RU2765406C1 - Symmetrical data encryption apparatus using a strong authentication algorithm - Google Patents
Symmetrical data encryption apparatus using a strong authentication algorithm Download PDFInfo
- Publication number
- RU2765406C1 RU2765406C1 RU2020117303A RU2020117303A RU2765406C1 RU 2765406 C1 RU2765406 C1 RU 2765406C1 RU 2020117303 A RU2020117303 A RU 2020117303A RU 2020117303 A RU2020117303 A RU 2020117303A RU 2765406 C1 RU2765406 C1 RU 2765406C1
- Authority
- RU
- Russia
- Prior art keywords
- data
- encryption
- ron
- mast
- memory access
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
Description
Изобретение относится к области передачи цифровой информации и вычислительной техники, устройствам шифрования данных. В частности, может использоваться для аутентификации аппаратных средств в системах управления комплексов подводной добычи газа и построенных в виде систем на кристалле (СнК).The invention relates to the field of transmission of digital information and computer technology, data encryption devices. In particular, it can be used for hardware authentication in the control systems of subsea gas production complexes and built in the form of systems on a chip (SoC).
Известно изобретение по патенту RU 2 585 988 С1 (патентообладатель Открытое Акционерное Общество «Байкал электронике», МПК G06F 21/60, H04L 9/00), относящееся к области шифрования потоков данных, содержащее устройство шифрования, с помощью которого данные могут быть зашифрованы или расшифрованы по алгоритму криптографического преобразования ГОСТ 28147-89, при этом схема предполагает хранение таблиц замен, секретного ключа для шифрования/расшифрования, инициализирующего вектора синхропосылки, используемого для шифрования в режиме гамммирования и гаммирования с обратной связью, инициализирующего вектора имитовставки. Также схема содержит центральный процессор, блок внутренней коммутации, контроллер доступа к памяти, внутренней или внешней (в зависимости от исполнения). Данное решение является наиболее близким к заявляемому изобретению, но имеет ряд недостатков:An invention is known according to
а) Отсутствие технической возможности осуществления строгой аутентификации по ГОСТ Р ИСО/МЭК 9594-8-98 между абонентами в соответствии со схемами аутентификации Фиг. 1, Фиг. 2, Фиг. 3.a) Lack of technical ability to implement strong authentication according to GOST R ISO/IEC 9594-8-98 between subscribers in accordance with authentication schemes FIG. 1, Fig. 2, Fig. 3.
б) Использование одновременно только одного ключа в процедуре шифрования по ГОСТ 28147-89.b) The use of only one key at a time in the encryption procedure in accordance with GOST 28147-89.
Задачей изобретения является создание устройства с возможностью осуществления строгой аутентификации по ГОСТ Р ИСО/МЭК 9594-8-98 между абонентами и использованием двух ключей в процедуре шифрования по ГОСТ 28147-89.The objective of the invention is to create a device capable of implementing strong authentication according to GOST R ISO/IEC 9594-8-98 between subscribers and using two keys in the encryption procedure according to GOST 28147-89.
Заявленное изобретение представляет собой устройство симметричного шифрования данных с использованием алгоритма строгой аутентификации (УСШД) по ГОСТ Р ИСО/МЭК 9594-8-98 для аутентификации аппаратных средств, объединенных по схеме Фиг. 1, Фиг. 2 или Фиг. 3 (3 варианта), использующее симметричный алгоритм криптографического преобразования ГОСТ 28147-89 и реализованное в виде СнК с функциональными модулями (3 варианта). СнК (1) играет роль удаленного управляющего устройства (сервера) в системе управления, СнК (2.1…2.N) выполняют функции блоков контроля и управления (контроллеров) на объекте управления и могут соединяться с удаленными управляющими устройствами (1.1…1.K) в зависимости от варианта реализации устройства шифрования данных только по мультиплексированным шинам внешнего интерфейса (28.1…28.М), общей шине данных внешнего интерфейса (27) или по нескольким типам шин одновременно (27 и 28.1…28.М).The claimed invention is a device for symmetric data encryption using the strong authentication algorithm (SSDA) according to GOST R ISO/IEC 9594-8-98 for authentication of hardware combined according to the scheme of FIG. 1, Fig. 2 or Fig. 3 (3 variants), using the symmetric cryptographic transformation algorithm GOST 28147-89 and implemented as a SoC with functional modules (3 variants). SoC (1) plays the role of a remote control device (server) in the control system, SoC (2.1…2.N) performs the functions of monitoring and control units (controllers) at the control object and can be connected to remote control devices (1.1…1.K) depending on the implementation variant of the data encryption device, only via multiplexed external interface buses (28.1…28.М), common external interface data bus (27) or via several types of buses simultaneously (27 and 28.1…28.М).
Краткое описание чертежейBrief description of the drawings
Фиг. 1 - Схема аутентификации устройств при использовании мультиплексированных шин передачи данных;Fig. 1 - Device authentication scheme when using multiplexed data buses;
Фиг. 2 - Схема аутентификации устройств при использовании общей шины передачи данных;Fig. 2 - Device authentication scheme when using a common data transfer bus;
Фиг. 3 - Схема аутентификации устройств при использовании комбинации мультиплексированных и общей шин передачи данных;Fig. 3 - Device authentication scheme when using a combination of multiplexed and common data transmission buses;
Фиг. 4 - Архитектура УСШД с мультиплексированными шинами передачи данных;Fig. 4 - USShD architecture with multiplexed data transmission buses;
Фиг. 5 - Архитектура УСШД с общей шиной передачи данных;Fig. 5 - Architecture USSHD with a common data bus;
Фиг. 6 - Архитектура УСШД с комбинацией мультиплексированных и общей шин передачи данных.Fig. 6 - USSHD architecture with a combination of multiplexed and common data transmission buses.
УСШД реализуется в виде СнК (1), может быть выполнены в трех вариантах (Вариант 1 - Фиг. 4, Вариант 2 - Фиг. 5, Вариант 3 - Фиг. 6) и содержит следующие функциональные блоки и компоненты:USSD is implemented in the form of SoC (1), can be made in three versions (Option 1 - Fig. 4, Option 2 - Fig. 5, Option 3 - Fig. 6) and contains the following functional blocks and components:
(2) - центральный процессор;(2) - central processor;
(3) - блок внутренней коммутации;(3) - internal switching unit;
(4) - контроллер прямого доступа к памяти;(4) - direct memory access controller;
(5) - контроллер доступа к памяти;(5) - memory access controller;
(6) - память;(6) - memory;
(7) - устройство шифрования;(7) - encryption device;
(8) - вычислительный модуль;(8) - computing module;
(10) - конфигурационный интерфейс;(10) - configuration interface;
(9), (11), (12), (13), (14), (20), (24) - внутренние шины адрес-данные (ШД);(9), (11), (12), (13), (14), (20), (24) - internal address-data buses (SD);
(15) - генератор псевдослучайных чисел;(15) - pseudo-random number generator;
(16) -таймер;(16) - timer;
(17) - регистр общего назначения для хранения таблицы замен (РОН ТЗ);(17) - a general-purpose register for storing a table of replacements (RON TZ);
(18), (19) - регистры общего назначения для хранения секретных ключей шифрования (РОН КШ);(18), (19) - general-purpose registers for storing secret encryption keys (RON KSh);
(21) - блок управления;(21) - control unit;
(22) - контроллер внешнего интерфейса;(22) - external interface controller;
(23) - блок мультиплексирования;(23) - multiplexing unit;
(25) - мультиплексируемая шина данных;(25) - multiplexed data bus;
(26) - шина управления блоком мультиплексирования;(26) - control bus of the multiplexing unit;
(27) - общая шина данных внешнего интерфейса;(27) - common data bus of the external interface;
(28.1…28.М) - мультиплексированные шины внешнего интерфейса.(28.1…28.M) - multiplexed external interface buses.
Связи между элементами СнК согласно Варианту 1:Links between SoC elements according to Option 1:
СнК (1) содержит в своем составе центральный процессор (2), блок коммутации (3), контроллер доступа к памяти (5), контроллер внешнего интерфейса (22), блок мультиплексирования (23) и устройство шифрования (7), в состав которого входят: контроллер прямого доступа к памяти (4), вычислительный модуль (8), генератор псевдослучайных чисел (15), таймер (16), РОН ТЗ (17), РОН КШ (18, 19) и блок управления (21). Память (6) может быть реализована как в составе СнК (1), так и быть внешней по отношению к нему, что не влияет на достижение технического результата.SoC (1) contains a central processor (2), a switching unit (3), a memory access controller (5), an external interface controller (22), a multiplexing unit (23) and an encryption device (7), which includes includes: direct memory access controller (4), computing module (8), pseudo-random number generator (15), timer (16), RON TZ (17), RON KSh (18, 19) and control unit (21). The memory (6) can be implemented both as part of the SoC (1) and be external to it, which does not affect the achievement of the technical result.
Центральный процессор (2), связан ШД (9) с блоком внутренней коммутации (3), а также конфигурационным интерфейсом (10) с контроллером прямого доступа в память (4) и блоком управления (21).The central processor (2) is connected to the SD (9) with the internal switching unit (3), as well as the configuration interface (10) with the direct memory access controller (4) and the control unit (21).
Блок внутренней коммутации (3) связан ШД (11, 12) с контроллером прямого доступа к памяти, а также ШД (20) и ШД (24) с контроллером доступа к памяти (5) и контроллером внешнего интерфейса (22) соответственно. Контроллер доступа к памяти (5) связан с памятью (6), а контроллер внешнего интерфейса (22) через мультиплексируемую шину данных (25) связан с блоком мультиплексирования (23), который также принимает сигналы от блока управления (21) через шину управления блоком мультиплексирования (26) и имеет мультиплексированные шины внешнего интерфейса (28.1…28.М) поступающие на выход СнК (1).The internal switching unit (3) is connected to the SD (11, 12) with the direct memory access controller, as well as the SD (20) and SD (24) to the memory access controller (5) and the external interface controller (22), respectively. The memory access controller (5) is connected to the memory (6), and the external interface controller (22) is connected via the multiplexed data bus (25) to the multiplexing unit (23), which also receives signals from the control unit (21) via the unit control bus multiplexing (26) and has multiplexed external interface buses (28.1…28.M) coming to the SNC output (1).
Вычислительный модуль (8) взаимосвязан с РОН ТЗ (17), РОН КШ (18, 19), блоком управления (21) и принимает сигналы от блока внутренней коммутации через ШД (13) и генератора псевдослучайных чисел (15).The computing module (8) is interconnected with RON TZ (17), RON KSh (18, 19), control unit (21) and receives signals from the internal switching unit through SD (13) and pseudo-random number generator (15).
Блок управления (21) посылает сигналы в РОН ТЗ (17), РОН КШ (18, 19), через ШД (14) в блок внутренней коммутации (4) и взаимосвязан с таймером (16).The control unit (21) sends signals to RON TZ (17), RON KSh (18, 19), through SD (14) to the internal switching unit (4) and is interconnected with the timer (16).
Вариант 2 отличается от Варианта 1 следующим:
1. Отсутствует блок мультиплексирования и связанные с ним мультиплексируемая шина данных, шина управления блоком мультиплексирования, мультиплексированные шины внешнего интерфейса.1. There is no multiplexing unit and associated multiplexed data bus, multiplexing unit control bus, multiplexed external interface buses.
2. Введена общая шина данных внешнего интерфейса (27), которая из контроллера внешнего интерфейса (22) поступает на выход СнК (1).2. A common data bus of the external interface (27) has been introduced, which is fed from the external interface controller (22) to the output of the SoC (1).
Вариант 3 объединяет в себе Варианты 1 и 2, и отличается от Варианта 1 тем, что дополнительно введена общая шина данных внешнего интерфейса (27), которая из контроллера внешнего интерфейса (22) поступает на выход СнК (1).
Принцип работы устройства симметричного шифрования данных с использованием алгоритма строгой аутентификации.The principle of operation of a symmetric data encryption device using a strong authentication algorithm.
Устройство шифрования (7) работает в режиме простой замены. Данные для передачи/приема по внешнему интерфейсу хранятся в памяти (6), и поступают из нее в устройство шифрования и в обратную сторону блоками по 64 бит каждый. Таким образом память (6) играет роль буфера данных внешнего интерфейса.Encryption device (7) operates in simple replacement mode. The data for transmission/reception via the external interface is stored in memory (6) and comes from it to the encryption device and in the opposite direction in blocks of 64 bits each. Thus, memory (6) plays the role of an external interface data buffer.
Данные для шифрования и результаты шифрования передаются между блоком (3) внутренней коммутации, контроллером (4) прямого доступа к памяти и вычислительным устройством (8) по внутренним шинам (11), (12), (13), (14), (20) пакетами, состоящими из кадров, равными по размеру блоку обрабатываемых данных (64 бит).Data for encryption and encryption results are transmitted between the internal switching unit (3), the direct memory access controller (4) and the computing device (8) via internal buses (11), (12), (13), (14), (20 ) packets consisting of frames equal in size to the block of processed data (64 bits).
Блок внутренней коммутации (3) передает данные в контроллер прямого доступа к памяти (4) и принимает их из него. Для исключения задержек при работе с внешней памятью данные могут накапливаться во встроенных буферах контроллера (4).The internal switching unit (3) transmits data to the direct memory access controller (4) and receives them from it. To eliminate delays when working with external memory, data can be accumulated in the controller's built-in buffers (4).
Вычислительный модуль (8) используется для реализации базового цикла шифрования. Ключи хранятся во внутренних регистрах (18), (19) устройства шифрования (7).The computing module (8) is used to implement the basic encryption cycle. The keys are stored in internal registers (18), (19) of the encryption device (7).
Процесс осуществления строгой аутентификации аппаратных средств следующий:The process for implementing strong hardware authentication is as follows:
1) Секретный ключ группы «устройство управления - исполнительные устройства» K0…511, загружается в регистры (18), (19), при этом личный ключ инициатора передачи информации Kл=K0…255 сохраняется в регистре (18), а ключ приемника информации Ko=K256…511 - в регистре (19).1) The secret key of the group "control device - actuators" K 0 ... 511 is loaded into registers (18), (19), while the personal key of the information transfer initiator K l \u003d K 0 ... 255 is stored in register (18), and information receiver key Ko=K 256…511 - in register (19).
2) УСШД, реализованное на СнК (1) и выступающее в виде управляющего устройства (УУ), показано на Фиг. 1 как (1) и на Фиг. 2, Фиг. 3 как (1.1…1.K). Т.к. применяется несколько таких СнК, УУ создает неповторяющийся маркер (случайное число) с помощью генератора псевдослучайных чисел (15), запускает таймер (16), отправляет по каналу(лам) связи 27 или (28.1…28.N) сообщение исполнительному устройству (2.1…2.N) либо (2.1…2.М), сформированное по следующему закону:2) USSD implemented on SoC (1) and acting as a control unit (CU) is shown in Fig. 1 as (1) and in FIG. 2, Fig. 3 as (1.1…1.K). Because several such SoCs are used, the CU creates a non-repeating marker (random number) using a pseudo-random number generator (15), starts a timer (16), sends a message to the executive device (2.1... 2.N) or (2.1…2.M) formed according to the following law:
Xл_mast (№_sl, Xo_sl(CЧ_mast_N, Данные)),Xl_mast (№_sl, Xo_sl(CH_mast_N, Data)),
где Xл_mast(x) - зашифрование информации х с использованием личного ключа инициатора передачи информации (управляющего устройства) Kл=K0…255;where Xl_mast(x) - encryption of information x using the private key of the information transfer initiator (control device) Kl=K 0…255 ;
Xo_sl(x) - зашифрование информации х с использованием личного ключа приемника информации (исполнительного устройства) Kо=K256…511;Xo_sl(x) - encryption of information x using the private key of the information receiver (executive device) Ko=K 256…511 ;
№_sl - номер приемника информации;№_sl - number of information receiver;
CЧ_mast-N - случайное число (неповторяющийся маркер), сгенерированное инициатором передачи, необходимое для строгой аутентификации во время обмена;CH_mast-N - random number (non-repeating marker) generated by the initiator of the transfer, necessary for strong authentication during the exchange;
Данные - данные для передачи.Data - data to be transferred.
3) Блок контроля и управления (БКУ), в качестве которого выступает СнК (1) в роли исполнительного устройства, на Фиг. 1 и Фиг. 2 и Фиг. 3 показано как (2.1…2.N) для вариантов с общей шиной данных и (2.1…2.М) для вариантов с мультиплексированными шинами данных. БКУ дешифрует принятые данные с использованием ключа инициатора передачи Kл=K0…255 и ключа приемника информации Kо=K256…511.3) The monitoring and control unit (CCU), which is the SOC (1) as an executive device, in Fig. 1 and FIG. 2 and FIG. 3 is shown as (2.1…2.N) for options with a common data bus and (2.1…2.M) for options with multiplexed data buses. The BCU decrypts the received data using the transmission initiator key Kl=K 0...255 and the information receiver key Kо=K 256...511 .
Процедура аутентификации продолжается только с тем ИУ, номер №_sl которого соответствует указанному в сообщении от УУ и только такое ИУ способно расшифровать CЧ_mast_N и Данные.The authentication procedure continues only with the IM whose number #_sl corresponds to that specified in the message from the CU, and only such IM is able to decrypt CC_mast_N and Data.
4) БКУ (2.1…2.N) либо (2.1…2.М) создает неповторяющийся маркер (случайное число), запускает таймер (16) БКУ и отправляет ответ, формируя его по формуле:4) BCU (2.1…2.N) or (2.1…2.M) creates a non-repeating marker (random number), starts the timer (16) of the BCU and sends a response, forming it according to the formula:
Xл_sl(№_mast, Xo_mast (Ответ, CЧ_mast_N, CЧ_sl_N)),Xl_sl(№_mast, Xo_mast (Response, CH_mast_N, CH_sl_N)),
где Хл_sl(x) - зашифрование информации х с использованием личного ключа инициатора передачи информации Kл=K0…255;where Xl_sl(x) - encryption of information x using the private key of the information transfer initiator Kl=K 0…255 ;
Xo_mast(x) - зашифрование информации х с использованием ключа приемника информации (управляющего устройства) Kл=К256…511;Xo_mast(x) - encryption of information x using the key of the information receiver (control device) Kl=K 256…511 ;
№_mast - номер инициатора передачи информации;№_mast - number of information transfer initiator;
Ответ - код ошибки получения приказа;Response - error code for receiving an order;
СЧ_ mast-N - случайное число (неповторяющийся маркер), полученное от инициатора передачи;MF_ mast-N - random number (non-repeating marker) received from the initiator of the transfer;
CЧ_sl-N - случайное число, сгенерированное получателем информации (БКУ) (2.1) или … (2.N) и необходимое для строгой аутентификации во время обмена.CH_sl-N is a random number generated by the recipient of information (BCU) (2.1) or ... (2.N) and necessary for strong authentication during the exchange.
5) УУ (1.1…1.K) дешифрует принятое сообщения с использованием личного ключа инициатора передачи Kл=K0…255 и далее с использованием ключа приемника информации, сравнивая при этом полученный маркер CЧ_mast-N с созданным. При их совпадении процедура аутентификации продолжается по п. 6, иначе действия несанкционированные, процедура аутентификации прерывается.5) CU (1.1…1.K) decrypts the received message using the private key of the transmission initiator Kl=K 0…255 and then using the key of the information receiver, while comparing the received marker CC_mast-N with the created one. If they match, the authentication procedure continues according to
6) УУ (1) отправляет по каналу связи подтверждение, сформированное следующим образом6) CU (1) sends an acknowledgment over the communication channel, formed as follows
Xл_mast (№_sl, СЧ_ sl_N).Xl_mast (№_sl, MF_ sl_N).
7) БКУ (2.1…2.N) либо (2.1…2.М) дешифрует принятые данные с использованием личного ключа инициатора передачи Kл=K0…255, сравнивает полученный маркер СЧ_ sl_N с созданным и при их совпадении осуществляет разрешенные действия с данными, полученными в п. 3.7) BCU (2.1…2.N) or (2.1…2.M) decrypts the received data using the private key of the initiator of the transfer Kl=K 0…255 , compares the received marker MF_sl_N with the created one and, if they match, performs permitted actions with the data obtained in
Заявленное устройство симметричного шифрования данных с использованием алгоритма строгой аутентификации, работающее в составе системы (Фиг. 1, Фиг. 2 или Фиг. 3) и позволяющее выполнять процедуру строгой аутентификации по ГОСТ Р ИСО/МЭК 9594-8-98, используя при этом алгоритм криптографического преобразования ГОСТ 28147-89 в режиме простой замены взамен криптосистемы RSA, что позволяет ускорить процесс аутентификации и в большей степени защитить передаваемые по каналу данные в системах, построенных по схемам Фиг. 1, Фиг. 2, Фиг. 3, включает в себя устройство шифрования (7), выполняющее процедуру шифрования, расшифрования данных в процессе аутентификации, генератор псевдослучайных чисел (15), создающий неповторяющийся маркер (номер) сообщения для трех шагов процедуры строгой аутентификации (выполнен в виде комбинационной схемы), таймер (16), ограничивающий время ожидания при выполнении процедуры зашифрования/расшифрования данных, (выполнен в виде специализированной микросхемы), внешнее или внутреннее по отношению к устройству шифрования (7) запоминающее устройство (6) с контроллером доступа (5), являющееся буфером для хранения в зашифрованном виде передаваемых по каналу данных, что гарантирует невозможность извлечения полезной информации и позволяет защитить систему от несанкционированного доступа к данным (выполняется в виде статического ОЗУ), центральный процессор общего назначения (2), исполняющий основную программу устройства (может выполняться на микросхеме микропроцессора), блок внутренней коммутации (3), обеспечивающий обмен данными между элементами системы (выполнен в виде комбинационной схемы), контроллер внешнего интерфейса (22), организующий интерфейс передачи данных для обмена с внешними устройствами по общей (27) или мультиплексируемой (25) шинам (выполняется в виде специализированных микросхем), блок мультиплексирования шин (23) внешнего интерфейса передачи данных, осуществляющий коммутацию последовательной шины (25) на несколько мультиплексированных последовательных шин передачи данных (28.1), (28.2),…, (28.М) (выполняется в виде комбинационной схемы с оптоэлектронной развязкой). Общая шина (27) может быть выполнена по стандарту CAN или RS-485, мультиплексированная - по стандарту RS-232. Контроллер доступа к памяти (5) может быть встроен в центральный процессор (2).The claimed device for symmetric data encryption using a strong authentication algorithm, operating as part of the system (Fig. 1, Fig. 2 or Fig. 3) and allowing to perform the strong authentication procedure in accordance with GOST R ISO / IEC 9594-8-98, using the algorithm cryptographic transformation GOST 28147-89 in the simple replacement mode instead of the RSA cryptosystem, which allows you to speed up the authentication process and to a greater extent protect the data transmitted over the channel in systems built according to the schemes of Fig. 1, Fig. 2, Fig. 3 includes an encryption device (7) that performs the encryption procedure, data decryption during the authentication process, a pseudo-random number generator (15) that creates a non-repeating message marker (number) for three steps of the strong authentication procedure (made in the form of a combinational circuit), a timer (16), limiting the waiting time when performing the data encryption / decryption procedure, (made in the form of a specialized microcircuit), external or internal with respect to the encryption device (7) storage device (6) with an access controller (5), which is a buffer for storage encrypted data transmitted over the channel, which guarantees the impossibility of extracting useful information and allows you to protect the system from unauthorized access to data (performed in the form of static RAM), a general-purpose central processing unit (2) executing the main program of the device (can be performed on a microprocessor chip) , internal switching unit (3), providing data exchange between system elements (made in the form of a combinational circuit), an external interface controller (22), organizing a data transfer interface for exchanging with external devices via a common (27) or multiplexed (25) bus (made in the form of specialized microcircuits), a block bus multiplexing (23) of the external data interface, switching the serial bus (25) to several multiplexed serial data buses (28.1), (28.2), ..., (28.M) (performed in the form of a combinational circuit with optoelectronic isolation). The common bus (27) can be made according to the CAN or RS-485 standard, the multiplexed one - according to the RS-232 standard. The memory access controller (5) may be integrated into the central processing unit (2).
Возможность применения двух ключей шифрования и проведения процедуры строгой аутентификации по ГОСТ Р ИСО/МЭК 9594-8-98 обеспечивают: центральный процессор (2), вычислительный модуль (8), генератор псевдослучайных чисел (15), таймер (16), РОН ТЗ (17), РОН КШ (18, 19), а также контроллер внешнего интерфейса (22) и/или блок мультиплексирования (23), в зависимости от варианта СнК.The possibility of using two encryption keys and carrying out a strong authentication procedure in accordance with GOST R ISO / IEC 9594-8-98 is provided by: a central processor (2), a computing module (8), a pseudo-random number generator (15), a timer (16), RON TZ ( 17), RON KSh (18, 19), as well as an external interface controller (22) and/or a multiplexing unit (23), depending on the SoC variant.
Устройство шифрования (7) включает в себя контроллер (4) прямого доступа к памяти (6), обеспечивающий передачу полученных по шине (24) и записанных в память (6) зашифрованных данных (выполняется в виде специализированной микросхемы), а также передачу зашифрованных данных из устройства шифрования в память (6) на каждом этапе осуществления строгой аутентификации, вычислительный модуль (8), осуществляющий алгоритм криптографического преобразования ГОСТ 28147-89 в режиме простой замены и формирование зашифрованных пакетов данных для аутентификации, управляющие регистры (17) (512 бит), в который загружается таблица замен, регистр (18), в который загружается личный ключ инициатора передачи информации Kл=K0…255 (256 бит), регистр (19), в который загружается общий ключ приемника информации Kо=K256…511, блок управления (21) для синхронизации работы блоков устройства шифрования (7), а также выбора текущей шины для отправки зашифрованного сообщения строгой аутентификации (реализуется в виде конечного автомата).The encryption device (7) includes a controller (4) for direct memory access (6), which ensures the transmission of encrypted data received via the bus (24) and stored in memory (6) (performed in the form of a specialized microcircuit), as well as the transmission of encrypted data from the encryption device to memory (6) at each stage of strong authentication, a computing module (8) that implements the GOST 28147-89 cryptographic conversion algorithm in the simple replacement mode and generates encrypted data packets for authentication, control registers (17) (512 bits) , into which the substitution table is loaded, register (18), into which the personal key of the information transfer initiator is loaded Kl=K 0 ... 255 (256 bits), register (19), into which the common key of the information receiver is loaded Ko = K 256 ... 511 , control unit (21) for synchronizing the operation of blocks of the encryption device (7), as well as selecting the current bus for sending an encrypted message of strong authentication (implemented in the form of a some automaton).
Устройство может быть осуществлено в трех вариантах: СнК только с мультиплексированными шинами передачи данных (Фиг. 4), СнК только с общей шиной передачи данных (Фиг. 5), СнК с комбинацией мультиплексированных и общей шин передачи данных (Фиг. 6), при этом БКУ реализуется по архитектуре Фиг. 4 (с отсутствующим блоком мультиплексирования шин внешнего интерфейса (23)) или архитектуре Фиг. 5.The device can be implemented in three versions: SoC with only multiplexed data transmission buses (Fig. 4), SoC with only a common data transmission bus (Fig. 5), SoC with a combination of multiplexed and common data transmission buses (Fig. 6), with this OCU is implemented according to the architecture of Fig. 4 (with the front-end bus multiplexer (23) missing) or the architecture of FIG. 5.
Команды (данные), генерируемые устройством управления поступают из внутренних регистров процессора (2) по шинам (9), (12), (13) в вычислительный модуль (8), где происходит формирование сообщений в описанном выше формате, их шифрование по алгоритму ГОСТ 28147-89 в режиме простой замены. Зашифрованные сообщения поступают по шинам (14), (20) в память (6), откуда посредством контроллера внешнего интерфейса передаются по одному из каналов передачи данных в БКУ 2.1 или 2.N в зависимости от необходимого приемника информации (номера БКУ), указанного в сообщении. При этом центральный процессор (2) генерирует сигналы управления блоком внутренней коммутации (3), контроллером прямого доступа к памяти (4), а также блоком управления (21) устройства шифрования (7) (по конфигурационному интерфейсу (10)), определяющие направление передачи: в устройство шифрования (7), из устройства шифрования (7) в память (6). Блок управления (21) устройства шифрования (7) осуществляет выставку сигналов на запуск таймера (16), начало цикла шифрования/расшифрования, извлечение случайного числа из блока генерации псевдослучайного числа (15), сброс схемы в начальное состояние в случае поступления от таймера (16) сигнала переполнения при длительном ожидании ответного сообщения, а также выставляет сигнал выбора текущей шины передачи данных (27), (28.1), (28.2), … или (28.М) по конфигурационному интерфейсу (26). Ответное (входящее) сообщение, поступающее по внешней шине 27, 28.1, 28.2,… или 28.М посредством контроллера внешнего интерфейса (22) в память (6), передается в устройство шифрования (7), где происходит расшифрование сообщения по алгоритму ГОСТ 28147-89, формирование ответного сообщения (при совпадении случайного числа), его зашифрование и отправка по каналу связи по описанной выше процедуре.Commands (data) generated by the control device come from the internal registers of the processor (2) via buses (9), (12), (13) to the computing module (8), where messages are generated in the format described above, they are encrypted according to the GOST algorithm 28147-89 in easy swap mode. Encrypted messages arrive via buses (14), (20) into memory (6), from where they are transmitted via an external interface controller via one of the data transmission channels to BCU 2.1 or 2.N, depending on the required information receiver (BCU number) specified in message. In this case, the central processor (2) generates control signals for the internal switching unit (3), the direct memory access controller (4), as well as the control unit (21) of the encryption device (7) (via the configuration interface (10)), which determine the direction of transmission : to encryption device (7), from encryption device (7) to memory (6). The control unit (21) of the encryption device (7) sets signals to start the timer (16), start the encryption/decryption cycle, extract a random number from the pseudo-random number generation unit (15), reset the circuit to its initial state in case of receipt from the timer (16 ) overflow signal when waiting for a response message for a long time, and also sets the signal for selecting the current data transfer bus (27), (28.1), (28.2), ... or (28.M) via the configuration interface (26). The response (incoming) message arriving via the
Таким образом заявлено устройство симметричного шифрования данных с использованием алгоритма строгой аутентификации согласно ГОСТ 28147-89, реализующееся в виде СнК (1), включающее в себя центральный процессор (2), взаимосвязанный с блоком внутренней коммутации (3) а также передающий сигнал на блок управления (21) и контроллер прямого доступа к памяти (4), который взаимосвязан с блоком внутренней коммутации (3) и передает сигнал на вычислительный модуль (8), контроллер доступа к памяти (5) взаимосвязанный с блоком внутренней коммутации (3) и памятью (6), вычислительный модуль (8) с возможностью реализации шифрования данных в соответствии с алгоритмом криптографического преобразования взаимосвязанный с РОН ТЗ (17) и РОН КШ (18), блок управления (21) принимающий сигнал от вычислительного модуля (8) и передающий сигналы на РОН ТЗ (17) и РОН КШ (18), при этом устройство работает по ГОСТ Р ИСО/МЭК 9594-8-98, в СнК (1) введены контроллер внешнего интерфейса (22) и блок мультиплексирования (23), в устройство шифрования (7) также введены генератор псевдослучайных чисел (15), дополнительный РОН КШ (19) и таймер (16), взаимосвязанный с блоком управления (21), который подключен через шину управления к блоку мультиплексирования (23) и связан с РОН КШ (19) и вычислительным модулем (8), который взаимосвязан с РОН КШ (19) и принимает сигнал от генератора псевдослучайных чисел (15); контроллер внешнего интерфейса (22) связан с блоком внутренней коммутации (3), блок мультиплексирования (23), осуществляющий коммутацию мультиплексируемой шины данных, соединяющей контроллер внешнего интерфейса (22) с блоком мультиплексирования (23), а также мультиплексированные шины на выходе блока мультиплексирования (23); в качестве ОЗУ используется статическая память, хранящая только зашифрованные по ГОСТ 28147-89 данные.Thus, a device for symmetric data encryption using a strong authentication algorithm according to GOST 28147-89 is declared, implemented in the form of a SoC (1), including a central processor (2), interconnected with an internal switching unit (3) and also transmitting a signal to the control unit (21) and a direct memory access controller (4), which is interconnected with the internal switching unit (3) and transmits a signal to the computing module (8), the memory access controller (5) is interconnected with the internal switching unit (3) and memory ( 6), a computing module (8) with the ability to implement data encryption in accordance with the cryptographic conversion algorithm, interconnected with RON TK (17) and RON KSh (18), control unit (21) receiving a signal from the computing module (8) and transmitting signals to RON TZ (17) and RON KSh (18), while the device operates in accordance with GOST R ISO / IEC 9594-8-98, the external interface controller (22) and the multiplexing unit (2 3), the encryption device (7) also includes a pseudo-random number generator (15), an additional RON KSh (19) and a timer (16) interconnected with the control unit (21), which is connected via the control bus to the multiplexing unit (23) and connected to RON KSh (19) and a computing module (8), which is interconnected with RON KSh (19) and receives a signal from a pseudo-random number generator (15); the external interface controller (22) is connected to the internal switching unit (3), the multiplexing unit (23), which switches the multiplexed data bus connecting the external interface controller (22) to the multiplexing unit (23), as well as the multiplexed buses at the output of the multiplexing unit ( 23); as RAM, static memory is used, which stores only data encrypted in accordance with GOST 28147-89.
Также возможны варианты устройства симметричного шифрования данных с использованием алгоритма строгой аутентификации:There are also options for a symmetric data encryption device using a strong authentication algorithm:
- с включением общей шины данных на выходе контроллера внешнего интерфейса.- with the inclusion of a common data bus at the output of the external interface controller.
- с исключением блока мультиплексирования и связанных с ним мультиплексируемой шины данных, шины управления блоком мультиплексирования и мультиплексированных шин внешнего интерфейса, при этом с включением общей шины данных на выходе контроллера внешнего интерфейса.- with the exception of the multiplexing unit and the multiplexed data bus associated with it, the control bus of the multiplexing unit and the multiplexed buses of the external interface, with the inclusion of a common data bus at the output of the external interface controller.
Техническим результатом изобретения является устройство с возможностью осуществления строгой аутентификации по ГОСТ Р ИСО/МЭК 9594-8-98 между абонентами и использованием двух ключей в процедуре шифрования по ГОСТ 28147-89.The technical result of the invention is a device capable of performing strong authentication according to GOST R ISO/IEC 9594-8-98 between subscribers and using two keys in the encryption procedure according to GOST 28147-89.
Claims (49)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2020117303A RU2765406C1 (en) | 2020-05-14 | 2020-05-14 | Symmetrical data encryption apparatus using a strong authentication algorithm |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2020117303A RU2765406C1 (en) | 2020-05-14 | 2020-05-14 | Symmetrical data encryption apparatus using a strong authentication algorithm |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU2765406C1 true RU2765406C1 (en) | 2022-01-28 |
Family
ID=80214542
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2020117303A RU2765406C1 (en) | 2020-05-14 | 2020-05-14 | Symmetrical data encryption apparatus using a strong authentication algorithm |
Country Status (1)
| Country | Link |
|---|---|
| RU (1) | RU2765406C1 (en) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5878142A (en) * | 1994-07-12 | 1999-03-02 | Information Resource Engineering, Inc. | Pocket encrypting and authenticating communications device |
| US6028937A (en) * | 1995-10-09 | 2000-02-22 | Matsushita Electric Industrial Co., Ltd | Communication device which performs two-way encryption authentication in challenge response format |
| RU2420896C2 (en) * | 2006-10-10 | 2011-06-10 | Квэлкомм Инкорпорейтед | Method and device for mutual authentication |
| RU2585988C1 (en) * | 2015-03-04 | 2016-06-10 | Открытое Акционерное Общество "Байкал Электроникс" | Device for encrypting data (versions), on-chip system using (versions) |
-
2020
- 2020-05-14 RU RU2020117303A patent/RU2765406C1/en active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5878142A (en) * | 1994-07-12 | 1999-03-02 | Information Resource Engineering, Inc. | Pocket encrypting and authenticating communications device |
| US6028937A (en) * | 1995-10-09 | 2000-02-22 | Matsushita Electric Industrial Co., Ltd | Communication device which performs two-way encryption authentication in challenge response format |
| RU2420896C2 (en) * | 2006-10-10 | 2011-06-10 | Квэлкомм Инкорпорейтед | Method and device for mutual authentication |
| RU2585988C1 (en) * | 2015-03-04 | 2016-06-10 | Открытое Акционерное Общество "Байкал Электроникс" | Device for encrypting data (versions), on-chip system using (versions) |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US5345508A (en) | Method and apparatus for variable-overhead cached encryption | |
| CN106165353B (en) | Efficient routing of encrypted streams using point-to-point authentication protocol | |
| US9152805B2 (en) | Security device | |
| US5444781A (en) | Method and apparatus for decryption using cache storage | |
| KR101370829B1 (en) | Method of encrypting and decrypting data, and Bus System using the same | |
| US10943020B2 (en) | Data communication system with hierarchical bus encryption system | |
| CN103081396A (en) | Communication terminal, communication system, communication method and communication program | |
| KR970076418A (en) | Encryption device and communication system to secure communication between devices | |
| CN1954540A (en) | Multi-protocol network encryption system | |
| CN112134703B (en) | Electronic device using improved key entropy bus protection | |
| JPH0934356A (en) | High-bandwidth cryptographic system with low-bandwidth cryptographic module | |
| IL152595A (en) | Method for improving des hardware throughput for short operations | |
| KR20160020866A (en) | Method and system for providing service encryption in closed type network | |
| CN110602107B (en) | Zynq-based network cipher machine and network data encryption and decryption method | |
| RU2765406C1 (en) | Symmetrical data encryption apparatus using a strong authentication algorithm | |
| US20180198770A1 (en) | Communication device and system, data processing method and method for securely exchanging data | |
| CN108900307B (en) | FPGA (field programmable Gate array) implementation method for PGP (packet data protocol) key management authentication password recovery algorithm | |
| KR20040052304A (en) | Security apparatus and method for digital hardware system | |
| US8156328B1 (en) | Encryption method and device | |
| JPH06209313A (en) | Method and device for security protection | |
| CN117828648B (en) | Method for implementing trusted bus interaction system | |
| CN112821978B (en) | Clock synchronization-based unidirectional network gate circuit, method and device | |
| KR101375670B1 (en) | Method of encrypting and decrypting data, and Bus System using the same | |
| EP4246876A1 (en) | Quantum cryptographic communication system, key management device, and key management method | |
| JP2581138B2 (en) | Secret communication synchronization method |