Способ санкционирования доступа и устройство для его осуществления
Патент 2608710
Авторы
- Елагин Сергей Владимирович (RU)
- Клюшев Андрей Васильевич (RU)
- Кушнарев Александр Петрович (RU)
- Фомченко Виктор Николаевич (RU)
Правообладатели
- Российская Федерация, от имени которой выступает Государственная корпорация по атомной энергии "Росатом" (RU)
- Федеральное государственное унитарное предприятие "Российский федеральный ядерный центр-Всероссийский научно-исследовательский институт экспериментальной физики" (ФГУП "РФЯЦ-ВНИИЭФ") (RU)
Классы МПК
Способ санкционирования доступа и устройство для его осуществления
Иллюстрации
Изобретение относится к вычислительной технике, в частности к средствам криптографического преобразования информации, а также к технике защиты различных объектов от доступа посторонних лиц и может быть использовано для обеспечения санкционированного доступа к хранилищам, сейфам и потенциально-опасным технологическим процессам. Способ санкционирования доступа заключается том, что каждому электронному замку предварительно присваивают и записывают индивидуальный номер. На подготовительном этапе назначают общий криптоключ, формируют индивидуальные криптоключи электронных замков путем криптопреобразования индивидуального номера и общего криптоключа для получения информационных пар, каждая из которых содержит индивидуальный номер и индивидуальный криптоключ, последний из которых записывают в соответствующий электронный замок, а информационные пары записывают в память криптопреобразователя средства управления, после чего назначают общий код и записывают его в электронные замки и средство управления, на этапе эксплуатации осуществляют ввод в средство управления общего криптоключа для формирования индивидуальных криптоключей электронных замков путем криптопреобразования индивидуальных номеров с помощью общего криптоключа или осуществляют поиск индивидуальных криптоключей электронных замков по их индивидуальному номеру в информационных парах средства управления, подают количество значений срабатываний электронного замка в блок нелинейных подстановок средства управления для преобразования значения кода, результат которого используют для криптопреобразования с использованием индивидуального криптоключа для получения индивидуальной управляющей посылки, которую передают для обратного криптопреобразования в электронном замке с использованием индивидуального криптоключа, преобразованное значение сравнивают с хранимым значением кода, преобразованного в блоке нелинейных подстановок под управлением значения количества срабатываний замка, при положительном результате сравнения формируют команду на исполнительное устройство. Устройство для осуществления способа содержит средство управления по крайней мере одним электронным замком, включающим в себя исполнительное устройство, отличающееся тем, что в средство управления введены первое запоминающее устройство, первый блок нелинейных подстановок, прямой криптопреобразователь, криптопреобразователь с памятью, первый вход которого является входом устройства, выход соединен с первым входом прямого криптопреобразователя, второй вход которого соединен с выходом первого блока нелинейных подстановок, первый вход которого соединен с выходом первого запоминающего устройства, в электронный замок дополнительно введены обратный криптопреобразователь, второе, третье и четвертое запоминающие устройства, второй блок нелинейных подстановок, счетчик с памятью количества срабатываний замка и схема сравнения, выход которой соединен со входом исполнительного устройства, первый вход схемы сравнения соединен с выходом обратного криптопреобразователя, а второй вход соединен с выходом второго блока нелинейных подстановок, первый вход которого соединен с выходом третьего запоминающего устройства, а второй вход соединен с выходом счетчика с памятью и со вторым входом первого блока нелинейных подстановок, выход прямого криптопреобразователя соединен с первым входом обратного криптопреобразователя, второй вход которого соединен с выходом второго запоминающего устройства, выход четвертого запоминающего устройства соединен со вторым входом криптопреобразователя с памятью. Достигаемым техническим результатом является обеспечение автоматизированного санкционированного управления группой электронных замков с использованием индивидуальных изменяемых посылок, в том числе в условиях компрометации информации отдельных замков, входящих в группу, при существенном снижении сложности эксплуатации, не требующей информационного обслуживания электронных замков. 2 н.п. ф-лы, 1 ил.
Реферат
Изобретение относится к области защиты информации от несанкционированного доступа, а также к технике защиты различных объектов от доступа посторонних лиц и может быть использовано для обеспечения санкционированного доступа к хранилищам, сейфам и санкционированного управления потенциально-опасными технологическими процессами.
Известно «Устройство санкционирования доступа» авторов Клюшева А.В., Аксюты Л.И., Елагина С.В., Фомченко В.Н (см. патент РФ №2273712 от 22.03.2004, МПК: Е05В 49/00, опубликовано в Б.И №10 10.04.2006 г.), содержащее интеллектуальный ключ, включающий микроконтроллер, первый интерфейс, клавиатуру, источник питания, устройство отображения информации, часы реального времени, кодер, второй интерфейс и генератор. Интеллектуальный ключ соединен с электронным замком, содержащим микроконтроллер, интерфейс, исполнительное устройство, декодер, генератор, индикатор и драйвер исполнительного устройства. В вышеуказанном устройстве реализован способ, включающий подготовительный и эксплуатационные этапы. На подготовительном этапе осуществляют установку кодов и специальной информации в интеллектуальный ключ и электронный замок для обеспечения кодовой синхронизации между ними, при этом количество электронных замков соответствует количеству объектов доступа. Для этого каждому электронному замку присваивают индивидуальный номер и рассчитывают соответствующий код, а в интеллектуальный ключ записывают количество кодов, соответствующее количеству электронных замков. На эксплуатационном этапе в интеллектуальном ключе производят шифрование кода соответствующего электронного замка по технологии KeeLoq и формируют посылку с «прыгающим» кодом, которая поступает в соответствующий электронный замок.
Указанный способ и устройство являются наиболее близкими по технической сущности к заявляемой группе изобретений и поэтому выбраны в качестве прототипов.
Недостатками способа и устройства являются:
- использование технологии и микросхем KeeLoq, защита которых обеспечивается уникальными (неповторяющимися) заводскими ключами и серийными номерами, значение которых нельзя изменить потребителем;
- сложность создания системы, полностью контролируемой пользователем, так как невозможно задавать собственные ключи;
- система без обратной связи от передатчика к приемнику (однонаправленное управление) более уязвима к воздействиям со стороны злоумышленника.
Решаемой технической задачей группы изобретений является создание способа санкционирования доступа и устройства для его осуществления, обладающих повышенной защищенностью при эксплуатации группы электронных замков с индивидуальными сменяемыми управляющими посылками.
Достигаемым техническим результатом является обеспечение автоматизированного санкционированного управления группой электронных замков с использованием индивидуальных изменяемых посылок, в том числе в условиях компрометации информации отдельных замков, входящих в группу, при существенном снижении сложности эксплуатации, не требующей информационного обслуживания электронных замков.
Для достижения технического результата в способе санкционирования доступа, заключающемся в том, что каждому электронному замку предварительно присваивают и записывают индивидуальный номер, новым является то, что на подготовительном этапе назначают общий криптоключ, формируют индивидуальные криптоключи электронных замков путем криптопреобразования индивидуального номера и общего криптоключа для получения информационных пар, каждая из которых содержит индивидуальный номер и индивидуальный криптоключ, последний из которых записывают в соответствующий электронный замок, а информационные пары записывают в память криптопреобразователя средства управления, после чего назначают общий код и записывают его в электронные замки и средство управления, на этапе эксплуатации осуществляют ввод в средство управления общего криптоключа для формирования индивидуальных криптоключей электронных замков путем криптопреобразования индивидуальных номеров с помощью общего криптоключа или осуществляют поиск индивидуальных криптоключей электронных замков по их индивидуальному номеру в информационных парах средства управления, подают количество значений срабатываний электронного замка в блок нелинейных подстановок средства управления для преобразования значения кода, результат которого используют для криптопреобразования с использованием индивидуального криптоключа для получения индивидуальной управляющей посылки, которую передают для обратного криптопреобразования в электронном замке с использованием индивидуального криптоключа, преобразованное значение сравнивают с хранимым значением кода, преобразованного в блоке нелинейных подстановок под управлением значения количества срабатываний замка, при положительном результате сравнения формируют команду на исполнительное устройство.
Для достижения технического результата в устройстве для осуществления способа, содержащем средство управления по крайней мере одним электронным замком, включающим в себя исполнительное устройство, новым является то, что в средство управления введены первое запоминающее устройство, первый блок нелинейных подстановок, прямой криптопреобразователь, криптопреобразователь с памятью, первый вход которого является входом устройства, выход соединен с первым входом прямого криптопреобразователя, второй вход которого соединен с выходом первого блока нелинейных подстановок, первый вход которого соединен с выходом первого запоминающего устройства, в электронный замок дополнительно введены обратный криптопреобразователь, второе, третье и четвертое запоминающие устройства, второй блок нелинейных подстановок, счетчик с памятью количества срабатываний замка и схему сравнения, выход которой соединен со входом исполнительного устройства, первый вход схемы сравнения соединен с выходом обратного криптопреобразователя, а второй вход соединен с выходом второго блока нелинейных подстановок, первый вход которого соединен с выходом третьего запоминающего устройства, а второй вход соединен с выходом счетчика с памятью и со вторым входом первого блока нелинейных подстановок, выход прямого криптопреобразователя соединен с первым входом обратного криптопреобразователя, второй вход которого соединен с выходом второго запоминающего устройства, выход четвертого запоминающего устройства соединен со вторым входом криптопреобразователя с памятью.
Новая совокупность существенных признаков позволяет повысить заявляемой группе изобретений защитные характеристики санкционирования доступа за счет возможности:
- автоматизированного санкционированного управления группой электронных замков;
- полностью подконтрольных потребителю криптографических параметров системы;
- двунаправленного обмена данными между средством управления и электронными замками;
- сохранения защищенности в условиях компрометации информации отдельных электронных замков, входящих в группу;
- существенного снижения сложности эксплуатации, не требующей информационного обслуживания электронных замков.
Способ реализуется устройством, представленным на чертеже.
Устройство содержит средство управления СУ 13 электронным замком ЭЗ 14, включающим в себя исполнительное устройство ИУ 12. В СУ 13 введены первое запоминающее устройство ЗУ1, первый блок нелинейных подстановок БНП2, прямой криптопреобразователь ПКП4, криптопреобразователь с памятью КПП3, первый вход которого является входом устройства, выход соединен с первым входом ГПСП4, второй вход которого соединен с выходом БНП2, первый вход которого соединен с выходом ЗУ1. В ЭЗ14 введены обратный криптопреобразователь ОКП 5, второе 6, третье 7 и четвертое 8 запоминающие устройства ЗУ, второй блок нелинейных подстановок БНП 9, счетчик СП10 с памятью количества срабатываний замка и схема сравнения СС11, выход которой соединен со входом ИУ 12. Первый вход СС11 соединен с выходом ОКП 5, а второй вход соединен с выходом БНП 9, первый вход которого соединен с выходом ЗУ 7, а второй вход соединен с выходом СП10 с памятью и со вторым входом БНП2, выход ПКП4 соединен с первым входом ОКП 5, второй вход которого соединен с выходом ЗУ 6, выход ЗУ 8 соединен со вторым входом КПП3 с памятью.
Все функциональные блоки в устройстве могут быть выполнены на микросхемах средней степени интеграции, например микросхеме 1554 серии или микроконтроллере 1882 ВЕ53У.
Устройство для осуществления способа работает следующим образом. Работа устройства включает два этапа: подготовительный и эксплуатационный. На подготовительном этапе, после ввода общего криптоключа на первый вход КПП3 и поступления индивидуального номера с ЗУ8, на второй вход КПП3 на его выходе формируется индивидуальный криптоключ, поступающий на первый вход ПКП4.
На этапе эксплуатации, на первый вход КПП3 вместо общего ключа поступают информационные пары для хранения и после поступления индивидуального номера с ЗУ8 на второй вход КПП3 на его выход выдается индивидуальный криптоключ, поступающий на первый вход ПКП4, на второй вход которого поступает преобразованное значение кода из ЗУ1, модифицированное БНП2 под управлением значения количества срабатываний замка с СП10. С выхода ПКП4 преобразованная индивидуальная управляющая посылка поступает на первый вход ОКП5, который производит ее преобразование, обратное, осуществленному на ПКП4 с использованием индивидуального криптоключа из ЗУ6, поступающего на его второй вход. Преобразованная управляющая посылка поступает на первый вход СС11, на второй вход которой поступает модифицированное БНП9 значение кода из ЗУ7 с использованием значения со СП10. При положительном результате сравнения, включается ИУ12.
Способ реализуется следующим образом.
Реализация предусматривает подготовительный и эксплуатационный этапы. На подготовительном этапе назначают общий криптоключ, формируют индивидуальные криптоключи ЭЗ замков путем криптопреобразования индивидуального номера и общего криптоключа для получения информационных пар, каждая из которых содержит индивидуальный номер и индивидуальный криптоключ, последний из которых записывают в соответствующий ЭЗ, а информационные пары записывают в память КПП3 СУ.
Информационный объем индивидуального ключа, должен быть достаточен для обеспечения эргодической мощности управляющих данных в условиях возможного автоматизированного криптоанализа с использованием зафиксированных управляющих данных.
На этапе эксплуатации на СУ13 с ЗУ8 поступает значение индивидуального номера ЭЗ, со СП10 значение количества срабатываний ЭЗ и общий криптоключ. Значение кода преобразуется в БНП 2 с использованием значения количества срабатываний ЭЗ и подается на информационный вход ПКП4. Индивидуальный криптоключ для ПКП4 на подготовительном этапе оперативно формируется КПП3 с использованием общего криптоключа и значения индивидуального номера из ЗУ8.
На этапе эксплуатации осуществляют поиск индивидуальных криптоключей электронных замков по их индивидуальному номеру в информационных парах, хранящихся в КПП 3.
ПКП 4 преобразует индивидуальную управляющую посылку с использованием индивидуального криптоключа и подает ее на ОКП 5 электронного замка, который производит ее обратное преобразование. Преобразованную индивидуальную управляющую посылку подают для сравнения с модифицированным значением кода с использованием БНП 9 и значения количества срабатываний электронного замка со СП 10. Равенство значений в СС11 приводит к срабатыванию ИУ 12 электронного замка 14. В каждой операции управления электронным замком на его входе используется индивидуальная изменяемая управляющая посылка, соответствующая измененному значению количества срабатываний ЭЗ 14.
Реализация группы изобретений позволяет обеспечить автоматизированное санкционированное управление группой электронных замков с использованием индивидуальных изменяемых посылок, в том числе в условиях компрометации информации отдельных замков, входящих в группу, при существенном снижении сложности эксплуатации, не требующей информационного обслуживания электронных замков.
Изготовлен лабораторный макет устройства, испытания которого подтвердили осуществимость и практическую ценность заявляемого способа и устройства.
1. Способ санкционирования доступа, заключающийся в том, что каждому электронному замку предварительно присваивают и записывают индивидуальный номер, отличающийся тем, что на подготовительном этапе назначают общий криптоключ, формируют индивидуальные криптоключи электронных замков путем криптопреобразования индивидуального номера и общего криптоключа для получения информационных пар, каждая из которых содержит индивидуальный номер и индивидуальный криптоключ, последний из которых записывают в соответствующий электронный замок, а информационные пары записывают в память криптопреобразователя средства управления, после чего назначают общий код и записывают его в электронные замки и средство управления, на этапе эксплуатации осуществляют ввод в средство управления общего криптоключа для формирования индивидуальных криптоключей электронных замков путем криптопреобразования индивидуальных номеров с помощью общего криптоключа или осуществляют поиск индивидуальных криптоключей электронных замков по их индивидуальному номеру в информационных парах средства управления, подают значение количества срабатываний электронного замка в блок нелинейных подстановок средства управления для преобразования значения кода, результат которого используют для криптопреобразования с использованием индивидуального криптоключа для получения индивидуальной управляющей посылки, которую передают для обратного криптопреобразования в электронном замке с использованием индивидуального криптоключа, преобразованное значение сравнивают с хранимым значением кода, преобразованного в блоке нелинейных подстановок под управлением значения количества срабатываний замка, при положительном результате сравнения формируют команду на исполнительное устройство.
2. Устройство для осуществления способа по п. 1, содержащее средство управления по крайней мере одним электронным замком, включающим в себя исполнительное устройство, отличающееся тем, что в средство управления введены первое запоминающее устройство, первый блок нелинейных подстановок, прямой криптопреобразователь, криптопреобразователь с памятью, первый вход которого является входом устройства, выход соединен с первым входом прямого криптопреобразователя, второй вход которого соединен с выходом первого блока нелинейных подстановок, первый вход которого соединен с выходом первого запоминающего устройства, в электронный замок дополнительно введены обратный криптопреобразователь, второе, третье и четвертое запоминающие устройства, второй блок нелинейных подстановок, счетчик с памятью количества срабатываний замка и схему сравнения, выход которой соединен со входом исполнительного устройства, первый вход схемы сравнения соединен с выходом обратного криптопреобразователя, а второй вход соединен с выходом второго блока нелинейных подстановок, первый вход которого соединен с выходом третьего запоминающего устройства, а второй вход соединен с выходом счетчика с памятью и со вторым входом первого блока нелинейных подстановок, выход прямого криптопреобразователя соединен с первым входом обратного криптопреобразователя, второй вход которого соединен с выходом второго запоминающего устройства, выход четвертого запоминающего устройства соединен со вторым входом криптопреобразователя с памятью.