@OfShad0ws О, придумал как сделать!
Пропускать только аутентификацию по ключу. Ключ получать персональный в РКН по паспорту. Далее ТСПУ проверяет обращения по ssh, если начальное сообщение не проходит проверку (ключ неизвестен), то дропает.
Столько плюсов, даже перечислять не вижу смысла.