Высокоскоростной модуль криптографических преобразований
Полезная модель относится к области вычислительной техники и может быть использована для построения множества защищенных виртуальных сетей. Высокоскоростной модуль криптографических преобразований содержит аппаратный вычислитель и открытый и закрытый интерфейсы, причем аппаратный вычислитель включает два независимых тракта обработки сетевых пакетов и интерфейс для подключения устройства ввода ключей шифрования, при этом в каждом тракте имеется несколько параллельно функционирующих элементарных вычислительных блоков и модули демультиплексирования и мультиплексирования, а сетевые интерфейсы и аппаратный вычислитель соединены объединительной платой. Модуль позволяет повысить общую пропускную способность преобразований.
Полезная модель относится к области вычислительной техники и может быть использована для построения множества защищенных виртуальных сетей.
Известно устройство для защиты виртуальных сетей, в котором шифруют исходный IP-пакет защищенной виртуальной сети, состоящей из отдельно стоящих компьютеров, или части компьютеров одной локальной сети, или компьютеров нескольких локальных сетей, создают выходной пакет с включением в него зашифрованного пакета (инкапсуляцию), при этом на каждом компьютере, который может использоваться в нескольких защищенных виртуальных сетях, для каждой создаваемой защищенной виртуальной сети выделяется отдельный блок долговременной памяти, в который записывается отдельная операционная система, настраиваемая на данную виртуальную сеть, а доступ к блоку долговременной памяти и загрузка операционной системы каждой защищенной виртуальной сети выполняется после предъявления пользователем полномочий, причем доступ к блокам памяти каждой защищенной виртуальной сети со стороны других виртуальных сетей блокируется средством ограничения доступа (см. патент RU 2276466, Кл. H04L 12/28, 10.05.2006). В этом устройстве использовано несколько вычислительных модулей для обработки трафика.
Наиболее близким техническим решением к полезной модели является устройство, обеспечивающее защищенность коммуникационных связей, соединенное с прикладными аппаратными средствами через интерфейс данных и через интерфейс команд и содержащее множество алгоритмических модулей для осуществления алгоритмов шифрования (см. патент RU 2180987, кл. H04L 9/00, 27.03.2002). Устройство функционирует в режиме выбора одного из модулей, реализующего требуемый в данный момент алгоритм.
Задачей полезной модели является создание высокоскоростного модуля криптографических преобразований (МКП), который реализует не различные алгоритмы, а один.
Технический результат заключается в повышении общей пропускной способности модуля.
Указанная задача решается, а технический результат обеспечивается за счет того, что высокоскоростной модуль криптографических преобразований содержит аппаратный вычислитель, открытый и закрытый интерфейсы, причем аппаратный вычислитель включает два независимых тракта обработки сетевых пакетов и интерфейс для подключения устройства ввода ключей шифрования, при этом в каждом тракте имеются несколько параллельно функционирующих элементарных вычислительных блоков и модули демультиплексирования и мультиплексирования, а сетевые интерфейсы и аппаратный вычислитель соединены объединительной платой.
МКП представляет собой специализированное вычислительное устройство, оснащенное сетевыми интерфейсами для подключения к сети передачи данных по протоколу IP со скоростью 10 Гбит/с.
Принципиальная схема аппаратного вычислителя приведена на чертеже. Цифрами обозначены: 1 - демультиплексоры; 2 - мультиплексоры; 3 - элементарные вычислительные блоки зашифрования; 4 - элементарные вычислительные блоки расшифрования.
Структурно МКП состоит из аппаратного вычислителя, обеспечивающего выполнение криптографического преобразования по ГОСТ 28147-89, и двух сетевых интерфейсов: открытого и закрытого.
Аппаратный вычислитель реализован на основе программируемой логической интегральной схемы и содержит два независимых тракта обработки сетевых пакетов, а также интерфейс для подключения устройства ввода ключей шифрования. Один тракт предназначен для зашифрования пакетов, поступающих на открытый интерфейс, а другой для расшифрования пакетов, поступающих на закрытый интерфейс.
В каждом тракте имеется несколько параллельно функционирующих элементарных вычислительных блоков, обрабатывающих часть поступающего в тракт сетевого трафика. Элементарные вычислительные блоки объединены схемами мультиплексирования и демультиплексирования трафика, обеспечивающими разделение поступающего трафика между вычислительными блоками и объединение зашифрованных сетевых пакетов в единый поток. За счет распараллеливания аппаратный вычислитель обеспечивает скорость обработки потока до 2,5 Гбит/с.
Сетевые интерфейсы и аппаратный вычислитель соединены объединительной платой (backbone), топология которой позволяет устанавливать несколько аппаратных вычислителей с целью дальнейшего повышения скорости обработки данных. Для объединения аппаратных вычислителей между собой используются те же интерфейсы, что и для подключения к аппаратным вычислителям сетевых интерфейсов.
В МКП реализована «многоблочная» архитектура (криптографическая обработка информации осуществляется над многоразрядными (не менее 64 бит) двоичными векторами); при этом используются современные высокочастотные высокоскоростные электронные компоненты, позволяющие создавать крупные специализированные программируемые логические блоки (CPID - complex programmable logic device), объединенные для построения требуемого криптографического алгоритма с помощью внешних выводов и внутренних шин. Архитектура МКП позволяет осуществлять мультиплексирование модулей с целью достижения суммарной скорости обработки не менее 10 Гбит/сек. Модуль имеет возможность встраивания в ГРИД систему национальной нанотехнологической сети (ГРИД ННС) для обеспечения безопасности и авторизованного доступа к вычислительным ресурсам и ресурсам хранения данных ННС.
Создание модуля криптографических преобразований обеспечивает:
- возможность создания линейки высокоскоростных шифраторов с различными скоростями закрытия информации;
- удовлетворение актуальных потребностей в обеспечении безопасности современных высокоскоростных инфокоммуникационных систем с помощью криптографических методов. Ожидаемый народнохозяйственный эффект в данном случае определяется величиной предотвращаемого ущерба (в широком смысле слова - политического, экономического, технического, корпоративного, персонального и т.д.).
Высокоскоростной модуль криптографических преобразований, содержащий аппаратный вычислитель и открытый и закрытый интерфейсы, причем аппаратный вычислитель включает два независимых тракта обработки сетевых пакетов и интерфейс для подключения устройства ввода ключей шифрования, при этом в каждом тракте имеется несколько параллельно функционирующих элементарных вычислительных блоков и модули демультиплексирования и мультиплексирования, а сетевые интерфейсы и аппаратный вычислитель соединены объединительной платой.