Квантовое распределение ключей > Настройка квантовых туннелей

Настройка квантового распределения ключей на ФПСУ-IP

Настройка квантового распределения ключей на ФПСУ-IP – это первоначальная настройка, которую необходимо выполнить до настройки квантовых туннелей.

Настройка доступна только при установленном дополнительном программном модуле «Модуль-агент поддержки взаимодействия с устройствами КРК шифрования в качестве сервера промежуточного доверенного узла (ПДУ)», код продукта FPSUIP-SUB3-KRK-PDU.

Доступ к настройке предоставляется из меню конфигурации по команде «Квантовое распределение ключей → Локальные настройки»:

Для настройки квантового распределения ключей на ФПСУ-IP устанавливаются локальные настройки СКЗИ-Распределителя, определяются источники ключей, задаются СКЗИ-Потребителей.

ФПСУ-IP может являться как промежуточным доверенным узлом, обеспечивающим защищенную передачу данных между сегментами квантовой сети, так и опорным промежуточным доверенным узлом, обеспечивающим защищенную передачу данных между магистральной квантовой сетью и подключенными абонентами. При указании СКЗИ-Потребителей ФПСУ-IP становится опорным промежуточным узлом.

ФПСУ-IP, работая в режиме СКЗИ-Распределителя, накапливает ключи, полученные от ККС ВРК, либо от другого СКЗИ-Распределителя. Впоследствии ФПСУ-IP эти ключи предоставляет СКЗИ-Потребителям (абонентам).

ФПСУ-IP может выступать в режиме СКЗИ-Потребителя, в этом случае задаётся только источник ключей с типом СКЗИ-Распределителя.

В окне «Локальные настройки» находятся параметры ФПСУ-IP, которые требуется установить администратору исходя из схемы квантовой сети. Локальные настройки устанавливаются, когда ФПСУ-IP задействуется в качестве СКЗИ-Распределителя, в данном случае он будет являться сервером распределения ключей. Настройки по умолчанию не задействованы в большинстве параметров:

В окне требуется установить следующие параметры:

Идентификатор узла – состоит из двух частей - идентификатора сети с названием квантовой сети и номера узла, присваиваемых данному ФПСУ-IP.

Внутри одного идентификатора сети объединяются узлы с общим технологическим устройством, правилами подключения и тарификации. Это могут быть узлы внутри сегмента сети или всей сети одного оператора.

Идентификатор сети содержит четыре латинских символа, первые два символа - латинские буквы, последние два символа - латинские буквы или цифры. Параметр по умолчанию выставлен в значение «QKDN», изменять не требуется. Идентификатор сети назначается администратором квантовой сети. Необходимость изменения Имени сети устанавливается администратором безопасности квантовой сети.

Номер узла – уникальный в пределах указанной сети номер, присваиваемый данному ФПСУ-IP, число от 1 до 64999. Номер согласуется с администратором безопасности квантовой сети и не должен быть произвольным.

Например: Идентификатор узла MKS1-15, где название сети MKS1, номер узла 15.

UDP-порт сервера – указывается номер порта данного ФПСУ-IP для подключения СКЗИ-Потребителей по протоколу ProtoQa. Значение «Нет» означает, что используется значение по умолчанию, UDP-порт 11577. Значение порта может быть изменено, интервал значений от 1 до 65535.

Минимальный запас ключей – настраивается администратором сети, исходя из количества подключенных на данном узле абонентов. Если количество ключей в накопителе ниже указанного, ФПСУ-IP будет запрашивать дополнительный объём ключей у соседних узлов.

Источники ключей можно задать из меню конфигурации по команде «Квантовое распределение ключей → Источники ключей»:

В окне «Источники ключей» задаются соседние узлы в топологии сети, которые будут являться источниками квантовых ключей для данного ФПСУ-IP. Предопределены типы источников ключей - ККС ВРК, СКЗИ-Распределитель и стыковочный узел. Соседними узлами могут быть устройства ККС ВРК, описываются на вкладке «ККС ВРК», соседние узлы с типом СКЗИ-Распределитель и стыковочный узел описываются на вкладке «Прочие».

На вкладке «ККС ВРК» по кнопке «Добавить» открывается окно «Регистрация источника»:

Для источника в зависимости от модели устанавливаются следующие параметры:

Узел – идентификатор квантовой сети и номер узла данного ФПСУ-IP, отображается как справочная информация.

Модель ККС ВРК – модель установленного на узле модуля КРК. Каждая модель может быть в двух исполнениях - (А) Отправитель фотонов и (Б) Получатель.

Адрес – указывается IP-адрес устройства СВКРК, подключенного к текущему ФПСУ-IP. Типовой адрес проставляется автоматически, в зависимости от типа - (А) или (Б). Стандартные IP-адреса указаны в пункте «Стандартные сетевые параметры СВКРК». Указанный IP-адрес должен быть указан в списке абонентов у порта ФПСУ-IP, к которому подключен СВКРК.

Соседний узел – идентификатор квантовой сети и номер узла, на котором находится ККС ВРК, с которой ККС ВРК ФПСУ-IP вырабатывает ключи и будет строиться квантовый туннель. Номер узла согласовывается с администратором безопасности квантовой сети.

Индекс – заполняется для моделей «Звезда (А)» или «Стрела (А) Ядро». Это внутренний номер ККС ВРК внутри топологии «звезда».

Номер системы – заполняется для всех моделей «Звезда» или «Стрела Ядро», означает идентификационный номер выбранной топологии сети.

Серия – номер серии предраспределенных ключей для защиты обмена между ФПСУ и ККС ВРК по протоколу CRISP или ProtoQa.

На вкладке «Прочие» по кнопке «Добавить» открывается окно «Регистрация источника»:

Тип источника – СКЗИ-Распределитель или стыковочный узел.

Стыковочный узел взаимодействует с крайними доверенными узлами подсетей КРК, объединяет в сеть КРК разные подсети.

Узел – идентификатор квантовой сети и номер узла, на котором находится ККС ВРК, с которой ККС ВРК ФПСУ-IP вырабатывает ключи и будет строиться квантовый туннель. Номер узла согласовывается с администратором безопасности квантовой сети.

Порт – указывается порт устройства СВКРК, подключенного к текущему ФПСУ-IP. По умолчанию для обмена сообщениями между ФПСУ-IP и устройством СВКРК используется UDP-порт 11577. Значение порта может быть изменено, интервал значений от 1 до 65535.

ID клиента – Идентификатор клиента, содержит четыре латинских символа, первые два символа - латинские буквы, последние два символа - латинские буквы или цифры.

Номер устройства – идентификатор клиентского устройства. Уникальный в пределах указанного узла номер, присваиваемый устройству, являющемуся потребителем ключей.

Задание СКЗИ-Потребителей осуществляется из меню конфигурации по команде «Квантовое распределение ключей → СКЗИ-Потребители»:

В окне «СКЗИ-Потребители» задаются абоненты квантовой сети, которым ФПСУ-IP распределяет квантовые ключи и с которыми ФПСУ-IP строит квантовые туннели.

По кнопке «Добавить» открывается окно «СКЗИ-Потребителей»:

Установите следующие параметры:

Абонент – текстовое описание СКЗИ-Потребителя.

Абонент получает пару ключей для обмена сообщениями между указанными узлами квантовой сети. Узел данного ФПСУ-IP будет являться локальным СКЗИ для этого абонента, удаленный квантовый узел будет являться парным СКЗИ для этого абонента. На удаленном узле требуется выполнить зеркальные настройки для данного абонента, локальным СКЗИ будет являться парный СКЗИ.

Идентификатор сети – Идентификатор сети содержит четыре латинских символа, первые два символа - латинские буквы, последние два символа - латинские буквы или цифры. Параметр по умолчанию выставлен в значение «QKDN», изменять не требуется. Идентификатор сети назначается администратором квантовой сети. Внутри одного идентификатора сети объединяются узлы с общим технологическим устройством, правилами подключения и тарификации. Это могут быть узлы внутри сегмента сети или всей сети одного оператора. Необходимость изменения Имени сети устанавливается администратором безопасности квантовой сети.

Идентификатор клиента – Идентификатор клиента, содержит четыре латинских символа, первые два символа - латинские буквы, последние два символа - латинские буквы или цифры.

Идентификатор ProtoQa – идентификатор формируется автоматически из атрибутов узла при установлении флага «Авто», либо вводится в отдельное поле при установлении флага «Вручную».

Лимит ключей в сутки – настраивается администратором сети, исходя из потребности абонента.

Минимальный резерв ключей – настраивается администратором сети, исходя из потребности абонента.