Как и какими технологиями обеспечивается безопасность протоколов передачи данных при функционировании сетевой СКУД Gate-IP — этому посвящена вторая публикация из цикла «Секреты Gate-IP».

Напоминаем, что первая часть была опубликована 15 октября 2013 года и в ней рассматривалась нотификационная схема работы коммуникатора и постоянный контроль каналов связи.

В итоге в этом цикле рассматриваются вопросы:

• нотификационная схема работы коммуникатора и постоянный контроль каналов связи;
• безопасность протоколов передачи данных;
• резервирование путей передачи данных;
• полное использование преимуществ сетевых протоколов передачи данных (DHCP, DNS).

Часть 2: Безопасность протоколов передачи данных

При работе контроллеров Gate-IP в компьютерной сети обеспечивается защита от несанкционированного вмешательства благодаря использованию криптостойкого алгоритма шифрования пакетов данных и имитостойкого протокола их передачи.

Под криптостойкостью понимается способность криптографического алгоритма противостоять криптоанализу, т. е. вскрытию используемого шифра. Стойким считается алгоритм, который для успешной атаки требует от противника недостижимых вычислительных ресурсов, недостижимого объёма перехваченных открытых и зашифрованных сообщений или такого времени раскрытия, когда информация перестает быть актуальной. В СКУД Gate-IP криптостойкость обеспечивается шифрованием пакета данных по алгоритму ГОСТ 28147-89 с использованием 256-битного ключа. Данный алгоритм шифрования по стойкости не уступает алгоритму 3DES, а в некоторых случаях и превосходит его. Это гарантирует пользователям СКУД Gate-IP защиту от перехвата и раскрытия информации как отдельного пакета в сети, так и всей базы данных СКУД.

Под имитостойкостью понимается свойство криптографического протокола, характеризующее способность противостоять активному несанкционированному воздействию с целью навязывания ложного сообщения, подмены передаваемого сообщения или изменения хранимых данных. В системе Gate-IP имитостойкость обеспечивается за счет контроля уникального серийного номера устройства (6 байтовое число) и номера пакета. При этом доступ к серийному номеру прибора и номеру пакета данных исключен - они содержатся внутри зашифрованного пакета данных.

В результате система Gate-IP надежно защищена от внешних несанкционированных воздействий. Кроме того, несколько различных систем Gate-IP могут работать в одной локальной сети без влияния друг на друга и риска перехвата пакетов. Каждая система Gate-IP полной версии после установки на компьютер генерирует свой собственный 256-битный ключ шифрования. После конфигурации из программного обеспечения новым контроллерам назначается этот ключ, и в дальнейшем контроллер привязан к данной системе. Использовать этот контроллер в другой системе Gate-IP можно только после полного сброса всех параметров к заводским установкам.

Таким образом в Gate-IP, благодаря используемому специализированному протоколу обмена данными, обеспечивается безопасная работа как внутри локальной сети предприятия (проводной или Wi-Fi), так и через сеть Интернет. Это обеспечивает возможность построения разнообразных и защищенных распределенных системы доступа любого масштаба.