Устройство криптографической защиты информации, передаваемой по сетям связи

Изобретение относится к области связи и вычислительной технике и может быть использовано в устройствах передачи данных.

Известно устройство передачи данных с сохранением и защитой информации (см. описание полезной модели RU №158591, МПК Н04М 3/487).

Известно также устройство защиты данных с переводом (см. патент RU №2631983, МПК G06F 21/60).

К недостаткам данных устройств относится низкий уровень защиты информации от несанкционированного доступа.

Наиболее близким аналогом, т.е. прототипом, является устройство, описанное в патенте RU №2164038, МПК G06F 12/14, H04L 9/32, и содержащее информационно-управляющую систему с топологией «звезда», оперирующее информацией конфиденциального характера. Устройство содержит i абонентских модулей и центральный модуль аутентификации, причем в состав абонентского модуля введены блок хранения ключей, блок персональных данных и блок шифрования, а центральный модуль имеет второй блок шифрования. Недостатком известного устройства являются низкий уровень защиты информации, передаваемой через телекоммуникационную сеть.

Техническим результатом изобретения является повышение уровня защиты информации и возможность передачи секретной информации по открытым каналам связи.

УКЗИ обеспечивает двойное шифрование, передаваемой информации, на канальном и абонентском (представительском) уровне с помощью симметричных ключей парной связи, уникальных для каждого сеанса взаимодействия.

Сущность предлагаемого устройства заключается в том, что устройство криптографической защиты информации, передаваемой по сетям связи, содержащее i абонентских модулей, где i=1÷N, и один центральный модуль передачи данных (ЦМ), при этом каждый из абонентских модулей (AM) содержит последовательно соединенные двойными линиями связи блок ввода-вывода, интерфейс с тремя входами-выходами, процессор с 8-ю входами-выходами, блок памяти с 4-мя, приемо-передатчик с 4-мя входами-выходами, где второй вход-выход интерфейса AM соединен двойной линией связи с блоком формирования пакетов, вход-выход которого соединен с 1-м входом-выходом блока абонентского шифрования, а 2-й, 3-й, 4-й, 5-й, 6-й, 7-й и 8-й вход-выход процессора соответственно соединены двойными линиями связи с блок абонентского шифрования, с блоком канального шифрования, с приемо-передатчиком, с блоком абонентского шифрования, с блоком канального дешифрования и с носителем информации, а 2-й, 3-й и 4-й вход-выход приемо-передатчика AM соответственно соединены двойными линиями связи с блоком канального шифрования, с блоком канального дешифрования и с телекоммуникационной сетью связи, причем ЦМ устройства имеет блок управления с 7-ю входами-выходами, которые двойными линиями связи соответственно соединены с интерфейсом управления, с интерфейсом управления информационной безопасностью, с блоком памяти ключей шифрования, с блоком аутентификации абонентов, 2-й вход-выход которого соединен двойной линий связи с блоком памяти адресов абонентов, а 5-й, 6-й и 7-й входы-выходы блока управления соответственно соединены с сервером абонентского шифрования, блоком памяти ЦМ и сервером канального шифрования, а 1-й вход-выход блока управления двойными линиями связи соединен с интерфейсом управления, а интерфейс управления информационной безопасностью двойными линиями связи соединен с блоком управления ключами шифрования, и приемопередатчик ЦМ с 4-мя входами-выходами последовательно соединен двойными линиями связи с телекоммуникационной сетью связи, с сервером канального шифрования, блоком канального шифрования, с блоком канального дешифрования, сервер же канального шифрования соединен последовательно с блоком памяти ЦМ, с сервером абонентского шифрования, входы-выходы которого соответственно соединены двойными линиями связи с блоком абонентского шифрования ЦМ, блоком абонентского дешифрования ЦМ и блоком формирования пакетов ЦМ.

Техническая реализация устройства осуществляется на элементной базе компьютерной техники с помощью промышленных аппаратно-программных средств.

На фиг. 1 представлена функциональная схема заявленного устройства криптографической защиты информации, передаваемой по сетям связи, где каждый абонентский модуль устройства содержит:

- блок ввода-вывода - 1,

- интерфейс - 2,

- блок формирования пакетов - 3,

- процессор - 4,

- носитель информации - 5,

- блок памяти - 6,

- блок абонентского шифрования - 7,

- блок абонентского дешифрования - 8,

- блок канального шифрования - 9,

- блок канального дешифрования - 10,

- приемо-передатчик - 11,

а центральный модуль передачи данных (ЦМ) устройства содержит:

- приемо-передатчик ЦМ - 12,

- сервер канального шифрования - 13,

- блок канального шифрования ЦМ - 14,

- блок канального дешифрования - 15,

- блок памяти ЦМ - 16,

- сервер абонентского шифрования - 17,

- блок абонентского шифрования ЦМ - 18,

- блок абонентского дешифрования ЦМ - 19,

- блок формирования пакетов ЦМ - 20,

- блок управления - 21,

- интерфейс управления - 22,

- интерфейс управления информационной безопасностью (ИБ) - 23,

- блок управления ключами шифрования - 24,

- блок памяти ключей шифрования - 25,

- блок аутентификации абонентов - 26,

- блок памяти адресов абонентов - 27.

Пакет данных, передаваемый в ЦМ, состоит из:

- идентификационной части, позволяющей в ЦМ выполнить достоверную идентификацию и аутентификацию абонента,

- адресной части, определяющей перечень абонентов, которым через ЦМ должна быть передана содержательная часть пакета абонентской информации,

- содержательной части, предназначенной для передачи в зашифрованном виде перечню абонентов, указанных в адресной части.

Техническая реализация устройства показана на примере работы одного сеанса передачи пакета данных от абонентского модуля отправителя (АМО) через центральный модуль (ЦМ) к абонентскому модулю получателя (АМП).

Блок ввода-вывода AM (1) через интерфейс AM (2) переводит процессор (4) в режим абонентского шифрования и через интерфейс AM (2) и процессор (4) переносит с носителя информации (5) открытые абонентские данные, предназначенные для шифрования и передачи одному или нескольким абонентам устройства, в блок формирования пакетов (3). Блок ввода-вывода AM (1) через интерфейс (2) инициирует работу блока абонентского шифрования (7) для шифрования содержательной части пакета, при этом и производит шифрование на абонентском уровне содержательной части абонентских данных, хранящихся в блоке формирования пакетов (3) с использованием криптографического парного с центральным модулем синхронного ключа абонентского шифрования. Зашифрованная на абонентском уровне содержательная часть сохраняется в блок формирования пакетов (3). Блок ввода-вывода AM (1) через интерфейс (2) и процессор (4) формирует в блоке формирования пакетов (3) пакет для передачи, состоящий из идентификационной части (кода пакета, идентификатор абонентского модуля и т.д.), адресной части, включающей адреса М получателей, и ранее зашифрованной на абонентском уровне содержательной части абонентских данных. Блок ввода-вывода AM (1) через интерфейс (2) и процессор (4) инициирует сохранение сформированного ранее пакета в блок памяти AM (6). После сохранения в блоке памяти (6) пакет из блока формирования пакетов (3) удаляется. Блок ввода-вывода AM (1) через интерфейс (2) переводит процессор (3) в режим канального шифрования и через интерфейс (2) и процессор (3) инициирует передачу подготовленного в блоке памяти (6) пакета. Процессор (3) через приемо-передатчик (11) и телекоммуникационную сеть передает на приемо-передатчик ЦМ (12) сигнал, содержащий уникальный код AM о готовности к передаче. Приемопередатчик передает уникальный код AM через сервер канального шифрования (13) в блок управления (21). Блок управления (21) в соответствии с уникальным кодом AM проводит через блок аутентификации абонентов (26) аутентификацию AM отправителя и после успешного завершения операции через интерфейс управления информационной безопасностью (25) и блок управления ключами шифрования (24) выгружает из блока памяти ключей шифрования (25) ключ канального шифрования, соответствующего АМО и загружает его через сервер канального шифрования (13) в блок канального шифрования (15). После загрузки ключа сервер канального шифрования (13) передает через приемо-передатчик ЦМ (12) и телекоммуникационную сеть сигнал «истина» в приемо-передатчик AM (11) отправителя. После получения сигнала «истина» приемо-передатчик AM (11) инициирует передачу подготовленного ранее пакета из блока памяти AM (6) в блок канального шифрования (9), в котором происходит шифрование пакета на канальном уровне с использованием парного с ЦМ синхронного ключа канального шифрования, хранящегося в блоке канального шифрования (9), и передается через приемо-передатчик (11) и телекоммуникационную сеть в приемо-передатчик ЦМ (12). Из приемопередатчика ЦМ (12) пакет, зашифрованный на абонентском и канальном уровне, попадает в блок канального дешифрования (15), в котором происходит дешифрование пакета на канальном уровне с использованием парного с ЦМ синхронного ключа канального шифрования, загруженного в блок канального шифрования (9). Расшифрованный на канальном уровне пакет из блока канального дешифрования (15) передается на сервер канального шифрования (13), который записывает пакет в блок памяти ЦМ (16) и последовательно передает сигнал «истина» и расшифрованные идентификационную и адресную части пакета на блок управления (21). В случае если процесс дешифрования не был успешно завершен, то сервер канального шифрования (12) передает сигнал «сбой» через приемопередатчик ЦМ (12) и телекоммуникационную сеть в приемо-передатчик AM (11) и синхронно в блок управления (21). Процесс передачи пакета устройством на этом прерывается. После получения сигналов (п. 12) блок управления (21) передает идентификационную и адресную части пакета, в блок аутентификации абонентов (26). Блок аутентификации абонентов (26) извлекает из блока памяти адресов абонентов (27) записи, соответствующие AM отправителю и AM, получателям и выполняет аутентификация AM. Сигнал «истина», подтверждающий успешную аутентификацию AM отправителя и AM получателей передается через блок управления (21) в интерфейс управления (22). Интерфейс управления (22), получив сигнал «истина» от блока управления (21), формирует в блоке управления (21) последовательную серию из М команд для запуска дешифрования пакета с использованием парного с AM получателя синхронного ключа абонентского шифрования зашифрованных абонентских данных, хранящихся в блоке памяти ЦМ (16) и абонентского одновременного дешифрования и шифрования с использованием парных с каждым из М абонентов синхронных ключей абонентского шифрования, хранящихся в блоке памяти ключей шифрования (25), и формирования в блоке памяти ЦМ (16) М зашифрованных пакетов для отправки абонентам. После формирования команд блок управления (21) формирует и передает сигнал «истина» в интерфейс управления ИБ (23). Интерфейс управления ИБ (23) выполняет проверку сформированных команд и инициирует передачу из блока памяти ключей шифрования (25) через блок управления ключами (24) ключей абонентского шифрования в блок управления (21), соответствующего AM отправителя и М ключей абонентского и М ключей канального шифрования, соответствующих AM получателей. После получения необходимых ключей блок управления (21) передает сигнал «истина» в интерфейс управления (22). После получения сигнала «истина» интерфейс управления (22) инициирует сигнал управления, инициирующий серию передач в блок управления (21). Блок управления (21) формирует и передает последовательно серию из М сигналов управления на сервер абонентского шифрования (17), содержащих в каждом сигнале ключ абонентского шифрования AM отправителя и ключ абонентского шифрования i-го AM получателя и синхронно серию сигналов управления на блок канального шифрования (14), содержащих ключ канального шифрования i-го AM получателя. Сервер абонентского шифрования (17) после получения сигнала управления последовательно М раз извлекает из блока памяти (16) зашифрованные на абонентском уровне данные и выполняет через блок абонентского дешифрования (19) дешифрование с использованием полученных от блока управления (21) синхронного ключа парного с AM отправителя и через блок абонентского шифрования (18) шифрование содержательной части пакета с использованием синхронных ключей парных соответствующим i-му AM получателя. Операция перешифрования выполняется как единая команда без промежуточной записи результатов дешифрования в блок памяти (16). После перешифрования содержательной части пакета сервер абонентского шифрования (17) формирует в блоке формирования пакетов (20) пакет для передачи, включающий зашифрованную на абонентском уровне содержательную часть, идентификационную часть, соответствующую AM отправителя и адресную часть, соответствующую i-му AM получателю. Сформированный в блоке формирования пакетов (20) пакет через сервер абонентского шифрования (17) записывается в блок памяти (16) и после завершения записи сервер абонентского шифрования (17) передает сигнал «истина» на блок управления (21). После получения сигнала «истина» от сервера абонентского шифрования (17) блок управления (21) формирует и передает сигнал управления на сервер канального шифрования (13). Сервер канального шифрования (13) передает подготовленный пакет в блок канального шифрования (15), содержащий загруженный ключ канального шифрования, соответствующий i-му AM получателя. В блоке канального шифрования (15) выполняется шифрование пакета на канальном уровне с использованием ключа парной связи канального шифрования и зашифрованный пакет передается через приемо-передатчик ЦМ (12) и телекоммуникационную сеть на приемо-передатчик i-го АМП (11). Процессы абонентского перешифрования, загрузки в блок памяти (16), канального шифрования и передачи повторяются М раз с применением М синхронных ключей парной связи на абонентском и канальном уровне. Приемопередатчик АМП (11) передает пакет на блок канального дешифрования АМП (10), в котором автоматически выполняется дешифрование данных на канальном уровне с использованием парного с ЦМ синхронного ключа канального шифрования, хранящегося в блоке канального дешифрования АМП (10) и далее передается на процессор (4). Процессор (4), находясь в стационарном режиме в состоянии канального шифрования, принимает от блока канального дешифрования АПМ (10), зашифрованный на абонентском уровне пакет и записывает его в блок памяти (6). После записи процессор (4) передает через интерфейс (2) в блок ввода-вывода (1) сигнал «истина», подтверждающий прием пакета. Блок ввода/вывода (1), получив сигнал о приеме пакета, переводит процессор (4) в режим абонентского шифрования. Блок ввода-вывода (1) через интерфейс (2) передает на процессор (4) управляющий сигнал и инициирует процесс абонентского дешифрования. Содержательная часть пакета передается через процессор (4) из блока памяти АМП (6) в блок абонентского дешифрования (8), в котором происходит дешифрование с использованием парного с ЦМ синхронного ключа абонентского шифрования, хранящегося в блоке абонентского дешифрования (8). Дешифрованная содержательная часть пакета из блока абонентского дешифрования (8) через процессор (4) записываются в отдельную зону блока памяти (6). После завершения записи процессор (4) передает сигнал «истина» через интерфейс (2) в блок ввода-вывода (1). Блок ввода-вывода (1) через интерфейс (2) передает сигнал управления в процессор (4). Процессор (4) извлекает содержательную и идентификационную части пакета из соответствующих зон блока памяти (6) и записывает их на носитель информации (5). После завершения записи на носитель информации (5) процессор (4) формирует сигнал управления в блок памяти (6) и ранее записанная в блок памяти (5) информация удаляется.

Экономический результат изобретения заключается в повышении эффективности, надежности и безопасности информационного обмена между участниками рынка.

Устройство криптографической защиты информации, передаваемой по сетям связи, содержащее i абонентских модулей, где i=1÷N, и один центральный модуль передачи данных (ЦМ), при этом каждый из абонентских модулей (AM) содержит последовательно соединенные двойными линиями связи блок ввода-вывода, интерфейс с тремя входами-выходами, процессор с 8 входами-выходами, блок памяти с 4 входами-выходами, приемопередатчик с 4 входами-выходами, где второй вход-выход интерфейса AM соединен двойной линией связи с блоком формирования пакетов, вход-выход которого соединен с 1-м входом-выходом блока абонентского шифрования, а 2-й, 3-й, 4-й, 5-й, 6-й, 7-й и 8-й вход-выход процессора соответственно соединены двойными линиями связи с блоком абонентского шифрования, с блоком канального шифрования, с приемопередатчиком, с блоком абонентского дешифрования, с блоком канального дешифрования и с носителем информации, а 2-й, 3-й и 4-й вход-выход приемопередатчика AM соответственно соединены двойными линиями связи с блоком канального шифрования, с блоком канального дешифрования и с телекоммуникационной сетью связи, причем ЦМ устройства имеет блок управления с 7 входами-выходами, которые двойными линиями связи соответственно соединены с интерфейсом управления, с интерфейсом управления информационной безопасностью, с блоком памяти ключей шифрования, с блоком аутентификации абонентов, 2-й вход-выход которого соединен двойной линий связи с блоком памяти адресов абонентов, а 5-й, 6-й и 7-й входы-выходы блока управления соответственно соединены с сервером абонентского шифрования, блоком памяти ЦМ и сервером канального шифрования, а 1-й вход-выход блока управления двойными линиями связи соединен с интерфейсом управления, а интерфейс управления информационной безопасностью двойными линиями связи соединен с блоком управления ключами шифрования, и приемопередатчик ЦМ с 4 входами-выходами последовательно соединен двойными линиями связи с телекоммуникационной сетью связи, с сервером канального шифрования, блоком канального шифрования, с блоком канального дешифрования, сервер же канального шифрования соединен последовательно с блоком памяти ЦМ, с сервером абонентского шифрования, входы-выходы которого соответственно соединены двойными линиями связи с блоком абонентского шифрования ЦМ, блоком абонентского дешифрования ЦМ и блоком формирования пакетов ЦМ.