Доклады, выступления, видео и электронные публикации
Аппаратная архитектура специальных носителей «Секрет»
В.А. Тюнин, ЗАО «ОКБ САПР», г.Пенза, vt@penza.okbsapr.ru,
П.Н. Лаптев, ЗАО «ОКБ САПР», г.Пенза, lpn@penza.okbsapr.ru,
С.Л. Простяков, ЗАО «ОКБ САПР», г.Пенза, sergey@penza.okbsapr.ru
Линейка специальных носителей информации под общей маркой «Секрет» представляет собой семейство защищенных USB-накопителей. Особенностью программно-аппаратного комплекса (ПАК) «Секрет» является использование протоколов аутентификации с применением криптографии [1].
Схема, приведенная на рисунке 1, помогает понять общие принципы функционирования специальных носителей (СН) «Секрет».
Рисунок 1 - Обобщенная схема СН семейства
«Секрет»
На рисунке 1 использованы следующие условные обозначения.
«Носитель информации» - запоминающее устройство, содержащее защищаемые данные и удовлетворяющее спецификации для USB-устройств класса Mass Storage device
«Блок ограничения доступа» - исполнительный механизм для ограничения доступа к «Носителю информации».
«Вычислитель» - микропроцессорное устройство, производящее все вычисления, связанные с идентификацией и аутентификацией, а также управляющее «Блоком ограничения доступа».
Вычислитель СН «Секрет» совместно с программным обеспечением (ПО) рабочей станции (РС), ПО сервера аутентификации (СА) участвует в процедурах регистрации СН и взаимной аутентификации [2].
В результате успешного прохождения процедуры регистрации СН, во внутренней энергонезависимой памяти вычислителя сохраняются ключи аутентификации СН и РС (СА).
Безопасность хранения ключей в энергонезависимой памяти вычислителя базируется на отсутствии доступных злоумышленнику процедур, позволяющих получить значения ключей аутентификации.
Все устройства из линейки питаются от шины USB. Их работа начинается после подключения к соответствующему разъему РС, в этот момент блоком ограничения доступа запрещено обращение к носителю информации со стороны интерфейса USB. Дальнейшая последовательность событий следующая:
- вычислитель начинает исполнять программу, записанную в его внутренней энергонезависимой памяти;
- вычислитель выполняет инициализацию, самотестирование и проверку целостности программного обеспечения и данных, хранящихся в его внутренней энергонезависимой памяти;
- вычислитель как USB-устройство выполняет функции подключения к интерфейсу USB в соответствии с технологией Plug and Play, в результате чего операционная система РС распознает устройство «Секрет» и загружает его драйвер;
- вычислитель ожидает необходимые данные для проведения идентификации и аутентификации, а после их получения производит вычисления, результатом которых является принятие решения об открытии доступа к носителю информации;
- если идентификация и/или аутентификация не увенчались успехом, то в доступе будет отказано, вычислитель не даст указание блоку ограничения доступа, разрешающее обращение к носителю информации со стороны интерфейса USB; таким образом, доступ к носителю информации будет по-прежнему запрещен, а вычислитель возвращается в предыдущее состояние, т. е. состояние ожидания данных для проведения идентификации и аутентификации;
- если идентификация и аутентификация прошли успешно, то вычислитель дает указание блоку ограничения доступа, разрешающее обращение к носителю информации со стороны интерфейса USB, и поддерживает его в таком состоянии до отключения питания, т. е. до момента отсоединения СН «Секрет» от разъема РС;
- носитель информации как USB-устройство выполняет функции подключения к интерфейсу USB в соответствии с технологией Plug and Play; в результате этого операционная система распознает устройство Mass Storage device и загружает его драйвер;
- с этого момента и до отсоединения СН «Секрет» от разъема USB РС пользователь получает полный доступ к содержимому носителя информации как к USB-диску.
СН «Секрет» в исполнении «Профессиональный секрет» кроме аутентификации использует еще и прозрачное для пользователя шифрование данных на носителе информации (алгоритм ГОСТ 28147-89), что требует большей (по сравнению с СН «Личный секрет»/«Секрет фирмы») производительности вычислителя, большего объёма энергонезависимой памяти для хранения ПО и ключей. Кроме того, СН «Профессиональный секрет» имеет принципиально другую реализацию блока разграничения доступа, который, вообще говоря, сложно выделить и рассматривать независимо от вычислителя. Таким образом, приведенную выше схему можно преобразовать к виду, показанному на рисунке 2.
Рисунок - Обобщенная схема СН «Профессиональный секрет»
Данные схемы успешно реализованы в СН семейства «Секрет». Общее представление об устройстве аппаратной части СН позволит покупателям сделать осознанный выбор конкретного типа ПАК «Секрет» на основании требований безопасности и личных предпочтений.
Литература
1. Грунтович М.М. Защита флеш-дисков. // Тезисы докладов II Международной научно-практической конференции «Современные информационные компьютерные технологии», Гродно, Беларусь, 26-28 апреля 2010 г.
2. Хазов Р.Ю. Программно-аппаратный комплекс «Секрет».// В этом же сборнике
Авторы: Лаптев П. Н.; Простяков С. Л.
Дата публикации: 01.01.2010
Библиографическая ссылка: Лаптев П. Н., Простяков С. Л. Аппаратная архитектура специальных носителей «Секрет» // Комплексная защита информации. Материалы XV международной научно-практической конференции (Иркутск (Россия), 1–4 июня 2010 г.). М., 2010. С. 157–159.
Обратная связь
Отправьте нам сообщение или закажите обратный звонок.