механизм дистанционного контроля доступа

Формула изобретения

Механизм дистанционного контроля доступа, содержащий терминальный модуль аутентификации (ТМА), в состав которого входят арифметико-логический блок (АЛБ), выход которого подключен к первому входу первого блока шифрования, ко второму входу которого подключен выход блока хранения ключа терминала (Кт), а также компаратор, причем вход АЛБ является входом сигнала "Персональный код терминала" (ПКт) ТМА, выходом сигнала "Идентификатор терминала" (Ит) ТМА является выход первого блока шифрования, а выходами сигналов "Тревога" и "Готовность" ТМА являются соответствующие выходы компаратора, и центральный модуль аутентификации (ЦМА), в состав которого входят компаратор и последовательно соединенные АЛБ, выполненный с возможностью принятия сигнала ПКт, блок хранения ключей Центра (Кц) и блок дешифрования, выход которого подключен к первому входу компаратора, ко второму входу которого подключен другой выход АЛБ, причем выходом сигнала "Тревога" ЦМА является один из выходов компаратора, а входом сигнала Ит ЦМА является вход блока дешифрования, отличающийся тем, что в состав ТМА введены последовательно соединенные блок хранения персональных кодов Администратора (ПКа) и второй блок шифрования, при этом в ТМА другой вход второго блока шифрования соединен с выходом АЛБ, а выход второго блока шифрования соединен с первым входом компаратора, второй вход которого является входом сигнала "Идентификатор центра" (Иц) ЦМА, в состав которого введен блок шифрования, и в котором к первому и второму входам блока шифрования подключены соответственно выход блока дешифрования и другой выход компаратора, третий вход блока шифрования является входом ПКа ЦМА, а выходом сигнала Иц ЦМА является выход блока шифрования.

Описание изобретения к патенту

Изобретение относится к распределенным информационно-управляющим системам (РИУС), преимущественно к РИУС с топологией "звезда", оперирующим информацией конфиденциального характера.

Характерной особенностью РИУС является сложность структуры коммуникаций, обусловленная рассредоточенностью периферийных технических средств (Периферия). Подключение Периферии к центру обработки данных (Центру) системы осуществляется посредством сети связи, включающей линии связи и узлы коммутации. Это обстоятельство таит в себе потенциальную угрозу преднамеренного нарушения физического и (или) логического интерфейса между Центром и Периферией с целью организации таких связей, которые отвечали бы замыслу Злоумышленника. Таким образом, возможна подмена штатных, зарегистрированных в составе системы технических средств ложными. В целях предотвращения этого в РИУС, оперирующих информацией высокого уровня конфиденциальности, между техническими средствами Центра и Периферии предусматривается взаимное установление подлинности - взаимоаутентификация. Примером практической реализации процедуры взаимоаутентификации является техническое решение фирмы Intel, описанное в статье Контура Ж.С. и Летама Л. Защита компьютеров и информации от несанкционированного доступа, журнал "Электроника". Москва, 1985 г. , N 4, с. 77-83, а также техническое решение, описанное в патенте РФ N 2126170.

Значительный акцент при разработке РИУС делается также на предотвращение возможности несанкционированного доступа к информации Центра пользователей периферийных терминалов. С этой целью используются различные способы установления подлинности должностных лиц, использующих технические средства системы. Тем не менее возможность проникновения в систему непосредственно с периферийных терминалов все же существует. Однако несравненно более серьезную опасность представляет возможность несанкционированного использования органов управления системного терминала Центра. Бесконтрольное манипулирование органами управления системного терминала может позволить Злоумышленнику формировать и задавать терминалам Периферии такие управляющие воздействия, исполнение которых может привести к непредсказуемым последствиям. В особенности если терминалы - объекты управления специального назначения. Поэтому одним из основных требований к РИУС специального назначения является повышенная надежность методов и средств установления подлинности должностного лица, ответственного за регламентированное функционирование Центра и системы в целом - Администратора.

Необходимо отметить, что современные методы и средства обеспечивают достаточно высокую надежность аутентификации личности. В то же время, если предположить, что Злоумышленником может оказаться лицо, зарегистрированное в составе системы, например кто-либо из обслуживающего Центр технического персонала, то в этом случае не исключена возможность нейтрализации даже самого надежного механизма аутентификации. Прежде всего это возможно при выполнении ремонтно-профилактических работ, когда технические средства Центра (как программные, так и аппаратурные) достаточно длительное время находятся в распоряжении технического персонала. В результате каким бы совершенным ни был механизм аутентификации - основанный на использовании индивидуальных или же присваиваемых должностному лицу признаков (а возможно и их совокупности) - в случае "удачной" его нейтрализации он будет одинаково положительно реагировать как на истинный персональный код Администратора, так и на абракадабру Злоумышленника.

Речь, таким образом, может идти не о недостатках существующих технических решений, реализующих процедуру установления подлинности Пользователя (в данном случае системного Администратора), а о подверженности механизма этой процедуры (как, впрочем, и операционной среды в целом, составной частью которой она является) целенаправленной атаке со стороны Злоумышленника с целью модификации или подмены официальной версии своей, отвечающей его замыслу. Из этого следует вывод о целесообразности (а для систем указанного класса, по-видимому, и о необходимости) размещения механизма аутентификации личности - системного Администратора вне пределов досягаемости Злоумышленника, прежде всего из состава обслуживающего Центр технического персонала.

Одним из вариантов такого решения является размещение механизма аутентификации непосредственно в терминалах Периферии, что позволило бы в случае реализации в системе механизма взаимоаутентификации, например, типа одного из вышеназванных совместить выполнение одним и тем же устройством процедуры установления периферийным терминалом подлинности системного терминала Администратора СТА и использующего этот терминал Администратора. Тем самым может быть обеспечен дистанционный контроль доступа к системному терминалу Администратора. На решение этой задачи и направлено предлагаемое изобретение.

Наиболее близким по технической сущности к предлагаемому изобретению является техническое решение, описанное в патенте РФ N 2126170.

Процесс взаимоаутентификации в нем реализуется посредством двух функционально и конструктивно законченных модулей аутентификации - терминального и центрального, которыми оснащаются периферийные терминалы и центральная ЭВМ соответственно.

В качестве исходного слова для формирования идентификатора терминала (Ит) используется его имя, т.е. персональный код - уникальный номер, присваиваемый данному терминалу. Необходимая криптостойкость процесса взаимоаутентификации обеспечивается за счет двойного преобразования персонального кода терминала в терминальном модуле аутентификации: первого - в арифметико-логическом блоке (алгоритм этой процедуры в описании патента не приводится); второго - посредством шифрования результата математического преобразования персонального кода терминала индивидуальным ключом данного терминала.

Как и в техническом решении-прототипе, механизм дистанционного контроля доступа реализуется посредством модулей аутентификации - терминального (ТМА) и центрального (ЦМА), которыми оснащаются терминалы Периферии и СТА соответственно.

Блок-схема предлагаемого изобретения, представляющего собой механизм дистанционного контроля доступа, реализуемый посредством одного из периферийных терминалов и СТА, представлена на чертеже.

Примечание. Детальное изложение процесса взаимообмена идентифицирующей информацией потребовало бы включения в состав блок-схемы других составных частей терминала и СТА, а также соответствующего интерфейса между ними, что усложнило бы рассмотрение собственно механизма контроля доступа. Поэтому интерфейс на блок-схеме показан только на уровне взаимодействующих между собой модулей аутентификации.

ТМА включает в себя: арифметико-логический блок, блок хранения ключа терминала (Кт), первый и второй блоки шифрования, блок хранения персонального кода Администратора (ПКа) и компаратор.

ЦМА включает в себя: арифметико-логический блок, блок дешифрования, блок хранения ключей Центра (Кц), компаратор и блок шифрования.

Настройка модулей аутентификации осуществляется на специально оборудованном терминале системной системы службы безопасности. Заключается настройка:

в формировании Кт и Кц и размещении их в соответствующих блоках хранения: в каждом из N ТМА по одному, в ЦМА - N (N - количество подключаемых к Центру терминалов Периферии). Причем каждый i-ый ключ терминала идентичен i-ому ключу Центра (i= 1...N);

в формировании ПКа и размещении его в соответствующих блоках хранения ТМА.

Настроенные модули аутентификации подключаются к специально предусмотренным в периферийных терминалах и СТА разъемам (в случае реализации терминалов на базе персональных компьютеров модули аутентификации вставляются в специально предназначенные для этих целей разъемы - слоты расширения).

Контроль доступа к СТА осуществляется за один сеанс связи и проходит три фазы: начальную - в ТМА, промежуточную - в ЦМА и заключительную - вновь в ТМА.

Начальная фаза. Исходное слово для формирования идентификатора терминала (Ит) получается путем математического преобразования в арифметико-логическом блоке (АЛБ) персонального кода терминала (ПКт). Полученное в АЛБ исходное слово поступает одновременно в первый и второй блоки шифрования. Во втором блоке шифрования формируется эталон идентификатора Центра (Иц), который поступает в компаратор. В качестве ключа шифрования используется персональный код Администратора, размещенный в блоке хранения ПКа. В первом блоке шифрования формируется Ит. В качестве ключа шифрования используется ключ терминала, размещенный в блоке хранения Кт. Ит вместе с ПКт направляется в ЦМА.

Промежуточная фаза. Поступившие в ЦМА ПКт и Ит направляются соответственно в АЛБ и блок дешифрования. ПКт служит для настройки параметров алгоритма математического преобразования (что необходимо для получения точно такого же слова, как в АЛБ ТМА), а также для выработки команды блоку хранения Кц установить ключ, идентичный ключу, размещаемому в блоке хранения Кт ТМА контролируемого терминала. Сформированное в АЛБ слово и результат дешифрования Ит направляются в компаратор для сравнения (одновременно результат дешифрования Ит направляется в блок шифрования). В случае их совпадения (что означает корректность выполнения в ТМА операции формирования Ит, и, следовательно, подтверждается подлинность терминала) сигнал с выхода положительного результата сравнения (Да) компаратора разрешает выполнение операции формирования Иц в блоке шифрования. В качестве ключа шифрования используется ПКа. При несовпадении формируется сигнал "Тревога". Сформированный в блоке шифрования Иц направляется в ТМА.

Заключительная фаза. Поступивший из ЦМА Иц сравнивается в компараторе с его эталоном. В случае их совпадения (что означает корректность выполнения в ЦМА операций в АЛБ и блоке дешифрования, и, следовательно, подтверждается подлинность СТА, с одной стороны, а также подлинность Администратора - с другой) формируется сигнал "Готовность". При несовпадении - сигнал "Тревога".