Устройство защиты информации, храняющейся в персональной эвм

 

Изобретение относится к области защиты информации. Устройство защиты содержит внешний носитель информации и расположенные на общей плате микропроцессора, к которому подключены интерфейс обмена информацией с внешним носителем, физический датчик случайных чисел, оперативное запоминающее устройство. В устройстве имеется постоянное запоминающее устройство, которое так же как и оперативное запоминающее устройство и микропроцессор, подключено к интерфейсу обмена информацией с персональной ЭВМ. 2 з.п.ф-лы, 1 ил.

Изобретение относится к защите информации, а более точно к устройству защиты информации, хранящейся в персональной ЭВМ (ПЭВМ) типа IВМ РС/АТ и может быть использовано в любых системах, построенных на базе ПЭВМ, для надежной защиты передаваемой или хранимой информации и защиты от несанкционированного доступа.

Широкое распространение информационных систем, к которым предъявляются высокие требования по конфиденциальности хранения информации и обработки данных, вызывает необходимость применения специальных средств защиты информации и защиты от несанкционированного доступа (НСД).

В настоящее время известно множество компьютерных программ, предназначенных для защиты информации. Однако всем им присущи принципиальные недостатки. Одним из основных недостатков является нестойкость к криптографическим вирусам, цель которых взломать систему защиты.

Существует ряд устройств, реализующих функции защиты информации на аппаратном уровне, что безусловно обладает большей надежностью.

Так, известно криптографическое устройство защиты информации, называемое системой CRYPTON (Спесивцев А.В. Вегнер В.А. и др. Защита информации в персональных ЭВМ. М. Радио и связь 1992, с.25-26), которое содержит постоянное запоминающее устройство, два 32-разрядных однокристальных специализированных микропроцессора, реализующих государственный стандарт шифрования данных с длиной ключа 256 бит.

Для хранения криптографических ключей в этом устройстве использована дискета, с которой главный ключ считывается до загрузки операционной системы, что позволяет гораздо более надежно защититься от криптографических вирусов, чем при программной реализации.

Программное обеспечение системы позволяет осуществлять функции разграничения и контроля доступа к ПЭВМ и логическим дискам жесткого диска ПЭВМ. Скорость шифрования составляет до 50 Кб/с.

Однако в связи с использованием специализированных микропроцессов, умеющих только шифровать данные по стандартному алгоритму с длиной ключа 256 бит, ограничивает функциональные возможности устройства при его использовании в современных двухключевых криптосистемах.

Наиболее близким к предлагаемому устройству является устройство защиты информации, хранящейся в персональной ЭВМ, содержащее внешний носитель информации, выполненный в виде энергонезависимой памяти, и расположенные на общей плате микропроцессор, к которому подключены интерфейс обмена информацией с внешним носителем информации, оперативное запоминающее устройство и интерфейс обмена информации с персональной ЭВМ, соединенный с оперативным запоминающим устройством [4] Известное устройство содержит также специализированный микропроцессор, выполняющий функции шифратора по алгоритму DES (Data Encryption Standard). Шифратор соединен с интерфейсом обмена информацией с персональной ЭВМ и микропроцессором DS5000, выполняющим функцию контроллера устройства.

Оперативное запоминающее устройство (ОЗУ) в известной разработке выполнено в виде двух модулей. Первый модуль с открытой областью памяти, к нему возможен доступ со стороны ПЭВМ, подключен к интерфейсу обмена информацией с ПЭВМ, а второй модуль с закрытой областью памяти имеет независимый источник питания в виде литиевой батарейки, подключен к микропроцессору и недоступен ПЭВМ.

В качестве внешнего носителя информации использована пользовательская карточка типа SMART Card, а само устройство предназначено в основном для защиты информации в ПЭВМ типа Laptop (Note book).

Для обеспечения работы устройства защиты компьютер дополнительно оснащен постоянным запоминающим устройством (ПЗУ).

В известном устройстве закрытая область памяти ОЗУ загружается по интерфейсу UART в процессе изготовления самого устройства. При несанкционированном вскрытии устройства происходит отключение литиевой батарейки, в результате чего стираются программы функционирования микропроцессора DS500 и ключи, если они были считаны из внешнего носителя информации SMART card для шифрования.

Использование в известной разработке шифрования только в соответствии с алгоритмом DES ограничивает функциональные возможности устройства и не позволяет использовать его в одно- и двухключевых криптографических сетях.

Кроме того, известное устройство, в связи с отсутствием в нем физического датчика случайных чисел не позволяет осуществлять генерацию новых ключей. Генерация новых ключей осуществляется в специальном центре генерации, после чего ключи поставляются пользователям, записанным в ОЗУ SMART card.

В основу изобретения положена задача создать устройство защиты информации, хранимой в персональной ЭВМ, в котором за счет введения новых блоков, а также новых связей между функциональными узлами достигалась бы возможность производить генерацию новых ключей, осуществлять цифровую электронную подпись и использовать устройство в одно- и двухключевых криптографических сетях, что существенно расширяло бы его функциональные возможности.

Поставленная задача решается тем, что в устройство защиты информации, хранящейся в персональной ЭВМ, содержащее внешний носитель информации, выполненный в виде энергонезависимой памяти, и расположенные на общей плате микропроцессор, к которому подключены интерфейс обмена информацией с внешним носителем информации, оперативное запоминающее устройство и интерфейс обмена информацией с персональной ЭВМ, соединенный с оперативным запоминающим устройством, согласно изобретению, введен датчик случайных чисел, подключенный к микропроцессору, и постоянное запоминающее устройство, подключенное к интерфейсу обмена информацией с персональной ЭВМ и предназначенное для хранения программ шифрования, предотвращения несанкционированного доступа к персональной ЭВМ, открытого распределения ключей и цифровой подписи.

Целесообразно, чтобы микропроцессор представлял собой цифровой процессор обработки сигналов. Выгодно, чтобы внешний носитель информации содержал уникальный персональный код.

Предлагаемое изобретение благодаря использованию в нем физического датчика случайных чисел и постоянного запоминающего устройства, в котором хранятся программы защиты информации, предотвращения несанкционированного доступа к ПЭВМ, открытого распределения ключей и цифровой подписи, имеет значительно более широкие функциональные возможности и может быть использовано в одно- и двухключевых криптографических сетях.

Физический датчик случайных чисел обеспечивает генерацию логических нулей и единиц в произвольной последовательности, что и является секретным ключом.

Применение в качестве микропроцессора цифрового процессора обработки сигналов, который относится к RISC процессорам, обеспечивает высокоскоростное выполнение специальных криптографических операций.

Использование в качестве внешнего носителя информации энергонезависимой памяти, содержащей уникальный персональный код, присваиваемый в процессе изготовления, позволяет исключить подделку носителя информации и обеспечить защиту от несанкционированного доступа.

В целом предлагаемое изобретение благодаря своему схемному и аппаратному решениям может быть использовано для защиты информации и предотвращения несанкционированного доступа как в компьютерах типа ВООК SIZE, так и в более мощных стационарных ЭВМ и сетевых серверах, работающих в операционных системах DOS или UNIХ.

На чертеже представлена блок-схема устройства защиты информации, хранимой в персональной ЭВМ, согласно изобретению.

Устройство защиты информации, хранимой в ПЭВМ, содержит внешний носитель 1 информации и общую плату 2, на которой размещены микропроцессор 3, к которому входом/выходом подключены интерфейс 4 обмена информацией с внешним носителем информации, выходом физический датчик 5 случайных чисел и входами/выходами оперативное запоминающее устройство (ОЗУ) 6.

Устройство содержит также постоянное запоминающее устройство (ПЗУ) 7, которое, так же как микропроцессор 3 и ОЗУ 6, своими входами/выходами подключены к интерфейсу 8 обмена информацией с ПЭВМ.

Плата 2 с расположенными на ней узлами устанавливается в свободный слой ПЭВМ и подключается через соответствующие входы/выходы к общей шине 9 управления и обмена данными с ПЭВМ.

ПЗУ 7 содержит программы защиты информации, предотвращения несанкционированного доступа к ПЭВМ, открытого распределения ключей и цифровой подписи. ПЗУ 7 выполнено по одной из широкоизвестных схем, описанных, например, в книге М.Три Справочное пособие по цифровой электронике. М. Энергоатомиздат, 1966, с. 59-60. В ПЗУ 7 записаны программы, алгоритмы которых также известны и имеют соответствующие ГОСТы.

Так, используется алгоритм шифрования в соответствии с ГОСТ 26147-89 и алгоритм цифровой подписи ГОСТ Р 34.10-94. Алгоритм открытого распределения ключей известен и описан в книге Спесивцев А.В. Вегнер В.А. и др. Защита информации в персональных ЭВМ. М. Радио и связь, Веста, 1992, с.39-41.

Физический датчик 5 случайных чисел описан в книге "Диоды и тиристоры" под общей ред. Чернышева А.А. М. Энергия, 1980, с.145 и по существу представляет собой генератор шума, формирующий произвольную последовательность логических нулей и единиц, из которой и формируется секретный ключ.

Оперативное запоминающее устройство 6, используемое в изобретении, известно и описано, например, в справочном пособии фирмы MOTOROLA SEMICONDUCTOR Master Selection Guide, Rev. V. G 73/D, p.2.38.

В устройстве внешний носитель 1 информации выполнен в виде энергонезависимой памяти и содержит уникальный персональный код. Таким носителем информации в настоящее время является персональный идентификатор семейства Touch Metory (TM), описанный, например, в журнале "Hard' u' Soft", N 6, дек 1994, с.70.

Конструктивно ТМ представляет собой энергонезависимую память, размещенную в металлическом корпусе с одним сигнальным контактом и одним контактом земли. Корпус, напоминающий по внешнему виду миниатюрный аккумулятор, используемый в настольных часах, легко крепится на носителе (карточка, брелок). Информация записывается и считывается из памяти простым касанием ТМ считывающего устройства, очень простого по конструкции, который может быть расположенным на корпусе ПЭВМ, оформлен в виде ручки или в конструктиве размерами дисковода 3.5".

Конструктивное выполнение ТМ обеспечивает его высокую механическую надежность, уникальность достигается за счет присвоения в процессе изготовления уникального кода (64 бита), который не может быть изменен в течение всего срока службы ТМ. Кроме того, такой носитель информации гораздо дешевле применяемых идентификаторов типа SMART card или CHIP card, то есть идентификатор ТМ имеет в настоящее время оптимальные характеристики по отношению к существующим носителям информации.

Конструкция интерфейса обмена информацией с ТМ известна и описана, например, в "Перечне продукции фирмы Dallas Semi- conductor Product Data Book", 1992-1993, с.12.35.

В предлагаемом изобретении цифровой процессор обработки сигналов, используемый в качестве микропроцессора 3, обеспечивает высокоскоростное выполнение криптографических операций и описан в книге User's Guide, Second Generation TMS320, Texas Instruments Incorporated, c.3-7.

Устройство защиты информации, хранимой в персональной ЭВМ, после установки в соответствующий слот ПЭВМ, работает следующим образом.

При включении ПЭВМ управление ее загрузкой осуществляется сначала в штатном режиме, но до загрузки операционной системы (оperating system) OS управление передается программе, записанной в ПЗУ 7, расположенным по адресам расширенного BIOS (basic input-output system). Программа, находящаяся в ПЗУ 7, запрашивает прикосновения ТМ к интерфейсу 4 и считывает с ТМ уникальный хранящийся там код. При этом происходит сравнение этого кода с номером, записанным в ПЗУ 7.

При совпадении кодов программа, записанная в ПЗУ 7, переписывает криптографические функции в ОЗУ 6 и осуществляет запуск устройства защиты информации. При этом область памяти, в которой находятся все программы защиты информации и область памяти, предназначенная для работы с ключами, становятся недоступными со стороны ПЭВМ. Одновременно осуществляется старт микропроцессора 3, который работает под управлением программы "МОНИТОР", записанной в ОЗУ 6 вместе с функциями криптозащиты, и происходит отключение ПЗУ 7 от интерфейса 8 обмена информацией с ПЭВМ. Повторный запуск устройства защиты возможен после очередного выключения ПЭВМ. Только после осуществления вышеперечисленных операций происходит загрузка операционной системы ОS.

При несовпадении кода, считанного с ТМ, с кодом, записанным в ПЗУ 7, загрузка ОS не осуществляется, а при попытке подбора ТМ ПЭВМ "зависает". Только выключение приводит ПЭВМ в исходное состояние.

После загрузки ОS функционирование устройства защиты происходит следующим образом.

Исходная информация, предназначенная для защиты, порциями загружается в доступную для обмена с ПЭВМ область памяти ОЗУ 6 (объем 256 16 разрядных слов).

После получения микропроцессором 3 одной из возможных команд по защите программа "МОНИТОР" передает управление соответствующей программе, определяемой этой командой, которая и осуществляет обработку информации, например, шифрование. При выполнении любой из функций защиты информации формируется также целое число код возврата, значение которого указывает на возможное наличие ошибок и их вид, если таковые имели место.

Затем процессор 3 выставляет бит готовности, получая который ПЭВМ считывает из ОЗУ 6 обработанные данные и код возврата (целое число).

Цифровой процессор 3 обработки сигналов (микропроцессор 3) может обработать 44 функции, которые можно разделить на следующие группы: 10 функций требуют предъявления ТМ (генерация ключа, считывание ключа, считывание уникального кода и т.д.); 26 функций защиты информации, используемых для построения одноключевой криптосети; 8 функций защиты информации, используемых для построения двухключевой криптосети.

При необходимости формировать новый ключ цифровой процессор 3 считывает с физического датчика 5 случайную последовательность логических нулей и единиц и записывает ее через интерфейс 4 на ТМ путем касания ТМ съемника. При этом информация о новом ключе недоступна со стороны ПЭВМ. При необходимости со стороны микропроцессора 3 можно проверить качество полученного ключа.

Как было отмечено выше, устройство может быть использовано в одноключевых криптографических сетях, то есть когда для шифрования и дешифрования данных используется один и тот же ключ, а также в более сложных и более надежных двухключевых сетях иными словами, в сетях с открытым распределением ключей. При этом имеется в виду, что каждый пользователь имеет два ключа открытый и закрытый, которые связаны между собой математической зависимостью и обладают следующими свойствами: то, что зашифровано закрытым ключом, может быть расшифровано открытым; то, что зашифровано открытым ключом, может быть расшифровано закрытым.

Получение из закрытого ключа открытого практически невозможно. Первое свойство открытого распределения ключей используется при генерации цифровой подписи, а второе при обмене ключами шифрования.

Патентуемое устройство обеспечивает: скорость шифрования 30 Кбайт/с; время создания шифровой подписи 1,3 с; время генерации ключей по ГОСТ Р 34.10-94 при длине модуля простого большого числа 512 бит не более 2,0 с.

Таким образом, устройство обладает широкими функциональными возможностями и может быть использовано в одно и двух ключевых криптографических сетях.

Формула изобретения

1. Устройство защиты информации, хранящейся в персональной ЭВМ, содержащее внешний носитель информации, выполненный в виде энергонезависимой памяти, и расположенные на общей плате микропроцессор, к которому подключены интерфейс обмена информацией с внешним носителем информации, оперативное запоминающее устройство и интерфейс обмена информацией с персональной ЭВМ, соединенный с оперативным запоминающим устройством, отличающееся тем, что в него введены физический датчик случайных чисел, подключенный к микропроцессору, и постоянное запоминающее устройство, подключенное к интерфейсу обмена информацией с персональной ЭВМ и предназначенное для хранения программ защиты информации, предотвращения несанкционированного доступа к персональной ЭВМ, открытого распределения ключей и цифровой подписи.

2. Устройство по п.1, отличающееся тем, что микропроцессор представляет собой цифровой процессор обработки сигналов.

3. Устройство по п.1 или 2 отличающееся тем, что внешний носитель информации содержит уникальный персональный код.

РИСУНКИ

Рисунок 1



 

Похожие патенты:

Изобретение относится к электронной технике и может быть использовано для защиты информации в микропроцессорных системах от несанкционированного к ней доступа, например, фискальной памяти электронных контрольно-кассовых машин

Изобретение относится к вычислительной технике и может найти применение при организации доступа к ресурсам вычислительной системы

Изобретение относится к средствам защиты информации и содержит внешний носитель информации, выполненный в виде энергонезависимой памяти, в которую записана персональная информация о пользователе и хэш-функция всех защищаемых файлов данного пользователя

Изобретение относится к вычислительной технике и может быть использовано для аппаратной поддержки языка программирования ФОРТ и механизма прерываний программ с высоким значением показателя глубины прерываний, а также при моделировании процессора стековой организации на универсальных ЭВМ

Изобретение относится к вычислительной технике и может быть использовано для защиты ячеек памяти от несанкционированного обращения к ним

Изобретение относится к автоматике и вычислительной технике

Изобретение относится к вычислительной технике , предназначено для защиты от несанкционированного доступа к информации и может быть использовано для маскирования идентификации пользователей

Изобретение относится к вычислительной технике, предназначено для защиты от несанкционированного доступа к информации и может быть использовано для маскирования идентификаторов пользователей

Изобретение относится к вычислительной технике и может быть использовано при создании систем защиты информации, хранящейся в памяти ЭВМ и абоненских пунктах на вычислительных центрах коллективного пользования

Изобретение относится к вычислительной технике и может быть использовано в специализированных системах управления с жестким распределением памяти

Изобретение относится к способам и устройствам защиты конфиденциальной информации, введенной в память ЭВМ, от посторонних пользователей

Изобретение относится к устройствам защиты конфиденциальной информации, введенной в память ЭВМ, от посторонних пользователей, располагающих средствами незаконного извлечения этой информации путем нарушения целостности защитного корпуса и непосредственного подключения к компонентам ЭВМ, заключенным внутри корпуса
Изобретение относится к вычислительной технике и может использоваться разработчиками программно-информационного обеспечения (ПИО) для защиты их продуктов от несанкционированного использования

Изобретение относится к вычислительной технике

Изобретение относится к области вычислительной техники

Изобретение относится к распределенным информационно-управляющим системам (РИУС), преимущественно к РИУС, функционирующим в реальном масштабе времени, и может быть использовано в системах различного назначения, оперирующих информацией конфиденциального характера

Изобретение относится к области вычислительной техники

Изобретение относится к области вычислительной техники, автоматизированных и информационных систем, а также средств защиты от несанкционированного доступа
Наверх