Системы разграничения доступа
На практике системы разграничения доступа, базирующиеся на моделях матричного типа, реализуются в виде специальных компонент, поставляющихся отдельно, либо входящих в состав операционных систем или СУБД. В таких ОС, как UNIX VAX Windows NТ функции разграничения доступа к объектам интегрированы непосредственно в управляющий модуль. Особенностью СРД этих ОС является децентрализованность механизмов диспетчера доступа, что приводит к невозможности строгого выполнения требований верифицируемости, защищенности и полноты контроля этих механизмов.
Для реализации модели многоуровневой защиты необходимо наличие ядра безопасности. Под ядром безопасности понимают локализованную, минимизированную, четко ограниченную и надежно изолированную совокупность программно-аппаратных механизмов, доказательно правильно реализующих функции диспетчера доступа. Это достигается путем создания специфической структуры ОС и самого ядра, применением специальных методов и технологии разработки, а также определенной архитектурной поддержкой, реализуемой в аппаратных средствах ЭВМ. Выполнению требования защищенности собственных механизмов СРД способствует использование специальной аппаратной поддержки и включение в состав контролируемых ядром объектов структур самой ОС. Последняя мера направлена на предотвращение возможности несанкционированного перехода пользовательских процессов в привилегированное состояние.
К аппаратным средствам поддержки защиты и изоляции ядра безопасности относятся:
- многоуровневые, привилегированные режимы выполнения команд (с числом уровней больше двух);
- использование ключей зашиты и сегментирование памяти;
- реализация механизма виртуальной памяти с разделением адресных пространств;
- аппаратная реализация функций ОС;
- хранение и распространение программ в ПЗУ;
- использование новых архитектур ЭВМ (с отходом от фон-неймановской архитектуры в сторону повышения структурной сложности базовых машинных объектов).
Реализация такого механизма приводит к ограничению функциональных возможностей ВС и значительно снижает ее программную совместимость. Поэтому распространенные ОС используют матричную модель защиты с децентрализацией механизмов доступа к объектам, а также с отсутствием эффективных средств изоляции программ и данных в пределах общего адресного пространства основной памяти. В этих условиях невозможно гарантировать отсутствие скрытых каналов доступа к информационным объектам со стороны программ, нарушающих системные соглашения и отсутствие путей для несанкционированного перехода пользовательских процессов в привилегированное состояние. Указанные трудности в обеспечении защиты вычислительных систем приводят к необходимости применения дополнительных мер программно-аппаратной и организационной защиты. В частности, использование криптографических методов защиты, позволяет закрыть каналы утечки информации, оставшиеся при использовании традиционных методов разграничения доступа, действующих на уровне контроля обращений к элементам структур данных.
Защита информации в каналах связи
Основные понятия и определения
Важность данной проблемы подчеркивается тем, что каналы связи являются одним из самых уязвимых составляющих вычислительной системы. Меры по защите обуславливаются способом вторжения злоумышленника: активное или пассивное.
а) Активное вторжение
При активном вторжении информация может быть модифицирована, уничтожена, задержана, скопирована, изменен порядок ее следования. Могут быть переданы ложные сообщения. Существуют следующие виды активных вторжений:
- воздействие на передаваемую информацию;
- воспрепятствование передаче информации;
- осуществление ложных соединений.
Выбор методов защиты базируется на том, что процесс передачи информации по каналам связи может быть разделен на три основные стадии:
- установление связи;
- передача данных;
- завершение связи.
На стадии установления связи возможны два типа вторжений: соединение с применением ложного идентификатора; повтор предыдущего соединения.
В первом случае злоумышленник может воспользоваться известным адресом законного пользователя в ответ на запрос организовать соединение. Если остальные параметры запроса приемлемы, то подтверждение подлинности будет получено, как при обычном соединении; результатом этою может оказаться передача незаконною сообщения. Аналогично путем перехвата и модификации запроса можно осуществить подмену удаленного объекта сети, если только не предусмотрены специальные меры защиты.
Для предотвращения такою вторжения необходимо реализовать идентификацию объекта с использованием идентификаторов или меток, а подтверждение подлинности должно быть секретно сообщено удаленному объекту прежде, чем соединение будет полностью установлено. Применение криптографических методов для сокрытия информации, передаваемой по каналам связи позволяет использовать методы подтверждения подлинности информации.
Для выявления подмены используют так называемый протокол опознания в реальном времени, чтобы проверить непрерывность интервала соединения и передачи сообщения. Такой протокол включает генерацию уникальной битовой последовательности и ее шифрование для передачи по линии связи. На стороне получателя она модифицируется и вновь возвращается отправителю. Это позволяет обоим абонентам быть уверенными, что они взаимодействуют в реальном масштабе времени.
Целостность данных при их передаче по каналам связи обеспечивается соответствующим способом шифрования. Основные криптоалгоритмы такие как DES , ГОСТ 28147-89, RSA, Эль - Гамапя, позволяют реализовать процедуры подтверждения целостности и подлинности передаваемой информации. Подтверждение подлинности информации означает, что источник информации можно надежно определить, то есть указать, что полученное сообщение передано данному объекту некоторым другим объектом в течение времени соединения. Целостность сообщения означает, что сообщение не модифицировалось в процессе передачи.
Главной проблемой при реализации данных элементов защиты являются задержки в установлении связи, обусловленные характеристиками аппаратно-программных составляющих вычислительного комплекса. В течение данной задержки нарушитель может осуществить корректировку кодов адреса или других битов в инструкциях, ответственных за соединение, незаметно для пользователей.
Для защиты в этом случае используют процедуру подтверждения подлинности на основе контроля временных интервалов, позволяющую зафиксировать превышение лимита времени и попытки повторной передачи сообщений. Одновременно с установкой временных интервалов используют протокол типа "запрос - ответ". Каждый участник соединения периодически передает нумерованный, свободный от ошибок шифрованный запрос и ожидает ответа от второго участника. Если в течение заданною интервала ответа не последует, сообщение считается потерянным.
При выполнении операции завершения связи вторжение может быть направлено на удаление протокола завершения, продление соединения и добавление запрещенных данных к сообщению. Приемы защиты, направленные на обеспечение целостности данных, позволяют предотвратить такое вторжение и, в частности, использование предельных интервалов ожидания и протоколов типа "запрос - ответ".
Б ) Пассивное вторжение
При пассивном вторжении происходит только наблюдение за процессом передачи без его нарушения. На основе такого наблюдения (даже если неизвестна сама информация) можно сделать заключение о структуре системы связи, назначении и важности передаваемой информации и многое другое. Для предохранения от такого вида атаки защита осуществляется на двух уровнях:
- защита процесса передачи информации;
- шифрование информации;
Такой двухуровневый механизм защиты называется чистым каналом. Чистый канал должен обеспечивать секретность следующих параметров:
· частоты передачи сообщений и длины сообщений - трафика (меры . объема данных или сообщений, проходящих между пунктами в сети);
· конфигурации сообщений;
· адресов.
Для этого используют следующие методы защиты:
- дополнение сообщений;
- маскировка адресов назначения;
- защита идентификаторов;
- защитная стратегия маршрутизации.
Дополнение (расширение) сообщений как механизм защиты ВС может быть реализован двумя способами: генерацией ложных (избыточных) сообщений и дополнением блоков данных в протоколе передачи до некоторой постоянной длины. В первом случае используют специальные процедуры, предназначенные для генерирования избыточных сообщений в случайном порядке (белый шум). Такие процедуры должны размещаться вне узлов размещения пользователей для сокрытия источника избыточных сообщений. Во втором случае содержимое блоков данных должно быть зашифровано , чтобы избыточные сообщения не могли быть определены и выделены из потока реальных сообщений. Многие криптоалгоритмы (например, алгоритм поблочного симметричного шифрования) также требует расширения сообщения, и это может одновременно служить механизмом за щиты от несанкционированною наблюдения. Однако методы формирования избыточности известны и поэтому для обеспечения надежной защиты необходимо использовать дополнительные процедуры.
Маскировка адресов назначения состоит в шифровании всего сообщения включая адреса назначения с разными ключами для каждого сеанса передачи информации, распределяемыми между узлами. Для этого в вычислительной сети используется защищенный монитор, который определяет, что рабочая станция пытается установить связь с другой рабочей станцией и гарантирует , что такая связь согласуется с методами защиты сети, и поэтому может разрешить такое соединение.
Для защиты идентификаторов сети получают разные идентификаторы для разных соединений.
Защитная стратегия маршрутизации предполагает, что доставка данных пункт назначения осуществляется через последовательность обходных узлов. Кроме того, все способы добавления избыточных сообщений уменьшают ширину полосы пропускания канала передачи н повышают уровень скрытности при доставке сообщений. Управление маршрутизацией обеспечивает так же определенный уровень конфиденциальности, запрещая направлять сообщения по линиям связи или подсетям, которые не являются защищенными. Для реализации такой процедуры маршрутизации используют специальную станцию, которая собирает сообщения от отправителей, вносит изменения (например дополняет) и посылает далее по определенному маршруту в иной последовательности. В результате осуществляется маскировка соединения между отправителем и получателем от всех субъектов ВС, кроме станции управления и отправителя. При использовании более одной станции управления защиты соединение оказывается невидимым для перехватчика, поскольку тот не в состоянии контролировать все станции управления ВС, через которые проходят сообщения, не имея связи с отправителем.
|