Информационная защита каналов связи

Для повышения достоверности в каналах радиосвязи используется помехоустойчивое канальное кодирование сигнала, которое осуществляется путём введения в состав передаваемого сигнала достаточно большого объёма дополнительной (избыточной) информации. В радиоканалах канальное кодирование обычно реализуется в виде 3-х процедур:

– блочного кодирования;

– свёрточного кодирования;

– перемежения символов.

При блочном кодировании входная информация разбивается на блоки по k символов, которые преобразуются по определенному закону в n-символьные блоки, где n>k. Блочное кодирование предназначено, в основном, для обнаружения одиночных и групповых ошибок в канале связи и в определенных случаях для их исправления.

При свёрточном кодировании каждый символ входной информационной последовательности, состоящий из k бит, преобразуется в n-битовый символ выходной последовательности, причем n>k. Сверточное кодирование является мощным средством борьбы с одиночными ошибками, хотя и не обеспечивает их обнаружения.

При перемежении производится изменение порядка следования символов информационной последовательности таким образом, что стоящие рядом символы оказываются разделенными несколькими другими. Перемежение обеспечивает преобразование групповых ошибок, возникающих при замираниях в канале связи, в одиночные ошибки.

Протоколы сетей связи

Сетевым протоколом называется набор правил, позволяющий осуществлять соединение и обмен данными между двумя и более работающими в сети абонентскими терминалами (компьютеры, сотовые телефоны и т.д.).

Фактически разные протоколы зачастую описывают лишь разные стороны одного типа связи; взятые вместе, они образуют так называемый стек протоколов. Названия «протокол» и «стек протоколов» также указывают на программное обеспечение, которым реализуется протокол. В качестве примера рассмотрим протокол IP и протокол Х.25, использующийся в стандарте TETRA.

Протоколы IP

Internet Protocol или IP (англ. internet protocol – межсетевой протокол) – маршрутизируемый сетевой протокол, протокол сетевого уровня семейства («стека») TCP/IP.

Протокол IP (RFC 791) используется для негарантированной доставки данных, разделяемых на так называемые пакеты от одного узла сети к другому. Это означает, что на уровне этого протокола (третий уровень сетевой модели OSI) не даётся гарантий надёжной доставки пакета до адресата. В частности, пакеты могут прийти не в том порядке, в котором были отправлены, продублироваться (когда приходят две копии одного пакета; в реальности это бывает крайне редко), оказаться повреждёнными (обычно повреждённые пакеты уничтожаются) или не прибыть вовсе. Гарантию безошибочной доставки пакетов дают протоколы более высокого (транспортного уровня) сетевой модели OSI – например, TCP – которые используют IP в качестве транспорта.

В современной сети Интернет используется IP четвёртой версии, также известный как IPv4. В протоколе IP этой версии каждому узлу сети ставится в соответствие IP-адрес длиной 4 октета (4 байта). При этом компьютеры в подсетях объединяются общими начальными битами адреса. Количество этих бит, общее для данной подсети, называется маской подсети (ранее использовалось деление пространства адресов по классам – A, B, C; класс сети определялся диапазоном значений старшего октета и определял число адресуемых узлов в данной сети, сейчас используется бесклассовая адресация).

В настоящее время введена в эксплуатацию шестая версия протокола – IPv6, которая позволяет адресовать значительно большее количество узлов, чем IPv4. Эта версия отличается повышенной разрядностью адреса, встроенной возможностью шифрования и некоторыми другими особенностями. Переход с IPv4 на IPv6 связан с трудоёмкой работой операторов связи и производителей программного обеспечения и не может быть выполнен одномоментно. На середину 2010 года в Интернете присутствовало более 3000 сетей, работающих по протоколу IPv6. Для сравнения, на то же время в адресном пространстве IPv4 присутствовало более 320 тысяч сетей, но в IPv6 сети гораздо более крупные, нежели в IPv4.

IP-пакет – форматированный блок информации, передаваемый по вычислительной сети. Соединения вычислительных сетей, которые не поддерживают пакеты, такие как традиционные соединения типа «точка-точка» в телекоммуникациях, просто передают данные в виде последовательности байтов, символов или битов. При использовании пакетного форматирования сеть может передавать длинные сообщения более надежно и эффективно.

Формат IP-пакетов для IPv4 и IPv6 приведены на рисунках 9 и 10.

Рис. 9. Формат IP-пакетов для версии IPv4

На рисунке используются следующие обозначения:

Версия – для IPv4 значение поля должно быть равно 4.

Длина заголовка IP-пакета в 32-битных словах. Именно это поле указывает на начало блока данных в пакете. Минимальное корректное значение для этого поля равно 5.

Идентификатор – значение, назначаемое отправителем пакета и предназначенное для определения корректной последовательности фрагментов при сборке датаграммы. Для фрагментированного пакета все фрагменты имеют одинаковый идентификатор.

3 бита флагов. Первый бит должен быть всегда равен нулю, второй бит определяет возможность фрагментации пакета и третий бит показывает, не является ли этот пакет последним в цепочке пакетов.

Смещение фрагмента – значение, определяющее позицию фрагмента в потоке данных.

Протокол – идентификатор интернет-протокола следующего уровня

Полная длина IP-пакета (от версии до IP-адреса получателя) составляет 20 байт (октет) или 160 бит.

Рис. 10. Формат IP-пакетов для версии IPv6

На рисунке используются следующие обозначения:

Версия – для IPv6 значение поля должно быть равно 6.

Класс трафика – определяет приоритет трафика.

Метка потока – уникальное число, одинаковое для однородного потока пакетов.

Длина полезной нагрузки – длина данных (заголовок IP-пакета не учитывается).

Следующий заголовок – определяет следующий протокол.

Число переходов — максимальное число маршрутизаторов, которые может пройти пакет. При прохождении маршрутизатора это значение уменьшается на единицу и по достижении нуля пакет отбрасывается.

Протокол Х.25

В сетях на базе протокола Х.25 устанавливаются виртуальные соединения между терминальным оборудованием различных пользователей.

Режим виртуальных соединений характеризуется тем, что между терминалами абонентов сети не создается физическое соединение, а организуется виртуальный канал путем резервирования памяти во всех узлах сети, расположенных на пути от одного терминала к другому. При этом виртуальные каналы могут быть коммутируемыми (Switched Virtual Circuit, SVC), как в ТфОП, или постоянными (Permanent Virtual Circuit, PVC), аналогично выделенным или арендованным каналам.

В протоколе Х.25 задача сохранения целостности сообщения возлагается на сеть, что достигается путем помехоустойчивого кодирования, запросов и повторений пакетов между узлами сети.

Соединение между терминальным оборудованием и аппаратурой канала данных обеспечивают 3 нижних уровня модели взаимодействия открытых систем (OSI): физический (1), канальный (2) и сетевой (3).

Протокол, определяющий процедуру доступа на уровнях (1) и (2) называется процедурой доступа к звену. На уровне звена данных обмен между терминальным оборудованием и аппаратурой канала данных осуществляется на основе протокола HDLC (High-level Data Link Protocol) с помощью протокольных блоков, называемых кадрами.

Длина кадров может варьироваться, однако рекомендуемая длина выбирается в пределах 128-256 байтов. Функции терминального оборудования выполняются в терминале абонента, а функции аппаратуры канала данных обычно выполняются модемом. На рисунке 11 показана структура кадра одного из типов – информационного, предназначенного для транспортировки полезной нагрузки.

Рис. 11. Структура информационного кадра в протоколе Х.25

В состав информационного кадра входят служебные поля и поле полезной нагрузки. Служебные поля располагаются в начале и в конце каждого кадра. Отношение длин служебных полей к общей длине кадра называется информационной избыточностью.

Каждый кадр отделяется от другого с помощью флага. Затем идет двухбайтовый заголовок, содержащий байт адреса и байт управления. Адресный байт определяет, является ли кадр командой или откликом.

Адресная информация позволяет интерпретировать байт управления. Существуют 3 типа байтов управления:

– информационные (только команды), для кадров, переносящих полезную информацию;

– супервизорные (только команды), содержащие инструкции управления звеном данных;

– ненумерованные (команды/отклики), используемые для дополнительных функций управления.

Проверочная последовательность формируется в соответствии с правилами кодирования циклических кодов.

Поле полезной нагрузки имеется только в информационных кадрах. В этом поле располагаются данные поступающие с сетевого уровня.

Задача сетевого уровня состоит в передаче протокольных блоков, получивших название пакетов. Протокол Х.25 определяет более 20 типов пакетов, из которых только 3 типа пакетов предназначены для переноса полезной нагрузки. На рисунке 12 приведен пример пакета для транспортировки данных.

ИОФ – идентификатор общего формата;

ГНЛК – групповой номер логического канала;

НЛК – номер логического канала в группе;

Р(S), P(R) – номера принимаемого и передаваемого пакетов;

М – символ «Продолжение данных»

Рис. 12. Пример пакета для транспортировки данных в протоколе Х.25

При установлении в сети виртуального соединения или постоянного виртуального канала на стыке терминального оборудования и аппаратуры канала данных создается логический канал, которому присваивается групповой номер (ГНЛК), меньший или равный 15, и номер самого канала (НЛК), меньший или равный 255. Таким образом, теоретически в одном физическом канале можно организовать до 4095 логических каналов.

Номера ГНЛК и НЛК присваиваются виртуальному соединению в фазе его установления и сохраняются за ним в течение фаз обмена данными и завершения обмена.

Номера ГНЛК и НЛК служат идентификаторами логического канала Поле данных (полезной нагрузки) пакета содержит информационные данные, максимальный объем которых не превышает 1 кбайт.

Одним из главных достоинств протокола Х.25 является возможность подключения относительно большого числа терминалов к коммутатору путем разделения сетевых ресурсов на скоростях до десятка кбит/с.

Недостатками протокола Х.25 являются относительно невысокое быстродействие; относительно высокая вероятность появления ошибки ( ) и пакетная природа трафика, которая зачастую приводит к перегрузкам и задержкам в сети.

1.6. Адресация в IP-сетях

Для взаимодействия пользователей IP-сетей были разработаны принципы IP-адресации. Каждый абонентский терминал в сети TCP/IP имеет адреса трех уровней:

1) локальный адрес узла, определяемый технологией, с помощью которой построена отдельная сеть, в которую входит данный узел. Для узлов, входящих в локальные сети – это (Media Access Control) МАС-адрес сетевого адаптера или порта маршрутизатора, например, 11-А0-17-3D-BC-01. Эти адреса назначаются производителями оборудования и являются уникальными адресами, так как управляются централизовано. Для всех существующих технологий локальных сетей МАС-адрес имеет формат 6 байтов: старшие 3 байта - идентификатор фирмы производителя, а младшие 3 байта назначаются уникальным образом самим производителем. Для узлов, входящих в глобальные сети, такие как Х.25 или frame relay, локальный адрес назначается администратором глобальной сети.

2) IP-адрес, состоящий из 4 байт, например, 109.26.17.100. Этот адрес используется на сетевом уровне. Он назначается администратором во время конфигурирования компьютеров и маршрутизаторов. IP-адрес состоит из двух частей: номера сети и номера узла. Номер сети может быть выбран администратором произвольно, либо назначен по рекомендации специального подразделения Internet (Network Information Center, NIC), если сеть должна работать как составная часть Internet. Обычно провайдеры услуг Internet получают диапазоны адресов у подразделений NIC, а затем распределяют их между своими абонентами.

3) символьный идентификатор-имя, например, SERV1.IBM.COM. Этот адрес назначается администратором и состоит из нескольких частей, например, имени машины, имени организации, имени домена. Такой адрес, называемый также DNS-именем, используется на прикладном уровне, например, в протоколах FTP или telnet.

Номер узла в протоколе IP назначается независимо от локального адреса узла. Деление IP-адреса на поле номера сети и номера узла – гибкое, и граница между этими полями может устанавливаться весьма произвольно. Узел может входить в несколько IP-сетей. В этом случае узел должен иметь несколько IP-адресов, по числу сетевых связей. Таким образом, IP-адрес характеризует не отдельный абонентский терминал или маршрутизатор, а одно сетевое соединение.

IP-адрес имеет длину 4 байта и обычно записывается в виде четырех чисел, представляющих значения каждого байта в десятичной форме, и разделенных точками, например:

128.10.2.30 - традиционная десятичная форма представления адреса,

10000000 00001010 00000010 00011110 - двоичная форма представления этого же адреса.

На рисунке 13 показана структура IP-адреса.

Рис. 13. Структура IP-адресов классов A, B, C, D и E

Адрес состоит из двух логических частей – номера сети и номера узла в сети. Какая часть адреса относится к номеру сети, а какая к номеру узла, определяется значениями первых битов адреса:

– если адрес начинается с 0, то сеть относят к классу А, и номер сети занимает один байт, остальные 3 байта интерпретируются как номер узла в сети. Сети класса А имеют номера в диапазоне от 1 до 126. (Номер 0 не используется, а номер 127 зарезервирован для специальных целей, о чем будет сказано ниже.) В сетях класса А количество узлов должно быть больше 2¹⁶ , но не превышать 2²⁴.

– если первые два бита адреса равны 10, то сеть относится к классу В и является сетью средних размеров с числом узлов 2⁸ - 2¹⁶. В сетях класса В под адрес сети и под адрес узла отводится по 16 битов, то есть по 2 байта.

– если адрес начинается с последовательности 110, то это сеть класса С с числом узлов не больше 2⁸. Под адрес сети отводится 24 бита, а под адрес узла - 8 битов.

– если адрес начинается с последовательности 1110, то он является адресом класса D и обозначает особый, групповой адрес - multicast. Если в пакете в качестве адреса назначения указан адрес класса D, то такой пакет должны получить все узлы, которым присвоен данный адрес.

– если адрес начинается с последовательности 11110, то это адрес класса Е; он зарезервирован для будущих применений.

В таблице 2 приведены диапазоны номеров сетей, соответствующих каждому классу сетей.

Таблица 2