RU2706176C1 - Method of providing cryptographic protection of information in a network information system - Google Patents

Method of providing cryptographic protection of information in a network information system Download PDF

Info

Publication number
RU2706176C1
RU2706176C1 RU2019116881A RU2019116881A RU2706176C1 RU 2706176 C1 RU2706176 C1 RU 2706176C1 RU 2019116881 A RU2019116881 A RU 2019116881A RU 2019116881 A RU2019116881 A RU 2019116881A RU 2706176 C1 RU2706176 C1 RU 2706176C1
Authority
RU
Russia
Prior art keywords
zsu
certificate
service
distribution
data
Prior art date
Application number
RU2019116881A
Other languages
Russian (ru)
Inventor
Александр Витальевич Ерыгин
Original Assignee
Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" filed Critical Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы"
Priority to RU2019116881A priority Critical patent/RU2706176C1/en
Application granted granted Critical
Publication of RU2706176C1 publication Critical patent/RU2706176C1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

FIELD: information protection.
SUBSTANCE: method of providing cryptographic protection of information in a network information system, which comprises a distribution server, protected network devices (PND), wherein each PND includes a processing means, encrypt data, decrypt data, if necessary, in each PND using the processing means, data is encoded into the address of other PND using the application certificates of these PNDs, if in the received service pack, the root service certificate of the distribution means is specified as the issuer of the electronic signature key certificate and the electronic signature is correct, then decrypting the data from the update packet using the private key of the key pair for the PND service certificate and updating the data in each PND otherwise rejects the update packet.
EFFECT: technical result is wider range of means.
1 cl

Description

Область техники, к которой относится изобретениеFIELD OF THE INVENTION

Предполагаемое изобретение относится к сетевым информационным системам и может быть использовано для обеспечения криптографической защиты информации.The alleged invention relates to network information systems and can be used to provide cryptographic protection of information.

Уровень техникиState of the art

В настоящий момент в промышленных информационных системах широко распространены счетчики, датчики и др. устройства, использующие микроконтроллеры и включенные в сеть. Данные и сигналы от этих устройств могут использоваться при управлении различными технологическими процессами, нарушение которых может привести к негативным последствиям. Однако, зачастую в устройствах и в сети полностью отсутствует защита информации. Поэтому требуется защитить информацию, которой обмениваются эти устройства.At the moment, in industrial information systems, meters, sensors, and other devices that use microcontrollers and are included in the network are widespread. Data and signals from these devices can be used to control various technological processes, the violation of which can lead to negative consequences. However, often in devices and on the network information security is completely absent. Therefore, you need to protect the information exchanged between these devices.

Этому препятствуют следующие факторы:The following factors prevent this:

Figure 00000001
низкая вычислительная мощность устройств, которая не позволяет реализовать нужные криптографические функции;
Figure 00000001
low computing power of devices, which does not allow to implement the necessary cryptographic functions;

Figure 00000001
необходимость использовать для защиты информации сертифицированные средства криптографической защиты информации (далее - СКЗИ).
Figure 00000001
the need to use certified means of cryptographic information protection (hereinafter - CPSI) for information protection.

Разработка и внедрение сертифицированного СКЗИ - сложный, трудоемкий и нехарактерный для производителя промышленных устройств процесс.The development and implementation of certified CIPF is a complex, time-consuming and uncharacteristic process for a manufacturer of industrial devices.

Превращение каждого промышленного устройства в сертифицированное СКЗИ значительно увеличит его стоимость, что может стать препятствием в автоматизации производства и замедлить процессы развития, повышения эффективности и экономического роста.The transformation of each industrial device into a certified CIPF will significantly increase its cost, which can become an obstacle to the automation of production and slow down the development processes, increase efficiency and economic growth.

Известен способ доставки сертификатов в защищенной сетевой вычислительной системе (патент РФ №2665247, приоритет от 27.10.2017 г.), в котором доставляют сертификаты в сервер распространения доверенным способом; вносят сведения о сервере распространения в средство установки каждого компьютера пользователя; перехватывают на каждом компьютере с помощью средства установки все запросы к внешним по отношению к вычислительной системе удостоверяющим центрам на загрузку сертификатов; перенаправляют все перехваченные запросы к серверу распространения; передают сертификаты в ответ на запросы с помощью сервера распространения в компьютеры пользователей; принимают на компьютере пользователя с помощью средства установки сертификаты, полученные из средства распространения; устанавливают сертификаты на компьютере пользователя с помощью средства установки.A known method of delivering certificates in a secure network computing system (RF patent No. 2665247, priority dated 10.27.2017), in which certificates are delivered to the distribution server in a trusted manner; enter information about the distribution server into the installation tool of each user's computer; intercept on each computer with the help of the installation tool all requests to certification centers external to the computer system for downloading certificates; redirect all intercepted requests to the distribution server; transmit certificates in response to requests using the distribution server to users' computers; accept certificates received from the distribution tool on the user's computer using the installation tool; Install certificates on the user's computer using the installation tool.

Недостатком известного способа является возможность работы только внутри закрытого контура, в то время как часто требуется наладить защищенный обмен данными между различными удаленными вычислительными системами.The disadvantage of this method is the ability to work only inside a closed loop, while often you need to establish a secure exchange of data between various remote computing systems.

Известны способ обеспечения удаленного криптографического сервиса клиентскому приложению в компьютерной системе (патент РФ №2630751, приоритет от 15.03.2013 г.), включающийThere is a method of providing remote cryptographic service to a client application in a computer system (RF patent No. 2630751, priority dated March 15, 2013), including

Figure 00000001
создание посредством модуля сервиса управления ключами, ассоциированного с компьютерной системой поставщика сервиса, ключа шифрования, причем ключ шифрования ассоциирован, по меньшей мере, с одним клиентским приложением из множества клиентских приложений, причем ключ шифрования используется поставщиком криптографического сервиса для шифрования данных приложения;
Figure 00000001
creating, through the key management service module associated with the computer system of the service provider, an encryption key, the encryption key being associated with at least one client application from a plurality of client applications, the encryption key being used by the cryptographic service provider to encrypt the application data;

Figure 00000001
предоставление API (интерфейса прикладного программирования) поставщика криптографического сервиса множеству клиентских приложений, причем API поставщика криптографического сервиса выполнен с возможностью
Figure 00000001
providing an API (application programming interface) of a cryptographic service provider to a plurality of client applications, wherein the cryptographic service provider API is configured to

Figure 00000002
доставлять запросы шифрования и запросы дешифрования поставщику криптографического сервиса и
Figure 00000002
Deliver encryption and decryption requests to the cryptographic service provider, and

Figure 00000003
доставлять шифрованные данные и дешифрованные данные множеству клиентских приложений;
Figure 00000003
Deliver encrypted data and decrypted data to multiple client applications

Figure 00000004
получение посредством API поставщика криптографического сервиса запроса шифрования, по меньшей мере, от одного клиентского приложения, причем запрос шифрования включает в себя данные для конечного пользователя, по меньшей мере, одного клиентского приложения, причем запрос шифрования включает в себя, по меньшей мере, один параметр шифрования, заданный, по меньшей мере, одним клиентским приложением для использования при шифровании данных, и причем, по меньшей мере, один параметр шифрования идентифицирует тип шифрования и глубину шифрования;
Figure 00000004
receiving, by the cryptographic service provider API, an encryption request from at least one client application, wherein the encryption request includes data for the end user of at least one client application, wherein the encryption request includes at least one parameter encryption specified by at least one client application for use in data encryption, and at least one encryption parameter identifies the type of encryption and the depth of encryption ;

Figure 00000005
шифрование данных, используя созданный ключ шифрования, тип шифрования, заданный посредством, по меньшей мере, одного клиентского приложения, и глубину шифрования, заданную посредством, по меньшей мере, одного клиентского приложения;
Figure 00000005
encrypting data using the generated encryption key, the type of encryption specified by at least one client application, and the encryption depth specified by at least one client application;

Figure 00000005
передачу посредством API поставщика криптографического сервиса зашифрованных данных, по меньшей мере, одному клиентскому приложению без передачи ключа шифрования, по меньшей мере, одному клиентскому приложению;
Figure 00000005
transferring encrypted data through the API of the cryptographic service provider to at least one client application without transmitting the encryption key to at least one client application;

Figure 00000005
получение, по меньшей мере, от одного клиентского приложения запроса дешифрования, содержащего, по меньшей мере, часть параметров и зашифрованные данные, причем часть параметров задает тип шифрования, ассоциированный с зашифрованными данными, и глубину шифрования, ассоциированную с зашифрованными данными;
Figure 00000005
receiving, from at least one client application, a decryption request containing at least a part of the parameters and the encrypted data, the part of the parameters setting the type of encryption associated with the encrypted data and the encryption depth associated with the encrypted data;

Figure 00000005
определение идентификационных данных, по меньшей мере, одного клиентского приложения, передающего полученное сообщение, на основании идентификационных данных и части параметров;
Figure 00000005
determining the identity of at least one client application transmitting the received message based on the identity and part of the parameters;

Figure 00000005
дешифрование зашифрованных данных на основании созданного ключа шифрования, типа шифрования и глубины шифрования; и
Figure 00000005
decryption of encrypted data based on the generated encryption key, type of encryption and depth of encryption; and

Figure 00000005
передачу дешифрованных данных обратно, по меньшей мере, одному приложению.
Figure 00000005
transfer decrypted data back to at least one application.

Компьютерная сетевая система, в которой реализуется способ, содержит сервер с устройством памяти, процессором и программным обеспечением (ПО), включающем API и модуль сервиса управления ключами, а также компьютеры пользователей, на которых установлены клиентские приложения.The computer network system in which the method is implemented comprises a server with a memory device, a processor, and software (software) including an API and a key management service module, as well as user computers on which client applications are installed.

Известный способ принимается в качестве прототипа.The known method is adopted as a prototype.

Согласно известному способу, криптографические ключи пользователя хранятся не на стороне клиентского приложения, а на стороне сервиса. Это снижает уровень безопасности системы, т.к. позволяет сервису получать доступ к данным пользователя и в ряде случаев действовать от его имени, например, при использовании электронной подписи. В случае успешной атаки на сервер могут быть скомпрометированы ключи всех пользователей системы.According to the known method, the user's cryptographic keys are stored not on the client application side, but on the service side. This reduces the security level of the system. allows the service to access the user's data and in some cases act on his behalf, for example, when using an electronic signature. In the event of a successful attack on the server, the keys of all users of the system may be compromised.

Раскрытие изобретенияDisclosure of invention

Техническим результатом является:The technical result is:

1) снижение затрат для обеспечения информационной безопасности за счет выполнения ресурсоемких криптографических операций на сервере;1) cost reduction to ensure information security by performing resource-intensive cryptographic operations on the server;

2) повышение надежности в целом из-за выполнения криптографических операций на стороне защищаемого сетевого устройства (ЗСУ);2) increased reliability in general due to the performance of cryptographic operations on the side of the protected network device (ZSU);

3) повышение защищенности в целом из-за хранения ключей в самих ЗСУ.3) increased security in general due to the storage of keys in the ZSU themselves.

Для этого предлагается способ обеспечения криптографической защиты информации в сетевой информационной системе, которая содержитTo this end, a method for providing cryptographic protection of information in a network information system, which contains

Figure 00000006
сервер распространения, причем сервер включает установленное на нем средство распространения, выполненное с возможностью
Figure 00000006
a distribution server, the server including a distribution medium installed thereon, configured to

Figure 00000007
принимать запросы на передачу данных;
Figure 00000007
Receive data requests

Figure 00000007
передавать данные в ответ на запрос;
Figure 00000007
transmit data in response to a request;

Figure 00000007
генерировать случайные числа;
Figure 00000007
generate random numbers;

Figure 00000007
формировать криптографические ключи;
Figure 00000007
generate cryptographic keys;

Figure 00000007
формировать запросы на передачу данных;
Figure 00000007
generate data transfer requests;

Figure 00000007
формировать сертификаты, каждый из которых содержит сведения об издателе сертификата и открытый ключ ключевой пары владельца сертификата;
Figure 00000007
generate certificates, each of which contains information about the publisher of the certificate and the public key of the key pair of the certificate holder;

Figure 00000007
формировать блоки данных в виде пакета данных;
Figure 00000007
to form data blocks in the form of a data packet;

Figure 00000007
генерировать ключевые пары, каждая из которых содержит один открытый и один закрытый ключи;
Figure 00000007
generate key pairs, each of which contains one public and one private key;

Figure 00000008
защищаемые сетевые устройства (ЗСУ), причем каждое ЗСУ включает средство обработки, выполненное с возможностью
Figure 00000008
protected network devices (ZSU), and each ZSU includes processing means configured to

Figure 00000009
принимать и обрабатывать данные, полученные от средства распространения и других ЗСУ;
Figure 00000009
receive and process data received from the distribution medium and other ZSU;

Figure 00000007
генерировать ключевые пары, каждая из которых содержит один открытый и один закрытый ключи;
Figure 00000007
generate key pairs, each of which contains one public and one private key;

Figure 00000010
генерировать запрос на служебный сертификат ЗСУ;
Figure 00000010
generate a request for a service certificate ZSU;

Figure 00000007
генерировать запрос на прикладной сертификат ЗСУ;
Figure 00000007
generate a request for an application certificate ZSU;

Figure 00000007
формировать электронную подпись;
Figure 00000007
generate an electronic signature;

Figure 00000007
проверять ранее сформированную электронную подпись;
Figure 00000007
verify a previously generated electronic signature;

Figure 00000007
осуществлять проверку сертификата ключа электронной подписи;
Figure 00000007
verify the certificate of the electronic signature key;

Figure 00000007
зашифровывать данные;
Figure 00000007
encrypt data;

Figure 00000007
расшифровывать данные; способ, заключающийся в том, что
Figure 00000007
decrypt data; the method is that

Figure 00000011
определяют в средстве распространения список ЗСУ, которые должны обмениваться информацией;
Figure 00000011
determine in the distribution medium a list of ZSU, which must exchange information;

Figure 00000011
выполняют в средстве распространения следующие действия
Figure 00000011
perform the following actions in the distribution medium

Figure 00000012
генерируют ключевую пару для корневого прикладного сертификата средства распространения;
Figure 00000012
generating a key pair for the root distribution application certificate;

Figure 00000012
создают корневой прикладной сертификат средства распространения;
Figure 00000012
Create a root distribution application certificate

Figure 00000012
генерируют ключевую пару для корневого служебного сертификата средства распространения;
Figure 00000012
generating a key pair for the distribution medium root service certificate;

Figure 00000012
создают корневой служебный сертификат средства распространения;
Figure 00000012
Create a root distribution service certificate

Figure 00000012
генерируют ключевую пару и запрос на служебный сертификат средства распространения;
Figure 00000012
generating a key pair and a request for a service certificate of a distribution medium;

Figure 00000012
создают служебный сертификат средства распространения, используя в качестве сертификата издателя корневой служебный сертификат средства распространения;
Figure 00000012
create a distribution medium service certificate using the root service certificate of the distribution medium as a publisher certificate;

Figure 00000012
формируют для каждого ЗСУ пакет данных, содержащий
Figure 00000012
form for each ZSU data packet containing

Figure 00000013
корневой служебный сертификат средства распространения;
Figure 00000013
Distribution root service certificate

Figure 00000013
корневой прикладной сертификат средства распространения;
Figure 00000013
Distribution root application certificate

Figure 00000013
служебный сертификат средства распространения;
Figure 00000013
Distribution service certificate

Figure 00000013
множество случайных чисел;
Figure 00000013
lots of random numbers;

Figure 00000014
доставляют доверенным способом пакет данных каждому ЗСУ из списка ЗСУ, которые должны обмениваться информацией;
Figure 00000014
deliver in a trusted manner a data packet to each ZSU from the list of ZSU, which must exchange information;

Figure 00000015
получают в каждом ЗСУ пакет данных;
Figure 00000015
receive a data packet in each ZSU;

Figure 00000015
на каждом ЗСУ с помощью средства обработки выполняют следующие действия
Figure 00000015
on each ZSU using the processing tool perform the following actions

Figure 00000016
генерируют ключевую пару;
Figure 00000016
generate a key pair;

Figure 00000016
создают запрос на служебный сертификат ЗСУ;
Figure 00000016
create a request for a service certificate ZSU;

Figure 00000016
генерируют ключевую пару;
Figure 00000016
generate a key pair;

Figure 00000016
создают запрос на прикладной сертификат ЗСУ;
Figure 00000016
create a request for an application certificate ZSU;

Figure 00000016
передают запросы на прикладной и служебный сертификаты ЗСУ в средство распространения;
Figure 00000016
transmit requests for application and service certificates ZSU in the distribution tool;

Figure 00000017
формируют в средстве распространения для каждого ЗСУ служебный сертификат ЗСУ, используя в качестве сертификата издателя корневой служебный сертификат средства распространения, и прикладной сертификат ЗСУ, используя в качестве сертификата издателя корневым прикладной сертификат средства распространения;
Figure 00000017
form in the distribution medium for each ZSU the service certificate of the ZSU using the root service certificate of the distribution medium as the publisher certificate and the application certificate of the ZSU using the distribution certificate as the root certificate of the publisher;

Figure 00000017
передают из средства распространения в каждый ЗСУ подписанный пакет данных, который содержит служебный и прикладной сертификаты ЗСУ, используя для подписи пакета данных служебный сертификат средства распространения и соответствующий служебному сертификату средства распространения закрытый ключ ключевой пары;
Figure 00000017
transmit from the distribution medium to each ZSU a signed data packet that contains the service and application certificates of the ZSU, using the service certificate of the distribution medium and the private key of the key pair corresponding to the service certificate of the distribution medium;

Figure 00000017
получают на каждом ЗСУ пакет данных;
Figure 00000017
receive a data packet on each ZSU;

Figure 00000017
выполняют на каждом ЗСУ с помощью средства обработки следующие действия:
Figure 00000017
perform on each ZSU using the processing tool the following actions:

Figure 00000018
если в полученном пакете корневой служебный сертификат средства распространения указан в качестве издателя сертификата ключа электронной подписи и электронная подпись корректна, то
Figure 00000018
if in the received packet the root service certificate of the distribution medium is indicated as the publisher of the electronic signature key certificate and the electronic signature is correct, then

Figure 00000019
сохраняют прикладной и служебный сертификаты ЗСУ; иначе
Figure 00000019
save application and service certificates of the ZSU; otherwise

Figure 00000019
отклоняют пакет данных,
Figure 00000019
reject the data packet

Figure 00000020
передают из средства распространения в каждый ЗСУ из списка зашифрованный с использованием открытого ключа из служебного сертификата ЗСУ и подписанный с использованием закрытого ключа ключевой пары для служебного сертификата средства распространения,
Figure 00000020
transmit from the distribution medium to each ZSU from the list encrypted using the public key from the ZSU service certificate and signed using the private key of the key pair for the service certificate of the distribution medium,

пакет данных, содержащий набор прикладных сертификатов ЗСУ из списка;a data packet containing a set of application certificates ZSU from the list;

Figure 00000021
получают в каждом ЗСУ пакет данных;
Figure 00000021
receive a data packet in each ZSU;

Figure 00000021
выполняют в каждом ЗСУ с помощью средства обработки следующие действия:
Figure 00000021
perform in each ZSU using the processing tool the following actions:

Figure 00000022
если в полученном пакете корневой служебный сертификат средства распространения указан в качестве издателя сертификата ключа электронной подписи и электронная подпись корректна, то
Figure 00000022
if in the received packet the root service certificate of the distribution medium is indicated as the publisher of the electronic signature key certificate and the electronic signature is correct, then

Figure 00000023
расшифровывают пакет с использованием закрытого ключа ключевой пары для служебного сертификата ЗСУ;
Figure 00000023
decrypting the packet using the private key of the key pair for the ZSU service certificate;

Figure 00000023
сохраняют прикладные сертификаты ЗСУ, с которыми данное ЗСУ будет обмениваться зашифрованными данными;
Figure 00000023
save application certificates ZSU, with which the ZSU will exchange encrypted data;

иначеotherwise

Figure 00000023
отклоняют пакет данных;
Figure 00000023
reject the data packet;

Figure 00000024
при необходимости, в каждом ЗСУ с помощью средства обработки
Figure 00000024
if necessary, in each ZSU using a processing tool

Figure 00000025
зашифровывают данные в адрес других ЗСУ с использованием прикладных сертификатов этих ЗСУ;
Figure 00000025
encrypt data to other ZSU using application certificates of these ZSU;

Figure 00000025
формируют электронные подписи с использованием собственного прикладного сертификата ЗСУ и соответствующего собственному прикладному сертификату ЗСУ закрытого ключа ключевой пары и отправляют их другим ЗСУ;
Figure 00000025
generate electronic signatures using the ZSU own application certificate and the private key of the key pair corresponding to the ZSU own certificate, and send them to the other ZSU;

Figure 00000025
передают зашифрованные данные в виде пакетов другим ЗСУ;
Figure 00000025
transmit encrypted data in the form of packets to other ZSU;

Figure 00000025
принимают зашифрованные данные в виде пакетов от других ЗСУ;
Figure 00000025
receive encrypted data in the form of packets from other ZSU;

Figure 00000025
если в полученных пакетах от других ЗСУ корневой служебный сертификат средства распространения указан в качестве издателя сертификата ЗСУ и электронная подпись корректна, то
Figure 00000025
if in the received packets from other ZSU the root service certificate of the distribution medium is indicated as the publisher of the ZSU certificate and the electronic signature is correct, then

Figure 00000026
расшифровывают данные от других ЗСУ с использованием закрытого ключа из ключевой пары для прикладных сертификатов этих ЗСУ;
Figure 00000026
decrypt data from other ZSU using a private key from a key pair for application certificates of these ZSU;

Figure 00000026
используют расшифрованные данные по назначению;
Figure 00000026
use the decrypted data for the purpose;

иначеotherwise

Figure 00000026
отклоняют пакет данных;
Figure 00000026
reject the data packet;

Figure 00000027
при необходимости, выполняют в средстве распространения следующие действия:
Figure 00000027
if necessary, perform the following actions in the distribution medium:

Figure 00000028
формируют для каждого ЗСУ из списка отдельный пакет данных обновления, который может содержать:
Figure 00000028
form for each ZSU from the list a separate update data package, which may contain:

Figure 00000029
множество случайных чисел;
Figure 00000029
lots of random numbers;

Figure 00000029
корневой служебный сертификат средства распространения;
Figure 00000029
Distribution root service certificate

Figure 00000029
корневой прикладной сертификат средства распространения;
Figure 00000029
Distribution root application certificate

Figure 00000029
служебный сертификат средства распространения;
Figure 00000029
Distribution service certificate

Figure 00000029
служебный сертификат ЗСУ;
Figure 00000029
service certificate ZSU;

Figure 00000029
прикладной сертификат ЗСУ;
Figure 00000029
ZSU application certificate;

Figure 00000029
служебные сертификаты ЗСУ из списка;
Figure 00000029
ZSU service certificates from the list;

Figure 00000029
прикладные сертификаты ЗСУ из списка;
Figure 00000029
ZSU application certificates from the list;

Figure 00000029
криптографические ключи;
Figure 00000029
cryptographic keys;

Figure 00000025
отправляют в каждое ЗСУ из списка пакеты обновления, зашифрованные с использованием открытых ключей ключевых пар для служебных сертификатов ЗСУ и подписанные с использованием закрытого ключа ключевой пары для служебного сертификата средства распространения;
Figure 00000025
send to each ZSU from the list update packages encrypted using public keys of key pairs for service certificates of ZSU and signed using the private key of a key pair for the service certificate of the distribution tool;

Figure 00000030
получают пакеты обновления в каждом ЗСУ;
Figure 00000030
receive update packages in each ZSU;

Figure 00000025
если в полученном пакете обновления корневой служебный сертификат средства распространения указан в качестве издателя сертификата ключа электронной подписи и электронная подпись корректна, то
Figure 00000025
if in the received service pack the root service certificate of the distribution tool is indicated as the publisher of the electronic signature key certificate and the electronic signature is correct, then

Figure 00000031
расшифровывают данные из пакета обновления с использованием закрытого ключа ключевой пары для служебного сертификата ЗСУ;
Figure 00000031
decrypt the data from the service pack using the private key of the key pair for the ZSU service certificate;

Figure 00000031
обновляют данные в каждом ЗСУ;
Figure 00000031
update data in each ZSU;

иначеotherwise

Figure 00000031
отклоняют пакет обновления.
Figure 00000031
reject the service pack.

Особенностью предложенного способа является то, что генерация случайных чисел осуществляется в средстве распространения (сервере), а затем массивы случайных чисел передаются для использования в ЗСУ.A feature of the proposed method is that the generation of random numbers is carried out in a distribution tool (server), and then arrays of random numbers are transmitted for use in the ZSU.

Множество случайных чисел Е={е1, е2, … en}, n mod 32 = 0, должно быть сгенерировано с помощью криптографически стойкого генератора псевдослучайных чисел. Значение n выбирается исходя из количества ЗСУ и частоты генерации криптографических ключей. Псевдослучайные числа следует сгенерировать на средстве распространения в связи с высокой ресурсоемкостью данной операции и необходимостью использовать специальные сертифицированные программно-аппаратные средства.The set of random numbers E = {e 1 , e 2 , ... e n }, n mod 32 = 0, must be generated using a cryptographically robust pseudo random number generator. The value of n is selected based on the number of ZSU and the frequency of generation of cryptographic keys. Pseudorandom numbers should be generated on the distribution medium due to the high resource consumption of this operation and the need to use special certified software and hardware.

Ключевая пара, содержащая открытый Kp и закрытый Ks ключи. В случае генерации ключевой пары для служебного или прикладного сертификата ЗСУ, блок случайных чисел, сгенерированный на средстве распространения, должен быть доставлен на ЗСУ, т.к. на ЗСУ отсутствует собственный криптографически стойкий генератор псевдослучайных чисел. Данный подход позволяет снизить затраты на оснащение ЗСУ, устраняя необходимость оснащения каждого ЗСУ собственным генератором псевдослучайных чисел.A key pair containing public K p and private K s keys. In the case of generating a key pair for the service or application certificate of the ZSU, the random number block generated on the distribution medium must be delivered to the ZSU, because ZSU lacks its own cryptographically robust pseudorandom number generator. This approach allows you to reduce the cost of equipping the ZSU, eliminating the need to equip each ZSU with its own pseudo-random number generator.

Формируемые закрытые ключи ключевых пар не передаются за пределы устройства, на котором были сгенерированы. Таким образом, закрытые ключи ЗСУ не покидают ЗСУ, а закрытые ключи средства распространения не покидают средство распространения. Это позволяет исключить возможность компрометации ключей ЗСУ в случае компрометации средства распространения.The generated private keys of the key pairs are not transmitted outside the device on which they were generated. Thus, the ZSU private keys do not leave the ZSU, and the distribution keys do not leave the distribution means. This eliminates the possibility of compromising the keys of the ZSU in case of compromising the distribution medium.

Имея ключевую пару Kp и Ks можно создать запрос на сертификатHaving a key pair K p and K s, you can create a certificate request

Figure 00000032
Figure 00000032

где

Figure 00000033
- функция подписи с использованием секретного ключа Ks;Where
Figure 00000033
- a signature function using the secret key K s ;

R - сведения о владельце открытого ключа и открытый ключ Кр.R - information about the owner of the public key and public key To r .

Рекомендуется создавать запросы в формате PKCS#10 в связи с его широким распространением.It is recommended that you create queries in the PKCS # 10 format due to its wide distribution.

В ходе реализации предложенного способа осуществляется доставка доверенным способом пакета данных каждому ЗСУ из списка ЗСУ, которые должны обмениваться информацией. Такая доставка может быть выполнена одним из известных методов, например, с использованием обслуживающего персонала сети, с использованием сетевых протоколов с аутентификацией.During the implementation of the proposed method, a trusted package is delivered to a data package to each ZSU from the list of ZSU, which must exchange information. Such delivery can be accomplished by one of the known methods, for example, using network attendants, using network protocols with authentication.

Имея ключевую пару KsiKpi издателя, в качестве которого выступает средство распространения, и получив запрос на сертификат Р10, средство распространения может выпустить сертификат Crt:Having the key pair K si K pi of the publisher, which is the distribution medium, and having received a request for a P10 certificate, the distribution medium can issue a Crt certificate:

Figure 00000034
Figure 00000034

где

Figure 00000035
- функция подписи с использованием секретного ключа издателя;Where
Figure 00000035
- a signature function using the publisher’s secret key;

Р10 - полученный запрос на сертификат;P10 - received certificate request;

I - сведения об издателе сертификата.I - information about the publisher of the certificate.

Выпущенные средством распространения сертификаты могут передаваться по сети без предварительного шифрования (открытый канал).Certificates issued by the distribution tool can be transmitted over the network without prior encryption (open channel).

Различные сетевые информационные системы могут подвергаться разным угрозам информационной безопасности, поэтому для конкретной системы обычно формируется модель угроз, и разрабатываются меры защиты. В случае, если модель угроз системы подразумевает возможность "Атаки посредника" [https://m.wikipedia.org/wiki/%D0%90%Dl%82%D0%B0%D0%BAo/oD0%B0_%D0%BF%D0%BE%D1%81%D1%80%D0%B5%D0%B4%D0%BD%D0%B8%D0%BA%D0%B0], в запрос на служебный сертификат ЗСУ, а также в запрос на прикладной сертификат ЗСУ, рекомендуется включить значение криптографической хэш-функции от множества случайных чисел, которые были ранее доставлены на ЗСУ доверенным способом. Это позволит при выпуске служебного или прикладного сертификата ЗСУ в средстве распространения убедиться, что запрос на сертификат поступил именно от того ЗСУ, на которое ранее был доставлен пакет от средства распространения.Different network information systems may be subject to different threats to information security, therefore, a threat model is usually formed for a particular system and protection measures are developed. In the event that the system threat model implies the possibility of an “intermediary attack” [https://m.wikipedia.org/wiki/%D0%90%Dl%82%D0%B0%D0%BA o / oD0% B0_% D0% BF% D0% BE% D1% 81% D1% 80% D0% B5% D0% B4% D0% BD% D0% B8% D0% BA% D0% B0], in the request for the service certificate of the ZSU, as well as in the request On the application certificate of the ZSU, it is recommended to include the value of the cryptographic hash function of the set of random numbers that were previously delivered to the ZSU in a trusted way. This will make it possible, when issuing the service or application certificate of the ZSU in the distribution tool, to verify that the certificate request came from the ZSU to which the package from the distribution tool was previously delivered.

Рекомендуется выпускать сертификаты в формате Х509, в связи с его широким распространением и поддержкой различными производителями.It is recommended to issue certificates in the X509 format, due to its wide distribution and support by various manufacturers.

ЗСУ1, владеющее собственной ключевой парой KslKpl и открытым ключом средства распространения Kpi, может формировать в адрес средства распространения зашифрованные и подписанные сообщения С:ZSU 1 , which owns its own key pair K sl K pl and the public key of the distribution medium K pi , can generate encrypted and signed messages C to the address of the distribution medium:

Figure 00000036
Figure 00000036

где М - исходное сообщение;where M is the original message;

Figure 00000037
- функция подписи с использованием секретного ключа Ksl ЗУ1;
Figure 00000037
- a signature function using the secret key K sl of memory 1 ;

Figure 00000038
- функция шифрования с использованием открытого ключа Kpi средства распространения.
Figure 00000038
- encryption function using the public key K pi distribution means.

Эта операция позволит в средстве распространения определить, что сообщение подписано ЗСУ1, что целостность сообщения не нарушена, и только после этого расшифровать его.This operation will allow the distribution tool to determine that the message is signed by ZSU 1 , that the integrity of the message is not violated, and only then decrypt it.

Рекомендуется использовать подпись в формате PKCS#7 при создании сообщения с электронной подписью, в связи с широким распространением PKCS#7.It is recommended to use a signature in the PKCS # 7 format when creating a message with an electronic signature, due to the wide distribution of PKCS # 7.

Средство распространения устанавливает отправителя сообщения с помощью функции

Figure 00000039
, которая проверяет подпись зашифрованного и подписанного сообщения С и устанавливает соответствие с ЗСУ1 благодаря владению открытым ключом Kp1 ЗСУ1. Функция
Figure 00000040
позволяет проверить, что целостность сообщения не была нарушена. В случае нарушения целостности сообщения функция укажет ошибку.The distribution tool sets the sender of the message using the function
Figure 00000039
, which verifies the signature of the encrypted and signed message C and establishes compliance with ZSU 1 due to ownership of the public key K p1 of ZSU 1 . Function
Figure 00000040
allows you to verify that the integrity of the message has not been violated. In case of violation of the message integrity, the function will indicate an error.

После успешной идентификации отправителя средство распространения может получить исходное сообщение МAfter successfully identifying the sender, the distributor may receive the original message M

Figure 00000041
Figure 00000041

где

Figure 00000042
- функция расшифрования с использованием секретного ключа Ksi средства распространения.Where
Figure 00000042
- a decryption function using the secret key K si of the distribution medium.

Для отправки сообщения М от ЗСУ1 в адрес ЗСУ2, ЗСУ3, …, ЗСУn выполняется шифрование сообщения М, а затем подпись:To send message M from ZSU 1 to ZSU 2 , ZSU 3 , ..., ZSU n , the message M is encrypted, and then the signature is:

Figure 00000043
Figure 00000043

где Ksl - закрытый ключ ЗСУ1;where K sl - private key ZSU 1 ;

Kpi - открытый ключ ЗСУi.K pi - public key ZSU i .

Как правило, в ходе использования защищенной сети периодически возникает необходимость в обновлении ключей шифрования и сертификатов. Такое обновление может быть осуществлено и в предложенном способе.As a rule, during the use of a secure network, it is periodically necessary to update encryption keys and certificates. Such an update can be carried out in the proposed method.

Для этого в средстве распространения, по истечении очередного периода обновления, формируются с помощью генератора случайных чисел массивы случайных чисел необходимого объема, которые затем, вместе со служебной информацией, в зашифрованном виде пересылаются в каждый ЗСУ.To do this, in the distribution tool, after the next update period, arrays of random numbers of the required volume are formed using a random number generator, which are then sent together with service information in encrypted form to each ZSU.

После этого в каждом ЗСУ проводится новая генерация ключевых пар и сертификатов и обмен данными с другими ЗСУ, по окончании которого обмен данными уже будет проводиться с использованием других ключей.After that, in each ZSU, a new generation of key pairs and certificates and data exchange with other ZSUs are carried out, after which data will already be exchanged using other keys.

Период обновления может быть выбран администратором сети и зависит от количества ЗСУ, производительности средства распространения и ряда других факторов.The update period can be selected by the network administrator and depends on the number of ZSU, the performance of the distribution tool and a number of other factors.

В результате, повышается надежность и защищенность сети в целом.As a result, the reliability and security of the network as a whole increases.

Отсутствие необходимости устанавливать на каждом ЗСУ криптографически стойкий генератор псевдослучайных чисел, сертифицированный у регулятора, позволяет существенно снизить затраты для обеспечения информационной безопасности.The absence of the need to install a cryptographically robust pseudo-random number generator certified by the controller on each ZSU can significantly reduce costs to ensure information security.

Осуществление изобретенияThe implementation of the invention

Реализацию предложенного способа можно рассмотреть на примере защищенной корпоративной сети охраны здания, включающей, например, 50 видеокамер наблюдения, подключенные к сети.The implementation of the proposed method can be considered on the example of a secure corporate building security network, including, for example, 50 surveillance cameras connected to the network.

В качестве сервера распространения можно использовать компьютер под управлением операционной системы Windows Server 2012R2, Debian, Cent OS, Astra Linux или другой. Характеристики центрального процессора, количество процессоров, объем оперативной памяти, количество свободного места на диске и др. определяются в зависимости от количества ЗСУ: чем больше ЗСУ в сети, тем выше требования к аппаратным ресурсам. Средство распространения должно иметь интерфейс пользователя, посредством которого системный администратор будет осуществлять управление системой. Пользовательский интерфейс может быть реализован в виде веб-страницы с использованием HTML и javascript, в виде внешнего сенсорного экрана, в виде интерфейса командной строки либо любым другим подходящим способом.As a distribution server, you can use a computer running Windows Server 2012R2, Debian, Cent OS, Astra Linux, or another operating system. The characteristics of the central processor, the number of processors, the amount of RAM, the amount of free disk space, etc. are determined depending on the number of ZSU: the more ZSU in the network, the higher the requirements for hardware resources. The distribution tool must have a user interface through which the system administrator will manage the system. The user interface can be implemented as a web page using HTML and javascript, as an external touch screen, as a command line interface, or in any other suitable way.

Средство распространения должно быть оборудовано криптографически стойким генератором псевдослучайных чисел, сертифицированным у регулятора. Например, это может быть устройство защиты от несанкционированного доступа и модуль доверенной загрузки - электронный замок "Соболь" [https://www.securitycode.ru/products/pak_sobol/].The propagation medium must be equipped with a cryptographically robust pseudo random number generator certified by the regulator. For example, it can be a device for protection against unauthorized access and a trusted boot module - the Sobol electronic lock [https://www.securitycode.ru/products/pak_sobol/].

В качестве ЗСУ используются, соответственно, видеокамеры, подходящие по параметрам и подключенные к сети.As ZSU are used, respectively, cameras that are suitable for the parameters and connected to the network.

Средство обработки, входящее в состав каждого ЗСУ, может быть реализована на базе микроконтроллера, например, STM32F427 [https://www.st.com/en/microcontrollers-microprocessors/stm32f427-437.html]. Для соединения средства обработки с ЗСУ можно использовать UART, SPI, 12C, USB, либо другие подходящие интерфейсы. ЗСУ должно обладать соответствующим интерфейсом для связи со средством обработки.The processing tool included in each ZSU can be implemented on the basis of a microcontroller, for example, STM32F427 [https://www.st.com/en/microcontrollers-microprocessors/stm32f427-437.html]. You can use UART, SPI, 12C, USB, or other suitable interfaces to connect the processing tool to the ZSU. ZSU should have an appropriate interface for communication with the processing means.

Средство обработки должно быть предварительно спроектировано и изготовлено, а ПО для его функционирования сформировано и встроено. Это могут выполнить специалисты по проектированию электронных устройств и программированию, на основе знания выполняемых функций и используемых выбранных интерфейсов. После изготовления и подготовки средства обработки встраиваются в ЗСУ.The processing tool must be pre-designed and manufactured, and software for its functioning formed and built. This can be done by specialists in the design of electronic devices and programming, based on knowledge of the functions performed and the selected interfaces used. After manufacturing and preparation, the processing tools are built into the ZSU.

В качестве доверенного канала между средством распространения и ЗСУ можно использовать доставку с привлечением обслуживающего персонала сети, сетевое соединение по протоколу TLS версии 1.2 и выше, с аутентификацией сервера и клиента, либо иной подходящий способ доверенной доставки.As a trusted channel between the distribution tool and the ZSU, you can use delivery involving network attendants, a network connection using TLS protocol version 1.2 and higher, with server and client authentication, or another suitable method of trusted delivery.

В ходе выполнения способа выполняются с использованием средства распространения следующие действия:During the execution of the method, the following actions are performed using the distribution tool:

Figure 00000044
генерация массива случайных чисел;
Figure 00000044
random array generation;

Figure 00000044
генерация ключевых пар средства распространения;
Figure 00000044
generation of key pairs of the distribution medium;

Figure 00000044
выпуск сертификатов средства распространения;
Figure 00000044
issuance of distribution media certificates;

Эти действия могут выполняться автоматически с помощью ПО или вручную, например, администратором сети.These actions can be performed automatically using software or manually, for example, by a network administrator.

Затем формируется список ЗСУ, которые будут обмениваться данными между собой, и для каждого из ЗСУ формирует пакет. После этого, в зависимости от выбранного варианта, пакеты вручную выгружаются на внешний носитель и доверенным способом (с привлечением обслуживающего персонала) доставляются на соответствующее ЗСУ или передаются в ЗСУ по сети с использованием протокола TLS версии 1.2 и выше, с аутентификацией сервера и клиента. После доставки пакета на ЗСУ и загрузки в средство обработки, средство обработки получает возможность генерировать ключевые пары, т.к. теперь имеет массив случайных чисел.Then a list of ZSU is formed, which will exchange data with each other, and for each of the ZSU forms a package. After that, depending on the chosen option, the packages are manually unloaded to an external medium and in a trusted way (with the assistance of service personnel) are delivered to the corresponding ZSU or transferred to the ZSU via the network using the TLS protocol version 1.2 and higher, with server and client authentication. After the package is delivered to the ZSU and loaded into the processing tool, the processing tool is able to generate key pairs, because now has an array of random numbers.

Средство обработки посредством команды от ЗСУ генерирует ключевые пары и запросы на служебный и прикладной сертификаты. Сертификаты выгружаются по команде ЗСУ из средства обработки и доставляются на сервер распространения по сети, без шифрования. Запросы на сертификат принимаются в средство распространения, инициируют выпуск сертификатов по запросам, после чего формируются пакеты для каждого ЗСУ из списка, содержащий сертификаты. Затем сертификаты доставляются по сети каждому ЗСУ из списка и устанавливаются в средство обработки.The processing means through a command from the ZSU generates key pairs and requests for service and application certificates. Certificates are uploaded by the ZSU command from the processing facility and delivered to the distribution server over the network, without encryption. Certificate requests are accepted into the distribution medium, initiate the issuance of certificates upon request, after which packages for each ZSU from the list containing certificates are formed. Then the certificates are delivered over the network to each ZSU from the list and are installed in the processing tool.

В результате выполнения описанных выше действий развертывается служебная ключевая система, позволяющая ЗСУ и средству обработки безопасно обмениваться данными по сети без криптографической защиты канала передачи данных, а также прикладная ключевая система, позволяющая ЗСУ обмениваться данными сети без криптографической защиты канала передачи данных с другими ЗСУ.As a result of the above steps, a service key system is deployed that allows the ZSU and the processing tool to safely exchange data over the network without cryptographic protection of the data channel, as well as an application key system that allows the ZSU to exchange network data without cryptographic protection of the data channel with other ZSU.

Для обновления ключевой системы, после окончания очередного периода обновления, в средстве распространения формируются пакеты обновлений, которые доставляются по сети без криптографической защиты канала передачи данных в ЗСУ и устанавливается в средства обработки.To update the key system, after the end of the next update period, update packages are formed in the distribution tool, which are delivered over the network without cryptographic protection of the data transmission channel to the ZSU and installed in the processing means.

Период обновления может быть заранее выбран и установлен администратором сети, зависит от требований безопасности и может составлять, например, 2-3 суток и менее.The update period can be pre-selected and set by the network administrator, depends on security requirements and can be, for example, 2-3 days or less.

Claims (80)

Способ обеспечения криптографической защиты информации в сетевой информационной системе, которая содержитA method of providing cryptographic protection of information in a network information system that contains сервер распространения, причем сервер включает установленное на нем средство распространения, выполненное с возможностьюa distribution server, the server including a distribution medium installed thereon, configured to принимать запросы на передачу данных;Receive data requests передавать данные в ответ на запрос;transmit data in response to a request; генерировать случайные числа;generate random numbers; формировать криптографические ключи;generate cryptographic keys; формировать запросы на передачу данных;generate data transfer requests; формировать сертификаты, каждый из которых содержит сведения об издателе сертификата и открытый ключ ключевой пары владельца сертификата;generate certificates, each of which contains information about the publisher of the certificate and the public key of the key pair of the certificate holder; формировать блоки данных в виде пакета данных;to form data blocks in the form of a data packet; генерировать ключевые пары, каждая из которых содержит один открытый и один закрытый ключи;generate key pairs, each of which contains one public and one private key; защищаемые сетевые устройства (ЗСУ), причем каждое ЗСУ включает средство обработки, выполненное с возможностьюprotected network devices (ZSU), and each ZSU includes processing means configured to принимать и обрабатывать данные, полученные от средства распространения и других ЗСУ;receive and process data received from the distribution medium and other ZSU; генерировать ключевые пары, каждая из которых содержит один открытый и один закрытый ключи;generate key pairs, each of which contains one public and one private key; генерировать запрос на служебный сертификат ЗСУ;generate a request for a service certificate ZSU; генерировать запрос на прикладной сертификат ЗСУ;generate a request for an application certificate ZSU; формировать электронную подпись;generate an electronic signature; проверять ранее сформированную электронную подпись;verify a previously generated electronic signature; осуществлять проверку сертификата ключа электронной подписи;verify the certificate of the electronic signature key; зашифровывать данные;encrypt data; расшифровывать данные;decrypt data; способ, заключающийся в том, что определяют в средстве распространения список ЗСУ, которые должны обмениваться информацией;the method consisting in determining that in the distribution medium a list of ZSUs which are to exchange information; выполняют в средстве распространения следующие действия:perform the following actions in the distribution tool: генерируют ключевую пару для корневого прикладного сертификата средства распространения;generating a key pair for the root distribution application certificate; создают корневой прикладной сертификат средства распространения;Create a root distribution application certificate генерируют ключевую пару для корневого служебного сертификата средства распространения;generating a key pair for the distribution medium root service certificate; создают корневой служебный сертификат средства распространения;Create a root distribution service certificate генерируют ключевую пару и запрос на служебный сертификат средства распространения;generating a key pair and a request for a service certificate of a distribution medium; создают служебный сертификат средства распространения, используя в качестве сертификата издателя корневой служебный сертификат средства распространения;create a distribution medium service certificate using the root service certificate of the distribution medium as a publisher certificate; формируют для каждого ЗСУ пакет данных, содержащий корневой служебный сертификат средства распространения; корневой прикладной сертификат средства распространения; служебный сертификат средства распространения; множество случайных чисел;form for each ZSU a data packet containing the root service certificate of the distribution tool; Distribution root application certificate Distribution service certificate lots of random numbers; доставляют доверенным способом пакет данных каждому ЗСУ из списка ЗСУ, которые должны обмениваться информацией;deliver in a trusted manner a data packet to each ZSU from the list of ZSU, which must exchange information; получают в каждом ЗСУ пакет данных;receive a data packet in each ZSU; на каждом ЗСУ с помощью средства обработки выполняют следующие действия:on each ZSU using the processing tool perform the following actions: генерируют ключевую пару;generate a key pair; создают запрос на служебный сертификат ЗСУ;create a request for a service certificate ZSU; генерируют ключевую пару;generate a key pair; создают запрос на прикладной сертификат ЗСУ;create a request for an application certificate ZSU; передают запросы на прикладной и служебный сертификаты ЗСУ в средство распространения;transmit requests for application and service certificates ZSU in the distribution tool; формируют в средстве распространения для каждого ЗСУ служебный сертификат ЗСУ, используя в качестве сертификата издателя корневой служебный сертификат средства распространения, и прикладной сертификат ЗСУ, используя в качестве сертификата издателя корневой прикладной сертификат средства распространения;form in the distribution medium for each ZSU the service certificate of the ZSU using the root service certificate of the distribution medium as the publisher certificate and the application certificate of the ZSU using the root application certificate of the distribution medium as the publisher certificate; передают из средства распространения в каждый ЗСУ подписанный пакет данных, который содержит служебный и прикладной сертификаты ЗСУ, используя для подписи пакета данных служебный сертификат средства распространения и соответствующий служебному сертификату средства распространения закрытый ключ ключевой пары;transmit from the distribution medium to each ZSU a signed data packet that contains the service and application certificates of the ZSU, using the service certificate of the distribution medium and the private key of the key pair corresponding to the service certificate of the distribution medium; получают на каждом ЗСУ пакет данных;receive a data packet on each ZSU; выполняют на каждом ЗСУ с помощью средства обработки следующие действия:perform on each ZSU using the processing tool the following actions: если в полученном пакете корневой служебный сертификат средства распространения указан в качестве издателя сертификата ключа электронной подписи и электронная подпись корректна, тоif in the received packet the root service certificate of the distribution medium is indicated as the publisher of the electronic signature key certificate and the electronic signature is correct, then сохраняют прикладной и служебный сертификаты ЗСУ;save application and service certificates of the ZSU; иначеotherwise отклоняют пакет данных;reject the data packet; передают из средства распространения в каждый ЗСУ из списка зашифрованный с использованием открытого ключа из служебного сертификата ЗСУ и подписанный с использованием закрытого ключа ключевой пары для служебного сертификата средства распространения пакет данных, содержащий набор прикладных сертификатов ЗСУ из списка;transmit from the distribution medium to each ZSU from the list encrypted using the public key from the ZSU service certificate and signed with the private key of the key pair for the service certificate of the distribution tool, a data packet containing a set of ZSU application certificates from the list; получают в каждом ЗСУ пакет данных;receive a data packet in each ZSU; выполняют в каждом ЗСУ с помощью средства обработки следующие действия:perform in each ZSU using the processing tool the following actions: если в полученном пакете корневой служебный сертификат средства распространения указан в качестве издателя сертификата ключа электронной подписи и электронная подпись корректна, тоif in the received packet the root service certificate of the distribution medium is indicated as the publisher of the electronic signature key certificate and the electronic signature is correct, then расшифровывают пакет с использованием закрытого ключа ключевой пары для служебного сертификата ЗСУ;decrypting the packet using the private key of the key pair for the ZSU service certificate; сохраняют прикладные сертификаты ЗСУ, с которыми данное ЗСУ будет обмениваться зашифрованными данными;save application certificates ZSU, with which the ZSU will exchange encrypted data; иначеotherwise отклоняют пакет данных;reject the data packet; при необходимости, в каждом ЗСУ с помощью средства обработки зашифровывают данные в адрес других ЗСУ с использованием прикладных сертификатов этих ЗСУ;if necessary, in each ZSU using the processing means they encrypt the data in the address of other ZSU using the application certificates of these ZSU; формируют электронные подписи с использованием собственного прикладного сертификата ЗСУ и соответствующего собственному прикладному сертификату ЗСУ закрытого ключа ключевой пары и отправляют их другим ЗСУ;generate electronic signatures using the ZSU own application certificate and the private key of the key pair corresponding to the ZSU own certificate, and send them to the other ZSU; передают зашифрованные данные в виде пакетов другим ЗСУ;transmit encrypted data in the form of packets to other ZSU; принимают зашифрованные данные в виде пакетов от других ЗСУ;receive encrypted data in the form of packets from other ZSU; если в полученных пакетах от других ЗСУ корневой служебный сертификат средства распространения указан в качестве издателя сертификата ЗСУ и электронная подпись корректна, тоif in the received packets from other ZSU the root service certificate of the distribution medium is indicated as the publisher of the ZSU certificate and the electronic signature is correct, then расшифровывают данные от других ЗСУ с использованием закрытого ключа из ключевой пары для прикладных сертификатов этих ЗСУ;decrypt data from other ZSU using a private key from a key pair for application certificates of these ZSU; используют расшифрованные данные по назначению;use the decrypted data for the purpose; иначеotherwise отклоняют пакет данных;reject the data packet; при необходимости, выполняют в средстве распространения следующие действия:if necessary, perform the following actions in the distribution medium: формируют для каждого ЗСУ из списка отдельный пакет данных обновления, который может содержать:form for each ZSU from the list a separate update data package, which may contain: множество случайных чисел;lots of random numbers; корневой служебный сертификат средства распространения;Distribution root service certificate корневой прикладной сертификат средства распространения;Distribution root application certificate служебный сертификат средства распространения;Distribution service certificate служебный сертификат ЗСУ;service certificate ZSU; прикладной сертификат ЗСУ;ZSU application certificate; служебные сертификаты ЗСУ из списка;ZSU service certificates from the list; прикладные сертификаты ЗСУ из списка;ZSU application certificates from the list; криптографические ключи;cryptographic keys; отправляют в каждое ЗСУ из списка пакеты обновления, зашифрованные с использованием открытых ключей ключевых пар для служебных сертификатов ЗСУ и подписанные с использованием закрытого ключа ключевой пары для служебного сертификата средства распространения;send to each ZSU from the list update packages encrypted using public keys of key pairs for service certificates of ZSU and signed using the private key of a key pair for the service certificate of the distribution tool; получают пакеты обновления в каждом ЗСУ;receive update packages in each ZSU; если в полученном пакете обновления корневой служебный сертификат средства распространения указан в качестве издателя сертификата ключа электронной подписи и электронная подпись корректна, тоif in the received service pack the root service certificate of the distribution tool is indicated as the publisher of the electronic signature key certificate and the electronic signature is correct, then расшифровывают данные из пакета обновления с использованием закрытого ключа ключевой пары для служебного сертификата ЗСУ;decrypt the data from the service pack using the private key of the key pair for the ZSU service certificate; обновляют данные в каждом ЗСУ;update data in each ZSU; иначеotherwise отклоняют пакет обновления.reject the service pack.
RU2019116881A 2019-05-31 2019-05-31 Method of providing cryptographic protection of information in a network information system RU2706176C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2019116881A RU2706176C1 (en) 2019-05-31 2019-05-31 Method of providing cryptographic protection of information in a network information system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2019116881A RU2706176C1 (en) 2019-05-31 2019-05-31 Method of providing cryptographic protection of information in a network information system

Publications (1)

Publication Number Publication Date
RU2706176C1 true RU2706176C1 (en) 2019-11-14

Family

ID=68579907

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2019116881A RU2706176C1 (en) 2019-05-31 2019-05-31 Method of providing cryptographic protection of information in a network information system

Country Status (1)

Country Link
RU (1) RU2706176C1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2773456C1 (en) * 2021-09-15 2022-06-03 Акционерное общество "Аладдин Р.Д." Method and system for trusted loading of computing device operating system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090106550A1 (en) * 2007-10-20 2009-04-23 Blackout, Inc. Extending encrypting web service
WO2010150008A2 (en) * 2009-06-22 2010-12-29 Barclays Bank Plc Method and system for provision of cryptographic services
RU2630751C2 (en) * 2013-03-15 2017-09-12 Мастеркард Интернэшнл Инкорпорейтед Systems and methods for cryptographic security as service
RU2665247C1 (en) * 2017-10-27 2018-08-28 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Method of delivering certificates in protected network computing system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090106550A1 (en) * 2007-10-20 2009-04-23 Blackout, Inc. Extending encrypting web service
WO2010150008A2 (en) * 2009-06-22 2010-12-29 Barclays Bank Plc Method and system for provision of cryptographic services
US20120131354A1 (en) * 2009-06-22 2012-05-24 Barclays Bank Plc Method and system for provision of cryptographic services
RU2630751C2 (en) * 2013-03-15 2017-09-12 Мастеркард Интернэшнл Инкорпорейтед Systems and methods for cryptographic security as service
RU2665247C1 (en) * 2017-10-27 2018-08-28 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Method of delivering certificates in protected network computing system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2773456C1 (en) * 2021-09-15 2022-06-03 Акционерное общество "Аладдин Р.Д." Method and system for trusted loading of computing device operating system
RU2801835C1 (en) * 2022-12-13 2023-08-16 Акционерное общество "Концерн "Созвездие" Internal network formed by network cryptographic protection modules

Similar Documents

Publication Publication Date Title
CN110999255B (en) Method and device for retrieving access data of block chain network
US20230155821A1 (en) Secure shared key establishment for peer to peer communications
US7697691B2 (en) Method of delivering Direct Proof private keys to devices using an on-line service
JP4638912B2 (en) Method for transmitting a direct proof private key in a signed group to a device using a distribution CD
CN1926837B (en) Method and apparatuses for sharing cryptographic key with an embedded agent on a network endpoint in a network domain
US8761401B2 (en) System and method for secure key distribution to manufactured products
US7502946B2 (en) Using hardware to secure areas of long term storage in CE devices
US8953790B2 (en) Secure generation of a device root key in the field
JP4616345B2 (en) A method for directly distributing a certification private key to a device using a distribution CD
CN116132162A (en) Retrieving public data of a blockchain network using a high availability trusted execution environment
US20050149722A1 (en) Session key exchange
EP3682364B1 (en) Cryptographic services utilizing commodity hardware
US20220086009A1 (en) Method for generating stateful hash based signatures of messages to be signed
WO2021082222A1 (en) Communication method and apparatus, storage method and apparatus, and operation method and apparatus
CN110611679A (en) Data transmission method, device, equipment and system
WO2023246509A1 (en) Gene data processing method and apparatus, device and medium
KR102559101B1 (en) Power metering apparatus, power metering server and, power metering method base on block chain
RU2706176C1 (en) Method of providing cryptographic protection of information in a network information system
JP2019057827A (en) Distributed authentication system and program
EP4287560A1 (en) Encryption and decryption of transactions of a distributed ledger
CN117955728A (en) Single block chain system for different networks
WO2023211538A1 (en) Method and apparatus for distributing encrypted device unique credentials
WO2015114645A1 (en) Trust framework for secured digital interactions between entities

Legal Events

Date Code Title Description
PD4A Correction of name of patent owner