Построение систем защиты информации на базе контроллера "Аккорд СБ/2"

В.В. Лысенко, Д.Ю. Счастный, Россия, Москва, ОКБ САПР

Контроллер "Аккорд СБ/2".

Контроллер "Аккорд СБ/2" представляет собой bus-master PCI устройство, что позволяет ему работать параллельно с основным процессором компьютера. Структурно контроллер "Аккорд СБ/2" состоит из двух модулей: базовой платы и мезонина. Базовая плата содержит:

• I/O processor Intel 80960VH100;
• ОЗУ (4 М);
• энергонезависимую память данных (от 8 М до 1 Г);
• энергонезависимую память кода (512 К);
• генератор случайных чисел;
• TM интерфейс для работы с Touch Memory;
• 2 реле для физического включения/отключения внешних устройств;
• часы реального времени.

Мезонин обычно содержит микросхему ПЛИС (FPGA), которая служит для аппаратной реализации какого-либо алгоритма обработки информации. На мезонине могут быть размещены самые разнообразные устройства.

Такая архитектура обеспечивает большую гибкость при разработке различного программного обеспечения. ПО базовой платы обычно выполняет функции диспетчера и обмена информацией через шину PCI, а ПО мезонина позволяет выполнять специфические функции, например, быстрого шифрования или хэширования.

Примеры реализации СЗИ на базе контроллера "Аккорд СБ/2".

Шифрование файлов.

Простейшим примером использования контроллера является система шифрования файлов. Внутреннее ПО контроллера обеспечивает работу с ключами (считывает ключ шифрования из TM - идентификатора или хранит его внутри контроллера) и принимает данные от приложения и передает их ПО мезонина для шифрования/расшифрования на выбранном ключе. Приложение, работающее под управлением ОС, через драйвер контроллера:

• предоставляет пользователю возможность выбора метода установки ключа шифрования (внутренний ключ или внешний);
• поблочно читает файл и передает считанные данные в контроллер.

Шифрование файлов, организованное по такой схеме, позволяет достаточно быстро и надежно обеспечить защиту данных от несанкционированного доступа.

Прозрачное шифрование разделов диска.

Чуть более сложная система позволяет организовать прозрачное шифрование разделов жесткого диска. В этом случае содержимое раздела шифруется незаметно для пользователя. Функциональность внутреннего ПО контроллера схожа с шифрованием файлов (шифрование/расшифрование данных на установленных ключах). Внешнее ПО, работающее в операционной системе, представляет собой фильтр-драйвер, которые модифицирует данные при чтении/записи секторов раздела диска:

• считанные данные расшифровываются перед передачей приложению;
• записываемые данные зашифровываются перед передачей драйверу раздела.

Применение контроллера "Аккорд СБ/2" обеспечивает надежную работу с ключами и быстрое аппаратное шифрование.

Наложенная сеть.

Еще одной СЗИ, построенной на базе контроллера "Аккорд СБ/2", является "наложенная сеть". Эта СЗИ обеспечивает защищенную передачу данных по ЛВС. В рамках существующей ЛВС выделяется некоторая совокупность ПЭВМ, которые будут обмениваться данными только между собой. Причем, передача данных осуществляется в зашифрованном виде. В такой СЗИ внутреннее ПО контроллера выполняет следующие функции:

• управление базой данных ключей (каждой ПЭВМ соответствует свой ключ шифрования);
• шифрование данных на том ключе, который соответствует адресу получателя;
• расшифрование данных на собственном ключе.

Внешнее ПО представляет собой промежуточный драйвер NDIS (NDIS intermediate driver). Особенностью такого драйвера является то, что встраивается между драйвером сетевой карты и драйвером сетевого протокола транспортного уровня. Все данные, уходящие в ЛВС или приходящие из нее, проходят через него. Функции внешнего ПО следующие:

• фильтрация пакетов по адресам источника и приемника;
• передача данных для модификации в контроллер;
• обеспечение работоспособности сети.

Тесная взаимосвязь с контроллером "Аккорд СБ/2" позволяет добиться надежной и защищенной передачи данных через ЛВС.

Перспективы развития.

Создание криптопровайдера.

Анализируя работу всех вышеперечисленных СЗИ, можно выделить общую функциональность использования контроллера - шифрование / расшифрование данных на некоторых ключах, хранимых в контроллере. Следующим этапом развития видится разработка такого ПО, которое использовалось бы в максимальном количестве приложений без переработок, то есть приведение функциональности контроллера к некоторым стандартам. Одним из примеров такого стандарта можно считать спецификацию криптопровайдера от Microsoft. Учитывая тот факт, что многие приложения могут работать со сторонними криптопровайдерами, будет правильно разработать свой собственный криптопровайдер, в котором работа с ключами, шифрованием, ЭЦП и т. д. будет реализована во внутреннем ПО. Тем самым будет достигнута надежность аппаратной реализации в сочетании с гибкостью применения.

Варианты развития мезонина.

Еще одним интересным вариантом развития контроллера "Аккорд СБ/2" видится создание мезонинов с расширенной функциональностью (например, размещение на мезонине сетевого адаптера Ethernet или IDE контроллера). Для операционной системы такой контроллер будет представляться обычным устройством. Но вся логика работы будет реализована внутри контроллера, что позволит увеличить быстродействие и обеспечит независимость от самой операционной системы.

Авторы: Лысенко В. В.; Счастный Д. Ю.

Дата публикации: 01.01.2004

Библиографическая ссылка: Лысенко В. В., Счастный Д. Ю. Построение систем защиты информации на базе контроллера «Аккорд СБ/2» // Комплексная защита информации. Сборник материалов VIII международной конференции 23–26 марта 2004 года, Валдай. Минск, 2004. С. 156–157.

---