УДК 004(06) Компьютерные системы и технологии М.А. ДЕДНЕВ, О.Ю. ДМИТРИЕВ, М.Н. ЁХИН, Н.В. ИВЕНТЬЕВ, Б.Н. КОВРИГИН, Е.В. МИШЕНИНА, Ю.П. СВИРИДЮК, Р.А. ЧЛЕНОВ ФГУП «Концерн «Системпром», Москва ВЫСОКОСКОРОСТНОЕ АППАРАТНО-ПРОГРАММНОЕ СРЕДСТВО ШИФРОВАНИЯ И ИМИТОЗАЩИТЫ IP-ПАКЕТОВ Рассматривается подход и аппаратно-программные средства его реализации для криптографической защиты IP-пакетов. Представлены требования к структуре аппаратных средств и описание функциональной схемы. Приводятся сведения об исследовании пропускной способности прототипа. Данная работа выполняется по гранту РФФИ. Основным на сегодняшний день подходом, обеспечивающим надежную защиту IP-трафика, является применение SKIP-технологии. SKIP (Secure Key Internet Ргоtосоl) -технологией называется стандарт защиты передаваемых по каналам связи IP-пакетов, позволяющий на сетевом уровне обеспечить защиту соединения и передаваемых по нему данных. Для реализации защищенного обмена по открытым каналам связи была разработана технология создания Виртуальных Частных Сетей (Virtual Private Network - VPN). Актуальной задачей является создание аппаратной реализации этой технологии. Разрабатываемое устройство позиционируется как «проходной» шифратор IP-пакетов, что предполагает установку данного устройства между защищаемой ЛВС и глобальной сетью Internet. Аппаратное VPN-решение должно включать в себя всё необходимое для реализации защищенного сетевого соединения: процессор, специализированную операционную систему и специальное программное обеспечение. Реализация данного решения предусматривает разработку специальных аппаратных блоков и операционной системы, оптимизированных для решения рассматриваемой задачи. Одним из основных требований, предъявляемых к аппаратным шифраторам, является требование разделения внешнего и внутреннего контуров в тракте обработки информации. Условия выполнения этого требования можно определить следующим образом: открытые и зашифрованные данные не должны циркулировать по одним и тем же ISBN 5-7262-0710-6. НАУЧНАЯ СЕССИЯ МИФИ-2007. Том 12 108 УДК 004(06) Компьютерные системы и технологии каналам передачи данных внутри устройства. Это позволяет гарантированно обеспечить невозможность попадания конфиденциальных данных в незашифрованном виде во внешнюю сеть. С учетом вышеописанных условий была разработана общая функциональная схема устройства защиты сетевого трафика. В ее состав входят два устройства: основной блок IP-шифратора (АПУШ-IP) и консоль управления и ввода ключевой информации (КУВК). АПУШ-IP имеет в своем составе следующие блоки: блок контура «открытого текста», блок контура «шифрованного текста», центральный блок управления, блоки шифраторов, блок питания, блок интерфейсов с КУВК. Блоки контуров «открытого текста» и «шифрованного текста» выполняют сходные функции по обработке данных и поэтому имеют практически одинаковую структуру. В состав блоков контуров входят: Ethernet-интерфейс (физический уровень). Ethernet-контроллер (канальный уровень). Управляющий процессор (сетевой уровень). Коммутатор реализующий интерфейс между контроллером Ethernet управляющим процессором и криптоблоками. Консоль управления и ввода ключей (КУВК) представляет собой компактное специализированное устройство, предназначенное для подключения к АПУШ-IP для выполнения задач администрирования (ввод ключевой информации, изменение конфигурационных настроек, копирование журнала регистрации событий и др.), проведения диагностических и регламентных работ. Было выполнено макетирование реализации стека IP-протокола и управления Ethernet-контроллером. На макете отработано взаимодействие управляющего процессора «открытого» («закрытого») контура с ЛВС (АПД) на уровне протокола FTP. Полученные результаты показали наличие корректной реализации всех необходимых для реализации АПУШ-IP сетевых уровней (физического, канального и сетевого). Также было выполнено макетирование блоков шифраторов данных. Макетирование блоков шифраторов ставило целью проверку реализации функций шифрования/расшифрования данных на ПЛИС Xilinx Spartan 3. Проведенное макетирование блоков шифраторов позволило определить пропускную способность типового блока шифратора, которая составила 15 МБайт/с, что превышает в 1.5 раза максимальную пропускную способность сетевого интерфейса, используемого в АПУШ-IP. ISBN 5-7262-0710-6. НАУЧНАЯ СЕССИЯ МИФИ-2007. Том 12 109