RU2718217C1 - Способ обеспечения передачи зашифрованных данных со сменой ключей шифрования и имитозащиты в цифровой системе передачи данных - Google Patents

Способ обеспечения передачи зашифрованных данных со сменой ключей шифрования и имитозащиты в цифровой системе передачи данных Download PDF

Info

Publication number
RU2718217C1
RU2718217C1 RU2019110108A RU2019110108A RU2718217C1 RU 2718217 C1 RU2718217 C1 RU 2718217C1 RU 2019110108 A RU2019110108 A RU 2019110108A RU 2019110108 A RU2019110108 A RU 2019110108A RU 2718217 C1 RU2718217 C1 RU 2718217C1
Authority
RU
Russia
Prior art keywords
key
data
frame
value
messages
Prior art date
Application number
RU2019110108A
Other languages
English (en)
Inventor
Илья Иванович Калистру
Original Assignee
Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" filed Critical Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы"
Priority to RU2019110108A priority Critical patent/RU2718217C1/ru
Application granted granted Critical
Publication of RU2718217C1 publication Critical patent/RU2718217C1/ru

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

Изобретение относится к области вычислительной техники. Техническим результатом является снижение объема служебных данных, которые требуется передавать для обеспечения расшифрования данных и проверки подлинности сообщений. Раскрыт способ обеспечения передачи зашифрованных данных со сменой ключей шифрования и имитозащиты в цифровой системе передачи данных, содержащей по крайней мере один компьютер, отправляющий защищенные сообщения в виде последовательности кадров цифровых данных через сеть передачи данных и выполненный с возможностью формировать кадры данных, содержащие поле данных, служебное поле В размером 1 бит и поле имитовставки кадра, зашифровывать кадры, вычислять имитовставку для кадров; по крайней мере один компьютер, принимающий защищенные сообщения через сеть передачи данных и выполненный с возможностью расшифровывать кадры, проверять имитовставку для кадров; при этом выбирают количество N>0 кадров данных, шифруемых на одном ключе; выбирают количество K>0 ключей для шифрования кадров данных; (А) формируют на компьютере, отправляющем защищенные сообщения, и на компьютере, принимающем защищенные сообщения, идентичные списки ключей шифрования, количество ключей в которых составляет K, причем каждому ключу ставят в соответствие его порядковый номер, начиная с 0; обнуляют значение номера K1 используемого ключа на компьютере, отправляющем защищенные сообщения; обнуляют значение номера K2 используемого ключа на компьютере, принимающем защищенные сообщения; обнуляют на компьютере, отправляющем защищенные сообщения, количество D зашифрованных на данном ключе кадров; (Б) обрабатывают очередной кадр данных на компьютере, отправляющем защищенные сообщения, для этого: на компьютере, отправляющем защищенные сообщения, сравнивают N с D, если D=N, то увеличивают значение K1 на 1, обнуляют D; иначе увеличивают значение D на 1; на компьютере, отправляющем защищенные сообщения, формируют очередной кадр данных, записывая в служебное поле В младший бит двоичного представления значения K1; зашифровывают кадр данных на ключе с номером K1 и вычисляют имитовставку на ключе с номером K1; записывают имитовставку в поле имитовставки кадра; отправляют кадр компьютерам, принимающим защищенные сообщения; если K1<K-1 или D не равно N, то переходят к этапу Б; если K1=K-1 и D=N, то, при необходимости, переходят к этапу А; (В) на каждом из компьютеров, принимающих защищенные сообщения, выполняют обработку приходящих кадров данных: принимают очередной кадр; сравнивают значение поля В принятого кадра со значением младшего бита двоичного представления значения K2, если они равны, то расшифровывают кадр данных с помощью ключа с номером K2 и проверяют имитовставку с помощью ключа номер K2, если имитовставка не совпала, то удаляют кадр; если имитовставка совпала, то передают кадр данных по назначению; если значение поля В принятого кадра не равно значению младшего бита двоичного представления значения K2, то вычисляют Т=K2+1; если Т=K, то удаляют кадр; расшифровывают кадр данных с помощью ключа с номером Т и проверяют имитовставку с помощью ключа номер Т, если имитовставка не совпала, то удаляют кадр; если имитовставка совпала, то присваивают K2=Т, передают кадр данных по назначению; при необходимости, переходят к этапу В.

Description

Область техники, к которой относится изобретение
Предлагаемое изобретение относится к вычислительной технике и, в частности, к способам обеспечения правильности расшифрования данных, передаваемых через цифровую систему передачи данных.
Уровень техники
Криптографическая защита сообщений находит широкое применение в системах связи. Она используется для обеспечения конфиденциальности сообщений, идентификации отправителя сообщений, обеспечения безошибочности передачи данных. В области коммерции криптографическая защита данных используется для предотвращения мошенничества и верификации транзакций.
Для защиты конфиденциальности данных используют шифрование. Шифрование скрывает содержимое сообщений от доступа третьих лиц, позволяя прочесть сообщение только тем, у кого есть соответствующий ключ шифрования.
Для защиты целостности данных используют имитозащиту сообщений с помощью протоколов аутентификации (установления подлинности сообщения). Данные протоколы позволяют получателю проверить, что данное сообщение действительно отправлено именно тем отправителем, от которого ожидается получение сообщения, и что данное сообщение не было искажено третьими лицами во время передачи.
Имитозащита представляет собой процесс формирования специального набора символов, называемого имитовставкой, который вычисляется компьютером, отправляющий защищенные сообщения, с использованием пересылаемого сообщения и секретного ключа имитозащиты. Имитовставка пересылается вместе с защищаемым сообщением.
Компьютер, принимающий защищенные сообщения, проверяет имитовставку сообщения с помощью своей копии ключа имитозащиты. Если сообщение было сформировано с помощью другого ключа имитозащиты или если оно было изменено во время передачи, то это будет обнаружено во время проверки имитовставки.
Использование неверного ключа для вычисления или проверки имитовставки приводит к тому, что сообщение идентифицируется как неподлинное.
Шифрование и имитозащита могут проводиться как раздельные операции с использованием различных ключей для шифрования и имитозащиты, как это описано в ГОСТ Р 34.13-2015. Также существуют так называемые совмещенные режимы шифрования с аутентификацией (AEAD режимы), в которых один и тот же ключ используется и для обеспечения конфиденциальности и для обеспечения имитозащиты данных. Примером такого совмещенного режима шифрования является режим AES-GCM.
Для обеспечения работы алгоритмов шифрования и имитозащиты требуется, чтобы и компьютер, отправляющий защищенные сообщения, и компьютер, принимающий защищенные сообщения, использовали соответствующие пары ключей. Использование неверных ключей приводит к тому, что сообщение расшифровывается неверно, а проверка имитовставки показывает, что сообщение является неверным.
Для обеспечения более высокого уровня безопасности передачи данных следует менять ключи шифрования и имитозащиты через определенное время или после отправки определенного объема данных.
Списки ключей для шифрования и имитозащиты могут быть как непосредственно загружены на компьютеры, отправляющие защищенные сообщения, и компьютеры, принимающие защищенные сообщения, так и получены непосредственно на компьютерах, отправляющие защищенные сообщения, и компьютерах, принимающие защищенные сообщения, с помощью так называемого ключа генерации ключей. Ключ генерации ключей предварительно загружается на компьютеры, отправляющие защищенные сообщения, и компьютеры, принимающие защищенные сообщения, либо формируется из еще одного ключа генерации ключей, либо формируется с помощью одного из известных протоколов формирования общего секрета, например протокола Диффи-Хеллмана.
Необходимость смены ключей приводит к тому, что у компьютера, отправляющий защищенные сообщения, и компьютера, принимающего защищенные сообщения, есть несколько ключей, и получателю нужно знать, какой из ключей следует использовать для обработки каждого сообщения.
В условиях, когда соображения безопасности требуют, чтобы ключи менялись по истечении определенного времени или после обработки определенного объема информации на данном ключе (что наступит раньше), и при этом существует вероятность потери сообщений в канале передачи данных, компьютер, принимающий защищенные сообщения, требует наличия метода определения ключа, на котором каждое сообщение было обработано компьютером, отправляющим защищенные сообщения.
Известны способы смены ключей шифрования, в которых ключам шифрования и имитозащиты соответствуют идентификаторы ключей и данные идентификаторы передаются вместе с сообщениями. Данные идентификаторы позволяют компьютеру, принимающему защищенные сообщения, определить, какой ключ использовать для обработки данного сообщения. Однако, передача данных идентификаторов ключей создает дополнительную нагрузку на каналы передачи данных и снижают количество полезной информации, которую можно передать по данным каналам связи.
Известен способ и устройство для передачи параметров шифрования, в которых идентификаторы ключей передаются вместо наименее значащих бит кадра вокодера голосового суперкадра (патент РФ №2469485, приоритет от 05.10.2009 г.). Очевидно, что замена бит кадра вокодера голосового суперкадра на идентификатор ключа снижает качество декодированного звука, причем искажения звука будут тем больше, чем длиннее идентификатор ключа.
Также известен способ защищенной передачи сообщения (патент РФ №2333608, приоритет от 08.10.2002 г.) в котором
• определяют краткосрочный ключ для передаваемого сообщения, причем краткосрочный ключ имеет идентификатор краткосрочного ключа, содержащий значение индекса параметров защиты;
• определяют ключ доступа для сообщения, причем ключ доступа имеет идентификатор ключа доступа, при этом краткосрочный ключ вычисляют как функцию идентификатора краткосрочного ключа и ключа доступа;
• шифруют сообщение с помощью краткосрочного ключа;
• формируют заголовок Интернет-протокола (IP), содержащий идентификатор краткосрочного ключа; и
• передают зашифрованное сообщение вместе с заголовком Интернет-протокола.
Затем, после передачи,
• принимают пакет протокола защиты трафика на уровне Интернет-протокола (IPSec), включающий в себя зашифрованный контент и индекс параметров защиты, относящийся к краткосрочному ключу,
• восстанавливают ключ доступа с использованием индекса параметров защиты,
• вычисляют краткосрочный ключ с использованием индекса параметров защиты и ключа доступа и
• дешифруют контент с использованием краткосрочного ключа.
В этом способе пропускная способность канала передачи данных также расходуется на передачу идентификаторов ключей. При частой смене ключей, которая может производиться из соображений безопасности, расходы на передачу идентификаторов ключей могут достигать существенных значений.
Известный способ выбран в качестве прототипа.
Недостатком известного способа является необходимость передачи идентификатора ключа для определения ключа, необходимого для расшифрования кадров данных, что увеличивает нагрузку на канал передачи данных и снижает количество полезных данных, которое можно передать по этому каналу.
Раскрытие изобретения
Техническим результатом является снижение объема служебных данных, которые требуется передавать для обеспечения расшифрования данных и проверки подлинности сообщений.
Для этого предлагается способ обеспечения передачи зашифрованных данных со сменой ключей шифрования и имитозащиты в цифровой системе передачи данных, содержащей
• по крайней мере, один компьютер, отправляющий защищенные сообщения в виде последовательности кадров цифровых данных через сеть передачи данных и выполненный с возможностью
Figure 00000001
формировать кадры данных, содержащие поле данных, служебное поле В размером 1 бит и поле имитовставки кадра,
Figure 00000001
зашифровывать кадры,
Figure 00000001
вычислять имитовставку для кадров;
• по крайней мере, один компьютер, принимающий защищенные сообщения через сеть передачи данных и выполненный с возможностью
Figure 00000001
расшифровывать кадры,
Figure 00000001
проверять имитовставку для кадров;
способ, заключающийся в том, что
• выбирают количество N>0 кадров данных, шифруемых на одном ключе;
• выбирают количество K>0 ключей для шифрования кадров данных;
• (А) формируют на компьютере, отправляющем защищенные сообщения, и на компьютере, принимающем защищенные сообщения, идентичные списки ключей шифрования, количество ключей в которых составляет K, причем каждому ключу ставят в соответствие его порядковый номер, начиная с 0;
• обнуляют значение номера K1 используемого ключа на компьютере, отправляющем защищенные сообщения;
• обнуляют значение номера K2 используемого ключа на компьютере, принимающем защищенные сообщения;
• обнуляют на компьютере, отправляющем защищенные сообщения, количество D зашифрованных на данном ключе кадров;
• (Б) обрабатывают очередной кадр данных на компьютере, отправляющем защищенные сообщения, для этого:
Figure 00000001
на компьютере, отправляющем защищенные сообщения, сравнивают N c D,
если D=N, то
Figure 00000002
увеличивают значение K1 на 1,
Figure 00000002
обнуляют D;
иначе увеличивают значение D на 1;
Figure 00000001
на компьютере, отправляющем защищенные сообщения, формируют очередной кадр данных, записывая в служебное поле В младший бит двоичного представления значения K1;
Figure 00000001
зашифровывают кадр данных на ключе с номером K1 и вычисляют имитовставку на ключе с номером K1;
Figure 00000001
записывают имитовставку в поле имитовставки кадра;
Figure 00000001
отправляют кадр компьютерам, принимающим защищенные сообщения;
Figure 00000001
если K1<K-1 или D не равно N, то переходят к этапу Б;
• если K1=K-1 и D=N, то, при необходимости, переходят к этапу А;
• (В) на каждом из компьютеров, принимающих защищенные сообщения, выполняют обработку приходящих кадров данных:
Figure 00000001
принимают очередной кадр;
Figure 00000001
сравнивают значение поля В принятого кадра со значением младшего бита двоичного представления значения K2, если они равны, то
Figure 00000003
расшифровывают кадр данных с помощью ключа с номером K2 и проверяют имитовставку с помощью ключа номер K2,
если имитовставка не совпала, то удаляют кадр;
если имитовставка совпала, то передают кадр данных по назначению;
Figure 00000001
если значение поля В принятого кадра не равно значению младшего бита двоичного представления значения K2, то
Figure 00000003
вычисляют Т=K2+1;
Figure 00000003
если Т= K, то удаляют кадр;
Figure 00000003
расшифровывают кадр данных с помощью ключа с номером Т и проверяют имитовставку с помощью ключа номер Т,
если имитовставка не совпала, то удаляют кадр;
Figure 00000003
если имитовставка совпала, то
Figure 00000002
присваивают K2=Т,
Figure 00000002
передают кадр данных по назначению;
Figure 00000001
при необходимости, переходят к этапу В.
Следует отметить, что действия, выполняемые на компьютере, отправляющем защищенные сообщения и действия на компьютере, принимающем защищенные сообщения, выполняются независимо друг от друга, и данные компьютеры не требуют дополнительной координации действий, кроме этапа формирования списков ключей, и координации действий, производимых с помощью информационных сообщений, отправляемых согласно действиям способа.
Также следует отметить, что в одной сети передачи данных может одновременно работать множество компьютеров, отправляющих защищенные сообщения, а каждый из компьютеров, отправляющий защищенные сообщения, может отправлять защищенные сообщения сразу на множество компьютеров, принимающих защищенные сообщения.
Использование всего одного бита для определения ключей шифрования и имитозащиты позволяет снизить количество служебных данных, передаваемых в канале передачи данных и, тем самым, повысить количество полезных данных, которые можно передать через этот канал передачи данных, по сравнению со случаем передачи всего идентификатора или номера ключа шифрования и имитозащиты.
Одним из действий предлагаемого способа является выбор количества кадров данных N>0, шифруемых на одном ключе. Данный параметр ограничен сверху соображениями безопасности, а снизу - затратами ресурсов на смену ключей в компьютерах, отправляющих защищенные сообщения, и компьютерах, принимающих защищенные сообщения.
Формирование на компьютере, отправляющем защищенные сообщения, и на компьютере, принимающем защищенные сообщения, идентичных списков ключей шифрования, может быть произведено одним из известных методов. Например, списки ключей для шифрования и имитозащиты могут быть как непосредственно загружены на компьютеры, отправляющие защищенные сообщения, и компьютеры, принимающие защищенные сообщения, так и получены непосредственно на компьютерах, отправляющие защищенные сообщения, и компьютерах, принимающие защищенные сообщения, с помощью так называемого ключа генерации ключей. Ключ генерации ключей может предварительно загружаться на компьютеры, отправляющие защищенные сообщения, и компьютеры, принимающие защищенные сообщения, либо формироваться из еще одного ключа генерации ключей, либо формироваться с помощью одного из известных протоколов формирования общего секрета, например протокола Диффи-Хеллмана.
Дополнительно, в случае использования в ходе реализации способа режимов шифрования, требующих отдельного ключа для аутентификации сообщений, на этапе формировании списков ключей на компьютерах, отправляющих и принимающих защищенные сообщения, формируют списки ключей, в которых каждому номеру ключа соответствуют два различных ключа - один ключ шифрования и один ключ вычисления имитовставки, а операции шифрования/расшифрования производят с соответствующим ключом шифрования, в свою очередь операции вычисления и проверки имитовставки производят с соответствующим ключом вычисления имитовставки.
В этом случае можно использовать различные ключи для операций шифрования и вычисления имитовставки. Для этого каждому номеру ключа соответствуют один ключ шифрования и один ключ вычисления имитовставки, которые используют совместно для шифрования/расшифрования и вычисления и проверки имитовставки соответственно. В этом случае также можно использовать режимы шифрования и аутентификации, требующие различных ключей для данных операций.
Следует заметить, что во всех случаях реализации предложенного способа обеспечивается также защита от использования неверного ключа в связи с приемом компьютером, принимающим защищенные сообщения, неподлинных кадров, поскольку перед изменением номера K2 на компьютере, принимающий защищенные сообщения, проверяют подлинность кадра данных, на основании которого меняют значение K2.
Способ может использоваться для поддержания связи между компьютерами до тех пор, пока на них присутствуют очередные ключи шифрования и имитозащиты. Способ может быть использован для непрерывного поддержания связи между компьютерами, если ключи шифрования и имитозащиты периодически генерируются по мере исчерпания в компьютерах, отправляющих защищенные сообщения, и компьютерах, принимающих защищенные сообщения. Другим методом непрерывного поддержания защищенной связи между компьютерами с использованием предлагаемого способа является регулярное добавление новых ключей шифрования и имитозащиты по мере их исчерпания.
Осуществление изобретения
Рассмотрим осуществление предложенного способа.
Способ допускает реализацию как на компьютере, являющимся источником кадров данных, так и на внешнем по отношению к нему устройстве, выполняющем, таким образом, функции криптошлюза. В последнем случае устройство, осуществляющее предложенный способ, может содержать два сетевых интерфейса и принимать кадры данных на один интерфейс, обрабатывать их в соответствии с предложенным способом и отправлять их через другой интерфейс.
В общем случае, в цифровой системе передачи данных может быть несколько компьютеров, одновременно отправляющих разные защищенные сообщения по разным сетевым адресам, и несколько компьютеров, одновременно принимающих разные защищенные сообщения от разных сетевых адресов.
Устройство, реализующее способ, может обслуживать несколько источников кадров данных, подключенных к интерфейсу, принимающему незашифрованные кадры данных.
Для реализации всех вычислений и операций, обеспечивающих возможность
• зашифровывать кадры,
• вычислять имитовставку для кадров,
в компьютере, отправляющем защищенные сообщения, необходимо предварительно сформировать программу (комплекс программ). Такую программу может сформировать специалист по программированию (программист) на любом известном универсальном языке программирования (например, языке С) на основе знания выполняемых функций. Затем эта программа устанавливается на компьютере.
Также для реализации всех вычислений и операций способа возможно создание специализированной микросхемы или конфигурации для программируемой логической интегральной схемы (ПЛИС). Такую микросхему или конфигурацию ПЛИС может спроектировать специалист в области микроэлектроники.
Для обеспечения работы по передаче данных, на основе известных характеристик используемой сети передачи данных и требований безопасности, определяют максимальное количество N>0 кадров данных, которые могут быть зашифрованы на одном ключе. Данный параметр ограничен сверху соображениями безопасности, а снизу - затратами на смену ключей в компьютерах, отправляющих защищенные сообщения, и компьютерах, принимающих защищенные сообщения. Исходя из опыта, для N можно устанавливать значения от 100 до 100000.
Параметр N и списки ключей заносят в память компьютеров, отправляющих защищенные сообщения, списки ключей также заносят в память компьютеров, принимающих защищенные сообщения.
Компьютеры, отправляющий защищенные сообщения, работают независимо от компьютеров, принимающих защищенные сообщения, и могут не иметь информации о том, происходит ли прием отправленных кадров данных. При этом компьютер, отправляющий защищенные сообщения, может отправлять кадры по нескольким адресам, если в системе передачи данных присутствует несколько компьютеров, принимающих защищенные сообщения. Кроме того, компьютер, отправляющий защищенные сообщения, может отправлять широковещательные кадры, если количество компьютеров, принимающих защищенные сообщения в системе передачи данных неизвестно или их адреса неизвестны. В этом случае каждый из компьютеров, принимающих защищенные сообщения, должен независимо выполнять действия способа, относящиеся к компьютеру, принимающему защищенные сообщения.
Затем запускают программы в компьютерах, отправляющих и принимающих защищенные сообщения, и начинают выполнение действий способа, заключающийся в том, что
• выбирают количество N>0 кадров данных, шифруемых на одном ключе;
• выбирают количество K>0 ключей для шифрования кадров данных;
• (А) формируют на компьютере, отправляющем защищенные сообщения, и на компьютере, принимающем защищенные сообщения, идентичные списки ключей шифрования, количество ключей в которых составляет K, причем каждому ключу ставят в соответствие его порядковый номер начиная с 0;
• обнуляют значение номера K1 используемого ключа на компьютере, отправляющем защищенные сообщения;
• обнуляют значение номера K2 используемого ключа на компьютере, принимающем защищенные сообщения;
• обнуляют на компьютере, отправляющем защищенные сообщения, количество D зашифрованных на данном ключе кадров;
• (Б) обрабатывают очередной кадр данных на компьютере, отправляющем защищенные сообщения, для этого:
Figure 00000001
на компьютере, отправляющем защищенные сообщения, сравнивают N с D, если D=N, то:
Figure 00000003
увеличивают значение K1 на 1,
Figure 00000003
обнуляют D,
Figure 00000001
иначе:
Figure 00000003
увеличивают значение D на 1;
Figure 00000001
на компьютере, отправляющем защищенные сообщения, формируют очередной кадр данных, записывая в служебное поле В младший бит двоичного представления значения K1;
Figure 00000001
зашифровывают кадр данных на ключе с номером K1 и вычисляют имитовставку на ключе с номером K1;
Figure 00000001
записывают имитовставку в поле имитовставки кадра;
Figure 00000001
отправляют кадр компьютерам, принимающим защищенные сообщения;
Figure 00000001
если K1<K-1 или D не равно N, то переходят к этапу Б;
• если K1=K-1 и D=N, то, при необходимости, переходят к этапу А;
• (В) на каждом из компьютеров, принимающих защищенные сообщения, выполняют обработку приходящих кадров данных:
Figure 00000001
принимают очередной кадр;
Figure 00000001
сравнивают значение поля В принятого кадра со значением младшего бита двоичного представления значения K2, если они равны, то
Figure 00000003
расшифровывают кадр данных с помощью ключа с номером K2 и проверяют имитовставку с помощью ключа номер K2, если имитовставка не совпала, то
Figure 00000002
удаляют кадр;
Figure 00000003
если имитовставка совпала
Figure 00000002
передают кадр данных по назначению;
Figure 00000001
если значение поля В принятого кадра не равно значению младшего бита двоичного представления значения K2, то:
Figure 00000003
вычисляют Т=K2+1;
Figure 00000003
если Т=K, то удаляют кадр;
Figure 00000003
расшифровывают кадр данных с помощью ключа с номером Т и проверяют имитовставку с помощью ключа номер Т, если имитовставка не совпала, то
Figure 00000002
удаляют кадр;
Figure 00000003
если имитовставка совпала, то:
Figure 00000002
присваивают K2=Т,
Figure 00000002
передают кадр данных по назначению;
Figure 00000001
при необходимости, переходят к этапу В;
При использовании раздельно режима шифрования и режима имитозащиты с различными ключами на компьютерах, отправляющих и принимающих защищенные сообщения, формируют списки ключей шифрования и ключей вычисления имитовставки, при этом каждому номеру ключа соответствует один ключ шифрования и один ключ вычисления имитовставки.
Затем выполняют действия способа, но операции шифрования/расшифрования производят с соответствующим ключом шифрования, в свою очередь операции вычисления и проверки имитовставки производят с соответствующим ключом вычисления имитовставки.
Реализовать предложенный способ с помощью устройства в виде специализированного компьютера, выполняющего данный способ, или в виде интегральной схемы, выполняющей данный способ в составе специализированного компьютера, или в виде блока, выполненного на базе программируемой логической интегральной схемы (ПЛИС), может специалист в области вычислительной техники и/или проектирования цифровых интегральных схем.
Необходимо отметить, что возможны и другие реализации предложенного способа, отличающиеся от описанной выше и зависящие от доступности электронных компонентов, требований к исполнению устройства с точки зрения устойчивости к внешним воздействиям и предпочтений разработчиков.

Claims (38)

  1. Способ обеспечения передачи зашифрованных данных со сменой ключей шифрования и имитозащиты в цифровой системе передачи данных, содержащей
  2. по крайней мере один компьютер, отправляющий защищенные сообщения в виде последовательности кадров цифровых данных через сеть передачи данных и выполненный с возможностью
  3. формировать кадры данных, содержащие поле данных, служебное поле В размером 1 бит и поле имитовставки кадра,
  4. зашифровывать кадры,
  5. вычислять имитовставку для кадров;
  6. по крайней мере один компьютер, принимающий защищенные сообщения через сеть передачи данных и выполненный с возможностью
  7. расшифровывать кадры,
  8. проверять имитовставку для кадров;
  9. способ, заключающийся в том, что
  10. выбирают количество N>0 кадров данных, шифруемых на одном ключе; выбирают количество K>0 ключей для шифрования кадров данных;
  11. (А) формируют на компьютере, отправляющем защищенные сообщения, и на компьютере, принимающем защищенные сообщения, идентичные списки ключей шифрования, количество ключей в которых составляет K, причем каждому ключу ставят в соответствие его порядковый номер, начиная с 0;
  12. обнуляют значение номера K1 используемого ключа на компьютере, отправляющем защищенные сообщения;
  13. обнуляют значение номера K2 используемого ключа на компьютере, принимающем защищенные сообщения;
  14. обнуляют на компьютере, отправляющем защищенные сообщения, количество D зашифрованных на данном ключе кадров;
  15. (Б) обрабатывают очередной кадр данных на компьютере, отправляющем защищенные сообщения, для этого:
  16. на компьютере, отправляющем защищенные сообщения, сравнивают N с D,
  17. если D=N, то
  18. увеличивают значение K1 на 1,
  19. обнуляют D; иначе увеличивают значение D на 1;
  20. на компьютере, отправляющем защищенные сообщения, формируют очередной кадр данных, записывая в служебное поле В младший бит двоичного представления значения K1;
  21. зашифровывают кадр данных на ключе с номером K1 и вычисляют имитовставку на ключе с номером K1; записывают имитовставку в поле имитовставки кадра; отправляют кадр компьютерам, принимающим защищенные сообщения;
  22. если K1<K-1 или D не равно N, то переходят к этапу Б;
  23. если K1=K-1 и D=N, то, при необходимости, переходят к этапу А;
  24. (В) на каждом из компьютеров, принимающих защищенные сообщения, выполняют обработку приходящих кадров данных:
  25. принимают очередной кадр;
  26. сравнивают значение поля В принятого кадра со значением младшего бита двоичного представления значения K2, если они равны, то
  27. расшифровывают кадр данных с помощью ключа с номером K2 и проверяют имитовставку с помощью ключа номер K2,
  28. если имитовставка не совпала, то удаляют кадр;
  29. если имитовставка совпала, то передают кадр данных по назначению;
  30. если значение поля В принятого кадра не равно значению младшего бита двоичного представления значения K2, то
  31. вычисляют Т=K2+1;
  32. если Т=K, то удаляют кадр;
  33. расшифровывают кадр данных с помощью ключа с номером Т и проверяют имитовставку с помощью ключа номер Т,
  34. если имитовставка не совпала, то удаляют кадр;
  35. если имитовставка совпала, то
  36. присваивают K2=Т,
  37. передают кадр данных по назначению;
  38. при необходимости, переходят к этапу В.
RU2019110108A 2019-04-05 2019-04-05 Способ обеспечения передачи зашифрованных данных со сменой ключей шифрования и имитозащиты в цифровой системе передачи данных RU2718217C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2019110108A RU2718217C1 (ru) 2019-04-05 2019-04-05 Способ обеспечения передачи зашифрованных данных со сменой ключей шифрования и имитозащиты в цифровой системе передачи данных

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2019110108A RU2718217C1 (ru) 2019-04-05 2019-04-05 Способ обеспечения передачи зашифрованных данных со сменой ключей шифрования и имитозащиты в цифровой системе передачи данных

Publications (1)

Publication Number Publication Date
RU2718217C1 true RU2718217C1 (ru) 2020-03-31

Family

ID=70156465

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2019110108A RU2718217C1 (ru) 2019-04-05 2019-04-05 Способ обеспечения передачи зашифрованных данных со сменой ключей шифрования и имитозащиты в цифровой системе передачи данных

Country Status (1)

Country Link
RU (1) RU2718217C1 (ru)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050018853A1 (en) * 2003-04-08 2005-01-27 Antonio Lain Cryptographic key update management method and apparatus
US7120696B1 (en) * 2000-05-19 2006-10-10 Stealthkey, Inc. Cryptographic communications using pseudo-randomly generated cryptography keys
RU2333608C2 (ru) * 2001-10-09 2008-09-10 Квэлкомм Инкорпорейтед Способ и устройство для обеспечения защиты в системе обработки данных
RU2469485C1 (ru) * 2008-10-17 2012-12-10 Моторола Солюшнз, Инк. Способ и устройство для передачи параметров шифрования

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7120696B1 (en) * 2000-05-19 2006-10-10 Stealthkey, Inc. Cryptographic communications using pseudo-randomly generated cryptography keys
RU2333608C2 (ru) * 2001-10-09 2008-09-10 Квэлкомм Инкорпорейтед Способ и устройство для обеспечения защиты в системе обработки данных
US20050018853A1 (en) * 2003-04-08 2005-01-27 Antonio Lain Cryptographic key update management method and apparatus
RU2469485C1 (ru) * 2008-10-17 2012-12-10 Моторола Солюшнз, Инк. Способ и устройство для передачи параметров шифрования

Similar Documents

Publication Publication Date Title
EP3779751B1 (en) Multi-party security computing method and apparatus, and electronic device
US11206132B2 (en) Multiparty secure computing method, device, and electronic device
CN111079128B (zh) 一种数据处理方法、装置、电子设备以及存储介质
US6996712B1 (en) Data authentication system employing encrypted integrity blocks
CN109150499B (zh) 动态加密数据的方法、装置、计算机设备和存储介质
EP3025226B1 (en) Media client device authentication using hardware root of trust
CN110099064B (zh) 一种基于物联网的文件处理方法、装置、设备和存储介质
CN107864129B (zh) 一种保证网络数据安全的方法和装置
US20220360441A1 (en) Data encryption and decryption method, device, storage medium and encrypted file
CN112738051B (zh) 数据信息加密方法、系统及计算机可读存储介质
US10263785B1 (en) Cryptography method and system for securing data via electronic transmission
US10601793B2 (en) Systems and methods for securing electronic data with embedded security engines
US20100005307A1 (en) Secure approach to send data from one system to another
CN115001685A (zh) 不经意传输方法、装置、设备和存储介质
WO2017006118A1 (en) Secure distributed encryption system and method
CN114793184A (zh) 一种基于第三方密钥管理节点的安全芯片通信方法及装置
CN114785524A (zh) 电子印章生成方法、装置、设备和介质
KR20180113688A (ko) 장치 인증키를 이용한 데이터 암호화 방법 및 시스템
CN117640256A (zh) 一种无线网卡的数据加密方法、推荐装置和存储介质
RU2718217C1 (ru) Способ обеспечения передачи зашифрованных данных со сменой ключей шифрования и имитозащиты в цифровой системе передачи данных
US11720693B2 (en) System and method for securely transferring data
CN114611129A (zh) 一种数据隐私保护方法和系统
CN113704789A (zh) 一种车载通讯安全处理方法、装置、设备及存储介质
EP3700123A1 (en) Cryptographic method and system for securing electronic transmission of data
RU2686005C1 (ru) Способ обеспечения передачи зашифрованных данных в цифровой системе передачи данных (варианты)

Legal Events

Date Code Title Description
PD4A Correction of name of patent owner