RU2706176C1 - Method of providing cryptographic protection of information in a network information system - Google Patents
Method of providing cryptographic protection of information in a network information system Download PDFInfo
- Publication number
- RU2706176C1 RU2706176C1 RU2019116881A RU2019116881A RU2706176C1 RU 2706176 C1 RU2706176 C1 RU 2706176C1 RU 2019116881 A RU2019116881 A RU 2019116881A RU 2019116881 A RU2019116881 A RU 2019116881A RU 2706176 C1 RU2706176 C1 RU 2706176C1
- Authority
- RU
- Russia
- Prior art keywords
- zsu
- certificate
- service
- distribution
- data
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Computing Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
Область техники, к которой относится изобретениеFIELD OF THE INVENTION
Предполагаемое изобретение относится к сетевым информационным системам и может быть использовано для обеспечения криптографической защиты информации.The alleged invention relates to network information systems and can be used to provide cryptographic protection of information.
Уровень техникиState of the art
В настоящий момент в промышленных информационных системах широко распространены счетчики, датчики и др. устройства, использующие микроконтроллеры и включенные в сеть. Данные и сигналы от этих устройств могут использоваться при управлении различными технологическими процессами, нарушение которых может привести к негативным последствиям. Однако, зачастую в устройствах и в сети полностью отсутствует защита информации. Поэтому требуется защитить информацию, которой обмениваются эти устройства.At the moment, in industrial information systems, meters, sensors, and other devices that use microcontrollers and are included in the network are widespread. Data and signals from these devices can be used to control various technological processes, the violation of which can lead to negative consequences. However, often in devices and on the network information security is completely absent. Therefore, you need to protect the information exchanged between these devices.
Этому препятствуют следующие факторы:The following factors prevent this:
низкая вычислительная мощность устройств, которая не позволяет реализовать нужные криптографические функции; low computing power of devices, which does not allow to implement the necessary cryptographic functions;
необходимость использовать для защиты информации сертифицированные средства криптографической защиты информации (далее - СКЗИ). the need to use certified means of cryptographic information protection (hereinafter - CPSI) for information protection.
Разработка и внедрение сертифицированного СКЗИ - сложный, трудоемкий и нехарактерный для производителя промышленных устройств процесс.The development and implementation of certified CIPF is a complex, time-consuming and uncharacteristic process for a manufacturer of industrial devices.
Превращение каждого промышленного устройства в сертифицированное СКЗИ значительно увеличит его стоимость, что может стать препятствием в автоматизации производства и замедлить процессы развития, повышения эффективности и экономического роста.The transformation of each industrial device into a certified CIPF will significantly increase its cost, which can become an obstacle to the automation of production and slow down the development processes, increase efficiency and economic growth.
Известен способ доставки сертификатов в защищенной сетевой вычислительной системе (патент РФ №2665247, приоритет от 27.10.2017 г.), в котором доставляют сертификаты в сервер распространения доверенным способом; вносят сведения о сервере распространения в средство установки каждого компьютера пользователя; перехватывают на каждом компьютере с помощью средства установки все запросы к внешним по отношению к вычислительной системе удостоверяющим центрам на загрузку сертификатов; перенаправляют все перехваченные запросы к серверу распространения; передают сертификаты в ответ на запросы с помощью сервера распространения в компьютеры пользователей; принимают на компьютере пользователя с помощью средства установки сертификаты, полученные из средства распространения; устанавливают сертификаты на компьютере пользователя с помощью средства установки.A known method of delivering certificates in a secure network computing system (RF patent No. 2665247, priority dated 10.27.2017), in which certificates are delivered to the distribution server in a trusted manner; enter information about the distribution server into the installation tool of each user's computer; intercept on each computer with the help of the installation tool all requests to certification centers external to the computer system for downloading certificates; redirect all intercepted requests to the distribution server; transmit certificates in response to requests using the distribution server to users' computers; accept certificates received from the distribution tool on the user's computer using the installation tool; Install certificates on the user's computer using the installation tool.
Недостатком известного способа является возможность работы только внутри закрытого контура, в то время как часто требуется наладить защищенный обмен данными между различными удаленными вычислительными системами.The disadvantage of this method is the ability to work only inside a closed loop, while often you need to establish a secure exchange of data between various remote computing systems.
Известны способ обеспечения удаленного криптографического сервиса клиентскому приложению в компьютерной системе (патент РФ №2630751, приоритет от 15.03.2013 г.), включающийThere is a method of providing remote cryptographic service to a client application in a computer system (RF patent No. 2630751, priority dated March 15, 2013), including
создание посредством модуля сервиса управления ключами, ассоциированного с компьютерной системой поставщика сервиса, ключа шифрования, причем ключ шифрования ассоциирован, по меньшей мере, с одним клиентским приложением из множества клиентских приложений, причем ключ шифрования используется поставщиком криптографического сервиса для шифрования данных приложения; creating, through the key management service module associated with the computer system of the service provider, an encryption key, the encryption key being associated with at least one client application from a plurality of client applications, the encryption key being used by the cryptographic service provider to encrypt the application data;
предоставление API (интерфейса прикладного программирования) поставщика криптографического сервиса множеству клиентских приложений, причем API поставщика криптографического сервиса выполнен с возможностью providing an API (application programming interface) of a cryptographic service provider to a plurality of client applications, wherein the cryptographic service provider API is configured to
доставлять запросы шифрования и запросы дешифрования поставщику криптографического сервиса и Deliver encryption and decryption requests to the cryptographic service provider, and
доставлять шифрованные данные и дешифрованные данные множеству клиентских приложений; Deliver encrypted data and decrypted data to multiple client applications
получение посредством API поставщика криптографического сервиса запроса шифрования, по меньшей мере, от одного клиентского приложения, причем запрос шифрования включает в себя данные для конечного пользователя, по меньшей мере, одного клиентского приложения, причем запрос шифрования включает в себя, по меньшей мере, один параметр шифрования, заданный, по меньшей мере, одним клиентским приложением для использования при шифровании данных, и причем, по меньшей мере, один параметр шифрования идентифицирует тип шифрования и глубину шифрования; receiving, by the cryptographic service provider API, an encryption request from at least one client application, wherein the encryption request includes data for the end user of at least one client application, wherein the encryption request includes at least one parameter encryption specified by at least one client application for use in data encryption, and at least one encryption parameter identifies the type of encryption and the depth of encryption ;
шифрование данных, используя созданный ключ шифрования, тип шифрования, заданный посредством, по меньшей мере, одного клиентского приложения, и глубину шифрования, заданную посредством, по меньшей мере, одного клиентского приложения; encrypting data using the generated encryption key, the type of encryption specified by at least one client application, and the encryption depth specified by at least one client application;
передачу посредством API поставщика криптографического сервиса зашифрованных данных, по меньшей мере, одному клиентскому приложению без передачи ключа шифрования, по меньшей мере, одному клиентскому приложению; transferring encrypted data through the API of the cryptographic service provider to at least one client application without transmitting the encryption key to at least one client application;
получение, по меньшей мере, от одного клиентского приложения запроса дешифрования, содержащего, по меньшей мере, часть параметров и зашифрованные данные, причем часть параметров задает тип шифрования, ассоциированный с зашифрованными данными, и глубину шифрования, ассоциированную с зашифрованными данными; receiving, from at least one client application, a decryption request containing at least a part of the parameters and the encrypted data, the part of the parameters setting the type of encryption associated with the encrypted data and the encryption depth associated with the encrypted data;
определение идентификационных данных, по меньшей мере, одного клиентского приложения, передающего полученное сообщение, на основании идентификационных данных и части параметров; determining the identity of at least one client application transmitting the received message based on the identity and part of the parameters;
дешифрование зашифрованных данных на основании созданного ключа шифрования, типа шифрования и глубины шифрования; и decryption of encrypted data based on the generated encryption key, type of encryption and depth of encryption; and
передачу дешифрованных данных обратно, по меньшей мере, одному приложению. transfer decrypted data back to at least one application.
Компьютерная сетевая система, в которой реализуется способ, содержит сервер с устройством памяти, процессором и программным обеспечением (ПО), включающем API и модуль сервиса управления ключами, а также компьютеры пользователей, на которых установлены клиентские приложения.The computer network system in which the method is implemented comprises a server with a memory device, a processor, and software (software) including an API and a key management service module, as well as user computers on which client applications are installed.
Известный способ принимается в качестве прототипа.The known method is adopted as a prototype.
Согласно известному способу, криптографические ключи пользователя хранятся не на стороне клиентского приложения, а на стороне сервиса. Это снижает уровень безопасности системы, т.к. позволяет сервису получать доступ к данным пользователя и в ряде случаев действовать от его имени, например, при использовании электронной подписи. В случае успешной атаки на сервер могут быть скомпрометированы ключи всех пользователей системы.According to the known method, the user's cryptographic keys are stored not on the client application side, but on the service side. This reduces the security level of the system. allows the service to access the user's data and in some cases act on his behalf, for example, when using an electronic signature. In the event of a successful attack on the server, the keys of all users of the system may be compromised.
Раскрытие изобретенияDisclosure of invention
Техническим результатом является:The technical result is:
1) снижение затрат для обеспечения информационной безопасности за счет выполнения ресурсоемких криптографических операций на сервере;1) cost reduction to ensure information security by performing resource-intensive cryptographic operations on the server;
2) повышение надежности в целом из-за выполнения криптографических операций на стороне защищаемого сетевого устройства (ЗСУ);2) increased reliability in general due to the performance of cryptographic operations on the side of the protected network device (ZSU);
3) повышение защищенности в целом из-за хранения ключей в самих ЗСУ.3) increased security in general due to the storage of keys in the ZSU themselves.
Для этого предлагается способ обеспечения криптографической защиты информации в сетевой информационной системе, которая содержитTo this end, a method for providing cryptographic protection of information in a network information system, which contains
сервер распространения, причем сервер включает установленное на нем средство распространения, выполненное с возможностью a distribution server, the server including a distribution medium installed thereon, configured to
принимать запросы на передачу данных; Receive data requests
передавать данные в ответ на запрос; transmit data in response to a request;
генерировать случайные числа; generate random numbers;
формировать криптографические ключи; generate cryptographic keys;
формировать запросы на передачу данных; generate data transfer requests;
формировать сертификаты, каждый из которых содержит сведения об издателе сертификата и открытый ключ ключевой пары владельца сертификата; generate certificates, each of which contains information about the publisher of the certificate and the public key of the key pair of the certificate holder;
формировать блоки данных в виде пакета данных; to form data blocks in the form of a data packet;
генерировать ключевые пары, каждая из которых содержит один открытый и один закрытый ключи; generate key pairs, each of which contains one public and one private key;
защищаемые сетевые устройства (ЗСУ), причем каждое ЗСУ включает средство обработки, выполненное с возможностью protected network devices (ZSU), and each ZSU includes processing means configured to
принимать и обрабатывать данные, полученные от средства распространения и других ЗСУ; receive and process data received from the distribution medium and other ZSU;
генерировать ключевые пары, каждая из которых содержит один открытый и один закрытый ключи; generate key pairs, each of which contains one public and one private key;
генерировать запрос на служебный сертификат ЗСУ; generate a request for a service certificate ZSU;
генерировать запрос на прикладной сертификат ЗСУ; generate a request for an application certificate ZSU;
формировать электронную подпись; generate an electronic signature;
проверять ранее сформированную электронную подпись; verify a previously generated electronic signature;
осуществлять проверку сертификата ключа электронной подписи; verify the certificate of the electronic signature key;
зашифровывать данные; encrypt data;
расшифровывать данные; способ, заключающийся в том, что decrypt data; the method is that
определяют в средстве распространения список ЗСУ, которые должны обмениваться информацией; determine in the distribution medium a list of ZSU, which must exchange information;
выполняют в средстве распространения следующие действия perform the following actions in the distribution medium
генерируют ключевую пару для корневого прикладного сертификата средства распространения; generating a key pair for the root distribution application certificate;
создают корневой прикладной сертификат средства распространения; Create a root distribution application certificate
генерируют ключевую пару для корневого служебного сертификата средства распространения; generating a key pair for the distribution medium root service certificate;
создают корневой служебный сертификат средства распространения; Create a root distribution service certificate
генерируют ключевую пару и запрос на служебный сертификат средства распространения; generating a key pair and a request for a service certificate of a distribution medium;
создают служебный сертификат средства распространения, используя в качестве сертификата издателя корневой служебный сертификат средства распространения; create a distribution medium service certificate using the root service certificate of the distribution medium as a publisher certificate;
формируют для каждого ЗСУ пакет данных, содержащий form for each ZSU data packet containing
корневой служебный сертификат средства распространения; Distribution root service certificate
корневой прикладной сертификат средства распространения; Distribution root application certificate
служебный сертификат средства распространения; Distribution service certificate
множество случайных чисел; lots of random numbers;
доставляют доверенным способом пакет данных каждому ЗСУ из списка ЗСУ, которые должны обмениваться информацией; deliver in a trusted manner a data packet to each ZSU from the list of ZSU, which must exchange information;
получают в каждом ЗСУ пакет данных; receive a data packet in each ZSU;
на каждом ЗСУ с помощью средства обработки выполняют следующие действия on each ZSU using the processing tool perform the following actions
генерируют ключевую пару; generate a key pair;
создают запрос на служебный сертификат ЗСУ; create a request for a service certificate ZSU;
генерируют ключевую пару; generate a key pair;
создают запрос на прикладной сертификат ЗСУ; create a request for an application certificate ZSU;
передают запросы на прикладной и служебный сертификаты ЗСУ в средство распространения; transmit requests for application and service certificates ZSU in the distribution tool;
формируют в средстве распространения для каждого ЗСУ служебный сертификат ЗСУ, используя в качестве сертификата издателя корневой служебный сертификат средства распространения, и прикладной сертификат ЗСУ, используя в качестве сертификата издателя корневым прикладной сертификат средства распространения; form in the distribution medium for each ZSU the service certificate of the ZSU using the root service certificate of the distribution medium as the publisher certificate and the application certificate of the ZSU using the distribution certificate as the root certificate of the publisher;
передают из средства распространения в каждый ЗСУ подписанный пакет данных, который содержит служебный и прикладной сертификаты ЗСУ, используя для подписи пакета данных служебный сертификат средства распространения и соответствующий служебному сертификату средства распространения закрытый ключ ключевой пары; transmit from the distribution medium to each ZSU a signed data packet that contains the service and application certificates of the ZSU, using the service certificate of the distribution medium and the private key of the key pair corresponding to the service certificate of the distribution medium;
получают на каждом ЗСУ пакет данных; receive a data packet on each ZSU;
выполняют на каждом ЗСУ с помощью средства обработки следующие действия: perform on each ZSU using the processing tool the following actions:
если в полученном пакете корневой служебный сертификат средства распространения указан в качестве издателя сертификата ключа электронной подписи и электронная подпись корректна, то if in the received packet the root service certificate of the distribution medium is indicated as the publisher of the electronic signature key certificate and the electronic signature is correct, then
сохраняют прикладной и служебный сертификаты ЗСУ; иначе save application and service certificates of the ZSU; otherwise
отклоняют пакет данных, reject the data packet
передают из средства распространения в каждый ЗСУ из списка зашифрованный с использованием открытого ключа из служебного сертификата ЗСУ и подписанный с использованием закрытого ключа ключевой пары для служебного сертификата средства распространения, transmit from the distribution medium to each ZSU from the list encrypted using the public key from the ZSU service certificate and signed using the private key of the key pair for the service certificate of the distribution medium,
пакет данных, содержащий набор прикладных сертификатов ЗСУ из списка;a data packet containing a set of application certificates ZSU from the list;
получают в каждом ЗСУ пакет данных; receive a data packet in each ZSU;
выполняют в каждом ЗСУ с помощью средства обработки следующие действия: perform in each ZSU using the processing tool the following actions:
если в полученном пакете корневой служебный сертификат средства распространения указан в качестве издателя сертификата ключа электронной подписи и электронная подпись корректна, то if in the received packet the root service certificate of the distribution medium is indicated as the publisher of the electronic signature key certificate and the electronic signature is correct, then
расшифровывают пакет с использованием закрытого ключа ключевой пары для служебного сертификата ЗСУ; decrypting the packet using the private key of the key pair for the ZSU service certificate;
сохраняют прикладные сертификаты ЗСУ, с которыми данное ЗСУ будет обмениваться зашифрованными данными; save application certificates ZSU, with which the ZSU will exchange encrypted data;
иначеotherwise
отклоняют пакет данных; reject the data packet;
при необходимости, в каждом ЗСУ с помощью средства обработки if necessary, in each ZSU using a processing tool
зашифровывают данные в адрес других ЗСУ с использованием прикладных сертификатов этих ЗСУ; encrypt data to other ZSU using application certificates of these ZSU;
формируют электронные подписи с использованием собственного прикладного сертификата ЗСУ и соответствующего собственному прикладному сертификату ЗСУ закрытого ключа ключевой пары и отправляют их другим ЗСУ; generate electronic signatures using the ZSU own application certificate and the private key of the key pair corresponding to the ZSU own certificate, and send them to the other ZSU;
передают зашифрованные данные в виде пакетов другим ЗСУ; transmit encrypted data in the form of packets to other ZSU;
принимают зашифрованные данные в виде пакетов от других ЗСУ; receive encrypted data in the form of packets from other ZSU;
если в полученных пакетах от других ЗСУ корневой служебный сертификат средства распространения указан в качестве издателя сертификата ЗСУ и электронная подпись корректна, то if in the received packets from other ZSU the root service certificate of the distribution medium is indicated as the publisher of the ZSU certificate and the electronic signature is correct, then
расшифровывают данные от других ЗСУ с использованием закрытого ключа из ключевой пары для прикладных сертификатов этих ЗСУ; decrypt data from other ZSU using a private key from a key pair for application certificates of these ZSU;
используют расшифрованные данные по назначению; use the decrypted data for the purpose;
иначеotherwise
отклоняют пакет данных; reject the data packet;
при необходимости, выполняют в средстве распространения следующие действия: if necessary, perform the following actions in the distribution medium:
формируют для каждого ЗСУ из списка отдельный пакет данных обновления, который может содержать: form for each ZSU from the list a separate update data package, which may contain:
множество случайных чисел; lots of random numbers;
корневой служебный сертификат средства распространения; Distribution root service certificate
корневой прикладной сертификат средства распространения; Distribution root application certificate
служебный сертификат средства распространения; Distribution service certificate
служебный сертификат ЗСУ; service certificate ZSU;
прикладной сертификат ЗСУ; ZSU application certificate;
служебные сертификаты ЗСУ из списка; ZSU service certificates from the list;
прикладные сертификаты ЗСУ из списка; ZSU application certificates from the list;
криптографические ключи; cryptographic keys;
отправляют в каждое ЗСУ из списка пакеты обновления, зашифрованные с использованием открытых ключей ключевых пар для служебных сертификатов ЗСУ и подписанные с использованием закрытого ключа ключевой пары для служебного сертификата средства распространения; send to each ZSU from the list update packages encrypted using public keys of key pairs for service certificates of ZSU and signed using the private key of a key pair for the service certificate of the distribution tool;
получают пакеты обновления в каждом ЗСУ; receive update packages in each ZSU;
если в полученном пакете обновления корневой служебный сертификат средства распространения указан в качестве издателя сертификата ключа электронной подписи и электронная подпись корректна, то if in the received service pack the root service certificate of the distribution tool is indicated as the publisher of the electronic signature key certificate and the electronic signature is correct, then
расшифровывают данные из пакета обновления с использованием закрытого ключа ключевой пары для служебного сертификата ЗСУ; decrypt the data from the service pack using the private key of the key pair for the ZSU service certificate;
обновляют данные в каждом ЗСУ; update data in each ZSU;
иначеotherwise
отклоняют пакет обновления. reject the service pack.
Особенностью предложенного способа является то, что генерация случайных чисел осуществляется в средстве распространения (сервере), а затем массивы случайных чисел передаются для использования в ЗСУ.A feature of the proposed method is that the generation of random numbers is carried out in a distribution tool (server), and then arrays of random numbers are transmitted for use in the ZSU.
Множество случайных чисел Е={е1, е2, … en}, n mod 32 = 0, должно быть сгенерировано с помощью криптографически стойкого генератора псевдослучайных чисел. Значение n выбирается исходя из количества ЗСУ и частоты генерации криптографических ключей. Псевдослучайные числа следует сгенерировать на средстве распространения в связи с высокой ресурсоемкостью данной операции и необходимостью использовать специальные сертифицированные программно-аппаратные средства.The set of random numbers E = {e 1 , e 2 , ... e n }, n mod 32 = 0, must be generated using a cryptographically robust pseudo random number generator. The value of n is selected based on the number of ZSU and the frequency of generation of cryptographic keys. Pseudorandom numbers should be generated on the distribution medium due to the high resource consumption of this operation and the need to use special certified software and hardware.
Ключевая пара, содержащая открытый Kp и закрытый Ks ключи. В случае генерации ключевой пары для служебного или прикладного сертификата ЗСУ, блок случайных чисел, сгенерированный на средстве распространения, должен быть доставлен на ЗСУ, т.к. на ЗСУ отсутствует собственный криптографически стойкий генератор псевдослучайных чисел. Данный подход позволяет снизить затраты на оснащение ЗСУ, устраняя необходимость оснащения каждого ЗСУ собственным генератором псевдослучайных чисел.A key pair containing public K p and private K s keys. In the case of generating a key pair for the service or application certificate of the ZSU, the random number block generated on the distribution medium must be delivered to the ZSU, because ZSU lacks its own cryptographically robust pseudorandom number generator. This approach allows you to reduce the cost of equipping the ZSU, eliminating the need to equip each ZSU with its own pseudo-random number generator.
Формируемые закрытые ключи ключевых пар не передаются за пределы устройства, на котором были сгенерированы. Таким образом, закрытые ключи ЗСУ не покидают ЗСУ, а закрытые ключи средства распространения не покидают средство распространения. Это позволяет исключить возможность компрометации ключей ЗСУ в случае компрометации средства распространения.The generated private keys of the key pairs are not transmitted outside the device on which they were generated. Thus, the ZSU private keys do not leave the ZSU, and the distribution keys do not leave the distribution means. This eliminates the possibility of compromising the keys of the ZSU in case of compromising the distribution medium.
Имея ключевую пару Kp и Ks можно создать запрос на сертификатHaving a key pair K p and K s, you can create a certificate request
где - функция подписи с использованием секретного ключа Ks;Where - a signature function using the secret key K s ;
R - сведения о владельце открытого ключа и открытый ключ Кр.R - information about the owner of the public key and public key To r .
Рекомендуется создавать запросы в формате PKCS#10 в связи с его широким распространением.It is recommended that you create queries in the PKCS # 10 format due to its wide distribution.
В ходе реализации предложенного способа осуществляется доставка доверенным способом пакета данных каждому ЗСУ из списка ЗСУ, которые должны обмениваться информацией. Такая доставка может быть выполнена одним из известных методов, например, с использованием обслуживающего персонала сети, с использованием сетевых протоколов с аутентификацией.During the implementation of the proposed method, a trusted package is delivered to a data package to each ZSU from the list of ZSU, which must exchange information. Such delivery can be accomplished by one of the known methods, for example, using network attendants, using network protocols with authentication.
Имея ключевую пару KsiKpi издателя, в качестве которого выступает средство распространения, и получив запрос на сертификат Р10, средство распространения может выпустить сертификат Crt:Having the key pair K si K pi of the publisher, which is the distribution medium, and having received a request for a P10 certificate, the distribution medium can issue a Crt certificate:
где - функция подписи с использованием секретного ключа издателя;Where - a signature function using the publisher’s secret key;
Р10 - полученный запрос на сертификат;P10 - received certificate request;
I - сведения об издателе сертификата.I - information about the publisher of the certificate.
Выпущенные средством распространения сертификаты могут передаваться по сети без предварительного шифрования (открытый канал).Certificates issued by the distribution tool can be transmitted over the network without prior encryption (open channel).
Различные сетевые информационные системы могут подвергаться разным угрозам информационной безопасности, поэтому для конкретной системы обычно формируется модель угроз, и разрабатываются меры защиты. В случае, если модель угроз системы подразумевает возможность "Атаки посредника" [https://m.wikipedia.org/wiki/%D0%90%Dl%82%D0%B0%D0%BAo/oD0%B0_%D0%BF%D0%BE%D1%81%D1%80%D0%B5%D0%B4%D0%BD%D0%B8%D0%BA%D0%B0], в запрос на служебный сертификат ЗСУ, а также в запрос на прикладной сертификат ЗСУ, рекомендуется включить значение криптографической хэш-функции от множества случайных чисел, которые были ранее доставлены на ЗСУ доверенным способом. Это позволит при выпуске служебного или прикладного сертификата ЗСУ в средстве распространения убедиться, что запрос на сертификат поступил именно от того ЗСУ, на которое ранее был доставлен пакет от средства распространения.Different network information systems may be subject to different threats to information security, therefore, a threat model is usually formed for a particular system and protection measures are developed. In the event that the system threat model implies the possibility of an “intermediary attack” [https://m.wikipedia.org/wiki/%D0%90%Dl%82%D0%B0%D0%BA o / oD0% B0_% D0% BF% D0% BE% D1% 81% D1% 80% D0% B5% D0% B4% D0% BD% D0% B8% D0% BA% D0% B0], in the request for the service certificate of the ZSU, as well as in the request On the application certificate of the ZSU, it is recommended to include the value of the cryptographic hash function of the set of random numbers that were previously delivered to the ZSU in a trusted way. This will make it possible, when issuing the service or application certificate of the ZSU in the distribution tool, to verify that the certificate request came from the ZSU to which the package from the distribution tool was previously delivered.
Рекомендуется выпускать сертификаты в формате Х509, в связи с его широким распространением и поддержкой различными производителями.It is recommended to issue certificates in the X509 format, due to its wide distribution and support by various manufacturers.
ЗСУ1, владеющее собственной ключевой парой KslKpl и открытым ключом средства распространения Kpi, может формировать в адрес средства распространения зашифрованные и подписанные сообщения С:ZSU 1 , which owns its own key pair K sl K pl and the public key of the distribution medium K pi , can generate encrypted and signed messages C to the address of the distribution medium:
где М - исходное сообщение;where M is the original message;
- функция подписи с использованием секретного ключа Ksl ЗУ1; - a signature function using the secret key K sl of memory 1 ;
- функция шифрования с использованием открытого ключа Kpi средства распространения. - encryption function using the public key K pi distribution means.
Эта операция позволит в средстве распространения определить, что сообщение подписано ЗСУ1, что целостность сообщения не нарушена, и только после этого расшифровать его.This operation will allow the distribution tool to determine that the message is signed by ZSU 1 , that the integrity of the message is not violated, and only then decrypt it.
Рекомендуется использовать подпись в формате PKCS#7 при создании сообщения с электронной подписью, в связи с широким распространением PKCS#7.It is recommended to use a signature in the PKCS # 7 format when creating a message with an electronic signature, due to the wide distribution of PKCS # 7.
Средство распространения устанавливает отправителя сообщения с помощью функции , которая проверяет подпись зашифрованного и подписанного сообщения С и устанавливает соответствие с ЗСУ1 благодаря владению открытым ключом Kp1 ЗСУ1. Функция позволяет проверить, что целостность сообщения не была нарушена. В случае нарушения целостности сообщения функция укажет ошибку.The distribution tool sets the sender of the message using the function , which verifies the signature of the encrypted and signed message C and establishes compliance with ZSU 1 due to ownership of the public key K p1 of ZSU 1 . Function allows you to verify that the integrity of the message has not been violated. In case of violation of the message integrity, the function will indicate an error.
После успешной идентификации отправителя средство распространения может получить исходное сообщение МAfter successfully identifying the sender, the distributor may receive the original message M
где - функция расшифрования с использованием секретного ключа Ksi средства распространения.Where - a decryption function using the secret key K si of the distribution medium.
Для отправки сообщения М от ЗСУ1 в адрес ЗСУ2, ЗСУ3, …, ЗСУn выполняется шифрование сообщения М, а затем подпись:To send message M from ZSU 1 to ZSU 2 , ZSU 3 , ..., ZSU n , the message M is encrypted, and then the signature is:
где Ksl - закрытый ключ ЗСУ1;where K sl - private key ZSU 1 ;
Kpi - открытый ключ ЗСУi.K pi - public key ZSU i .
Как правило, в ходе использования защищенной сети периодически возникает необходимость в обновлении ключей шифрования и сертификатов. Такое обновление может быть осуществлено и в предложенном способе.As a rule, during the use of a secure network, it is periodically necessary to update encryption keys and certificates. Such an update can be carried out in the proposed method.
Для этого в средстве распространения, по истечении очередного периода обновления, формируются с помощью генератора случайных чисел массивы случайных чисел необходимого объема, которые затем, вместе со служебной информацией, в зашифрованном виде пересылаются в каждый ЗСУ.To do this, in the distribution tool, after the next update period, arrays of random numbers of the required volume are formed using a random number generator, which are then sent together with service information in encrypted form to each ZSU.
После этого в каждом ЗСУ проводится новая генерация ключевых пар и сертификатов и обмен данными с другими ЗСУ, по окончании которого обмен данными уже будет проводиться с использованием других ключей.After that, in each ZSU, a new generation of key pairs and certificates and data exchange with other ZSUs are carried out, after which data will already be exchanged using other keys.
Период обновления может быть выбран администратором сети и зависит от количества ЗСУ, производительности средства распространения и ряда других факторов.The update period can be selected by the network administrator and depends on the number of ZSU, the performance of the distribution tool and a number of other factors.
В результате, повышается надежность и защищенность сети в целом.As a result, the reliability and security of the network as a whole increases.
Отсутствие необходимости устанавливать на каждом ЗСУ криптографически стойкий генератор псевдослучайных чисел, сертифицированный у регулятора, позволяет существенно снизить затраты для обеспечения информационной безопасности.The absence of the need to install a cryptographically robust pseudo-random number generator certified by the controller on each ZSU can significantly reduce costs to ensure information security.
Осуществление изобретенияThe implementation of the invention
Реализацию предложенного способа можно рассмотреть на примере защищенной корпоративной сети охраны здания, включающей, например, 50 видеокамер наблюдения, подключенные к сети.The implementation of the proposed method can be considered on the example of a secure corporate building security network, including, for example, 50 surveillance cameras connected to the network.
В качестве сервера распространения можно использовать компьютер под управлением операционной системы Windows Server 2012R2, Debian, Cent OS, Astra Linux или другой. Характеристики центрального процессора, количество процессоров, объем оперативной памяти, количество свободного места на диске и др. определяются в зависимости от количества ЗСУ: чем больше ЗСУ в сети, тем выше требования к аппаратным ресурсам. Средство распространения должно иметь интерфейс пользователя, посредством которого системный администратор будет осуществлять управление системой. Пользовательский интерфейс может быть реализован в виде веб-страницы с использованием HTML и javascript, в виде внешнего сенсорного экрана, в виде интерфейса командной строки либо любым другим подходящим способом.As a distribution server, you can use a computer running Windows Server 2012R2, Debian, Cent OS, Astra Linux, or another operating system. The characteristics of the central processor, the number of processors, the amount of RAM, the amount of free disk space, etc. are determined depending on the number of ZSU: the more ZSU in the network, the higher the requirements for hardware resources. The distribution tool must have a user interface through which the system administrator will manage the system. The user interface can be implemented as a web page using HTML and javascript, as an external touch screen, as a command line interface, or in any other suitable way.
Средство распространения должно быть оборудовано криптографически стойким генератором псевдослучайных чисел, сертифицированным у регулятора. Например, это может быть устройство защиты от несанкционированного доступа и модуль доверенной загрузки - электронный замок "Соболь" [https://www.securitycode.ru/products/pak_sobol/].The propagation medium must be equipped with a cryptographically robust pseudo random number generator certified by the regulator. For example, it can be a device for protection against unauthorized access and a trusted boot module - the Sobol electronic lock [https://www.securitycode.ru/products/pak_sobol/].
В качестве ЗСУ используются, соответственно, видеокамеры, подходящие по параметрам и подключенные к сети.As ZSU are used, respectively, cameras that are suitable for the parameters and connected to the network.
Средство обработки, входящее в состав каждого ЗСУ, может быть реализована на базе микроконтроллера, например, STM32F427 [https://www.st.com/en/microcontrollers-microprocessors/stm32f427-437.html]. Для соединения средства обработки с ЗСУ можно использовать UART, SPI, 12C, USB, либо другие подходящие интерфейсы. ЗСУ должно обладать соответствующим интерфейсом для связи со средством обработки.The processing tool included in each ZSU can be implemented on the basis of a microcontroller, for example, STM32F427 [https://www.st.com/en/microcontrollers-microprocessors/stm32f427-437.html]. You can use UART, SPI, 12C, USB, or other suitable interfaces to connect the processing tool to the ZSU. ZSU should have an appropriate interface for communication with the processing means.
Средство обработки должно быть предварительно спроектировано и изготовлено, а ПО для его функционирования сформировано и встроено. Это могут выполнить специалисты по проектированию электронных устройств и программированию, на основе знания выполняемых функций и используемых выбранных интерфейсов. После изготовления и подготовки средства обработки встраиваются в ЗСУ.The processing tool must be pre-designed and manufactured, and software for its functioning formed and built. This can be done by specialists in the design of electronic devices and programming, based on knowledge of the functions performed and the selected interfaces used. After manufacturing and preparation, the processing tools are built into the ZSU.
В качестве доверенного канала между средством распространения и ЗСУ можно использовать доставку с привлечением обслуживающего персонала сети, сетевое соединение по протоколу TLS версии 1.2 и выше, с аутентификацией сервера и клиента, либо иной подходящий способ доверенной доставки.As a trusted channel between the distribution tool and the ZSU, you can use delivery involving network attendants, a network connection using TLS protocol version 1.2 and higher, with server and client authentication, or another suitable method of trusted delivery.
В ходе выполнения способа выполняются с использованием средства распространения следующие действия:During the execution of the method, the following actions are performed using the distribution tool:
генерация массива случайных чисел; random array generation;
генерация ключевых пар средства распространения; generation of key pairs of the distribution medium;
выпуск сертификатов средства распространения; issuance of distribution media certificates;
Эти действия могут выполняться автоматически с помощью ПО или вручную, например, администратором сети.These actions can be performed automatically using software or manually, for example, by a network administrator.
Затем формируется список ЗСУ, которые будут обмениваться данными между собой, и для каждого из ЗСУ формирует пакет. После этого, в зависимости от выбранного варианта, пакеты вручную выгружаются на внешний носитель и доверенным способом (с привлечением обслуживающего персонала) доставляются на соответствующее ЗСУ или передаются в ЗСУ по сети с использованием протокола TLS версии 1.2 и выше, с аутентификацией сервера и клиента. После доставки пакета на ЗСУ и загрузки в средство обработки, средство обработки получает возможность генерировать ключевые пары, т.к. теперь имеет массив случайных чисел.Then a list of ZSU is formed, which will exchange data with each other, and for each of the ZSU forms a package. After that, depending on the chosen option, the packages are manually unloaded to an external medium and in a trusted way (with the assistance of service personnel) are delivered to the corresponding ZSU or transferred to the ZSU via the network using the TLS protocol version 1.2 and higher, with server and client authentication. After the package is delivered to the ZSU and loaded into the processing tool, the processing tool is able to generate key pairs, because now has an array of random numbers.
Средство обработки посредством команды от ЗСУ генерирует ключевые пары и запросы на служебный и прикладной сертификаты. Сертификаты выгружаются по команде ЗСУ из средства обработки и доставляются на сервер распространения по сети, без шифрования. Запросы на сертификат принимаются в средство распространения, инициируют выпуск сертификатов по запросам, после чего формируются пакеты для каждого ЗСУ из списка, содержащий сертификаты. Затем сертификаты доставляются по сети каждому ЗСУ из списка и устанавливаются в средство обработки.The processing means through a command from the ZSU generates key pairs and requests for service and application certificates. Certificates are uploaded by the ZSU command from the processing facility and delivered to the distribution server over the network, without encryption. Certificate requests are accepted into the distribution medium, initiate the issuance of certificates upon request, after which packages for each ZSU from the list containing certificates are formed. Then the certificates are delivered over the network to each ZSU from the list and are installed in the processing tool.
В результате выполнения описанных выше действий развертывается служебная ключевая система, позволяющая ЗСУ и средству обработки безопасно обмениваться данными по сети без криптографической защиты канала передачи данных, а также прикладная ключевая система, позволяющая ЗСУ обмениваться данными сети без криптографической защиты канала передачи данных с другими ЗСУ.As a result of the above steps, a service key system is deployed that allows the ZSU and the processing tool to safely exchange data over the network without cryptographic protection of the data channel, as well as an application key system that allows the ZSU to exchange network data without cryptographic protection of the data channel with other ZSU.
Для обновления ключевой системы, после окончания очередного периода обновления, в средстве распространения формируются пакеты обновлений, которые доставляются по сети без криптографической защиты канала передачи данных в ЗСУ и устанавливается в средства обработки.To update the key system, after the end of the next update period, update packages are formed in the distribution tool, which are delivered over the network without cryptographic protection of the data transmission channel to the ZSU and installed in the processing means.
Период обновления может быть заранее выбран и установлен администратором сети, зависит от требований безопасности и может составлять, например, 2-3 суток и менее.The update period can be pre-selected and set by the network administrator, depends on security requirements and can be, for example, 2-3 days or less.
Claims (80)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2019116881A RU2706176C1 (en) | 2019-05-31 | 2019-05-31 | Method of providing cryptographic protection of information in a network information system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2019116881A RU2706176C1 (en) | 2019-05-31 | 2019-05-31 | Method of providing cryptographic protection of information in a network information system |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2706176C1 true RU2706176C1 (en) | 2019-11-14 |
Family
ID=68579907
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2019116881A RU2706176C1 (en) | 2019-05-31 | 2019-05-31 | Method of providing cryptographic protection of information in a network information system |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2706176C1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2773456C1 (en) * | 2021-09-15 | 2022-06-03 | Акционерное общество "Аладдин Р.Д." | Method and system for trusted loading of computing device operating system |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090106550A1 (en) * | 2007-10-20 | 2009-04-23 | Blackout, Inc. | Extending encrypting web service |
WO2010150008A2 (en) * | 2009-06-22 | 2010-12-29 | Barclays Bank Plc | Method and system for provision of cryptographic services |
RU2630751C2 (en) * | 2013-03-15 | 2017-09-12 | Мастеркард Интернэшнл Инкорпорейтед | Systems and methods for cryptographic security as service |
RU2665247C1 (en) * | 2017-10-27 | 2018-08-28 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Method of delivering certificates in protected network computing system |
-
2019
- 2019-05-31 RU RU2019116881A patent/RU2706176C1/en active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090106550A1 (en) * | 2007-10-20 | 2009-04-23 | Blackout, Inc. | Extending encrypting web service |
WO2010150008A2 (en) * | 2009-06-22 | 2010-12-29 | Barclays Bank Plc | Method and system for provision of cryptographic services |
US20120131354A1 (en) * | 2009-06-22 | 2012-05-24 | Barclays Bank Plc | Method and system for provision of cryptographic services |
RU2630751C2 (en) * | 2013-03-15 | 2017-09-12 | Мастеркард Интернэшнл Инкорпорейтед | Systems and methods for cryptographic security as service |
RU2665247C1 (en) * | 2017-10-27 | 2018-08-28 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Method of delivering certificates in protected network computing system |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2773456C1 (en) * | 2021-09-15 | 2022-06-03 | Акционерное общество "Аладдин Р.Д." | Method and system for trusted loading of computing device operating system |
RU2801835C1 (en) * | 2022-12-13 | 2023-08-16 | Акционерное общество "Концерн "Созвездие" | Internal network formed by network cryptographic protection modules |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110999255B (en) | Method and device for retrieving access data of block chain network | |
US20230155821A1 (en) | Secure shared key establishment for peer to peer communications | |
US7697691B2 (en) | Method of delivering Direct Proof private keys to devices using an on-line service | |
JP4638912B2 (en) | Method for transmitting a direct proof private key in a signed group to a device using a distribution CD | |
CN1926837B (en) | Method and apparatuses for sharing cryptographic key with an embedded agent on a network endpoint in a network domain | |
US8761401B2 (en) | System and method for secure key distribution to manufactured products | |
US7502946B2 (en) | Using hardware to secure areas of long term storage in CE devices | |
US8953790B2 (en) | Secure generation of a device root key in the field | |
JP4616345B2 (en) | A method for directly distributing a certification private key to a device using a distribution CD | |
CN116132162A (en) | Retrieving public data of a blockchain network using a high availability trusted execution environment | |
US20050149722A1 (en) | Session key exchange | |
EP3682364B1 (en) | Cryptographic services utilizing commodity hardware | |
US20220086009A1 (en) | Method for generating stateful hash based signatures of messages to be signed | |
WO2021082222A1 (en) | Communication method and apparatus, storage method and apparatus, and operation method and apparatus | |
CN110611679A (en) | Data transmission method, device, equipment and system | |
WO2023246509A1 (en) | Gene data processing method and apparatus, device and medium | |
KR102559101B1 (en) | Power metering apparatus, power metering server and, power metering method base on block chain | |
RU2706176C1 (en) | Method of providing cryptographic protection of information in a network information system | |
JP2019057827A (en) | Distributed authentication system and program | |
EP4287560A1 (en) | Encryption and decryption of transactions of a distributed ledger | |
CN117955728A (en) | Single block chain system for different networks | |
WO2023211538A1 (en) | Method and apparatus for distributing encrypted device unique credentials | |
WO2015114645A1 (en) | Trust framework for secured digital interactions between entities |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PD4A | Correction of name of patent owner |