поиск по сайту
M&M!-платформа для защищенных мобильных систем

M&M!-платформа для защищенных мобильных систем

Д. Ю. Счастный

В статье описываются варианты использования модема в устройстве M&M!(МАРШ! и модем) и приводятся примеры применения этого устройства в различных системах.

Ключевые слова: M&M!, МАРШ!, модем.

Идея устройства M&M! (МАРШ! и модем) была озвучена в середине 2012 года [1]. Кратко напомню суть: для обеспечения комфортной и в тоже время безопасной работы мобильных пользователей предлагалось в изделие МАРШ! добавить модем в качестве неотъемлемого аппаратного компонента. И схема устройства выглядела следующим образом:

Добавление модема позволило упростить использование СОДС МАРШ! (сетевые настройки резидентной ОС оставались постоянными и не требовали перенастройки при каждом сеансе работы) и обеспечить мобильность пользователей (так как устройство стало «независимо от провайдеров сети»). На тот момент обеспечение связи для СОДС МАРШ! казалось основным и единственным вариантом использования модема. Но прошедшие четыре года показали, что мы ошибались. Добавление модема к микроконтроллеру, памяти, криптоблоку и usb-каналу привело к качественно новым возможностям использования устройства.

Во-первых, работа модема контролируется активным микроконтроллером и появляется возможность как управлять установлением сетевых соединений, так и осуществлять мониторинг всех данных, проходящих через устройство.

Во-вторых, наличие собственного криптоблока позволяет осуществлять различные криптографические преобразования проходящих через устройство данных, так и осуществлять взаимную криптографическую аутентификацию устройства и ответной стороны. Причем ключи могут храниться в устройстве и быть недоступными ни со стороны компьютера, ни со стороны сети.

В-третьих, микроконтроллер может самостоятельно устанавливать связь и осуществлять прием или передачу данных на заранее определенный сервер.

В-четвертых, наличие памяти, доступной как из компьютера, так и из устройства, позволяет обеспечивать передачу файлов данных в режиме почтового ящика: приложение в компьютере кладет файл данных в эту память как на обычный диск, а микроконтроллер передает этот файл на заранее определенный сервер.

Причем все вышеперечисленные функции осуществляются внутри устройства на собственном микроконтроллере без создания нагрузки на центральный процессор компьютера, к которому подключено устройство. Кроме того, код, исполняющийся внутри устройства, не подвержен несанкционированному изменению и не может быть заражен вирусами. Код пишется на Си, и для микроконтроллера разработаны высокоуровневые библиотеки для работы с модемом и прочей периферией.

Таким образом, устройство M&M! может быть использовано в качестве платформы для решения самых различных задач.

Например, сбор и передача параметров с различных датчиков в территориально-распределенных системах. Например, датчиков уровня паводковых вод. Или датчиков учета расхода тепла, газа или света. Подобные датчики установлены во множестве мест, в том числе труднодоступных, и тогда сбор параметров превращается в продолжительный процесс. Естественным выходом является модификация датчиков с тем, чтобы они могли самостоятельно передавать данные. Можно переразводить плату, добавлять туда модем, встраивать систему защиты, переписывать код. А можно использовать M&M! в режиме работы почтового ящика, подключив его к датчику по usb-каналу, и незначительно модифицировать код. Похожим образом можно использовать M&M! и в фискальных целях, соединив с кассовыми аппаратами и добавив функцию подписания данных перед отправкой на сервер микропроцессором устройства.

Еще одним вариантом применения M&M! может быть обеспечение гарантированной защищенной доставки данных именно на тот сервер, на который они должны быть доставлены после обработки на компьютере. В этом случае в момент установления соединения с сервером микропроцессор устройства проводит взаимную криптографическую аутентификацию с сервером и в случае положительного результата устанавливается соединение. Опять-таки важно отметить, что повлиять на результат этого процесса программное обеспечение, функционирующее в компьютере, никак не может.

И таких вариантов построения систем можно придумывать до бесконечности. Например, можно создать аппаратный файервол, который будет позволять пользователям посещать строго определенный набор сайтов из некоторого списка. И тем самым организации смогут с помощью таких служебных модемов экономить на трафике. Причем списки с разрешенными сайтами M&M! сможет самостоятельно получать с сервера компании и актуализировать их после проверки под ними подписи.

Добавление модема в МАРШ! действительно качественно расширило возможности применения устройства для построения различных защищенных систем.

Список литературы:

  1. Конявский В. А. ДБО – как сделать это безопасным. Часть II // Information Security/Информационная безопасность. М., 2012. № 3 (июнь). С. 8-9.
  2. Съемный носитель информации. Патент на полезную модель № 102139. 10.02.2011, бюл. № 4
  3. Съемный носитель информации с безопасным управлением доступом. Патент на полезную модель № 123571. 27.12.2012, бюл. № 36.