Способ формирования ключа между узлами вычислительной сети с использованием системы квантового распределения ключей Российский патент 2024 года по МПК H04L9/08 

Область техники, к которой относится изобретение

Предлагаемое изобретение относится к области криптографической защиты информации и, в частности, к системам генерации ключей с использованием технологии квантового распределения ключей (КРК) для криптографических средств защиты информации.

Уровень техники

Системы КРК применяются для генерации парных ключей шифрования, устойчивых в том числе к угрозам с применением квантовых вычислителей. Для преодоления фундаментального ограничения максимальной протяженности квантового канала между двумя элементами системы применяется подход, основанный на построении сетей квантового распределения ключей с доверенными промежуточными узлами. Такие узлы последовательно соединяются квантовыми каналами, используемыми для генерации или распределения ключа между крайними устройствами и дальнейшей передачи таких ключей в пользовательские устройства.

Известно устройство КРК, система КРК и способ КРК (заявка США №20190260581, опубликована 22.08.2019 г.). Централизованный контроллер в системе получает Z запросов на обслуживание, глобально определяет на основе идентификатора узла службы-источника и идентификатора узла службы-получателя, которые соответствуют каждому из запросов на обслуживание Z, параметра потребления квантового ключа и информации о топологии ключевых узлов в сети централизованного управления и контроля, глобально оптимальные инструкции передачи ключей, соответствующие G запросам, и дополнительно доставляет инструкции передачи ключей, соответствующие G запросам, на ключевые узлы, соответствующие инструкциям передачи ключей, так что ключевые узлы выполняют квантовую передачу ключей на основе инструкций передачи ключей для генерации общего квантового ключа между исходным ключевым узлом и ключевым узлом назначения.

Известные устройство, система и способ имеют ряд недостатков.

Так, для формирования общего квантового ключа необходимо заранее определить исходный ключевой узел и ключевой узел назначения, между которыми требуется ключ, что соответствует однозначному подключению потребителей такого ключа к данным узлам. Выработка общего ключа возможна при одновременном подключении пользователей к исходному ключевому узлу и узлу назначения. Также определение инструкций передачи ключа и, соответственно, маршрутов передачи ключа осуществляется в едином центре управления, который является уязвимой точкой отказа сети в случае атаки нарушителя, более того, требуется дополнительное время на передачу запросов в центр управления и последующей рассылки инструкций на узлы системы, причем некоторые вычисления могли бы производиться локально на узлах системы.

Известна система выработки и распределения ключей и способ распределенной выработки ключей в такой системе (патент РФ №2752844). Согласно способу, вырабатывают классический пользовательский ключ в первом и последнем узле сети КРК зарезервированного квантового маршрута в модулях выработки пользовательских ключей с использованием предварительных ключей согласно выбранному порядку выработки классического пользовательского ключа. Вырабатывают в модулях выработки пользовательских ключей первого и последнего узлов сети КРК зарезервированного квантового маршрута пользовательский ключ с использованием квантового пользовательского ключа и классического пользовательского ключа согласно выбранному порядку объединения квантового пользовательского ключа и классического пользовательского ключа. Передают выработанный пользовательский ключ из модуля выработки пользовательского ключа первого и последнего узлов сети КРК зарезервированного квантового маршрута в модули управления пользовательскими ключами первого и последнего узлов сети КРК зарезервированного квантового маршрута. Сохраняют в хранилище пользовательских ключей модуля управления пользовательскими ключами узла сети КРК полученный пользовательский ключ. Передают пользовательский ключ из хранилища пользовательских ключей модуля управления пользовательскими ключами узла сети КРК в шифратор пользователя, запросивший пользовательский ключ.

Известный способ выбран в качестве прототипа.

Однако, известный способ имеет ряд недостатков:

• для формирования пользовательского ключа необходимо заранее определить пару узлов системы, к которым подключены пользователи;

• оба пользователя, для которых вырабатывается ключ, должны быть одновременно подключены к конкретным узлам системы, без этого невозможно определить, для какой пары узлов сети КРК резервировать квантовый маршрут и начинать выработку общего пользовательского ключа;

Раскрытие изобретения

Техническим результатом является

1) повышение удобства для пользователей, заключающаяся в возможности подключения пользователей к произвольным ДПУ сети КРК в произвольные моменты времени,

2) снижение времени предоставления ключей для пользователей за счет того, что не требуется ожидание подключения второго пользователя к сети КРК.

Для этого предлагается способ выработки и распределения ключей в сети квантового распределения ключей, включающей,

• совокупность из N доверенных промежуточных узлов (ДПУ), причем

ο ДПУ соединены волоконно-оптическими линиями связи,

ο каждому ДПУ в сети назначен уникальный идентификатор узла Ai, i от 1 до N;

ο каждый ДПУ соединен с цифровой сетью передачи данных, о каждый ДПУ имеет доверенную локальную линию связи для подключения пользователей;

• совокупность из М вычислительных устройств (пользователей), по крайней мере двух, обслуживающих потребности определенных физических лиц или других технических систем, причем

ο каждому пользователю в сети квантового распределения ключей (КРК) назначен уникальный идентификатор Bi, i от 1 до М,

ο каждому пользователю в сети КРК назначен после первого обращения базовый ДПУ с идентификатором BAi,

ο каждый пользователь зарегистрирован на своем базовом ДПУ,

ο каждому пользователю известны идентификаторы всех других пользователей, для связи с которыми ему требуется ключ,

ο каждый пользователь соединен с цифровой сетью передачи данных; при этом каждый ДПУ выполнен с возможностью

• генерации квантовозащищенного ключа с любым другим ДПУ

• генерации квантового ключа QK с любым соседним ДПУ,

• расчета квантового маршрута до любого другого ДПУ,

• определения идентификатора базового ДПУ по заданному идентификатору пользователя,

• регистрации пользователей, причем при регистрации пользователя на ДПУ производится аутентификация этого пользователя в сети квантового распределения ключей (КРК),

• формирования при регистрации пользователя на текущем ДПУ локального ключа связи KN между ДПУ и пользователем, который сохраняется в ДПУ и у пользователя,

• формировать и передавать пользователю зашифрованные сообщения на сформированном ключе связи KN через доверенную локальную линию связи,

• хранить сформированные ключи для пар пользователей

• обслуживать пользователей в определенной территориальной зоне; при этом каждый пользователь обладает возможностью

• получать и передавать данные через цифровую сеть передачи данных,

• получать и передавать данные в ДПУ при подключении через доверенную локальную линию связи,

• шифровать и расшифровывать данные на сформированном ключе связи KN,

• хранить и обрабатывать данные в процессе работы; способ заключается в том, что:

• осуществляют доверенным образом со стороны пользователя В1 первичное подключение к сети КРК на базовом ДПУ ВА1 в территориальной зоне его обслуживания через доверенную локальную линию связи, в процессе которого производят следующие действия:

ο регистрируют пользователя с присвоением идентификатора В1,

ο проводят аутентификацию пользователя в сети КРК с выработкой локального ключа связи K1,

ο передают идентификатор данного ДПУ ВА1 пользователю в качестве базового,

ο передают локальный ключ связи K1 пользователю;

• осуществляют доверенным образом со стороны пользователя В2 первичное подключение к сети КРК на базовом ДПУ ВА2 в территориальной зоне его обслуживания через доверенную локальную линию связи, в процессе которого производят следующие действия:

ο регистрируют пользователя с присвоением идентификатора В2,

ο проводят аутентификацию пользователя в сети КРК с выработкой локального ключа связи К2,

ο передают идентификатор данного ДПУ ВА2 пользователю в качестве базового,

ο передают локальный ключ связи К2 пользователю;

• при необходимости работы из другой выбранной территориальной зоны, осуществляют со стороны пользователя В1 подключение к сети КРК к выбранному текущему ДПУ А_Р, обслуживающего выбранную территориальную зону;

• формируют и передают от ДПУ А_Р пользователю В1 локальный ключ связи KP с этим ДПУ;

• высылают запрос от пользователя В1 в ДПУ А_Р о предоставлении ключа для связи с выбранным пользователем В2;

• получают запрос в ДПУ А_Р от пользователя В1 о предоставления ключа;

• проводят со стороны ДПУ А_Р поиск в сети КРК базового ДПУ для пользователя В1;

• получают в ДПУ А_Р идентификатор ВА1 базового ДПУ для пользователя В1;

• высылают запрос из ДПУ А_Р в ДПУ ВА1 для получения ключа К12 для обеспечения связи пользователя В1 и пользователя В2;

• проводят со стороны ДПУ ВА1 поиск в сети КРК базового ДПУ для пользователя В2;

• получают в ДПУ ВА1 идентификатор ВА2 базового ДПУ для пользователя В2;

• инициируют со стороны ДПУ ВА1 генерацию квантовозащищенного ключа К12 с ДПУ ВА2;

• назначают и сохраняют в ДПУ ВА1 сгенерированный квантовозащищенный ключ в качестве ключа К12 для связи пользователя В1 и пользователя В2;

• назначают и сохраняют в ДПУ ВА2 сгенерированный квантовозащищенный ключ в качестве ключа К12 для связи пользователя В1 и пользователя В2;

• вычисляют в ДПУ ВА1 квантовый маршрут до ДПУ А_Р;

• передают из ДПУ ВА1 ключ К12 по вычисленному квантовому маршруту в ДПУ А_Р, причем на каждом сегменте квантового маршрута между соседними ДПУ A_I и ДПУ A_J

ο зашифровывают ключ К12 на квантовом ключе QK_{I J} между соседними ДПУ,

ο передают ключ К12 в зашифрованном виде Y_{I J}=ENC_QK_{I J} (К12) на квантовом ключе QK_{I J} между этими ДПУ;

• получают в ДПУ А_Р зашифрованный ключ Y_{I J} от предпоследнего ДПУ квантового маршрута;

• расшифровывают в ДПУ А_Р полученный зашифрованный ключ Y_{I J} и получают ключ К12;

• зашифровывают в ДПУ А_Р полученный ключ К12 на локальном ключе связи KP;

• передают из ДПУ А_Р зашифрованный ключ К12 пользователю В1;

• получают на стороне пользователя В1 зашифрованный ключ К12;

• расшифровывают на стороне пользователя В1 зашифрованный ключ К12 с помощью локального ключа связи KP, получая запрошенный ключ К12 для связи с пользователем В2;

• при необходимости, осуществляют со стороны пользователя В1 отключение от ДПУ А_Р;

• осуществляют со стороны пользователя В2 подключение к сети КРК к выбранному текущему ДПУ А_Т;

• формируют и передают от ДПУ А_Т пользователю В2 локальный ключ связи KT с этим ДПУ;

• высылают запрос от пользователя В2 в ДПУ А_Т о предоставлении ключа для связи с выбранным пользователем В1;

• получают запрос в ДПУ А_Т от пользователя В2 о предоставления ключа;

• проводят со стороны ДПУ А_Т поиск в сети КРК базового ДПУ для пользователя В2;

• получают в ДПУ А_Т идентификатор ВА2 базового ДПУ для пользователя В2;

• высылают запрос из ДПУ А_Т в ДПУ ВА2 для получения ключа К12 для обеспечения связи пользователя В1 и пользователя В2;

• вычисляют в ДПУ ВА2 квантовый маршрут до ДПУ А_Т;

• передают из ДПУ ВА2 ключ К12 по вычисленному квантовому маршруту в ДПУ А_Т, причем на каждом сегменте квантового маршрута между соседними ДПУ A_I и ДПУ A_J

ο зашифровывают ключ К12 на квантовом ключе QK_{I J} между соседними ДПУ,

ο передают ключ К12 в зашифрованном виде Y_{I J}=ENC_QK_{I J} (К12) на квантовом ключе QK_{I J} между этими ДПУ;

• получают в ДПУ А_Т зашифрованный ключ Y_{I J} от предпоследнего ДПУ квантового маршрута;

• расшифровывают в ДПУ А_Т полученный зашифрованный ключ Y_{I J} и получают ключ К12;

• зашифровывают в ДПУ А_Т ключ К12 на локальном ключе связи KT;

• передают из ДПУ А_Т зашифрованный ключ К12 пользователю В2;

• получают на стороне пользователя В2 зашифрованный ключ К12;

• расшифровывают на стороне пользователя В2 зашифрованный ключ К12 с помощью локального ключа KT, получая запрошенный ключ К12 для связи с пользователем В1;

• при необходимости, осуществляют со стороны пользователя В2 отключение от ДПУ А_Т;

• при необходимости, осуществляют обмен сообщениями между пользователем В1 и пользователем В2, зашифрованными на ключе К12, через цифровую сеть передачи данных.

Дополнительно после получения запроса в ДПУ А_Р от пользователя В1 о предоставления ключа для связи с выбранным пользователем В2

• проводят со стороны ДПУ А_Р поиск в сети КРК базового ДПУ для пользователя В2;

• получают в ДПУ А_Р идентификатор ВА2 базового ДПУ для пользователя В2;

• инициируют со стороны ДПУ А_Р генерацию квантовозащищенного ключа с ДПУ ВА2;

• назначают и сохраняют в ДПУ А_Р сгенерированный квантовозащищенный ключ ключом К12 для пары пользователей В1 и В2;

• назначают и сохраняют в ДПУ ВА2 сгенерированный квантовозащищенный ключ в качестве ключа К12 для пары пользователей В1 и В2;

• зашифровывают в ДПУ А_Р полученный ключ К12 на локальном ключе связи KP;

• передают из ДПУ А_Р зашифрованный ключ К12 пользователю В1;

• получают на стороне пользователя В1 зашифрованный ключ К12;

• расшифровывают на стороне пользователя В1 зашифрованный ключ К12 с помощью локального ключа KP, получая запрошенный ключ К12 для связи с пользователем В2;

• при необходимости, осуществляют со стороны пользователя В1 отключение от ДПУ А_Р;

• осуществляют со стороны пользователя В2 подключение к сети КРК к выбранному текущему ДПУ А_Т и получение ключа К12.

Дополнительно ключ К12 перед передачей по квантовому маршруту от базового ДПУ ВА1 на текущий ДПУ А_Р, к которому подключен пользователь, зашифровывают на ключе связи K1 пользователя и его базового ДПУ, при этом

• получают на стороне пользователя В1 от ДПУ А_Р зашифрованный последовательно на ключе связи K1 и локальном ключе KP ключ К12;

• расшифровывают на стороне пользователя В1 с помощью локального ключа KP полученный зашифрованный ключ, получая ключ связи, зашифрованный на ключе связи K1;

• расшифровывают на стороне пользователя В1 с помощью локального ключа K1 полученный зашифрованный ключ, получая запрошенный ключ К12 для связи с пользователем В2.

Дополнительно пользователь при запросе ключа для связи с другим пользователем указывает пару идентификаторов базовых ДПУ, соответствующих паре пользователей в запросе.

Также дополнительно передача запрошенного ключа К12 от базового ДПУ ВА1 осуществляется пользователю через цифровую сеть передачи данных с защитой на ключе связи K1.

Сети КРК, построенные по технологии доверенных промежуточных узлов, позволяют вырабатывать ключи для произвольных пар узлов сети для последующей передачи в подключенные к ним пользовательские устройства. Обычно необходимо определить пару узлов сети КРК, к которым подключены пользовательские устройства, для начала выработки ключа. Обычно к узлам сети КРК подключаются стационарные потребители ключей, поэтому на момент запроса ключа для связи с другим потребителем известна пара узлов сети КРК, к которым они подключены. В случае перемещения потребителей ключа между узлами сети КРК, что востребовано для мобильных устройств, невозможно заранее предсказать, с каким узлом сети КРК необходимо будет вырабатывать ключ.

В качестве пользователей сети КРК рассматриваются вычислительных устройства обслуживающих потребности определенных физических лиц или других технических систем. Это могут быть для физических лиц, например, стационарные или переносные компьютеры или планшеты сотрудников компаний, а для технических систем - оконечные устройства типа маршрутизаторов, роутеров, видеорегистраторов и пр.

Для решения этой задачи в предложенном способе каждое подключаемое к сети КРК пользовательское устройство регистрируют (закрепляют) за заранее выбранным базовым узлом сети КРК. В случае стационарных пользователей функционирование сети КРК не меняется, так как они всегда подключены к своим базовым узлам. Базовые узлы сети КРК разных пользователей могут совпадать.

Для получения мобильным устройством ключа для связи с другим мобильным устройством выполняется подключение к произвольному узлу сети КРК, назовем его текущим узлом, в произвольный момент времени. В сети КРК есть вся необходимая информация о зарегистрированных пользовательских устройствах и их базовых узлах сети КРК. Поэтому запрос ключа для связи одного мобильного устройства с другим мобильным устройством перенаправляется из текущего узла первого пользователя в базовый узел первого пользователя. Ключ для связи двух пользователей вырабатываются между парой базовых узлов сети КРК и хранятся в них до востребования пользователями. Первый пользователь получит свой ключ сразу, а второй, когда подключится к некоторому узлу сети КРК, не обязательно своему базовому. За счет этого снижается время получения ключа пользователем, так как не требуется подключения второго пользователя к узлу сети КРК для начала генерации ключа.

Можно отметим, что возможны разные варианты подключения пользователей к ДПУ. Самый общий случай, когда пользователи подключаются к разным текущим ДПУ, каждый из которых не совпадает ни с одним из базовых ДПУ пользователей.

При этом возможны варианты, при которых, например, пользователь подключается к базовому ДПУ второго пользователя. Для первого пользователя тем не менее этот ДПУ будет текущим ДПУ. Текущий ДПУ, к которому подключаются пользователи, может совпадать для обоих пользователей. В этом случае один и тот же ключ будет передан дважды, один раз от базового ДПУ первого пользователя, второй раз от базового ДПУ второго пользователя. Если один из пользователей подключается к своему базовому ДПУ, т.е. текущий и базовый ДПУ пользователя совпадают, то поиск базового ДПУ становится тривиальный и передача по квантовому маршруту не осуществляется, так как маршрут состоит из единственного ДПУ.

В случае, если оба пользователя подключатся к своим базовым ДПУ, то получится ситуация, описанная в прототипе.

Передача сгенерированного ключа из базового узла сети КРК в текущий узел осуществляется по квантовому маршруту с последовательным перешифрованием передаваемого ключа на квантовых ключах.

Квантовый маршрут - последовательность соседних ДПУ, соединяющий два ДПУ, между которыми надо передать ключ (определение и формирование рационального квантового маршрута предложено, например, в патенте РФ №2764458).

В данном случае квантовые маршруты соединяют базовый и текущий ДПУ одного пользователя.

Соседние ДПУ - это ДПУ, соединенные квантовым каналом связи, а, следовательно, способные вырабатывать общий квантовый ключ для защиты передачи ключевой информации для связи двух пользователей.

Дополнительно ключ, передаваемый пользователю из его базового узла сети КРК, может быть предварительно зашифрован на локальном ключе, сохраненном у пользователя и у его базового узла на этапе регистрации пользователя в сети КРК. За счет дополнительного шифрования также достигается повышение защищенности распределяемых ключей, так как они становятся недоступны узлам сети КРК при их передаче от базового узла сети КРК до текущего узла.

Дополнительно, при выполнении условия, что пользователь, первым из пары пользователей запросивший ключ для связи с другим пользователем, не отключится от текущего узла сети КРК до получения запрошенного ключа, выработка ключа для связи двух пользователей может осуществляться не между двумя базовыми узлами данных пользователей, а между текущим узлом первого пользователя и базовым узлом второго пользователя. Такие гарантии могут быть реализованы, например, организационными мерами получения ключей связи от сети КРК.

Для упрощения поиска базовых узлов пользователей при первичной регистрации пользователя в сети КРК ему может передаваться не только идентификатор пользователя и локальный ключ связи с базовым узлом сети КРК, но и идентификатор базового узла. Пользователи обмениваются не только своими идентификаторами в сети КРК для формирования запросов, но и идентификаторами своих базовых узлов сети КРК. При запросе ключа для связи с другим пользователем текущему узлу сети КРК передается пара идентификаторов пользователей, для которых необходим ключ для связи, и соответствующая им пара идентификаторов базовых узлов сети КРК. В этом случае сеть КРК не осуществляет самостоятельно поиск базовых узлов пользователей, а вырабатывает квантовозащищенный ключ между указанными базовыми ДПУ.

Процедура поиска базовых узлов пользователей, в общем случае, заключается в формировании и посылке запросов от одного ДПУ во все другие ДПУ и получении ответов на запросы через цифровую сеть передачи данных. Процедура может быть организована по-разному, в общем случае, например, запрос может быть послан в открытом виде, но предпочтительно посылать запрос зашифрованным. Для шифрования таких служебных запросов могут использоваться квантовозащищенные ключи, вырабатываемые между узлами сети КРК для нужд сети КРК.

В моделях безопасности, допускающих передачу пользователю ключевой информации через цифровую сеть передачи данных от сети КРК, квантовозащищенный ключ, выработанный двумя базовыми ДПУ может передаваться напрямую от базового ДПУ пользователю с защитой на ключе связи пользователя и базового ДПУ.

После получения первого ключа для связи двух пользователей, эти пользователи могут вновь обращаться к сети КРК через некоторое время при необходимости получения нового ключа. Такая необходимость может возникать, например, при исчерпании нагрузки на ключ, истечении времени жизни ключа. Каждый пользователь в различных парах, составленных из совокупности пользователей сети КРК, может выступать как в роли первого пользователя, инициирующего создание ключа для связи, так и в роли второго пользователя, получающего ранее созданный ключ от своего базового ДПУ.

Таким образом, удобство работы пользователей в сети КРК повышается, теперь пользователям не требуется быть привязанным к определенному месту или территории обслуживания какого-то определенного ДПУ.

При этом также снижается время предоставления ключей для пользователей за счет того, что не требуется ожидание подключения второго пользователя к сети КРК.

Краткое описание чертежей

На фигуре графического изображения показана схема сети КРК из 5 ДПУ с двумя подключенными пользователями.

Цифрами на фигуре обозначены:

1 - ДПУ сети КРК,

2 - пользователь,

3 - доверенная локальная линия связи,

4 - квантовый канал связи между ДПУ (показана двойными линиями),

5 - цифровая сеть передачи данных.

Осуществление изобретения

Предложенный способ может быть реализован в какой-либо подходящей сети КРК, например, с использованием известной системы ViPNet QTS (https://infotecs.ru/products/vipnet-qts/).

В качестве ДПУ выбираются программно-аппаратные комплексы ViPNet РУКС с доработанным программным обеспечением. В качестве квантового канала связи 4 выбирается одномодовое оптоволокно типа SMF-28 допустимой длины. Доверенная локальная линия связи 3 реализуется в виде канала протокола Ethernet. В качестве вычислительных устройств пользователей может быть использован, например, ноутбук с дополнительным программным модулем.

Соответствующие изменения программного обеспечения и доработанные программные модули для ДПУ и вычислительных устройств пользователей могут быть сформированы специалистом по программированию (программистом) на основе знания выполняемых функций в способе.

Пусть сеть КРК состоит из 5 ДПУ с идентификаторами A1, А2, A3, А4, А5. Двум пользователям в системе назначены идентификаторы В1 и В2. Пользователям известны идентификаторы других пользователей, с которыми они могут устанавливать защищенное взаимодействие.

Для осуществления способа выполняют следующие действия:

Выбирают некоторый ДПУ, например, с идентификатором А2 базовым для пользователя с идентификатором В1. Осуществляют первичное подключение пользователя к этому ДПУ через доверенную локальную линию связи, регистрируют пользователя на этом ДПУ, вырабатывают локальный ключ связи K1 в ДПУ. Передают ключ связи и идентификатор А2 пользователю.

Аналогично выбирают некоторый ДПУ, например, с идентификатором А4 базовым для пользователя с идентификатором В2. Осуществляют первичное подключение пользователя к этому ДПУ через доверенную локальную линию связи, регистрируют пользователя на этом ДПУ, вырабатывают локальный ключ связи К2 в ДПУ. Передают ключ связи и идентификатор А4 пользователю.

При необходимости получения ключа для связи со вторым пользователем первый пользователь подключается к ДПУ, в территории обслуживания которого он оказался в данный момент. Пусть это был ДПУ А1. Этот ДПУ будет текущим для первого пользователя. В ДПУ А1 формируют локальный ключ связи КЗ и передают его пользователю.

Формируют запрос ключа связи для пользователей В1 и В2, который передают в ДПУ А1. Проводят поиск со стороны ДПУ А1 в сети КРК базового ДПУ пользователя В1. В результате, определяют, что базовым для пользователя В1 является ДПУ А2 и перенаправляют запрос ключа связи для пары пользователей на этот базовый ДПУ.

Проводят поиск со стороны ДПУ А2 в сети КРК базового ДПУ пользователя В2. В результате, определяют, что базовым для пользователя В2 является ДПУ А4. Вырабатывают квантовозащищенный ключ К12 между парой ДПУ А2 и А4, например, по протоколу ISTOQ-M (MP 26.5.003-2023 Методические рекомендации ТК26. Информационная технология. Криптографическая защита информации. Ключевая система полносвязной многоарендаторной сети шифрованной связи на базе ККС ВРК с ДПУ, Москва, Технический комитет по стандартизации «криптографическая защита информации, 2023).

Полученный квантовозащищенный ключ сохраняют в памяти базового ДПУ второго пользователя (ДПУ А4) до востребования.

Определяют квантовый маршрут от ДПУ А2 до ДПУ А1. Пусть квантовый маршрут состоит из ДПУ со следующими идентификаторами: А2, A3, А1. Между ДПУ А2, A3 выработан квантовый ключ Q1, а между ДПУ с A3, А1 выработан квантовый ключ Q2.

Полученный квантовозащищенный ключ К12 зашифровывают на квантовом ключе Q1, например, с применением ключевого контейнера КЕХР15 (Р 1323565.1.017-2018 Рекомендации по стандартизации. Информационная технология. Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению алгоритмов блочного шифровании, Москва, Стандартинформ, 2018.), и передают от ДПУ А2 на следующий ДПУ квантового маршрута A3. На этом ДПУ расшифровывают переданный ключ К12 на ключе Q1 и зашифровывают на ключе Q2. Затем зашифрованный ключ передают на следующий ДПУ квантового маршрута А1, на котором расшифровывают полученный ключ на ключе Q2 и получают запрошенный ключ связи К12.

Зашифровывают ключ связи К12 на локальном ключе связи текущего ДПУ и первого пользователя КЗ. Зашифрованный ключ передают пользователю по локальной линии связи. Пользователь расшифровывает полученный зашифрованный ключ на локальном ключе связи КЗ и получает запрошенный ключ связи К12 для связи со вторым пользователем. Теперь пользователь может отключиться от текущего ДПУ.

Второй пользователь при необходимости получения ключа для связи с первым пользователем, подключается к ДПУ, в зоне обслуживания которого он оказался в данный момент. Пусть это будет ДПУ А5. Этот ДПУ будет текущим для второго пользователя. В ДПУ А5 формируют локальный ключ связи К4 и передают его пользователю.

Формируют запрос ключа связи для пользователей В1 и В2, который передают в ДПУ А5. Проводят поиск со стороны ДПУ А5 в сети КРК базового ДПУ пользователя с В2. В результате, определяют, что базовым для пользователя В2 является ДПУ А4 и перенаправляют запрос ключа связи для пары пользователей на этот базовый ДПУ.

ДПУ А4 имеет сохраненный ранее ключ К12 для связи пользователей В1 и В2. Определяют квантовый маршрут от ДПУ А4 до ДПУ А5. Пусть квантовый маршрут состоит из ДПУ со следующими идентификаторами: А4, А5. Между ДПУ А4 и А5 выработан квантовый ключ Q3.

Полученный квантовозащищенный ключ К12 зашифровывают на квантовом ключе Q3 и передают от ДПУ А4 на следующий ДПУ квантового маршрута А5. На этом ДПУ расшифровывают переданный ключ К12 на ключе Q3.

Зашифровывают ключ связи К12 на локальном ключе связи текущего ДПУ А5 и второго пользователя К4. Зашифрованный ключ передают пользователю по локальной линии связи. Пользователь расшифровывает полученный зашифрованный ключ на локальном ключе связи К4 и получает запрошенный ключ связи К12 для связи с первым пользователем. Теперь второй пользователь также может отключиться от текущего ДПУ.

Теперь оба пользователя В1 и В2 обладают ключом К12 для связи и могут, при необходимости, осуществлять защищенное взаимодействие друг с другом через цифровую сеть передачи данных.

Изобретение относится к системам генерации ключей с использованием технологии квантового распределения ключей (КРК) для криптографических средств защиты информации. Техническим результатом является снижение времени предоставления ключей для пользователей. Осуществляют доверенным образом со стороны пользователя В1 первичное подключение к сети КРК на базовом ДПУ ВА1 в территориальной зоне его обслуживания через доверенную локальную линию связи. Осуществляют доверенным образом со стороны пользователя В2 первичное подключение к сети КРК на базовом ДПУ ВА2 в территориальной зоне его обслуживания через доверенную локальную линию связи. При необходимости работы из другой выбранной территориальной зоны осуществляют со стороны пользователя В1 подключение к сети КРК к выбранному текущему ДПУ А_Р, обслуживающему выбранную территориальную зону. Формируют и передают от ДПУ А_Р пользователю В1 локальный ключ связи KP с этим ДПУ. Высылают запрос от пользователя В1 в ДПУ А_Р о предоставлении ключа для связи с выбранным пользователем В2. Получают запрос в ДПУ А_Р от пользователя В1 о предоставлении ключа. Проводят со стороны ДПУ А_Р поиск в сети КРК базового ДПУ для пользователя В1. Получают в ДПУ А_Р идентификатор ВА1 базового ДПУ для пользователя В1. Высылают запрос из ДПУ А_Р в ДПУ ВА1 для получения ключа K12 для обеспечения связи пользователя В1 и пользователя В2. 4 з.п. ф-лы, 1 ил.

Способ выработки и распределения ключей в сети квантового распределения ключей, включающей

совокупность из N доверенных промежуточных узлов (ДПУ), причем ДПУ соединены волоконно-оптическими линиями связи;

каждому ДПУ в сети назначен уникальный идентификатор узла Ai, i от 1 до N;

каждый ДПУ соединен с цифровой сетью передачи данных,

каждый ДПУ имеет доверенную локальную линию связи для подключения пользователей;

совокупность из М вычислительных устройств (пользователей), по крайней мере двух, обслуживающих потребности определенных физических лиц или других технических систем, причем

каждому пользователю в сети квантового распределения ключей (КРК) назначен уникальный идентификатор Bi, i от 1 до М; каждому пользователю в сети КРК назначен после первого обращения базовый ДПУ с идентификатором BAi;

каждый пользователь зарегистрирован на своем базовом ДПУ; каждому пользователю известны идентификаторы всех других пользователей, для связи с которыми ему требуется ключ;

каждый пользователь соединен с цифровой сетью передачи данных; при этом каждый ДПУ выполнен с возможностью

генерации квантовозащищенного ключа с любым другим ДПУ;

генерации квантового ключа QK с любым соседним ДПУ;

расчета квантового маршрута до любого другого ДПУ;

определения идентификатора базового ДПУ по заданному идентификатору пользователя;

регистрации пользователей, причем при регистрации пользователя на ДПУ производится аутентификация этого пользователя в сети квантового распределения ключей (КРК);

формирования при регистрации пользователя на текущем ДПУ локального ключа связи KN между ДПУ и пользователем, который сохраняется в ДПУ и у пользователя;

формировать и передавать пользователю зашифрованные сообщения на сформированном ключе связи KN через доверенную локальную линию связи;

хранить сформированные ключи для пар пользователей;

обслуживать пользователей в определенной территориальной зоне; при этом каждый пользователь обладает возможностью

получать и передавать данные через цифровую сеть передачи данных; получать и передавать данные в ДПУ при подключении через доверенную локальную линию связи;

шифровать и расшифровывать данные на сформированном ключе связи KN;

хранить и обрабатывать данные в процессе работы;

способ заключается в том, что:

осуществляют доверенным образом со стороны пользователя В1 первичное подключение к сети КРК на базовом ДПУ ВА1 в территориальной зоне его обслуживания через доверенную локальную линию связи, в процессе которого производят следующие действия:

регистрируют пользователя с присвоением идентификатора В1;

проводят аутентификацию пользователя в сети КРК с выработкой локального ключа связи K1;

передают идентификатор данного ДПУ ВА1 пользователю в качестве базового;

передают локальный ключ связи К1 пользователю;

осуществляют доверенным образом со стороны пользователя В2 первичное подключение к сети КРК на базовом ДПУ ВА2 в территориальной зоне его обслуживания через доверенную локальную линию связи, в процессе которого производят следующие действия:

регистрируют пользователя с присвоением идентификатора В2;

проводят аутентификацию пользователя в сети КРК с выработкой локального ключа связи K2;

передают идентификатор данного ДПУ ВА2 пользователю в качестве базового;

передают локальный ключ связи К2 пользователю;

при необходимости работы из другой выбранной территориальной зоны, осуществляют со стороны пользователя В1 подключение к сети КРК к выбранному текущему ДПУ А_Р, обслуживающему выбранную территориальную зону;

формируют и передают от ДПУ А_Р пользователю В1 локальный ключ связи КР с этим ДПУ;

высылают запрос от пользователя В1 в ДПУ А_р о предоставлении ключа для связи с выбранным пользователем В2;

получают запрос в ДПУ А_Р от пользователя В1 о предоставлении ключа; проводят со стороны ДПУ А_Р поиск в сети КРК базового ДПУ для пользователя В1;

получают в ДПУ А_Р идентификатор ВА1 базового ДПУ для пользователя В1;

высылают запрос из ДПУ А_Р в ДПУ ВА1 для получения ключа К12 для обеспечения связи пользователя В1 и пользователя В2;

проводят со стороны ДПУ ВА1 поиск в сети КРК базового ДПУ для пользователя В2;

получают в ДПУ ВА1 идентификатор ВА2 базового ДПУ для пользователя В2;

инициируют со стороны ДПУ ВА1 генерацию квантовозащищенного ключа К12 с ДПУ ВА2;

назначают и сохраняют в ДПУ ВА1 сгенерированный квантовозащищенный ключ в качестве ключа К12 для связи пользователя В1 и пользователя В2;

назначают и сохраняют в ДПУ ВА2 сгенерированный квантовозащищенный ключ в качестве ключа К12 для связи пользователя В1 и пользователя В2;

вычисляют в ДПУ ВА1 квантовый маршрут до ДПУ А_Р;

передают из ДПУ ВА1 ключ К12 по вычисленному квантовому маршруту в ДПУ А_Р, причем на каждом сегменте квантового маршрута между соседними ДПУ A_I и ДПУ A_J

зашифровывают ключ К12 на квантовом ключе QK_{I J} между соседними ДПУ;

передают ключ К12 в зашифрованном виде Y_{I J}=ENC_QK_{I J} (К12) на квантовом ключе QK_{I J} и между этими ДПУ;

получают в ДПУ А_Р зашифрованный ключ Y_{I J} от предпоследнего ДПУ квантового маршрута;

расшифровывают в ДПУ А_Р полученный зашифрованный ключ Y_{I J} и получают ключ К12;

зашифровывают в ДПУ А_Р полученный ключ К12 на локальном ключе связи KP;

передают из ДПУ А_Р зашифрованный ключ К12 пользователю В1;

получают на стороне пользователя В1 зашифрованный ключ К12;

расшифровывают на стороне пользователя В1 зашифрованный ключ К12 с помощью локального ключа связи KP, получая запрошенный ключ К12 для связи с пользователем В2;

при необходимости, осуществляют со стороны пользователя В1 отключение от ДПУ А_Р;

осуществляют со стороны пользователя В2 подключение к сети КРК к выбранному текущему ДПУ А_Т;

формируют и передают от ДПУ А_Т пользователю В2 локальный ключ связи КТ с этим ДПУ;

высылают запрос от пользователя В2 в ДПУ А_Т о предоставлении ключа для связи с выбранным пользователем В1;

получают запрос в ДПУ А_Т от пользователя В2 о предоставлении ключа;

проводят со стороны ДПУ А_Т поиск в сети КРК базового ДПУ для пользователя В2;

получают в ДПУ А_Т идентификатор ВА2 базового ДПУ для пользователя В2;

высылают запрос из ДПУ А_Т в ДПУ ВА2 для получения ключа К12 для обеспечения связи пользователя В1 и пользователя В2;

вычисляют в ДПУ ВА2 квантовый маршрут до ДПУ А_Т;

передают из ДПУ ВА2 ключ К12 по вычисленному квантовому маршруту в ДПУ А_Т, причем на каждом сегменте квантового маршрута между соседними ДПУ A_I и ДПУ A_J

зашифровывают ключ К12 на квантовом ключе QK_{I J} между соседними ДПУ;

передают ключ К12 в зашифрованном виде Y_{I J}=ENC_QK_{I J} (К12) на квантовом ключе QK_{I J} между этими ДПУ;

получают в ДПУ А_Т зашифрованный ключ Y_{I J} от предпоследнего ДПУ квантового маршрута;

расшифровывают в ДПУ А_Т полученный зашифрованный ключ Y_{i j} и получают ключ К12;

зашифровывают в ДПУ А_Т ключ К12 на локальном ключе связи KT;

передают из ДПУ А_Т зашифрованный ключ К12 пользователю В2;

получают на стороне пользователя В2 зашифрованный ключ К12;

расшифровывают на стороне пользователя В2 зашифрованный ключ К12 с помощью локального ключа KT, получая запрошенный ключ К12 для связи с пользователем В1;

при необходимости, осуществляют со стороны пользователя В2 отключение от ДПУ А_Т;

при необходимости, осуществляют обмен сообщениями между пользователем В1 и пользователем В2, зашифрованными на ключе К12, через цифровую сеть передачи данных.

2. Способ по п. 1, в котором после получения запроса в ДПУ А_Р от пользователя В1 о предоставлении ключа для связи с выбранным пользователем В2

проводят со стороны ДПУ А_Р поиск в сети КРК базового ДПУ для пользователя В2;

получают в ДПУ А_Р идентификатор ВА2 базового ДПУ для пользователя В2;

инициируют со стороны ДПУ А_Р генерацию квантовозащищенного ключа с ДПУ ВА2;

назначают и сохраняют в ДПУ А_Р сгенерированный квантовозащищенный ключ ключом К12 для пары пользователей В1 и В2;

назначают и сохраняют в ДПУ ВА2 сгенерированный квантовозащищенный ключ в качестве ключа К12 для пары пользователей В1 и В2;

зашифровывают в ДПУ А_Р полученный ключ К12 на локальном ключе связи KP;

передают из ДПУ А_Р зашифрованный ключ К12 пользователю В1;

получают на стороне пользователя В1 зашифрованный ключ К12;

расшифровывают на стороне пользователя В1 зашифрованный ключ К12 с помощью локального ключа КР, получая запрошенный ключ К12 для связи с пользователем В2;

при необходимости, осуществляют со стороны пользователя В1 отключение от ДПУ А_Р;

осуществляют со стороны пользователя В2 подключение к сети КРК к выбранному текущему ДПУ А_Т и получение ключа К12.

3. Способ по п. 1, в котором ключ К12 перед передачей по квантовому маршруту от базового ДПУ ВА1 на текущий ДПУ А_Р, к которому подключен пользователь, зашифровывают на ключе связи К1 пользователя и его базового ДПУ, при этом

получают на стороне пользователя В1 от ДПУ А_Р зашифрованный последовательно на ключе связи К1 и локальном ключе КР ключ К12;

расшифровывают на стороне пользователя В1 с помощью локального ключа KP полученный зашифрованный ключ, получая ключ связи, зашифрованный на ключе связи К1;

расшифровывают на стороне пользователя В1 с помощью локального ключа K1 полученный зашифрованный ключ, получая запрошенный ключ К12 для связи с пользователем В2.

4. Способ по п. 1, в котором пользователь при запросе ключа для связи с другим пользователем указывает пару идентификаторов базовых ДПУ, соответствующих паре пользователей в запросе.

5. Способ по п. 1, в котором передача запрошенного ключа К12 от базового ДПУ ВА1 осуществляется пользователю через цифровую сеть передачи данных с защитой на ключе связи K1.