Аппаратная архитектура специальных носителей «Секрет»

В.А. Тюнин, ЗАО «ОКБ САПР», г.Пенза, vt@penza.okbsapr.ru,

П.Н. Лаптев, ЗАО «ОКБ САПР», г.Пенза, lpn@penza.okbsapr.ru,

С.Л. Простяков, ЗАО «ОКБ САПР», г.Пенза, sergey@penza.okbsapr.ru

Линейка специальных носителей информации под общей маркой «Секрет» представляет собой семейство защищенных USB-накопителей. Особенностью программно-аппаратного комплекса (ПАК) «Секрет» является использование протоколов аутентификации с применением криптографии [1].

Схема, приведенная на рисунке 1, помогает понять общие принципы функционирования специальных носителей (СН) «Секрет».

Рисунок 1 - Обобщенная схема СН семейства «Секрет»

На рисунке 1 использованы следующие условные обозначения.

«Носитель информации» - запоминающее устройство, содержащее защищаемые данные и удовлетворяющее спецификации для USB-устройств класса Mass Storage device

«Блок ограничения доступа» - исполнительный механизм для ограничения доступа к «Носителю информации».

«Вычислитель» - микропроцессорное устройство, производящее все вычисления, связанные с идентификацией и аутентификацией, а также управляющее «Блоком ограничения доступа».

Вычислитель СН «Секрет» совместно с программным обеспечением (ПО) рабочей станции (РС), ПО сервера аутентификации (СА) участвует в процедурах регистрации СН и взаимной аутентификации [2].

В результате успешного прохождения процедуры регистрации СН, во внутренней энергонезависимой памяти вычислителя сохраняются ключи аутентификации СН и РС (СА).

Безопасность хранения ключей в энергонезависимой памяти вычислителя базируется на отсутствии доступных злоумышленнику процедур, позволяющих получить значения ключей аутентификации.

Все устройства из линейки питаются от шины USB. Их работа начинается после подключения к соответствующему разъему РС, в этот момент блоком ограничения доступа запрещено обращение к носителю информации со стороны интерфейса USB. Дальнейшая последовательность событий следующая:

- вычислитель начинает исполнять программу, записанную в его внутренней энергонезависимой памяти;

- вычислитель выполняет инициализацию, самотестирование и проверку целостности программного обеспечения и данных, хранящихся в его внутренней энергонезависимой памяти;

- вычислитель как USB-устройство выполняет функции подключения к интерфейсу USB в соответствии с технологией Plug and Play, в результате чего операционная система РС распознает устройство «Секрет» и загружает его драйвер;

- вычислитель ожидает необходимые данные для проведения идентификации и аутентификации, а после их получения производит вычисления, результатом которых является принятие решения об открытии доступа к носителю информации;

- если идентификация и/или аутентификация не увенчались успехом, то в доступе будет отказано, вычислитель не даст указание блоку ограничения доступа, разрешающее обращение к носителю информации со стороны интерфейса USB; таким образом, доступ к носителю информации будет по-прежнему запрещен, а вычислитель возвращается в предыдущее состояние, т. е. состояние ожидания данных для проведения идентификации и аутентификации;

- если идентификация и аутентификация прошли успешно, то вычислитель дает указание блоку ограничения доступа, разрешающее обращение к носителю информации со стороны интерфейса USB, и поддерживает его в таком состоянии до отключения питания, т. е. до момента отсоединения СН «Секрет» от разъема РС;

- носитель информации как USB-устройство выполняет функции подключения к интерфейсу USB в соответствии с технологией Plug and Play; в результате этого операционная система распознает устройство Mass Storage device и загружает его драйвер;

- с этого момента и до отсоединения СН «Секрет» от разъема USB РС пользователь получает полный доступ к содержимому носителя информации как к USB-диску.

СН «Секрет» в исполнении «Профессиональный секрет» кроме аутентификации использует еще и прозрачное для пользователя шифрование данных на носителе информации (алгоритм ГОСТ 28147-89), что требует большей (по сравнению с СН «Личный секрет»/«Секрет фирмы») производительности вычислителя, большего объёма энергонезависимой памяти для хранения ПО и ключей. Кроме того, СН «Профессиональный секрет» имеет принципиально другую реализацию блока разграничения доступа, который, вообще говоря, сложно выделить и рассматривать независимо от вычислителя. Таким образом, приведенную выше схему можно преобразовать к виду, показанному на рисунке 2.

Рисунок - Обобщенная схема СН «Профессиональный секрет»

Данные схемы успешно реализованы в СН семейства «Секрет». Общее представление об устройстве аппаратной части СН позволит покупателям сделать осознанный выбор конкретного типа ПАК «Секрет» на основании требований безопасности и личных предпочтений.

Литература

1. Грунтович М.М. Защита флеш-дисков. // Тезисы докладов II Международной научно-практической конференции «Современные информационные компьютерные технологии», Гродно, Беларусь, 26-28 апреля 2010 г.

2. Хазов Р.Ю. Программно-аппаратный комплекс «Секрет».// В этом же сборнике

Авторы: Лаптев П. Н.; Простяков С. Л.

Дата публикации: 01.01.2010

Библиографическая ссылка: Лаптев П. Н., Простяков С. Л. Аппаратная архитектура специальных носителей «Секрет» // Комплексная защита информации. Материалы XV международной научно-практической конференции (Иркутск (Россия), 1–4 июня 2010 г.). М., 2010. С. 157–159.