Высокоскоростное аппаратно

реклама
УДК 004(06) Компьютерные системы и технологии
М.А. ДЕДНЕВ, О.Ю. ДМИТРИЕВ, М.Н. ЁХИН,
Н.В. ИВЕНТЬЕВ, Б.Н. КОВРИГИН, Е.В. МИШЕНИНА,
Ю.П. СВИРИДЮК, Р.А. ЧЛЕНОВ
ФГУП «Концерн «Системпром», Москва
ВЫСОКОСКОРОСТНОЕ АППАРАТНО-ПРОГРАММНОЕ
СРЕДСТВО ШИФРОВАНИЯ И ИМИТОЗАЩИТЫ
IP-ПАКЕТОВ
Рассматривается подход и аппаратно-программные средства его реализации
для криптографической защиты IP-пакетов. Представлены требования к структуре
аппаратных средств и описание функциональной схемы. Приводятся сведения об
исследовании пропускной способности прототипа. Данная работа выполняется по
гранту РФФИ.
Основным на сегодняшний день подходом, обеспечивающим
надежную защиту IP-трафика, является применение SKIP-технологии.
SKIP (Secure Key Internet Ргоtосоl) -технологией называется стандарт
защиты передаваемых по каналам связи IP-пакетов, позволяющий на
сетевом уровне обеспечить защиту соединения и передаваемых по нему
данных.
Для реализации защищенного обмена по открытым каналам связи
была разработана технология создания Виртуальных Частных Сетей
(Virtual Private Network - VPN). Актуальной задачей является создание
аппаратной реализации этой технологии. Разрабатываемое устройство
позиционируется как «проходной» шифратор IP-пакетов, что
предполагает установку данного устройства между защищаемой ЛВС и
глобальной сетью Internet.
Аппаратное VPN-решение должно включать в себя всё необходимое
для реализации защищенного сетевого соединения: процессор,
специализированную операционную систему и специальное программное
обеспечение. Реализация данного решения предусматривает разработку
специальных
аппаратных
блоков
и
операционной
системы,
оптимизированных для решения рассматриваемой задачи.
Одним из основных требований, предъявляемых к аппаратным
шифраторам, является требование разделения внешнего и внутреннего
контуров в тракте обработки информации. Условия выполнения этого
требования можно определить следующим образом: открытые и
зашифрованные данные не должны циркулировать по одним и тем же
ISBN 5-7262-0710-6. НАУЧНАЯ СЕССИЯ МИФИ-2007. Том 12
108
УДК 004(06) Компьютерные системы и технологии
каналам передачи данных внутри устройства. Это позволяет
гарантированно обеспечить невозможность попадания конфиденциальных
данных в незашифрованном виде во внешнюю сеть.
С учетом вышеописанных условий была разработана общая
функциональная схема устройства защиты сетевого трафика. В ее состав
входят два устройства: основной блок IP-шифратора (АПУШ-IP) и
консоль управления и ввода ключевой информации (КУВК). АПУШ-IP
имеет в своем составе следующие блоки: блок контура «открытого
текста», блок контура «шифрованного текста», центральный блок
управления, блоки шифраторов, блок питания, блок интерфейсов с КУВК.
Блоки контуров «открытого текста» и «шифрованного текста» выполняют
сходные функции по обработке данных и поэтому имеют практически
одинаковую структуру. В состав блоков контуров входят:
 Ethernet-интерфейс (физический уровень).
 Ethernet-контроллер (канальный уровень).
 Управляющий процессор (сетевой уровень).
 Коммутатор реализующий интерфейс между контроллером
Ethernet управляющим процессором и криптоблоками.
Консоль управления и ввода ключей (КУВК) представляет собой
компактное специализированное устройство, предназначенное для
подключения к АПУШ-IP для выполнения задач администрирования
(ввод ключевой информации, изменение конфигурационных настроек,
копирование журнала регистрации событий и др.), проведения
диагностических и регламентных работ.
Было выполнено макетирование реализации стека IP-протокола и
управления Ethernet-контроллером. На макете отработано взаимодействие
управляющего процессора «открытого» («закрытого») контура с ЛВС
(АПД) на уровне протокола FTP. Полученные результаты показали
наличие корректной реализации всех необходимых для реализации
АПУШ-IP сетевых уровней (физического, канального и сетевого). Также
было выполнено макетирование блоков шифраторов данных.
Макетирование блоков шифраторов ставило целью проверку
реализации функций шифрования/расшифрования данных на ПЛИС
Xilinx Spartan 3. Проведенное макетирование блоков шифраторов
позволило определить пропускную способность типового блока
шифратора, которая составила 15 МБайт/с, что превышает в 1.5 раза
максимальную
пропускную
способность
сетевого
интерфейса,
используемого в АПУШ-IP.
ISBN 5-7262-0710-6. НАУЧНАЯ СЕССИЯ МИФИ-2007. Том 12
109
Скачать