Высокоскоростное средство криптографической защиты информации

Полезная модель относится к средствам защиты информации криптографическими методами. Технический результат - обеспечение пропускной способности более 100 Гбит/с. Средство криптозащиты информации содержит вторичный источник электропитания и аппаратно-программную платформу для реализации криптографических преобразований передаваемой информации, четыре сетевых карты по одному высокоскоростному интерфейсу на каждой, из которых два для приема/передачи информации в открытом сегменте сети, два для приема/передачи информации в закрытом сегменте сети, интерфейс для получения ключевой информации от квантовой криптографической системы выработки и распределения ключей, интерфейс для ввода ключевой информаций с ключевых блокнотов. Вторичный источник электропитания и аппаратно-программная платформа располагается в отдельных экранированных отсеках корпуса. 1 ил.

Высокоскоростное средство криптографической защиты информации, содержащее последовательно соединённые вторичный источник электропитания и аппаратно-программную платформу, предназначенную для криптографических преобразований информации, состоящую из двух открытых и двух закрытых сетевых интерфейсов, интерфейса ввода ключей, интерфейса ввода ключей квантовой криптографической системы и модуля шифрования-расшифрования и формирования имитозащитной вставки, состоящего из двух сегментов, к каждому из которых подключено по одному открытому и одному закрытому сетевым интерфейсам, каждый сегмент содержит по два тракта обработки и криптографического преобразования информации: соответственно шифрования или расшифрования и формирования имитозащитной вставки в составе четырех вычислительных блоков, а сетевые интерфейсы, интерфейсы ввода ключей и модуль шифрования-расшифрования и формирования имитозащитной вставки размещены на объединительной плате.

Полезная модель высокоскоростное средство криптографической защиты информации относится к области защиты информации криптографическими методами и сетевых технологий и может быть использована для построения высокоскоростных, защищенных криптографическими методами, сетей передачи данных. Средство криптозащиты информации (СКЗИ) содержит вторичный источник электропитания и аппаратно-программную платформу для реализации криптографических преобразований передаваемой информации, четыре сетевых карты по одному высокоскоростному интерфейсу на каждой, из которых два для приема/передачи информации в открытом сегменте сети, два для приема/передачи информации в закрытом сегменте сети, интерфейс для получения ключевой информации от квантовой криптографической системы выработки и распределения ключей, интерфейс для ввода ключевой информации с ключевых блокнотов. Вторичный источник электропитания и аппаратно-программная платформа располагается в отдельных экранированных отсеках корпуса.

Описание аналогов

Известно высокоскоростное СКЗИ, имеющее скоростную способность до 100Гбит/с, Квазар-100, состоящее из блока с двумя сетевыми интерфейсами 100 Gbi Ethernet, интерфейсом ввода ключевой информации со смарт-карты, модулем криптографического преобразования информации. Класс защиты СКЗИ КСЗ. Аналог обеспечивает возможность применения в условиях необходимости наращивания производительности с помощью подключения нескольких устройств в сеть с применением технологий DWDM. Возможно использование СКЗИ на необслуживаемых объектах, реализовано уничтожение ключевой информации при опасных событиях и по команде оператора. Реализована возможность одновременной загрузки нескольких ключей для обеспечения плавного перехода при смене ключей (см. https://skzi.ru/documents/%D0%9A%D0%B2%D0°/oB0%D0%B7%D0%B0%D1%80-100.pdf, https://skzi.ru/catalog/kvazar-100/vmsh-tr/).

Известно высокоскоростное СКЗИ Dcrypt XG, имеющее скоростную способность до 100 Гбит/с, представляющее собой шасси размером 1U или 3U с возможностью установки до 2-х или 8 модулей шифрования с пропускной способностью до 100 Гбит/с каждый. Каждый модуль шифрования имеет два сетевых интерфейса QSFP28. Аппаратная платформа СКЗИ состоит из сетевого устройства со слотами расширения Control-Plane, аппаратно-программного модуля доверенной загрузки, сертифицированного ФСБ России для классов защиты КС2 и КСЗ, аппаратно-программного модуля расширения Diamond НЕМ. Высокопроизводительное СКЗИ можно использовать для защиты каналов на скоростях до 100 Гбит/сек в режиме full-duplex. Защищенное соединение устанавливается на втором уровне стандартной сетевой модели. При этом защищается не только тело данных, но и поля МАС-адресов и поле EtherType. СКЗИ имеет сертификаты ФСБ России по классам защиты КС1, КС2, КСЗ (см. https://tssltd.ru/products/dcrypt-xg/#tab-model-1).

Известно высокоскоростное СКЗИ «Пульсар», имеющее скоростную способность до 100 Гбит/с, реализуемое в нескольких вариантах исполнения, состоящие из одного или двух модулей шифрования, одного 100 Gbit Ethernet, четырех FC16 или трех FC32. Во всех вариантах исполнения СКЗИ предполагается подключение к линии связи с интерфейсом OTU4. Комплекс «Пульсар» предназначены для организации защиты 100 гигабитных каналов связи между территориально разнесенными центрами обработки данных, различными филиалами организации, обеспечения удаленного доступ в частную облачную инфраструктуру. Отличительной особенностью изделий данного комплекса является возможность дистанционной смены ключей СКЗИ по IP-сети и наличие функции мониторинга и управления сетью шифрованной связи. Обеспечивает увеличение пропускной способности сети при использовании дополнительного коммуникационного оборудования DWDM за счет мультиплексирования потоков нескольких СКЗИ в одно оптическое волокно. Изделие не имеет сертификата ФСБ России и на текущий момент проходит тематические исследования (см, https://softnhard.ru/product/pulsar-100/).

Известно высокоскоростное СКЗИ Centauris CN9000, имеющее скоростную способность до 100 Гбит/с, состоящее из модуля криптографической защиты информации, квантового генератора случайных чисел IDQ (Quantis QRNG), модулем распределения квантовых ключей, интерфейсов для подключения к сети. Изделие поддерживает шифрование одноадресной, широковещательной и многоадресной связи. В СКЗИ реализован алгоритм шифрования LEA (см. https://www.idquantique.com/quantum-safe-securily/products/centauris-cn9000-series/).

Наиболее близким по технической сущности является высокоскоростной модуль криптографических преобразований (см. Полезная модель РФ №88885, МПК H04L 9/00 (2006.01), опубл. 20.11.2009, бюл. №33). Высокоскоростной модуль криптографических преобразований содержит аппаратный вычислитель и открытый и закрытый интерфейсы, причем аппаратный вычислитель включает два независимых тракта обработки сетевых пакетов и интерфейс для подключения устройства ввода ключей шифрования, при этом в каждом тракте имеется несколько параллельно функционирующих элементарных вычислительных блоков и модули демультипликсирования и мультиплексирования, а сетевые интерфейсы и аппаратный вычислитель соединены объединительной платой. Изделие обеспечивает передачу информации со скоростью 10 Гбит/с.

Задачей полезной модели является создание высокоскоростного средства криптографической защиты информации, обеспечивающего пропускную способность более 100 Гбит/с за счет использования двух сетевых карт с интерфейсами 100 Гбит/с и модулей криптографической защиты, с возможностью получения ключевой информации, в том числе, от квантовой криптографической системы выработки и распределения ключей.

Указанная задача решается, а технический результат обеспечивается за счет того, что СКЗИ содержит аппаратно-программную платформу для реализации криптографических преобразований передаваемой информации, четыре высокоскоростных интерфейса 100 Гбит/с и два интерфейса для ввода ключевой информации, в том числе, с помощью квантовой криптографической системы выработки и распределения ключей.

Достоинством предлагаемой полезной модели является:

скорость передачи информации 125 Гбит/с и более;

возможность использования квантовых ключей, что позволяет сократить численность обслуживающего персонала и повысить защищенность системы в связи с невозможностью перехвата ключей в квантовом канале.

Поставленная цель достигается тем, что последовательно соединяют вторичный источник электропитания и аппаратно-программную платформу, предназначенную для криптографических преобразований информации, состоящую из двух открытых и двух закрытых сетевых интерфейсов, интерфейса ввода ключей, интерфейса ввода ключей квантовой криптографической системы, и модуля шифрования-расшифрования и формирования имитозащитной вставки, состоящего из двух сегментов, к каждому из которых подключают по одному открытому и одному закрытому сетевому интерфейсу, каждый сегмент содержит по два тракта обработки и криптографического преобразования информации: соответственно шифрования или расшифрования и формирования имитозащитной вставки в составе четырех вычислительных блоков, а сетевые интерфейсы, интерфейсы ввода ключей и модуль шифрования-расшифрования и формирования имитозащитной вставки размещают на объединительной плате.

Заявляемое средство поясняется фиг. 1, на которой показана структурная схема СКЗИ.

Аппаратно-программная платформа реализована на основе программируемой логической интегральной схемы и обеспечивает, во-первых, выполнение криптографических преобразований по ГОСТ 34.13-2018, и, во-вторых, четыре независимых высокоскоростных интерфейса 100 Гбит/с - по два в каждом сегменте. К открытому сегменту СКЗИ подключается оконечное абонентское сетевое оборудование, в котором циркулирует открытая информация. К закрытому сегменту СКЗИ подключаются каналообразующие средства, обеспечивающие обмен зашифрованной информацией между двумя образцами СКЗИ при их разнесении.

Каждый модуль шифрования (расшифрования) и формирования (проверки) имитозащитной вставки состоит, и свою очередь, из четырех элементарных блоков (вычислителей), обеспечивающих криптографические преобразования (шифрование, расшифрование и вычисление имитозащитной вставки) передаваемой информации но ГОСТ 34.13-2018 с производительностью 25 Гбит/с. В основе криптографических преобразований лежит блочный шифр с длиной блока 128 бит, выполненный по конвейерной схеме, при которой каждое LSX-преобразование, т.е. последовательность линейного преобразования (L), нелинейного преобразования (S) и операции сложения с ключом (X), реализовано в виде отдельного субблока и выполняется за один такт работы синхронной схемы. Это позволяет на каждом такте работы синхронной схемы обрабатывать новый блок входных данных и обеспечивает заявленную производительность.