4 курс ИБ. 7 модели безопасности основных ос

Название	7 модели безопасности основных ос
Дата	26.06.2022
Размер	1.72 Mb.
Формат файла
Имя файла	4 курс ИБ.docx
Тип	Документы #615953
страница	3 из 9

1 2 3 4 5 6 7 8 9

УСЛОВИЕ 6 (достаточное условие чтения действительных данных): если субъект, обслуживающий процесс чтения данных, содержал только функции тождественного отображения данных на ассоциированные объекты-данные любого субъекта, инициирующего поток чтения, и целостность объекта-источника для этого субъекта зафиксирована, то при его последующей неизменности чтение с использованием порождённого субъекта будет чтением действительных данных.

Естественно, что чтение действительных данных возможно с вероятностью, определяемой алгоритмом КЦ.

А субъект контроля неизменности объектов должен быть активен уже на этапе работы субъектов аппаратно-программного уровня, НО его объект-источник технически не может быть проверен на неизменность.

Для любых реализаций ИПС действует

«АКСИОМА 5»: генерация ИПС рассматривается в условиях неизменности конфигурации тех субъектов системы, которые активизируются до старта процедур контроля целостности объектов OZ и последовательности ZL.

Неизменность данных субъектов обеспечивается внешними по отношению к системе методами, и средствами. При анализе и синтезе защитных механизмов, свойства указанных субъектов являются априорно заданными.

ОС обычно обеспечивают свою целостность путём запрещения доступа к выполняемому коду, а также путём выполнения этого кода в более защищённых областях ОЗУ, отдельно от выполняемого кода приложений.

Разделение областей ОЗУ для выполняемого кода ОС и ПРИЛОЖЕНИЙ обеспечивает защиту системы от некорректных и вредоносных программ [15].

А основная защита выполняемого кода во время его ХРАНЕНИЯв системе обеспечивается установкой разрешений на право чтения и выполнения, но БЕЗ ПРАВА ЗАПИСИ.

Например: Windows 2000 выполняет код ОС в защищённом режиме процессора, а защита файлов ОС реализована установкой разрешений файлов и папок. Также имеется дополнительной средство защиты – система Windows File Protection (WFP), которая не разрешает перезапись или удаление защищённых системных файлов.

7.7 Процесс установки ИПС

Здесь выделяются три направления.

ПЕРВОЕ НАПРАВЛЕНИЕ. Использует внешние относительно системы субъекты (обычно размещённые на внешних носителях), целостность которых гарантируется методами хранения или периодического контроля.

Предопределённость активизации субъектов, размещённых на внешних носителях, обеспечивается свойствами субъектов аппаратно-программного уровня (например, можно установить такую аппаратную конфигурацию ЭВМ, при которой будет происходить загрузка ОС с гибкого магнитного диска).

В этом способе(называют также «способ «невидимой дискеты») все объекты, принадлежащие множеству OZ, и объекты, описывающие последовательность ZL, помещаются на внешний носитель, с которого может быть произведена загрузка.

Неизменностьобъектов обеспечивается физической защитой носителя от записи.

ВТОРОЕ НАПРАВЛЕНИЕ. Локализация ИПС в рамках территориально ограниченного рабочего места (обычно ПЭВМ) и использование аппаратной поддержки для ЗАДАНИЯ ПРЕДОПРЕДЕЛЕННОЙ ПОСЛЕДОВАТЕЛЬНОСТИ активизации субъектов.

Сюда же входит аппаратная поддержка аутентификации пользователей.

В данном способе ОС загружается с устройства локального хранения (винчестера), а ПЭВМ имеет дополнительное аппаратное устройство (программы в ПЗУ) для изолирования среды.

Здесь ВЫДЕЛЯЮТ ДВА ЭТАПА – этап УСТАНОВКИ ИПС и этап ВВОДА В ЭКСПЛУАТАЦЮ ИПС.

Здесь также может существовать N пользователей, каждый i-й из которых характеризуется персональной информацией Кi, хранящейся на некотором материальном носителе.

Администраторсистемы знает все Кi и единолично проводит этап установки.

Пользователиучаствуют только в этапе эксплуатации.

ЭТАП УСТАНОВКИ ИПС включает в себя следующее.

А) В ПЭВМ вставляют аппаратно-программный модуль, включающий в себя устройство и программы ПЗУ данного устройства (субъекты аппаратно-программного уровня), реализующие:

1) операции сервиса аутентифицирующего носителя пользователя К_i(как минимум, его чтение);

2) аутентификацию i-го пользователя по введённому им К_i;

3) чтение массива данных, содержащего доступные для пользователя i объекты-источники (исполняемые модули) F_i1, F_i2, ..., F_im; и составляющие объекта O_Z; а также объект c последовательностью Z_L;

4) вычисление информации M_i1, M_i2, ..., M_im, фиксирующей целостность объектов-источников F_i1, F_i2, ..., F_im(информация M_i,jдолжна удовлетворять требованиям к хэш-значениям: M_i,j = H(K_i, F_ij) ;

5) блокирование устройств управления и предотвращение загрузки операционной среды с внешнего носителя.

Б) Администратор определяет для пользователя i набор потенциально возможных для активизации субъектов Ei :

где m_i– число разрешённых к запуску задач для i-го пользователя.

B) Администратор формирует или считывает с носителя для i-го пользователя его К_iи вычисляет значения ДЛЯ ПОСЛЕДУЮЩЕГО контроля целостности M_{i,j r}= H(K_i, F_{j r}), где H – функция КЦ (хэш-функция).

Д) Администратор повторяет пп. Б, В для всех n пользователей.

Е) Администратор устанавливает в системе МБС с объектом-источником FИПС и фиксирует его целостность.

Ж) Администратор фиксирует целостность объекта, содержащего последовательность Z_L.

ЭТАП ВВОДА В ЭКСПЛУАТАЦИЮ ИПС состоит из действий:

а) идентификация i-го пользователя по Кi (при неуспехе со стороны ПЭВМ блокируется);

б) проверка целостности всех установленных ПЗУ (при неуспехе со стороны ПЭВМ блокируется);

в) чтение по секторам файлов операционной среды и проверка их целостности;

д) чтение файла FИПС с помощью функции ОС и проверка его целостности;

е) активизация процесса контроля P_ИПС:

, и также активизация МБО;

ж) запуск избранной задачи i-го пользователя.

ТРЕТЬЕ НАПРАВЛЕНИЕ. Оно реализует ДОВЕРЕННУЮ загрузкуоперационной среды с использованием уже имеющихся в ней механизмов реализации и гарантирования политики безопасности («метод доверенной загрузки»). В нём предопределён порядок загрузки компонентов ОС.

Процедуру загрузки ОС называют «доверенной», если:

а) установлена неизменность компонентов ОС (объектов), участвующих в загрузке, причём неизменность установлена до порождения первого субъекта из ZL;

б) установлена неизменность объектов, определяющих последовательность активизации компонентов ОС, и неизменность обеспечена в течение заданного интервала времени.

Состояние указанных объектов не может быть изменено никем, кроме предопределённого пользователя ОС.

7.8 Работа в ИПС

Запуск каждого процесса P_Sсопровождается следующими проверками:

а) принадлежит лиобъект F_Sк множеству разрешённых для пользователя i (входит ли в набор потенциально возможных для активизации субъектов E_i), – иначе запуск игнорируется;

б) совпадает лизначение G = H(K_i ,F_S) со значением M = H (K_i ,F_S), вычисленным администратором, иначе запуск игнорируется.

При таком запуске реализован МЕХАНИЗМ «СТУПЕНЧАТОГО КОНТРОЛЯ», обеспечивающий чтение действительных данных.

ЕСЛИ пользователь i имеет ФИЗИЧЕСКИЙ ДОСТУП К КОМПЛЕКТУ ТЕХНИЧЕСКИХ СРЕДСТВ (рабочему месту) сети Тm, на котором установлена операционная среда OSj, то при использовании комплекта Тm пользователем i происходят действия:

а) аутентификация пользователя i (по его индивидуальной информации);

б) проверка прав пользователя на аппаратные компоненты комплекта Т_m;

в)контроль целостности всех объектов базовой ОС, размещённых на некотором носителе, локально или удаленно связанном с Т_m;

д) загрузка базовой ОС и контроль целостности ПО сетевого взаимодействия;

е) загрузка шлюзового ПО (становится доступной, как минимум в режиме чтения, файловая структура OS_j, размещённая локально на Т_m);

ж) контроль целостности объектов уровней, МЕНЬШИХ R_j– максимального уровня представления объектов в OS_j;

и) контроль целостности объектов уровня R_j(файлов) OS_j;

к) контроль целостности объекта, задающего последовательность загрузки компонентов;

л) принудительная загрузка: инициируется предопределенный в силу целостности объектов O_Zи последовательности Z_Lпорядок загрузки компонентов ОС, – с помощью проверенной на целостность OS_j.

Здесь следует «УСЛОВИЕ 7» (условие генерации ИПС при реализации «доверенной» загрузки): если ядро ОС содержит МБО и МБС, и инициируемые в ОС субъекты попарно корректны, а их объекты–источники принадлежат множеству проверяемых на неизменность в ходе доверенной загрузки, и МБО запрещает изменение любого объекта-источника, а также выполнена процедура доверенной загрузки ОС, – то после инициирования ядра ОС генерируется ИПС.

7.9 Домены безопасности

В модели системы, рассматриваемой как совокупность субъектов и объектов, разграничение доступа субъектов к объектам может быть реализовано на основе таблицы, содержащей разрешённые типы доступа и называемой матрицей доступа.

Такая матрица обычно имеет большие размеры(т. к. много субъектов и объектов) и является разреженной (субъекту необходим доступ к небольшому числу объектов), таблица 7.1.

ДОМЕН БЕЗОПАСНОСТИ – это совокупность объектов, к которым разрешен доступ конкретному субъекту.

Домен безопасности должен реализовывать принцип минимизации привелегийсубъектов.

Поэтому, для субъектов, которым необходимо выполнять действия во многих различных процессах, надо обеспечить возможность поочерёдно работать в нескольких доменах, переключаемых при необходимости.

Размеры доменов определяют следующие факторы:

а) гибкость и простота механизма переключения доменов;

б) размер защищаемых объектов;

в)наличие разных способов изменения матрицы доступа;

д) гибкость в определении произвольных типов доступа к объектам.

Если с вызовом процедуры связано переключение доменов безопасности, такая процедура называется защищённой.

Эта процедура фигурирует в матрице доступа в качестве и как субъект, и как объект: СУБЪЕКТ– т. к. процедура функционирует в собственном домене безопасности;

ОБЪЕКТ– т. к. по отношению к этой процедуре могут быть назначены права доступа.

Переключение доменов, связанных с передачей прав доступа в качестве параметров вызываемой процедуре, сопровождается изменением матрицы доступа.

Созданный при этом временный домен безопасностиописывает стандартное право пользователя на доступ к объекту и переданное ему право на доступ к файлу.

Этот домен безопасности уничтожаетсяпо завершению работы.

9 АЛГОРИТМЫ АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ

Одна из функций подсистемы защиты – ИДЕНТИФИКАЦИЯ пользователя (сообщение системе имени). Если процедура идентификации закончилась успешно, то пользователь является законным, так как он имеет некоторый признак (идентификатор), зарегистрированный в системе.

Следующий шаг – это ПРОВЕРКА ПОДЛИННОСТИ ПОЛЬЗОВАТЕЛЯ, то есть его АУТЕНТИФИКАЦИЯ: устанавливается, является ли данный пользователь тем, кем он себя объявляет.

Если аутентификация прошла успешно, и подтверждена подлинность пользователя, можно установить доступные ему ресурсы– это предоставление полномочий (АВТОРИЗАЦИЯ).

ПРИ ПЕРЕДАЧЕ ДАННЫХ, после того как соединение установлено, необходимо обеспечить требования:

а) получатель д. б. уверен в подлинности источника данных;

б) получатель д. б. уверен в подлинности передаваемых данных;

в) отправитель д. б. уверен в доставке данных получателю;

д) отправитель д. б. уверен в подлинности доставленных данных.

Для требований (а) и (б) средство защиты – ЦИФРОВАЯ ПОДПИСЬ; для требований (в) и (д) – отправитель должен получить уведомление о вручении с помощью УДОСТОВЕРЯЮЩЕЙ ПОЧТЫ(certified mail).

Средства защиты в такой процедуре – ЦИФРОВАЯ ПОДПИСЬ ОТВЕТНОГО СООБЩЕНИЯ.

АУТЕНТИФИКАЦИЯ ОТПРАВИТЕЛЯ обеспечивается цифровой подписью [5].

Подпись сообщения в асимметричной криптосистеме выполняется путем ШИФРОВАНИЯ на секретном ключе отправителя.

ПЕРЕДАВАЕМОЕ СООБЩЕНИЕсостоит из содержательной информации отправителя (в открытом виде) с добавленной к ней (конкатенации) цифровой подписью.

ПОЛУЧАТЕЛЬ, зная открытый ключ отправителя, может выполнить Дешифрование и тем самым осуществить Аутентификацию Источника по результату СРАВНЕНИЯ ПРИНЯТОЙ И ВЫЧИСЛЕННОЙ ПОЛУЧАТЕЛЕМЦИФРОВОЙ ПОДПИСИ.

Не зная секретного ключа отправителя, НЕВОЗМОЖНО СОЗДАТЬ ЛОЖНОЕ сообщение С ЗАДАННОЙ ЦИФРОВОЙ ПОДПИСЬЮ.

Использование хэш-функции в технологии цифровой подписи позволяет избежать удвоения размера передаваемого сообщения, когда размер цифровой подписи будет равен размеру исходного сообщения (в символах сообщения).

Таким образом, процедура ВЫЧИСЛЕНИЯ ПОДПИСИ сводится к последовательному ВЫЧИСЛЕНИЮ ЗНАЧЕНИЯ ХЭШ-ФУНКЦИИ ОТ ИСХОДНОГО СООБЩЕНИЯи шифрованию полученного значения на секретном ключе отправителя (или дешифрованию на открытом ключе при проверке подписи).

Если отправитель и получатель знают один и тот же СЕАНСОВЫЙ КЛЮЧ, АУТЕНТИЧНОСТЬ СООБЩЕНИЙ можно обеспечить, вычислив значение хэш-функции от объединения (конкатенации) передаваемого сообщения и сеансового ключа.

Результат этого вычисления называется КОДОМ АУТЕНТИФИКАЦИИ СООБЩЕНИЯ (КАС) (messageauthenticationcode,MAC).

Имитовставка ГОСТ 28147–89 – классический пример кода МАС.

КАС нужен для защиты от навязывания ложных сообщений. Для защиты от подделки КАС не передается в открытом виде, а объединяется с открытым текстом (конкатенация).

Полученный в результате объединения блок шифруется затем на сеансовом ключе.

В асимметричной криптосистеме никто, кроме отправителя, не знает секретного ключа. Это позволяет ОДНОЗНАЧНО ДОКАЗЫВАТЬ ПРИНАДЛЕЖНОСТЬ при отказе отправителя (получателя) от ранее переданного (принятого) сообщения.

Также, ПОЛУЧАТЕЛЬ, не зная секретного ключа, НЕ МОЖЕТ ПОДПИСАТЬ СООБЩЕНИЕот лица отправителя.

1 2 3 4 5 6 7 8 9