прямо на линии в процессе передачи и понимает, что в случае наличия доминирующего бита (логического 0) в этом поле, хотя бы один узел принял сообщение правильно.

При этом возможно, что все узлы, настроенные на данный идентификатор сообщения, приняли его правильно, возможно, что не все. Передатчик этого по данному виду контроля не распознает. Но если хотя бы один принял правильно, то передатчик считает, что он сообщение передал и далее у него проблем нет, а проблемы у того, кто не смог принять сообщение, и «успокаивается».

Таким образом, философия линии более «эгоистична», чем, например, в 1553 В.

Получив информацию об ошибке, передающий узел повторяет передачу исходного сообщения. Таким образом, имеет место решающая обратная связь при передаче данных. Имеется еще один вид контроля правильности передачи. Если проверка передатчиком уровня сигнала на линии на совпадение с уровнем сигнала, который был направлен в линию на участке арбитража позволяет обнаружить коллизию, то вне участка арбитража и «аск» контроля эта проверка не прекращает передачу сообщения, но может обнаружить искажения при передаче. В этом случае передача должна быть повторена.

При появлении информации об ошибках переданное ошибочное сообщение уничтожается во всех узлах сети. Имеется счетчик пере­данных ошибочных сообщений. Переполнение счетчика является ос­нованием для запрета узлу передавать сообщения, которые не воспринимаются ни одним узлом сети.

Необходимость резервирования элементов и ЛПИ определяется разработчиком сети и осуществляется, при необходимости, вне рамок протокола CAN.

Адресация сообщений в CAN. В протоколе CAN отсутствует прямая адресация сообщений по уникальному адресу абонента.

Имеется идентификатор сообщения, который определяет при­оритет и тип информации сообщения. При передаче сообщение получают все абоненты и проверяют тип сообщения. Абонент берет в обработку только тот тип сообщения, идентификатор которого «зашит» у него в памяти. Каждый абонент может обрабатывать до 15ти типов сообщений.

Таким образом, в CAN имеется возможность одновременной передачи сообщений нескольким абонентам, в том числе синхро­сигналов для всех.

Кроме того новые узлы, добавленные в сеть, не меняют ПО существующих узлов, если они являются потребителями или производи­телями имеющихся в сети типов сообщений.

 

Вопросы для самопроверки

Физический уровень сети MILSTD 1553B

Централизованный метод доступа абонентов в сеть MILSTD1553B

Типы и форматы сообщений сети MILSTD 1553B

Защита информации в сети MILSTD1553B