Способ криптографической защиты информации и комплекс программно-аппаратных средств для осуществления способа

Номер инновационного патента: 27358

Опубликовано: 16.09.2013

Автор: Попеня Вадим Яковлевич

Есть еще 2 страницы.

Смотреть все страницы или скачать PDF файл.

Формула / Реферат

Предлагаемое техническое решение относится к области криптографических способов защиты информации, и может быть использовано в системах связи, вычислительных и информационных системах для обеспечения криптографической защиты хранимой, обрабатываемой и передаваемой информации, представленной в двоичном виде.
В способе криптографической защиты информации, передаваемой по каналам связи, включающем преобразование исходного IP-пакета, полученного из локальной внутренней сети (ЛВС), с использованием симметричного алгоритма шифрования в режиме гаммирования с обратной связью, инкапсулирование его в транспортный протокол передачи данных (UDP-пакет) с заданными ключевыми параметрами источника и приемника (абоненты сети) для передачи по виртуальному туннелю с последующим обратным преобразованием (расшифрованием) полученного транспортного протокола для передачи данных (UDP-пакет) с присоединенным IP - адресом из установленного виртуального туннеля, и вычислением имитовставки под управлением действующих параметров этого виртуального туннеля, преобразование исходного IP-пакета путем шифрования всего IP-пакета на оконечных устройствах входа/выхода локальной внутренней сети (ЛВС) в частную сеть общего доступа, например, Интернет, задают посредством программирования.
Программирование производят, например, с использованием технологии ПЛИС (Программируемая логическая интегральная схема).
Для осуществления вышеуказанного способа криптографической защиты информации, передаваемой по каналам связи в локальных
1вычислительных сетях (ЛВС) или между отдельными персональными компьютерами (ПК), предлагается комплекс программно-аппаратных средств, включающий группу связанных между собой в единую сеть
функциональных модулей IP - шифраторы, центр генерации ключей (ЦГК), USB-токены, носители ключевой информации, персональные компьютеры (ПК). Каждый IP-шифратор конструктивно состоит из базового модуля, криптомодуля, модуля охраны, модуля интерфейсов, модуля USB-хоста, физического генератора последовательности случайных чисел (ГПСЧ), объединенных в одном корпусе.
2

Текст

Смотреть все

(51) 04 9/06 (2006.01) 04 9/18 (2006.01) КОМИТЕТ ПО ПРАВАМ ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТИ МИНИСТЕРСТВА ЮСТИЦИИ РЕСПУБЛИКИ КАЗАХСТАН ОПИСАНИЕ ИЗОБРЕТЕНИЯ К ИННОВАЦИОННОМУ ПАТЕНТУ присоединенным- адресом из установленного виртуального туннеля,и вычислением имитовставки под управлением действующих параметров этого виртуального туннеля,преобразование исходного -пакета путем шифрования всего -пакета на оконечных устройствах входа/выхода локальной внутренней сети (ЛВС) в частную сеть общего доступа,например,Интернет,задают посредством программирования. Программирование производят, например, с использованием технологии ПЛИС(Программируемая логическая интегральная схема). Для осуществления вышеуказанного способа криптографической защиты информации,передаваемой по каналам связи в локальных вычислительных сетях (ЛВС) или между отдельными персональными компьютерами (ПК),предлагается комплекс программно-аппаратных средств, включающий группу связанных между собой в единую сеть функциональных модулей- шифраторы, центр генерации ключей (ЦГК),-токены, носители ключевой информации,персональные компьютеры (ПК). Каждый шифратор конструктивно состоит из базового модуля, криптомодуля, модуля охраны, модуля интерфейсов, модуля -хоста, физического генератора последовательности случайных чисел(54) СПОСОБ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ И КОМПЛЕКС ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ ДЛЯ ОСУЩЕСТВЛЕНИЯ СПОСОБА(57) Предлагаемое техническое решение относится к области криптографических способов защиты информации, и может быть использовано в системах связи, вычислительных и информационных системах для обеспечения криптографической защиты хранимой,обрабатываемой и передаваемой информации, представленной в двоичном виде. В способе криптографической защиты информации, передаваемой по каналам связи,включающем преобразование исходного -пакета,полученного из локальной внутренней сети (ЛВС), с использованием симметричного алгоритма шифрования в режиме гаммирования с обратной связью, инкапсулирование его в транспортный протокол передачи данных (-пакет) с заданными ключевыми параметрами источника и приемника(абоненты сети) для передачи по виртуальному туннелю с последующим обратным преобразованием(расшифрованием) полученного транспортного протокола для передачи данных (-пакет) с Предлагаемое техническое решение относится к области криптографических способов защиты информации, и может быть использовано в системах связи,вычислительных и информационных системах для обеспечения криптографической защиты хранимой, обрабатываемой и передаваемой информации, представленной в двоичном виде. Известен способ симметричного шифрования на основе смешанной системы счисления (Патент 2429575, МПК 049/00, публ. 10.11.2010 г.). В заявленном способе используют секретный ключ,являющийся набором оснований смешанной системы счисления, для получения шифртекста сообщения путем нелинейного преобразования информации в смешанной системе счисления. Затем Отправитель передает шифртекст по незащищенному каналу Получателю, а Получатель,зная секретный ключ и шифртекст, вычисляет исходное сообщение. При этом секретный ключ передают Отправителю и Получателю по закрытому каналу перед началом сеанса связи. Известен (Патент 2295199, МПК 049/14,публ. 10.03.2007 г.). На передающей стороне направления связи формируют случайную последовательность в виде трех блоков Х 1, Х 2, Х 3 с длинами к 1, к 2, к 3 соответственно. Передают ее по каналу связи с ошибками на приемную сторону направления связи (1, 2, 3 - принятые блоки). Формируют блоки проверочных символов С 1 и С 2 для блоков 1 и Х 2. Формируют сообщение путем конкатенации блоков 1 и С 2. Формируют аутентификатордля полученного сообщения,используя АП-код и блок Х 3. Передают сообщение и аутентификаторпо каналу связи без ошибок на приемную сторону направления связи. На приемной стороне направления связи проверяют подлинность принятого сообщения, используя АП-код и блок 3. Выделяют блоки проверочных символов С 1 и С 2 из принятого сообщения. Из ранее принятых по каналу связи с ошибками блоков 1, 2 и блоков проверочных символов 1 и С 2 формируют декодированные блоки Формируют ключи шифрования/дешифрования на приемной и передающей сторонах направления связи путем хэширования блока 1 на передающей стороне направления связи и декодированного блока 1 на приемной стороне направления связи. Известно техническое решение,которое относится к системам и способам распределения ключа для защищенного обмена сообщениями(Патент 2425450, МПК 04 9/08, публ. 27.07.2011 г.). Электронное сообщение шифруют с использованием симметричного ключа,ассоциированного с доменом посылающего агента, а симметричный ключ шифруют с использованием открытого ключа шифрования, ассоциированного с одним другим доменом принимающего агента,который является предполагаемым получателем сообщения, для получения зашифрованной версии симметричного ключа,которая является дешифрируемой другим шлюзом связи с использованием открытого ключа проверки,извлекаемого другим шлюзом связи, и секретного 2 ключа, хранимого локально на другом домене,причем секретный ключ является секретным аналогом открытого ключа шифрования. Затем посредством шлюза связи от имени посылающего агента передают зашифрованную версию электронного сообщения принимающему агенту через другой шлюз связи. Известен способ криптографической защиты информации и устройство для его осуществления,содержащее блок преобразования исходных данных(Патент 2206182, МПК 04 9/06, 04 9/18,публ. 10.06.2003 г.). В известном решении шифратор преобразует исходное заполнение на ключе связи в зашифрованное заполнение, разрядный линейный регистр сдвига с обратной связью формирует поток промежуточной двоичной последовательности большого периода. Узел задержки формирует поток промежуточной двоичной последовательности большого периода,имеющей дискретную длину, коммутатор разделяет объем указанной последовательности на две части,одна из которых является промежуточным заполнением, а другая - промежуточным ключом. Блок выработки гаммы, в котором шифратор зашифровывает промежуточное заполнение с помощью блочного шифра на промежуточном ключе с получением блоков гаммы и затем узел сжатия преобразует блоки гаммы в сжатые блоки гаммы. Блок шифрования исходной информации посредством регистра преобразует исходную информацию с образованием блоков информации. Узел сжатия выполняет сжимающее преобразование с получением сжатых блоков информации, и сумматор зашифровывает исходную информацию наложением сжатых блоков гаммы на сжатые блоки информации с получением зашифрованной информации. Это техническое решение является наиболее близким к заявляемому. Задачей,стоящей перед предлагаемым техническим решением, является разработка способа криптографической защиты информации,передаваемой по каналам связи, и комплекса программно-аппаратных средств для осуществления способа криптографической защиты информации,направленных на расширение арсенала средств используемых для криптографической защиты информации, передаваемой по каналам связи. Поставленная задача решается за счет того, что в способе криптографической защиты информации,передаваемой по каналам связи, включающем преобразование исходного -пакета, полученного из локальной внутренней сети (ЛВС), с использованием симметричного алгоритма шифрования в режиме гаммирования с обратной связью, инкапсулирование его в транспортный протокол передачи данных (-пакет) с заданными ключевыми параметрами источника и приемника (абоненты сети) для передачи по виртуальному туннелю с последующим обратным преобразованием (расшифрованием) полученного транспортного протокола для передачи данных(-пакет) с присоединенным- адресом из установленного виртуального туннеля,и вычислением имитовставки под управлением действующих параметров этого виртуального туннеля, преобразование исходного -пакета путем шифрования всего -пакета на оконечных устройствах входа/выхода локальной внутренней сети (ЛВС) в частную сеть общего доступа,например,Интернет,задают посредством программирования. Программирование производят, например, с использованием технологии ПЛИС(Программируемая логическая интегральная схема). Ключевые параметры,включая базы долговременных ключей и сетевых настроек всей обслуживаемой сети с описанием каждого соединения, генерируют и хранят в зашифрованном виде без доступа извне, причем доступ к базе долговременных ключей и сетевым настройкам блокируют средствами ограничения доступа. При генерировании долговременных и сеансовых ключей используют случайную последовательность, созданную при помощи физических генераторов шума. При генерировании обмен сеансовыми ключами осуществляют при помощи Протокола согласования сеансового ключа(ПССК) и Протокола передачи данных (ППД),причем при обмене сеансовым ключом используют последовательность из базы долговременных ключей, соответствующую двум абонентам, и метку времени, получаемую с эталонного Сервера времени. Передачу ключевых параметров осуществляют через -порт шифратора с использованием носителей, в которых ключевая информация находится в шифрованном виде. При шифровании пакетов смену сеансовых ключей осуществляют автоматически с учетом предварительно установленных параметров для сеансового ключа либо временного параметра работы ключа, либо при превышении передаваемого объема информации на ключе. Для осуществления вышеуказанного способа криптографической защиты информации,передаваемой по каналам связи в локальных вычислительных сетях(ЛВС) или между отдельными персональными компьютерами (ПК),предлагается комплекс программно-аппаратных средств, включающий группу связанных между собой в единую сеть функциональных модулейшифраторы, центр генерации ключей (ЦГК), токены,носители ключевой информации,персональные компьютеры (ПК). Каждый -шифратор конструктивно состоит из базового модуля, криптомодуля, модуля охраны,модуля интерфейсов,модуля-хоста,физического генератора последовательности случайных чисел (ГПСЧ), объединенных в одном корпусе. Базовый модуль включает процессор,энергонезависимую память, программируемую логику (ПЛИС), блок индикации, кнопочные сенсоры управления и выполнен с обеспечением возможности администрирования по командам задаваемыми кнопочными сенсорами, взаимодействия модулей, управления виртуальными туннелями,обработки сетевых пакетов,тестирования физического источника шума,реализации посредством ПЛИС Алгоритма и функций межмодульных интерфейсов. Криптомодуль включает контроллер,энергонезависимую память и выполнен с обеспечением возможности защищенного хранения и управления ключами, паролями доступа к носителю, управления туннелями, обработки информации,полученной по протоколу согласования сеансового ключа (ПССК) и по протоколу . Модуль охраны включает контроллер,автономный источником питания,датчики раскрытия корпуса,кнопку экстренного уничтожения параметров Алгоритма, физический источник шума, датчик реального времени,генератором последовательности случайных чисел(ГПСЧ) и выполнен с обеспечением возможности сервиса значения текущего времени другими модулями, автономной охраны периметра корпуса-шифратора, генерации и защищенного хранения ключа шифрования ключей (КШК), экстренного уничтожения ключа шифрования ключей (КШК) по команде оператора или в случае несанкционированного доступа (НСД). Модуль интерфейсов включает два сетевых интерфейса и выполнен с обеспечением возможности поддержки автоопределения параметров соединения. Модуль-хоста выполнен с обеспечением возможности считывания конфигурации виртуальной частной сети и параметров Алгоритма из носителя данных. Генератор последовательности случайных чисел(ГПСЧ) выполнен на основе диода с повышенным коэффициентом шума и с обеспечением возможности сбора последовательности случайных чисел, которая соответствует длине сеансовых ключей связи. Центр генерации ключевой информации (ЦГК) включает АПК, подключенный к ПК специального носителя данных ЦГК и выполнен с обеспечением возможности формирования конфигурации виртуальной частной сети и генерации параметров Алгоритма, а также для загрузки этих данных на соответствующие носители параметров, причем конфигурацию виртуальной частной сети представляют параметры ее узлов, а именно, адреса доверенных серверов времени,параметры конфигурации сетевых интерфейсов и таблицы туннелей -шифраторов, которые используют в этих узлах.-токены включают носители данных Администратора сети, собственно носитель данных ЦГК, носители данных -шифраторов и выполнены с обеспечением возможности записи на них посредством ЦГК ключей Алгоритма и параметров конфигурации виртуальной частной сети. Предлагаемый способ криптографической защиты информации, передаваемой по каналам связи, и устройство для осуществления способа криптографической информации, передаваемой по 3 каналам связи, далее поясняяются описанием конкретных, не ограничивающих настоящее изобретение, примеров его осуществления и иллюстрируются графическими приложениями, на которых Фиг.1- представлена схема осуществления предлагаемого способа Фиг.2- представлена схема-шифратора. Комплекс программно - аппаратных средств для осуществления способа защиты информации,передаваемой по каналам связи в локальных вычислительных сетях(ЛВС) или между отдельными персональными компьютерами (ПК),включает связанные в единую сеть- шифраторы 1, центр генерации ключей (ЦГК) 2, -токены,носители ключевой информации 3, персональные компьютеры (ПК) 4. Конструктивно -шифратор 1 состоит из базового модуля 5, криптомодуля 6, модуля охраны 7, модуля интерфейсов 8, модуля -хоста 9,которые объединены в одном металлическом корпусе. Базовый модуль 5 имеет процессор,энергонезависимую память, программируемую логику (ПЛИС) 10, блок индикации, кнопочные сенсоры управления и должен выполнять следующие функции реализовать сервисы администрирования по командам, которые должны задаваться кнопочными сенсорами координировать взаимодействие модулей управлять виртуальными туннелями осуществлять обработку сетевых пакетов тестировать физический источник шума средствами ПЛИС 10 реализовывать Алгоритм и функции межмодульных интерфейсов, а именно алгоритм преобразования и вычисления/проверки имитовставки согласно ГОСТ 28147-89 для данных,которые будут передаваться активными на тот момент туннелям обеспечивать взаимодействие центрального процессора с интерфейсным модулем взаимодействие по последовательному интерфейсу других модулей между собой обеспечивать управление и обслуживание линий прерываний.-шифраторы 1 предназначены для прозрачной обработки по Алгоритму данных,которые передаются по протоколумежду локальными вычислительными сетями (ЛВС) или отдельными персональными компьютерами (ПК) 4,которые подключены к -шифратору 1 со стороны внутреннего интерфейса. Наряду с реализацией Алгоритма, -шифраторы 1 выполняют все необходимые функции для создания виртуальной частной сети в -сети общего пользования.- шифратор 1 при выполнении своих функций обеспечивает обработку и преобразование форматов трафика, который отвечает требованиям 791, с туннелированием (преобразованием) пакетов полностью,включая служебную информацию ( ) создание и поддержку виртуальных частных соединений (туннелей)уровня в сетях общего пользования аутентификацию с носителями данных, в том числе и с носителем данных Администратора сети и 4 синхронизацию необходимых параметров загрузку из носителя данных Администратора сети необходимых параметров конфигурации абонента виртуальной частной сети загрузку из персонального носителя данных -шифратора 1 параметров Алгоритма и ключей для данного абонента защищенное хранение параметров и ключей Алгоритма и параметров виртуальной частной сети возможность синхронизации реального времени с другими абонентами -сети по протоколус аутентификацией беспрерывную круглосуточную работу без вмешательства оператора индикацию состояния шифратора 1 управление работой -шифратора 1 путем инициирования соответствующих команд с помощью кнопочных сенсоров. Центр генерации ключей (ЦГК) 2 предназначен для формирования конфигурации виртуальной частной сети и генерации параметров Алгоритма, а также для загрузки этих данных на соответствующие носители параметров. Конфигурацию виртуальной частной сети представляют параметры ее узлов, а именно, адреса доверенных серверов времени,параметры конфигурации сетевых интерфейсов и таблицы туннелей -шифраторов 1, которые применяются в этих узлах. ЦГК 2 выполняется на базе отделенного ПК 11,который не должен иметь средств подключения к ЛВС или Интернету, и включает носители данных 12, подключаемые к ПК 11. Программное обеспечение этого ПК 11 должно включать антивирусные средства. При этом обеспечивает выполнение следующих функций инициализацию и программирование специального носителя 12 данных ЦГК регистрацию носителя данных Администратора сети, генерация для него параметров аутентификации и синхронизация с носителями данных -шифраторов 1 создание конфигурации виртуальной частной сети согласно заданной схеме связи, при этом, для каждого абонента сети формируются параметры конфигурации сетевых интерфейсов (-адрес внутреннего интерфейса соответствующего шифратора 1, -адрес внешнего интерфейса этого-шифратора 1, маска защищенной локальной сети,-адрес шлюза во внешней сети) адреса доверенных серверов времени таблицу туннелей,каждый из которых имеет следующие параметры период действия виртуального туннеля (сеанса),максимальный объем трафика, который может быть передан на протяжении одного сеанса, номер Порта, максимальный размер переданного пакетатуннеля, -Адрес удаленного -шифратора 1,-Адрес удаленной сети назначения, маска удаленной сети назначения,идентификатор удаленного абонента виртуальной частной сети загрузку параметров конфигурации абонента виртуальной частной сети на носитель данных Администратора сети регистрацию носителя данных, которое будет использоваться как носитель параметров Алгоритма некоторого абонента,генерация для него(персонификация) с соответствующим шифратором 1 генерацию параметров Алгоритма для всех абонентов виртуальной частной сети с помощью датчика случайных чисел носителя данных ЦГК 2. Для каждой пары абонентов генерируется парно-выборочный ключ соответствующей длины (256 бит) задание вручную параметров Алгоритма для двух выделенных абонентов виртуальной частной сети с целью верификации реализованного в них Алгоритма и криптопротокола загрузку в защищенном виде параметров Алгоритма для конкретного абонента на носитель данных, который синхронизирован с соответствующим -шифратором 1 хранение в защищенном виде базы данных с конфигурацией виртуальной частной сети и параметрами Алгоритма всех абонентов на носителе данных ЦГК 2. Носителями данных 12 являются -токены,которые предназначены для записи на них посредством ЦГК 2, ключей Алгоритма и параметров конфигурации виртуальной частной сети с целью их доставки соответствующим абонентам виртуальной частной сети. Абонентом(узлом) виртуальной частной сети выступает шифратор 1, к внутреннему интерфейсу которого будет подключена некоторая ЛВС или отдельный ПК 4, а в само изделие загружены параметры Алгоритма и параметры виртуальной частной сети этого узла.-токены 12 по своему функциональному назначению разделяются носитель данных 13 ЦГК 2 и носители данных 14 шифраторов 1. Носители данных -токены 12 обеспечивают защищенное хранение секретного параметра,импорт параметров аутентификации во время регистрации устройства в ЦГК 2 и синхронизацию этих параметров с -шифратором 1, импорт и долгосрочное хранение в защищенном виде конфигурации абонента виртуальной частной сети(параметров Алгоритма для него), экспорт в открытом виде конфигурации абонента виртуальной частной сети (параметров Алгоритма абонента) по соответствующей команде авторизованного шифратора 1. Под управлением действующих параметров виртуального туннеля Алгоритм осуществляет преобразование всего исходного-пакета,полученного из внутренней ЛВС, и инкапсулирует его в -пакет с заданными портами источника и приемника для передачи по виртуальному туннелю. Для-пакета,который получен из установленного виртуального туннеля, Алгоритм осуществляет обратное преобразование и вычисление имитовставки под управлением действующих параметров этого виртуального туннеля. Для обеспечения необходимого быстродействия Алгоритм должен быть реализован средствами программируемой логики (ПЛИС) 10. Для преобразования данных используется алгоритм ГОСТ 28147-89 (далее ГОСТ) в режиме гаммирования с обратной связью с вычислением имитовставки. Защита от несанкционированного доступа (НСД) обеспечивается следующим образом- при каждом включении питания -шифратора 1 осуществляется контроль целостности его программного обеспечения- в -шифраторе 1 реализована функция уничтожения параметров Алгоритма в случае вмешательства в конструкцию или работу этих аппаратов- защищенное хранение данных о конфигурациях абонента виртуальной частной сети и параметров Алгоритма абонента-шифраторах 1 обеспечивается отдельным криптомодулем 6,который осуществляет взаимно однозначное преобразование этих данных и параметров с помощью уникального ключа 12 защиты - ключа шифрования ключей (КШК). Ключ КШК генерируется и хранится в специальном модуле охраны 7 и не может быть прочитан извне, это ключ на котором зашифрованы все активы (ключи,пароли, настройки ) внутри носителей данных- защищенное хранение параметров Алгоритма в носителях данных обеспечивается с помощью транспортного ключа(ТК) абонента. ТК генерируется ЦГК 2 при загрузке в носитель данных параметров и ключей Алгоритма этого абонента- в -шифраторах 1 коммуникационные функции и функции работы с параметрами Алгоритма разделены, то есть выполняться разными модулями. Параметры Алгоритма, которые хранятся в отдельном криптомодуле 6, недоступны программному обеспечению, которое выполняет коммуникационные функции. Та часть параметров Алгоритма, которая необходима в каждый момент времени для его работы, непосредственно загружается криптомодулем 6 в программируемую логику (ПЛИС) 10, которая реализует Алгоритм.- модуль программируемой логики 10, который реализует Алгоритм,выполняет следующие внешние интерфейсные функции установка режима(шифрование/расшифрование,загрузка действующих параметров Алгоритма для виртуального туннеля) обработка пакета данных объемом до 2048 байт вычисление имитовставки данных последнего обработанного пакета. Конструктивное выполнение -шифратора 1 и логика его функционирования не предоставляет возможности для чтения извне ключа КШК и имеющегося программного обеспечения изделия, а также для загрузки и выполнению внешнего программного кода. При наступлении события НСД, загораются индикаторы Ошибка и Внимание,уничтожаются ключи и настройки, туннели не работают, сообщения не передаются, необходимо аппарат отключить и отправить его в сервис-центр с подробным описанием действий, приведших к НСД. В протоколе согласования сеансового ключа используется симметричная схема распределения параметров Алгоритма по принципу парновыборочной связи -каждый -шифратор 1 должен иметь необходимые параметры для установления виртуального туннеля со всеми абонентами,5 которые определены схемой связи. Протокол локального- шифратора 1 поддерживает динамическое формирование - адреса внешнего интерфейса при условии, что - адрес удаленного-шифратора 1 статический. При установлении виртуального туннеля между двумя абонентами виртуальной частной сети, на каждом из двух взаимодействующих между собой -шифраторов 1 формируется параметр таким образом, чтобы он был уникален для каждой стороны. При этом соответствующие абонентские-шифраторы 1 генерируют общие текущие параметры Алгоритма этого туннеля, в том числе сеансовый ключ, согласно направлению, которое определяется идентификаторами взаимодействующих устройств. Сеансовый ключ строится на основании парновыборочного ключа абонентов и случайных векторов инициатора и респондента, которыми обмениваются стороны. Срок действия текущих параметров Алгоритма для каждого виртуального туннеля определяется при формировании конфигурации виртуальной частной сети путем задания периода действия виртуального туннеля (сеанса) и максимального объема трафика, который может быть передан во время одного сеанса. После окончания срока действия текущих параметров Алгоритма, 14 генерируются их новые значения с помощью физического источника шума. Протокол согласования ключа ПССК обеспечивает формирования общего ключа на основе общего секрета(ключа симметричного алгоритма шифрования - ГОСТ 28147-89) двух сторон инициатора и респондента. В результате обмена сообщениями обе стороны имеют одинаковый сеансовый ключ. На сеансовом ключе осуществляется зашифрование и вычисление имитовставки в протоколе передачи данных (ППД). Протокол передачи данных (ППД) обеспечивает защищенную передачупакетов с подсчетом имитовставки по туннелю между двумя устройствами на общем сеансовом ключе,полученном в результате работы ПССК. Каждая из сторон, участвующая в передаче данных по туннелю отправляет противоположной стороне сообщение ППД. Программное обеспечение (ПО) базового модуля предоставляет следующие функциональные возможности -шифратору шифрование туннелей по методу гаммирование с обратной связью в соответствие ГОСТ 28147-89 поддержка сетевых протоколов маршрутизация во внутренней и внешней сетях предоставление сервисов ведение сетевого журнала. Для выполнения основной задачи -шифратору необходимо корректно взаимодействовать с сетевым оборудованием на различных уровнях семиуровневой моделистека протоколов Для построения сети связи на базе -шифратора 1 с расширенной топологией необходима поддержка маршрутизациипакетов, обрабатываемых устройством, во внутренней и внешней сети. ПО обеспечивает статическую маршрутизацию путем задания в настройках устройства записей в таблице маршрутизации внутреннего и внешнего сетевого интерфейса. ПО предоставляет другим модулям шифратора 1 ряд сервисов задание конфигурации сетевых интерфейсов инициализация и добавление записей в таблицы маршрутизации управление светодиодными индикаторами на передней панели-шифратора 1 передача данных попротоколу передача данных по протоколу согласования сеансового ключа разрешение или запрет на прием/передачу кадров . Криптомодуль 6 имеет контроллер,энергонезависимую память и реализовывает следующие функции защищенное хранения и работу с конфигурацией виртуальной частной сети и параметрами Алгоритма (для последних - выбор,изменение, уничтожение и т.п.) протокол формирования текущих параметров Алгоритма для каждого виртуального туннеля вычисление имитовставки, сервисов для получения физического шума предоставление сервиса другим модулям для работы с этими функциями. Программное обеспечение (ПО) предоставляет следующие функциональные возможности шифратору 1 защищенное хранение и управление ключами защищенное хранение и управление паролями доступа к-шифратором 1 управлением туннелями обработка информации,полученной по ПССК обработка информации,полученной по . Комплект ключей парно-выборочной связи,зашифрованный на транспортном ключе, после считывания с -носителя модулем -хоста загружается в криптомодуль 6. Криптомодуль 6 расшифровывает комплект, зашифровывает его снова на ключе КШК и записывает результат во-память. Таким образом, комплект ключей парно-выборочной связи находится внутри криптомодуля 6 в зашифрованном на ключе КШК(хранится в модуле охраны) виде, тем самым обеспечивается защищенное хранение комплекта. ПО криптомодуля 6 предоставляет функции,позволяющие получить доступ к конкретному ключу парно-выборочной связи из комплекта. Комплект ключей парно-выборочной связи имеет поле, в котором указана дата, по истечении которой комплект считается недействительным и уничтожается. ПО криптомодуля 6 позволяет ввести в -шифратор 1 очередной комплект, который будет храниться вместе с действующим. В этом случае, по истечении срока действия действующего очередной будет загружен автоматически. Ввод настроек сетевых интерфейсов, параметров туннелей и комплектов ключей парно-выборочной связи в -шифраторе 1 осуществляется через носитель, предварительно синхронизированные с(серийные номера -носителя и пароли доступа к защищенному хранилищу) хранятся на модуле хоста 9 -(серийные номера) и на криптомодуле 6 (пароли доступа). На криптомодуле 6 пароли доступа хранятся в зашифрованном на ключе шифрования ключей (КШК) виде. При подключении-носителя кразъему на передней панели и в случае, когда подключенный -носитель содержится в числе синхронизированных с данным-шифратора. -носитель запрашивает сервис ПО криптомодуля 6 для получения пароля доступа к защищенному хранилищу данного -носителя. Защищенная передача и данных через шифратор 1 возможна только лишь по активным туннелям. Активным туннель становиться после успешной работы ПССК, в результате которого вырабатывается общий сеансовый ключ между двумя -шифраторами на основе общего секрета ключа парно-выборочной связи данного направления. ПО криптомодуля 6 отслеживает количество 17 переданной информации по туннелю,время его существования и сравнивает с параметрами, заданными оператором. В случае,когда объем переданной информации или время превышает заданные оператором границы туннель становиться неактивным и автоматически запускается ПССК для данного туннеля. Передаваемые по туннелю данные шифруются на сеансовом ключе, который вырабатывается посредством ПССК. ПО криптомодуля 6 отвечает за обработку сообщений ПССК и выработку сеансового ключа. Для корректной работы защищенной сети на базе-шифратора 1 необходимо синхронизовать время на каждом из -шифраторов 1. Данное условие является обязательным для ПССК. Синхронизация времени между -шифраторами 1 и сетевым оборудованием осуществляется посредством протокола . ПО криптомодуля 6 отвечает за обработку сообщений данного протокола. Пользователь имеет возможность в настройкахзадать четыре сервера времени, находящихся во внутренней или внешней сети и указать требуется или нет аутентификация с каждым из них. Аутентификация основывается на общем секрете ключе парно-выборочной связи данного направления. Модуль охраны 7 построен на базе отдельного контроллера, оборудован собственным автономным источником питания, датчиками раскрытия корпуса,кнопкой экстренного уничтожения параметров Алгоритма,физическим источником шума,датчиком реального времени и предназначен для обеспечения автономной охраны периметра корпуса -шифратора 1 генерации и защищенного хранения КШК экстренного уничтожения КШК по команде оператора или в случае НСД сервиса значения текущего времени другими модулями. ПО модуля охраны 7 предоставляет следующие функциональные возможности -шифратору 1 хранение ключа шифрования ключей (далее 18 КШК) охрана периметра устройства физический генератор последовательности случайных чисел(далее - ГПСЧ) В модуле охраны 7 выделена часть оперативной памяти для хранения КШК. Доступ к ней, как на чтение, так и на запись, имеет только криптомодуль 6. Криптомодуль 6 записывает в память новое содержимое, когда необходимо создать новый КШК, он же считывает его каждый раз при включении модуля в электрическую сеть. Автономное батарейное питание модуля охраны 7 позволяет хранить содержимое КШК тогда, когда-шифратор 1 отключен от основного источника питания. Однако, в случае обнаружения состояния тревоги, модуль охраны 7 уничтожает содержимое КШК, не дожидаясь соответствующей команды от криптомодуля 6. Уничтожение КШК позволяет устранить эффекты, которые иначе можно было бы использовать для инженерного восстановления содержимого ячеек памяти эффект остаточного статического напряжения ячеек памяти и эффект влияния соседних ячеек памяти друг на друга. Модуль охраны 7 периодически анализирует состояние микродатчиков вскрытия корпуса и состояние кнопки Тревога. Если в процессе анализа обнаружен факт вскрытия корпуса шифратора 1, или если была нажата кнопка Тревога, то модуль охраны 7 уничтожает содержимое памяти, в котором хранится КШК. Автономное батарейное питание модуля охраны позволяет ему осуществлять функциональность охраны периметра, в том числе и тогда, когда шифратор 1 отключен от основного источника питания. Для обеспечения криптографической стойкости системы для многих операций, таких как создание сеансового ключа, необходим наджный генератор случайных чисел с хорошими статистическими характеристиками. Многие генераторы псевдослучайных чисел имеют отличные показания по степени повторяемости и статические характеристики, однако, для любого из них необходимо задать стартовый вектор. Стартовый вектор является очень уязвимым местом псевдослучайной последовательности, поскольку зачастую он может быть угадан или вычислен. Сложные системы, требующие повышенную стойкость ко взлому,принято оснащать физическими генераторами случайных чисел,обладающих статистическими характеристиками,близкими к характеристикам псевдослучайной последовательности, но при этом не имеющими уязвимостей стартового вектора. Таким компонентом оснащен -шифратор 1. Источником сигнала ГПСЧ является электронный компонент на основе специализированного диода с повышенным коэффициентом шума. Сигнал на диоде преобразуется в логическую форму при помощи компаратора с заданным уровнем опорного напряжения. Периодически,через заданный интервал времени значение таймера-счтчика исследуется. Младший бит этой величины принимается как очередной бит случайной 7 последовательности. Затем накопленное состояние таймера-счтчика сбрасывается, чтобы исключить программное влияние этого бита на последующие биты, и процесс продолжается снова. Сбор последовательности случайных чисел запускается по запросу криптомодуля 6 и останавливается тогда, когда полностью набрана одна порция длиной 256 бит - в соответствии с длиной сеансовых ключей связи. Модуль интерфейсов 8 включает два сетевых интерфейса (для подключения внешней сети и подключения внутренней ЛВС) и обеспечивает прием/передачу -кадров со скоростью 10/100 Мбит/с с поддержкой автоопределения параметров соединения. Модуль -хоста 9 обеспечивает считывание конфигурации виртуальной частной сети и параметров Алгоритма из носителя данных. Модуль 9 оборудован внешним блоком питания. На передней панели-шифратора 1 размещаются светодиоды индикации, кнопочные сенсоры и интерфейсный разъем модуля -хоста. Задняя панель содержит разъемы для подключения внутренней ЛВС и внешней сети и разъем электропитания. ПО модуля -хоста 9 предоставляет следующие функциональные возможности шифратора 1 работа сносителем интерфейс с оператором посредством кнопок на передней панели-шифратора 1 Для выполнения основной задачи в -шифратор 1 необходимо загрузить с-носителя следующую информацию настройки сетевых интерфейсов таблицу маршрутизации для каждого интерфейса список серверов времени,поддерживающих протокол таблицу туннелей ключи парно-выборочной связи. ПО модуля -хоста 9 включает драйвер-шифраторе записываются данная информации. Взаимодействие оператора с - шифратором 1 осуществляется посредством кнопок на передней панели. ПО модуля -хоста 9 обрабатывает события нажатия кнопок и осуществляет вызов тех или иных сервисов или операций. Результат операции по нажатия кнопки сообщается оператору звуковым сигналом (числом звуковых сигналов). ФОРМУЛА ИЗОБРЕТЕНИЯ 1. Способ криптографической защиты информации, передаваемой по каналам связи,включающий преобразование исходного-пакета,полученного из локальной внутренней сети, с использованием симметричного алгоритма шифрования в режиме гаммирования с обратной связью, инкапсулирование его в транспортный протокол для передачи данных ( -пакет) с заданными ключевыми параметрами источника и приемника (абоненты сети) для передачи по виртуальному туннелю с последующим обратным преобразованием (расшифрованием) полученного 8 транспортного протокола для передачи данных( -пакет) с присоединенным- адресом из установленного виртуального туннеля,и вычислением имитовставки под управлением действующих параметров этого виртуального туннеля, отличающийся тем, что преобразование исходного-пакета путем шифрования всегопакета на оконечных устройствах входа/выхода локальной внутренней сети в частную сеть общую доступа, задают посредством программирования. 2. Способ но п.1, отличающийся, тем, что программирование производят, с использованием технологии ПЛИС. 3. Способ по п.1, отличающийся тем, что ключевые параметры,включая базы долговременных ключей и сетевых настроек всей обслуживаемой сети с описанием каждогосоединения, генерируют и хранят в зашифрованном виде без доступа извне, причем доступ к базе долговременных ключей и сетевым настройкам блокируют средства ми ограничения доступа. 4. Способ по п.3, отличающийся тем, что при генерировании долговременных и сеансовых ключей используют случайную последовательность,созданную при помощи физических генераторов шума. 5. Способ по п.4, отличающийся тем, что при генерировании обмен сеансовыми ключами осуществляют при помощи Протокола согласования сеансового ключа и протокола передачи данных,причем при обмене сеансовым ключом используют последовательность из базы долговременных ключей, соответствующую двум абонентам, и метку времени, получаемую с эталонного сервера времени. 6. Способ по п.1, отличающийся тем, что передачу ключевых параметров осуществляют через- порт шифратора с использованиемносителей, в которых ключевая информация находится в шифрованном виде. 7. Способ по п. 1, отличающийся тем, что при шифровании пакетов смену сеансовых ключей осуществляют автоматически с учетом предварительно установленных параметров для сеансового ключа либо временного параметра работы ключа, либо при превышении передаваемого объема информации на ключе. 8. Комплекс программно-аппаратных средств для осуществления способа защиты информации,передаваемой по каналам связи в локальных вычислительных сетях или между отдельными персональными компьютерами, отличающийся тем,что он включает группу связанных между собой в единую сеть функциональных модулейшифраторы, центр генерации ключей, -токены,носители ключевой информации, персональные компьютеры. 9. Комплекс по п 8, отличающийся тем, что каждый-шифратор конструктивно состоит из базового модуля, криптомодуля, модуля охраны,модуля интерфейсов, модуля-хоста,физического генератора последовательности случайных чисел, объединенных в одном корпусе. 10. Комплекс по п.9, отличающийся тем, что базовый модуль включает процессор,энергонезависимую память, программируемую логическая интегральная схема, блок индикации,кнопочные сенсоры управления и выполнен с обеспечением возможности администрирования по командам задаваемыми кнопочными сенсорами,взаимодействия модулей, управления виртуальными туннелями,обработки сетевых пакетов,тестирования физического источника шума,реализации посредством программируемого логического интегрального схемаалгоритма и функций межмодульных интерфейсов. 11.Комплекс по п. 9,отличающийся тем, что криптомодуль включает контроллер,энергонезависимую память и выполнен с обеспечением возможности защищенного хранения и управления ключами, паролями доступа к носитслю, управления туннелями, обработки информации,полученной по протоколу согласования сеансового ключа и по протоколу. 12. Комплекс по п.9, отличающийся тем, что модуль охраны включает контроллер, автономный источником питания, датчики раскрытия корпуса,кнопку экстренного уничтожения параметров Алгоритма, физический источник шума, датчик реального времени,генератором последовательности случайных чисел и выполнен с обеспечением возможности сервиса значения текущею времени другими модулями, автономной охраны периметра корпуса-шифратора,генерации и защищенного хранения ключа шифрования ключей, экстренного уничтожения ключа шифрования ключей по команде оператора или в случае несанкционированного доступа. 13. Комплекс по п.9, отличающийся тем, что модуль интерфейсов включает два сетевых интерфейса и выполнен с обеспечением возможности поддержки автоопределения параметров соединения. 14. Комплекс по п.9, отличающийся тем, что модуль -хоста выполнен с обеспечением возможности считывания конфигурации виртуальной частной сети и параметров алгоритма из носителя данных. 15. Комплекс по п.9, отличающийся тем, что генератор последовательности случайных чисел выполнен на основе диода с повышенным коэффициентом шума и с обеспечением возможности сбора последовательности случайных чисел, которая соответствует длине сеансовых ключей связи. 16. Комплекс по п.8, отличающийся тем, что центр генерации ключевой информации (ЦГК) включает АПК, подключенный к ПК специального носителя данных ЦГК выполнен с обеспечением возможности формирования конфигурации виртуальной частной сети и генерации параметров алгоритма, а также для загрузки этих данных на соответствующие носители параметров, причем конфигурацию виртуальной частной сети представляют параметры ее узлов, а именно, адреса доверенных серверов времени,параметры конфигурации сетевых интерфейсов и таблицы туннелей-шифраторов, которые используют в этих узлах. 17. Комплекс по п.8, отличающийся тем, что-токены включают носители данных Администратора сети, собственно носитель данных ЦГК, носители данных -шифраторов и выполнены с обеспечением возможности записи на них посредством ЦГК ключей алгоритма и параметров конфигурации виртуальной частной сети.

МПК / Метки

МПК: H04L 9/06, H04L 9/18

Метки: осуществления, криптографической, средств, программно-аппаратных, информации, комплекс, способа, способ, защиты

Код ссылки

<a href="https://kzpatents.com/10-ip27358-sposob-kriptograficheskojj-zashhity-informacii-i-kompleks-programmno-apparatnyh-sredstv-dlya-osushhestvleniya-sposoba.html" rel="bookmark" title="База патентов Казахстана">Способ криптографической защиты информации и комплекс программно-аппаратных средств для осуществления способа</a>

Похожие патенты