Контакты
Подписка
МЕНЮ
Контакты
Подписка

Оптимизация аппаратных средств криптографической защиты информации

В рубрику "Защита информации" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Оптимизация аппаратных средств криптографической защиты информации (методические рекомендации)

В последнее время возрос интерес к современным аппаратным средствам криптографической защиты информации (АСКЗИ). Это обусловлено, прежде всего, простотой и оперативностью их внедрения. Для этого достаточно у абонентов на передающей и приемной сторонах иметь аппаратуру АСКЗИ и комплект ключевых документов, чтобы гарантировать конфиденциальность циркулирующей в автоматизированных системах управления (АСУ) информации.

Современные АСКЗИ строятся на модульном принципе, что дает возможность комплектовать структуру АСКЗИ по выбору заказчика.

Структура АСКЗИ

При разработке современных АСКЗИ приходится учитывать большое количество факторов, влияющих на эффективность их функционирования, что усложняет нахождение аналитических оценок по выбору обобщенного критерия оптимальности их структуры.

К современным АСКЗИ как элементу АСУ предъявляют повышенные требования по безопасности, надежности и быстродействию обработки циркулирующей в системе информации.

Безопасность обеспечивается гарантированной стойкостью шифрования и выполнением специальных требований, выбор которых обусловлен криптографическими стандартами. Надежность и быстродействие обработки информации зависят от состава выбранной структуры АСКЗИ и, следовательно, поддаются оптимизации. Современная АСКЗИ включает в себя ряд функционально завершенных узлов и блоков, обеспечивающих заданную надежность и быстродействие (см. рисунок). К ним относятся:

  • входные устройства, предназначенные для ввода информации;
  • устройства преобразования информации, предназначенные для передачи информации от входных устройств на устройства вывода в зашифрованном, расшифрованном или открытом виде;
  • устройства вывода, предназначенные для вывода информации на соответствующие носители.

Модель АСКЗИ

Для нахождения обобщенного критерия оценки оптимальности структуры современной АСКЗИ достаточно рассмотреть основную цепь прохождения информации: адаптеры ввода, входные устройства, состоящие из клавиатуры, трансмиттера или фотосчитывателя, шифратора, устройства преобразования и устройства вывода. Остальные узлы и блоки не оказывают существенного влияния на прохождение информации.

Из методологии системного подхода известно, что математическое описание сложной системы, к которой относится и АСКЗИ, осуществляется путем иерархического разбиения ее на элементарные составляющие. При этом в математические модели вышестоящих уровней в качестве частных критериев всегда должны включаться обобщенные критерии нижестоящих уровней. Следовательно, одно и то же понятие по отношению к низшему уровню может выступать в качестве обобщенного критерия (цели), а по отношению в высшему - в качестве частного критерия (задачи).

Подсистема вывода является оконечным устройством АСКЗИ, то есть находится на высшей ступени иерархии и включает в себя устройства отображения, печати и перфорации. Следовательно, на этом уровне в качестве целевой установки будет выступать быстрота обработки входящих криптограмм.

Тогда в качестве обобщенного критерия целесообразно выбрать время обработки потока криптограмм за один цикл функционирования современных АСКЗИ, не превышающего заданного интервала времени и обусловленного необходимостью принятия управленческих решений.

Подсистема обработки информации находится на втором уровне иерархии и включает в себя тракты печати и перфорации, шифратор и систему управления и распределения потоком информации (коммутатор). На этом уровне в качестве обобщенного критерия целесообразно выбрать пропускную способность Х2, которая позволяет оценить оптимальность подсистемы с точки зрения оперативности обработки информации.

Наконец, на низшей ступени иерархии находится подсистема ввода, которая включает клавиатуру или устройства автоматизированного ввода (трансмиттер, дисковод), а также входные адаптеры, предназначенные для согласования их с выходами сетевого компьютера. В качестве обобщенного критерия на этом уровне целесообразно выбрать пропускную способность λ1 подсистемы.

Математическое описание структуры перспективных АСКЗИ целесообразно начать с самой низшей ступени иерархии. Поэтому рассмотрим подсистему ввода информации. Данная подсистема включает в себя устройства ввода, на которые поступает поток входящих криптограмм с плотностью λ из компьютера сети.

Каждый адаптер соединен с соответствующим устройством ввода и имеет свою производительность. Поток входящих криптограмм из сети или от оператора через адаптеры поступает на считывание в соответствующие устройства ввода. Производительность автоматизированных устройств ввода намного превосходит производительность клавиатуры, которая определяется возможностями "среднего" оператора, и поэтому производительность подсистемы в наихудшем случае должна была бы определяться в основном производительностью оператора. Однако если входящий поток криптограмм превосходит производительность оператора, то это приводит к образованию нарастающей очереди у администратора сети, что снижает оптимальность подсистемы. Поэтому клавиатуру следует рассматривать как резервное средство ввода входящих криптограмм, а оптимизацию подсистемы осуществлять на уровне автоматизированных устройств ввода (трансмиттер, дисковод и т.д.).

Производительность адаптеров ввода намного превосходит производительность автоматизированных устройств ввода и поэтому продуктивность подсистемы ввода в целом будет определяться продуктивностью автоматизированных устройств ввода μ.

Простые соотношения для оценки АСКЗИ

Найдем пропускную способность подсистемы ввода λ1 среднее число сообщений в очереди S и среднее время ожидания в очереди tоч.

Формально эта задача описывается одноканальной системой массового обслуживания (СМО), на вход которой поступает простейший поток заявок с плотностью X, равной среднему числу криптограмм, поступающих в единицу времени. Среднее время обслуживания tобс = 1/μ. Предполагается также, что соответствующее устройство ввода может обслуживать только одну заявку, а каждая заявка обслуживается только одним устройством ввода. Состояния такой системы описываются системой дифференциальных уравнений, которую мы не будем приводить в данной статье, имеющей целью обеспечить читателя уже конечными расчетными соотношениями, которые он может использовать для оптимизации своих аппаратных криптографических средств. Известно, что при выходе системы на работу в стационарном режиме, среднее число заявок (криптограмм), ожидающих в очереди:

S = (α)2 / (1-α) , где α = λ/μ   (1)

а среднее время ожидания:

tоч = S/λ   (2)

Пропускная способность подсистемы ввода оценивается величиной:

Аналогичные формулы выводятся для подсистемы обработки информации, которые имеют вид:

а среднее время ожидания в очереди для нее:

tоч1 = S1 / λ1   (5)

пропускная способность подсистемы обработки будет равна:

Соответственно, для подсистемы вывода имеем:

среднее время ожидания в очереди для нее:

tоч2 = S2 / λ2   (8)

В качестве обобщенного критерия выступает время обработки криптограммы за один цикл функционирования АСКЗИ, которое не должно превышать заданного:

tобАСКЗИ ≤ tзад   (9)

Указанный критерий позволяет количественно оценить оптимальность выбранной структуры АСКЗИ в целом, так как является аналитическим описанием всего комплекса с учетом всех его технических характеристик и динамики функционирования.

Левая часть неравенства (12) складывается из следующих интервалов среднего времени:

  • ввода криптограммы через входные устройства tвв;
  • обработки криптограммы в шифраторе tш;
  • печати сообщения в печатающем блоке (ПБ) tПБ;
  • устранения общих искажений tси;
  • считывания и корректировки расшифрованного текста по экрану дисплея tk;
  • ожидания криптограммы в очереди на подачу в компьютер tоч0;
  • ожидания криптограммы в очереди на расшифрование tоч1;
  • ожидания расшифрованного текста в очереди на печать tоч2.

То есть имеем:

tобАСКЗИ = tвв + tш + tПБ + tси + tk + tоч0 + tоч1 + tоч2   (10)

Проанализируем правую часть выражения (10). Параметры tвв, tш, tПБ, определяются техническими возможностями соответственно устройствам ввода, шифратора и печатающего блока:

tвв = 1 / μ , tш = 1 / μ1 , tПБ = 1 / μ2   (11)

Значения tои и tk зависят от квалификации и опыта работы персонала. В качестве их количественной оценки можно взять показатели "среднего" оператора, которые определяются статистическим путем.

И, наконец, tочi (i = 0, 1, 2) полностью определяются техническими возможностями АСКЗИ и поэтому могут служить переменными величинами, по которым оптимизируется обобщенный показатель tоб АСКЗИ, а следовательно, структура и технические характеристики АСКЗИ. Время пребывания криптограммы в очередях tочi можно уменьшить либо путем повышения производительности соответствующих устройств подсистем, либо путем увеличения количества обслуживающих устройств (дублирования). Очевидно, при оптимизации перспективной АСКЗИ по обобщенному критерию (10) необходимо использовать оба эти пути. При этом наиболее эффективным с точки зрения его сокращения является первый путь, когда повышая производительность устройств АСКЗИ, мы тем самым одновременно уменьшаем все слагаемые формулы (10) кроме tои и tk. А увеличивая число обслуживающих устройств, мы уменьшаем только непосредственно величины tочi . Однако в некоторых случаях, когда повышение производительности отдельных устройств или их надежности сдерживается существующим уровнем развития техники и технологии, второй путь оказывается наиболее предпочтительным. Например, это в полной мере можно отнести к выбору блока печати. Блок печати по быстродействию является наиболее слабым местом АСКЗИ, и поэтому он может сдерживать применение наиболее быстродействующих входных устройств или устройств обработки информации, например шифраторов. Следовательно, для вышестоящих уровней управления, когда интенсивность потока криптограмм резко возрастает, целесообразно в комплект АСКЗИ включать более одного печатающего блока с соответствующей выходной памятью. Для оптимизации структуры АСКЗИ целесообразно общее время обработки криптограмм для удобства разбить по следующим этапам:

  1. ввод криптограммы в АСКЗИ;
  2. расшифровывание криптограмм;
  3. считывание и корректировка расшифрованного текста;
  4. распечатка расшифрованного и откорректированного текста.

Тогда общее время обработки tобАСКЗИ распределяется по указанным этапам следующим образом:

t1 = tвв + tоч ,
t2 = tш + tои + tоч1 + tоч2 ,
t3 = tk,
t4 = tПБ   (12)

Такое разбиение позволяет легко определить этапы, существенно задерживающие обработку криптограмм, и оптимизировать устройства этих этапов путем дублирования или повышения их производительности. Полученные выражения легко программируются и позволяют оценить оперативность обработки криптограмм при различной структуре и заданных технических характеристик устройств АСКЗИ и тем самым осуществить оптимальный выбор их структуры относительного обобщенного критерия оптимальности.

Начальник кафедры Краснодарского военного института, д.т.н., профессор, академик РАЕН
Ф.Г. Хисамов

Генерал-майор, начальник Краснодарского военного института, профессор, чл.-корр. РАЕН
Ю.П. Макаров

Опубликовано: Журнал "Системы безопасности" #1, 2004
Посещений: 24321


  Автор
Хисамов Ф. Г.

Хисамов Ф. Г.

Начальник кафедры Краснодарского военного института, д.т.н., профессор, академик РАЕН

Всего статей:  1

В рубрику "Защита информации" | К списку рубрик  |  К списку авторов  |  К списку публикаций