Устройство криптографической защиты информации, передаваемой по сетям связи Российский патент 2020 года по МПК H04L9/06 H04L9/32 H04L29/04 

Изобретение относится к области связи и вычислительной технике и может быть использовано в устройствах передачи данных.

Известно устройство передачи данных с сохранением и защитой информации (см. описание полезной модели RU №158591, МПК Н04М 3/487).

Известно также устройство защиты данных с переводом (см. патент RU №2631983, МПК G06F 21/60).

К недостаткам данных устройств относится низкий уровень защиты информации от несанкционированного доступа.

Наиболее близким аналогом, т.е. прототипом, является устройство, описанное в патенте RU №2164038, МПК G06F 12/14, H04L 9/32, и содержащее информационно-управляющую систему с топологией «звезда», оперирующее информацией конфиденциального характера. Устройство содержит i абонентских модулей и центральный модуль аутентификации, причем в состав абонентского модуля введены блок хранения ключей, блок персональных данных и блок шифрования, а центральный модуль имеет второй блок шифрования. Недостатком известного устройства являются низкий уровень защиты информации, передаваемой через телекоммуникационную сеть.

Техническим результатом изобретения является повышение уровня защиты информации и возможность передачи секретной информации по открытым каналам связи.

УКЗИ обеспечивает двойное шифрование, передаваемой информации, на канальном и абонентском (представительском) уровне с помощью симметричных ключей парной связи, уникальных для каждого сеанса взаимодействия.

Сущность предлагаемого устройства заключается в том, что устройство криптографической защиты информации, передаваемой по сетям связи, содержащее i абонентских модулей, где i=1÷N, и один центральный модуль передачи данных (ЦМ), при этом каждый из абонентских модулей (AM) содержит последовательно соединенные двойными линиями связи блок ввода-вывода, интерфейс с тремя входами-выходами, процессор с 8-ю входами-выходами, блок памяти с 4-мя, приемо-передатчик с 4-мя входами-выходами, где второй вход-выход интерфейса AM соединен двойной линией связи с блоком формирования пакетов, вход-выход которого соединен с 1-м входом-выходом блока абонентского шифрования, а 2-й, 3-й, 4-й, 5-й, 6-й, 7-й и 8-й вход-выход процессора соответственно соединены двойными линиями связи с блок абонентского шифрования, с блоком канального шифрования, с приемо-передатчиком, с блоком абонентского шифрования, с блоком канального дешифрования и с носителем информации, а 2-й, 3-й и 4-й вход-выход приемо-передатчика AM соответственно соединены двойными линиями связи с блоком канального шифрования, с блоком канального дешифрования и с телекоммуникационной сетью связи, причем ЦМ устройства имеет блок управления с 7-ю входами-выходами, которые двойными линиями связи соответственно соединены с интерфейсом управления, с интерфейсом управления информационной безопасностью, с блоком памяти ключей шифрования, с блоком аутентификации абонентов, 2-й вход-выход которого соединен двойной линий связи с блоком памяти адресов абонентов, а 5-й, 6-й и 7-й входы-выходы блока управления соответственно соединены с сервером абонентского шифрования, блоком памяти ЦМ и сервером канального шифрования, а 1-й вход-выход блока управления двойными линиями связи соединен с интерфейсом управления, а интерфейс управления информационной безопасностью двойными линиями связи соединен с блоком управления ключами шифрования, и приемопередатчик ЦМ с 4-мя входами-выходами последовательно соединен двойными линиями связи с телекоммуникационной сетью связи, с сервером канального шифрования, блоком канального шифрования, с блоком канального дешифрования, сервер же канального шифрования соединен последовательно с блоком памяти ЦМ, с сервером абонентского шифрования, входы-выходы которого соответственно соединены двойными линиями связи с блоком абонентского шифрования ЦМ, блоком абонентского дешифрования ЦМ и блоком формирования пакетов ЦМ.

Техническая реализация устройства осуществляется на элементной базе компьютерной техники с помощью промышленных аппаратно-программных средств.

На фиг. 1 представлена функциональная схема заявленного устройства криптографической защиты информации, передаваемой по сетям связи, где каждый абонентский модуль устройства содержит:

- блок ввода-вывода - 1,

- интерфейс - 2,

- блок формирования пакетов - 3,

- процессор - 4,

- носитель информации - 5,

- блок памяти - 6,

- блок абонентского шифрования - 7,

- блок абонентского дешифрования - 8,

- блок канального шифрования - 9,

- блок канального дешифрования - 10,

- приемо-передатчик - 11,

а центральный модуль передачи данных (ЦМ) устройства содержит:

- приемо-передатчик ЦМ - 12,

- сервер канального шифрования - 13,

- блок канального шифрования ЦМ - 14,

- блок канального дешифрования - 15,

- блок памяти ЦМ - 16,

- сервер абонентского шифрования - 17,

- блок абонентского шифрования ЦМ - 18,

- блок абонентского дешифрования ЦМ - 19,

- блок формирования пакетов ЦМ - 20,

- блок управления - 21,

- интерфейс управления - 22,

- интерфейс управления информационной безопасностью (ИБ) - 23,

- блок управления ключами шифрования - 24,

- блок памяти ключей шифрования - 25,

- блок аутентификации абонентов - 26,

- блок памяти адресов абонентов - 27.

Пакет данных, передаваемый в ЦМ, состоит из:

- идентификационной части, позволяющей в ЦМ выполнить достоверную идентификацию и аутентификацию абонента,

- адресной части, определяющей перечень абонентов, которым через ЦМ должна быть передана содержательная часть пакета абонентской информации,

- содержательной части, предназначенной для передачи в зашифрованном виде перечню абонентов, указанных в адресной части.

Техническая реализация устройства показана на примере работы одного сеанса передачи пакета данных от абонентского модуля отправителя (АМО) через центральный модуль (ЦМ) к абонентскому модулю получателя (АМП).

Блок ввода-вывода AM (1) через интерфейс AM (2) переводит процессор (4) в режим абонентского шифрования и через интерфейс AM (2) и процессор (4) переносит с носителя информации (5) открытые абонентские данные, предназначенные для шифрования и передачи одному или нескольким абонентам устройства, в блок формирования пакетов (3). Блок ввода-вывода AM (1) через интерфейс (2) инициирует работу блока абонентского шифрования (7) для шифрования содержательной части пакета, при этом и производит шифрование на абонентском уровне содержательной части абонентских данных, хранящихся в блоке формирования пакетов (3) с использованием криптографического парного с центральным модулем синхронного ключа абонентского шифрования. Зашифрованная на абонентском уровне содержательная часть сохраняется в блок формирования пакетов (3). Блок ввода-вывода AM (1) через интерфейс (2) и процессор (4) формирует в блоке формирования пакетов (3) пакет для передачи, состоящий из идентификационной части (кода пакета, идентификатор абонентского модуля и т.д.), адресной части, включающей адреса М получателей, и ранее зашифрованной на абонентском уровне содержательной части абонентских данных. Блок ввода-вывода AM (1) через интерфейс (2) и процессор (4) инициирует сохранение сформированного ранее пакета в блок памяти AM (6). После сохранения в блоке памяти (6) пакет из блока формирования пакетов (3) удаляется. Блок ввода-вывода AM (1) через интерфейс (2) переводит процессор (3) в режим канального шифрования и через интерфейс (2) и процессор (3) инициирует передачу подготовленного в блоке памяти (6) пакета. Процессор (3) через приемо-передатчик (11) и телекоммуникационную сеть передает на приемо-передатчик ЦМ (12) сигнал, содержащий уникальный код AM о готовности к передаче. Приемопередатчик передает уникальный код AM через сервер канального шифрования (13) в блок управления (21). Блок управления (21) в соответствии с уникальным кодом AM проводит через блок аутентификации абонентов (26) аутентификацию AM отправителя и после успешного завершения операции через интерфейс управления информационной безопасностью (25) и блок управления ключами шифрования (24) выгружает из блока памяти ключей шифрования (25) ключ канального шифрования, соответствующего АМО и загружает его через сервер канального шифрования (13) в блок канального шифрования (15). После загрузки ключа сервер канального шифрования (13) передает через приемо-передатчик ЦМ (12) и телекоммуникационную сеть сигнал «истина» в приемо-передатчик AM (11) отправителя. После получения сигнала «истина» приемо-передатчик AM (11) инициирует передачу подготовленного ранее пакета из блока памяти AM (6) в блок канального шифрования (9), в котором происходит шифрование пакета на канальном уровне с использованием парного с ЦМ синхронного ключа канального шифрования, хранящегося в блоке канального шифрования (9), и передается через приемо-передатчик (11) и телекоммуникационную сеть в приемо-передатчик ЦМ (12). Из приемопередатчика ЦМ (12) пакет, зашифрованный на абонентском и канальном уровне, попадает в блок канального дешифрования (15), в котором происходит дешифрование пакета на канальном уровне с использованием парного с ЦМ синхронного ключа канального шифрования, загруженного в блок канального шифрования (9). Расшифрованный на канальном уровне пакет из блока канального дешифрования (15) передается на сервер канального шифрования (13), который записывает пакет в блок памяти ЦМ (16) и последовательно передает сигнал «истина» и расшифрованные идентификационную и адресную части пакета на блок управления (21). В случае если процесс дешифрования не был успешно завершен, то сервер канального шифрования (12) передает сигнал «сбой» через приемопередатчик ЦМ (12) и телекоммуникационную сеть в приемо-передатчик AM (11) и синхронно в блок управления (21). Процесс передачи пакета устройством на этом прерывается. После получения сигналов (п. 12) блок управления (21) передает идентификационную и адресную части пакета, в блок аутентификации абонентов (26). Блок аутентификации абонентов (26) извлекает из блока памяти адресов абонентов (27) записи, соответствующие AM отправителю и AM, получателям и выполняет аутентификация AM. Сигнал «истина», подтверждающий успешную аутентификацию AM отправителя и AM получателей передается через блок управления (21) в интерфейс управления (22). Интерфейс управления (22), получив сигнал «истина» от блока управления (21), формирует в блоке управления (21) последовательную серию из М команд для запуска дешифрования пакета с использованием парного с AM получателя синхронного ключа абонентского шифрования зашифрованных абонентских данных, хранящихся в блоке памяти ЦМ (16) и абонентского одновременного дешифрования и шифрования с использованием парных с каждым из М абонентов синхронных ключей абонентского шифрования, хранящихся в блоке памяти ключей шифрования (25), и формирования в блоке памяти ЦМ (16) М зашифрованных пакетов для отправки абонентам. После формирования команд блок управления (21) формирует и передает сигнал «истина» в интерфейс управления ИБ (23). Интерфейс управления ИБ (23) выполняет проверку сформированных команд и инициирует передачу из блока памяти ключей шифрования (25) через блок управления ключами (24) ключей абонентского шифрования в блок управления (21), соответствующего AM отправителя и М ключей абонентского и М ключей канального шифрования, соответствующих AM получателей. После получения необходимых ключей блок управления (21) передает сигнал «истина» в интерфейс управления (22). После получения сигнала «истина» интерфейс управления (22) инициирует сигнал управления, инициирующий серию передач в блок управления (21). Блок управления (21) формирует и передает последовательно серию из М сигналов управления на сервер абонентского шифрования (17), содержащих в каждом сигнале ключ абонентского шифрования AM отправителя и ключ абонентского шифрования i-го AM получателя и синхронно серию сигналов управления на блок канального шифрования (14), содержащих ключ канального шифрования i-го AM получателя. Сервер абонентского шифрования (17) после получения сигнала управления последовательно М раз извлекает из блока памяти (16) зашифрованные на абонентском уровне данные и выполняет через блок абонентского дешифрования (19) дешифрование с использованием полученных от блока управления (21) синхронного ключа парного с AM отправителя и через блок абонентского шифрования (18) шифрование содержательной части пакета с использованием синхронных ключей парных соответствующим i-му AM получателя. Операция перешифрования выполняется как единая команда без промежуточной записи результатов дешифрования в блок памяти (16). После перешифрования содержательной части пакета сервер абонентского шифрования (17) формирует в блоке формирования пакетов (20) пакет для передачи, включающий зашифрованную на абонентском уровне содержательную часть, идентификационную часть, соответствующую AM отправителя и адресную часть, соответствующую i-му AM получателю. Сформированный в блоке формирования пакетов (20) пакет через сервер абонентского шифрования (17) записывается в блок памяти (16) и после завершения записи сервер абонентского шифрования (17) передает сигнал «истина» на блок управления (21). После получения сигнала «истина» от сервера абонентского шифрования (17) блок управления (21) формирует и передает сигнал управления на сервер канального шифрования (13). Сервер канального шифрования (13) передает подготовленный пакет в блок канального шифрования (15), содержащий загруженный ключ канального шифрования, соответствующий i-му AM получателя. В блоке канального шифрования (15) выполняется шифрование пакета на канальном уровне с использованием ключа парной связи канального шифрования и зашифрованный пакет передается через приемо-передатчик ЦМ (12) и телекоммуникационную сеть на приемо-передатчик i-го АМП (11). Процессы абонентского перешифрования, загрузки в блок памяти (16), канального шифрования и передачи повторяются М раз с применением М синхронных ключей парной связи на абонентском и канальном уровне. Приемопередатчик АМП (11) передает пакет на блок канального дешифрования АМП (10), в котором автоматически выполняется дешифрование данных на канальном уровне с использованием парного с ЦМ синхронного ключа канального шифрования, хранящегося в блоке канального дешифрования АМП (10) и далее передается на процессор (4). Процессор (4), находясь в стационарном режиме в состоянии канального шифрования, принимает от блока канального дешифрования АПМ (10), зашифрованный на абонентском уровне пакет и записывает его в блок памяти (6). После записи процессор (4) передает через интерфейс (2) в блок ввода-вывода (1) сигнал «истина», подтверждающий прием пакета. Блок ввода/вывода (1), получив сигнал о приеме пакета, переводит процессор (4) в режим абонентского шифрования. Блок ввода-вывода (1) через интерфейс (2) передает на процессор (4) управляющий сигнал и инициирует процесс абонентского дешифрования. Содержательная часть пакета передается через процессор (4) из блока памяти АМП (6) в блок абонентского дешифрования (8), в котором происходит дешифрование с использованием парного с ЦМ синхронного ключа абонентского шифрования, хранящегося в блоке абонентского дешифрования (8). Дешифрованная содержательная часть пакета из блока абонентского дешифрования (8) через процессор (4) записываются в отдельную зону блока памяти (6). После завершения записи процессор (4) передает сигнал «истина» через интерфейс (2) в блок ввода-вывода (1). Блок ввода-вывода (1) через интерфейс (2) передает сигнал управления в процессор (4). Процессор (4) извлекает содержательную и идентификационную части пакета из соответствующих зон блока памяти (6) и записывает их на носитель информации (5). После завершения записи на носитель информации (5) процессор (4) формирует сигнал управления в блок памяти (6) и ранее записанная в блок памяти (5) информация удаляется.

Экономический результат изобретения заключается в повышении эффективности, надежности и безопасности информационного обмена между участниками рынка.

Изобретение относится к области технологии сетей связи. Технический результат заключается в повышении уровня защиты информации и возможности передачи секретной информации по открытым каналам связи. Технический результат достигается за счет устройства криптографической защиты информации, передаваемой по сетям связи, содержащего i абонентских модулей (AM), где i=1÷N, один центральный модуль передачи данных (ЦМ) и телекоммуникационную сеть связи, при этом каждый из AM содержит блок ввода-вывода, интерфейс, процессор, блок памяти, приемопередатчик, блок формирования пакетов, блок абонентского шифрования, блок канального шифрования, блок абонентского дешифрования, блок канального дешифрования, носитель информации, причем ЦМ устройства имеет блок управления, интерфейс управления, интерфейс управления информационной безопасностью, блок памяти ключей шифрования, блок аутентификации абонентов, блок памяти адресов абонентов, сервер абонентского шифрования, блок памяти ЦМ, сервер канального шифрования, блок управления ключами шифрования, приемопередатчик ЦМ, блок канального шифрования, блок канального дешифрования, блок абонентского шифрования ЦМ, блок абонентского дешифрования ЦМ, блок формирования пакетов ЦМ. 1 ил.

Устройство криптографической защиты информации, передаваемой по сетям связи, содержащее i абонентских модулей, где i=1÷N, и один центральный модуль передачи данных (ЦМ), при этом каждый из абонентских модулей (AM) содержит последовательно соединенные двойными линиями связи блок ввода-вывода, интерфейс с тремя входами-выходами, процессор с 8 входами-выходами, блок памяти с 4 входами-выходами, приемопередатчик с 4 входами-выходами, где второй вход-выход интерфейса AM соединен двойной линией связи с блоком формирования пакетов, вход-выход которого соединен с 1-м входом-выходом блока абонентского шифрования, а 2-й, 3-й, 4-й, 5-й, 6-й, 7-й и 8-й вход-выход процессора соответственно соединены двойными линиями связи с блоком абонентского шифрования, с блоком канального шифрования, с приемопередатчиком, с блоком абонентского дешифрования, с блоком канального дешифрования и с носителем информации, а 2-й, 3-й и 4-й вход-выход приемопередатчика AM соответственно соединены двойными линиями связи с блоком канального шифрования, с блоком канального дешифрования и с телекоммуникационной сетью связи, причем ЦМ устройства имеет блок управления с 7 входами-выходами, которые двойными линиями связи соответственно соединены с интерфейсом управления, с интерфейсом управления информационной безопасностью, с блоком памяти ключей шифрования, с блоком аутентификации абонентов, 2-й вход-выход которого соединен двойной линий связи с блоком памяти адресов абонентов, а 5-й, 6-й и 7-й входы-выходы блока управления соответственно соединены с сервером абонентского шифрования, блоком памяти ЦМ и сервером канального шифрования, а 1-й вход-выход блока управления двойными линиями связи соединен с интерфейсом управления, а интерфейс управления информационной безопасностью двойными линиями связи соединен с блоком управления ключами шифрования, и приемопередатчик ЦМ с 4 входами-выходами последовательно соединен двойными линиями связи с телекоммуникационной сетью связи, с сервером канального шифрования, блоком канального шифрования, с блоком канального дешифрования, сервер же канального шифрования соединен последовательно с блоком памяти ЦМ, с сервером абонентского шифрования, входы-выходы которого соответственно соединены двойными линиями связи с блоком абонентского шифрования ЦМ, блоком абонентского дешифрования ЦМ и блоком формирования пакетов ЦМ.