Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь FAQ Написать работу КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Модель контроля целостности Кларка-ВилсонаСодержание книги
Похожие статьи вашей тематики
Поиск на нашем сайте
После того, как сформулировано определение понятия целостности данных и обсуждены основные принципы построения системы контроля целостности, в качестве примера политики контроля целостности рассмотрим модель, предложенную Кларком и Вилсоном [25]. Другая известная модель политики контроля целостности - модель Биба, которую с некоторой степенью условности можно охарактеризовать как интерпретацию модели Белла-Лападулы для случая контроля целостности. Модель Кларка-Вилсона появилась в результате проведенного авторами анализа реально применяемых методов обеспечения целостности документооборота в коммерческих компаниях. В отличие от моделей Биба и Белла-Лападулы, она изначально ориентирована на нужды коммерческих заказчиков, и, по мнению авторов, более адекватна их требованиям, чем предложенная ранее коммерческая интерпретация модели целостности на основе решеток. Основные понятия рассматриваемой модели-это корректность транзакций и разграничение функциональных обязанностей. Модель задает правила функционирования компьютерной системы и определяет две категории объектов данных и два класса операций над ними. Все содержащиеся в системе данные подразделяются на контролируемые и неконтролируемые элементы данных (constrained data items - GDI и unconstrained data items - UDI соответственно). Целостность первых обеспечивается моделью Кларка-Вилсонз. Последние содержат информацию, целостность которой в рамках данной модели не контролируется (этим и объясняется выбор терминологии). Далее, модель вводит два класса операций над элементами данных: процедуры контроля целостности (integrity verification procedures - IVP) и процедуры преобразования (transformation procedures - TP). Первые из них обеспечивают проверку целостности контролируемых элементов данных (GDI), вторые изменяют состав множества всех GDI (например, преобразуя элементы UDI в GDI). Наконец, модель содержит девять правил, определяющих взаимоотношения элементов данных и процедур в процессе функционирования системы. Правило С1. Множество всех процедур контроля целостности (IVP) должно содержать процедуры контроля целостности любого элемента данных из множества всех CDI. Правило С2. Все процедуры преобразования (ТР) должны быть реализованы корректно в том смысле, что не должны нарушать целостность обрабатываемых ими GDI. Кроме того, с каждой процедурой преобразования должен быть связан список элементов GDI, которые допустимо обрабатывать данной процедурой. Такая связь устанавливается администратором безопасности. Правило Е1. Система должна контролировать допустимость применения ТР к элементам GDI в соответствии со списками, указанными в правиле С2. Правило E2. Система должна поддерживать список разрешенных конкретным пользователям процедур преобразования с указанием допустимого для каждой ТР и данного пользователя набора обрабатываемых элементов GDI. Правило СЗ. Список, определенный правилом С2. должен отвечать требованию разграничения функциональных обязанностей. Правило ЕЗ. Система должна аутентифицирозать всех пользователей, пытающихся выполнить какую-либо процедуру преобразования. Правило С4. Каждая ТР должна записывать в журнал регистрации информацию, достаточную для восстановления полной картины каждого применения этой ТР. Журнал регистрации - это специальный элемент GDI, предназначенный только для добавления в него информации. Правило С5. Любая ТР, которая обрабатывает элемент UDI, должна выполнять только корректные преобразования этого элемента, в результате которых UDI превращается в CDI. Правило Е4. Только специально уполномоченное лицо может изменять списки, определенные в правилах С2 и Е2. Это лицо не имеет права выполнять какие-либо действия, если оно уполномочено изменять регламентирующие эти действия списки. Роль каждого из девяти правил модели Кларка-Вилсона в обеспечении целостности информации можно пояснить, показав, каким из теоретических принципов политики контроля целостности отвечает данное правило. Напомним, что первые шесть из сформулированных выше принципов это: 1) корректность транзакций; 2) аутентификация пользователей; 3) минимизация привилегий; 4) разграничение функциональных обязанностей; 5) аудит произошедших событий; 6) объективный контроль. Соответствие правил модели Кларка-Вилсона перечисленным принципам показано в табл.4. Как видно из табл.4, принципы 1 (корректность транзакций) и 4 (разграничение функциональных обязанностей) реализуются большинством правил, что соответствует основной идее модели.
Таблица 4
Публикация описания модели Кларка-Вилсона вызвала широкий отклик среди исследователей, занимающихся проблемой контроля целостности. В ряде научных статей рассматриваются практические аспекты применения модели, предложены некоторые ее расширения и способы интеграции с другими моделями безопасности. За пределами рассмотрения проблемы обеспечения целостности информации остались различные формальные описание свойства целостности, основанные на математических аппаратах теории множеств и процессов. Среди них и "Основная теорема целостности", для изложения которой в рамках данного пособия потребовалось бы привести в большом объеме вводные формальные рассуждения, не связанные с проблемой напрямую. Интересующимся следует обратиться к первоисточникам.
Защита памяти В АС, в частности в любой ОС, память разделена (по меньшей мере логически) на области, которые используют ее компоненты, а также программы пользователей. При этом необходимо обеспечить защиту областей памяти от вмешательства в них посторонних компонентов, т.е. разграничить доступ приложений кобластям памяти, а в многозадачной среде - и к областям памяти друг друга. Кроме того, необходимо решить проблему организации совместного доступа различных приложений к некоторым областям памяти. Обычно для этого используется один из трех подходов:
• совместный доступ полностью исключен, возможно только монопольное использование области памяти; • допустимы только строго оговоренные типы доступа к содержимому данной области памяти, например согласно таблице вида
• совместный доступ разрешен и ничем не ограничен. Совместный доступ может быть организован или к оригиналу области памяти, или предоставлением каждой программе индивидуальной копии области. В последнем случае потребуется осуществлять синхронизацию обновлений области различными приложениями, а в первом - исключение одновременного изменения ее несколькими программами. Следует также учесть, что в совместное пользование могут быть предоставлены не только данные, но и исполняемый код. Таким образом, в задачи АС по предоставлению областей памяти в совместное пользование входят: • организация последовательного, взаимоисключающего доступа нескольких программ к совместно используемым объектам; • ограничение возможностей совместно используемых программ по манипулированию информацией различной ценности. Кратко рассмотрим основные способы защиты памяти.
Барьерные адреса Барьерный адрес указывает на начало пользовательской области памяти, отделяя ее от области памяти, е которой размещается программы АС и ее данные (как правило, это области младших адресов). Это напоминает забор, построенный дачником, чтобы отгородиться от назойливого соседа. В предположении, что АС размещена в области младших адресов, можно определить функционирование механизма барьерного адреса следующим образом. При каждом обращении пользовательской программы к памяти адрес запрашиваемой ячейки сравнивается с барьерным. Допустимыми считаются обращения к ячейкам памяти с адресами, большими барьерного адреса. Программа, которая пытается обратиться к памяти АС (т.е. к ячейке с адресом, меньшим барьерного) аварийно завершается выдачей пользователю сообщения об ошибке. Значение барьерного адреса может быть представлено константой, записанной в поддерживающей АС аппаратуре, что накладывает ограничения на максимальный размер самой АС или может привести к неэффективному использованию ресурсов памяти, если размер АС достаточно мал и она оставляет неиспользованной часть отведенного ей адресного пространства. Другой, более гибкий способ задания барьерного адреса - его хранение в специальном регистре, значение которого устанавливается привилегированной командой в начале работы АС и может динамически изменяться в соответствии с ее потребностями. Последний подход накладывает ограничение на механизмы адресации, используемые исполняемыми в данной АС программами. Физические адреса данных загруженной в память программы определяются сложением логических адресов со значением барьерного адреса. Т.е. предполагается, что логическое адресное пространство программы начинается с нулевого адреса, соответствующего ячейке, начиная с которой программа размещается в памяти. Если определение физических адресов на основе заданных в программе логических адресов происходит на этапе компиляции, то для корректной работы программы необходимо, чтобы известный на этапе компиляции барьерный адрес оставался неизменным на протяжении всей работы программы и при каждом повторном ее запуске. Другими словами, использование программ возможно только, если барьерный адрес задан в качестве константы (в АС или поддерживающей ее аппаратной платформе), и программа загружается в фрагмент памяти, адрес которого строго задан. В противном случае изменение барьерного адреса потребовало бы перекомпиляции всех написанных для данной АС программ. В том случае, когда определение физических адресов происходит в момент загрузки программы в память, подобного строгого ограничения нет. Однако сохраняется требование неизменности барьерного адреса в процессе выполнения программы. При изменении барьерного адреса программу нужно загрузить в память повторно. В обоих рассмотренных случаях на этапе выполнения программы адреса ее данных задавались в абсолютном формате (загруженная программа содержала реальные значения физических адресов), что накладывало ограничения на способ изменения барьерного адреса АС. Более гибкий способ перераспределения памяти между АС и приложениями обеспечивает механизм динамических областей памяти.
Динамические области памяти Физические адреса программных данных могут вычисляться не только, как описывалось выше, в момент компиляции или загрузки программы, но и непосредственно в процессе ее выполнения. При этом логические адреса данных, как и раньше, начинаются с нулевого, а при обращении к ячейке памяти ее физический адрес вычисляется сложением логического со значением барьерного адреса. Таким образом обеспечивается возможность изменения последнего в ходе выполнения программы, а программы АС и приложение занимают динамические области памяти. Рассмотренные выше способы защиты реализуют только разграничение доступа к памяти АС и приложений. Однако в многозадачной системе необходимо также отдельно защитить данные каждого приложения. Такие механизмы рассматриваются ниже.
Адресные регистры Доступная пользовательской программе область памяти может быть ограничена парой хранящихся в регистрах значений: начальным и конечным адресом области. При этом каждой программе отводится отдельная область памяти и отдельная пара адресных регистров. Один из вариантов использования адресных регистров т это хранение в них начального и конечного физических адресов - области памяти приложения. В этом случае при каждом обращении программы к памяти проверяется принадлежность адреса заданному содержимым этих регистров промежутку. Другой способ применения адресных регистров - задание в них базового и предельного адресов области памяти приложения, причем первый является физическим, а второй - логическим. Адрес, по которому происходит обращение к памяти, сначала сравнивается с содержимым регистра, задающего предельно допустимый логический адрес (напоминание: адресация в логическом пространстве начинается с нуля). Если указанный в программе адрес меньше предельного, для получения физического адреса к нему прибавляется значение базового. В противном случае программа аварийно завершается. Такой способ в отличие от предыдущего допускает динамическое перемещение программы в памяти. Более надежные способы защиты памяти на основе адресных регистров предполагают использование двух пар регистров для каждой программы; отдельно для фрагмента кода и данных. При этом запись в первый фрагмент может быть запрещена для защиты кода от изменения (как предполагается, непреднамеренного). Все уже рассмотренные способы защиты памяти обладают одной общей особенностью, а именно, обеспечивают защиту выделенной области памяти, состоящей из последовательно расположенных ячеек. Однако нередко возникает необходимость более тонко разграничивать доступ к памяти, что можно реализовать с помощью ключей доступа. Ключ доступа - это устанавливаемый операционной системой атрибут отдельной ячейки памяти, на основе которого затем осуществляется проверка допустимости каждого обращения, например:
Другая особенность механизма защиты с применением адресных регистров связана с организацией совместного использования областей памяти. Две пары регистров (для кода и данных, как говорилось выше) позволяют эффективно организовать совместное использование только фрагментов кода (запись в которые запрещена). Для защиты фрагмента данных от непреднамеренного искажения в результате операций записи необходимы дополнительные средства (адресные регистры позволяют контролировать только сам факт доступа к области памяти, но не конкретный способ осуществления доступа: чтение или запись). Более совершенные средства защиты памяти обеспечиваются механизмами страничной организации памяти и сегментации.
Страницы и сегменты памяти При страничной организации памяти все адресное пространство разделяется на блоки фиксированного размера (страницы). Проверка допустимости адресов и преобразование логических адресов в физические при обращениях к памяти осуществляется с помощью таблицы страниц, каждая запись которой содержит начальный адрес расположения страницы в памяти. Логический адрес имеет формат <номер страницы, смещение>. По номеру страницы определяется физический адрес ее первой ячейки, к которому затем прибавляется смещение. С каждой страницей ассоциирован ключ доступа, определяющий набор допустимых операций (чтение, запись, исполнение). Такая схема организации памяти поддерживает совместное использование страниц: в таблицах страниц отдельных приложений могут быть описаны одни и те же страницы физической памяти. Однако более изощренное управление доступом в страничной модели затруднено из-за того, что на одной странице могут находиться различные по своей природе объекты (например, код и данные некоторой программы). Смысл сегментной организации памяти заключается в том, чтобы предоставить индивидуальные (возможно, неодинаковые по размеру) области памяти логически различным частям программы. Например, в отдельные сегменты могут быть помещены данные с различным типом доступа или код основной части программы и вызываемых ею подпрограмм. Преобразование логических адресов в физические происходит на основе содержимого таблицы сегментов, куда заносятся базовый и предельный адреса каждого сегмента (они обсуждались при описании функционирования адресных регистров). Логический адрес имеет формат <номер сегмента, смещение>, похожий на формат, применяемый в страничной адресации. Однако теперь каждый сегмент содержит однородные объекты, которым необходим одинаковый уровень защиты, так же как и выше, обеспечиваемый ключом доступа. Возможно совместное использование сегментов данных и кода, отдельные участки которого (например, процедуры и функции) могут быть предоставлены в совместное использование независимо от основной программы.
Цифровая подпись Средства контроля целостности программ и файлов данных, хранимых в АС, должны обеспечивать защиту от несанкционированного изменения этой информации нарушителем, особенно при ее передаче по каналам связи. Цифровая (электронная) подпись, основные характеристики которой рассмотрены в целом ряде источников, в частности [2], является одним из часто используемых для решения данной задачи механизмов. Кроме того, информация в вычислительных сетях нередко нуждается в аутентификации, т.е. в обеспечении заданной степени уверенности получателя или арбитра в том, что она была передана отправителем и при этом не была заменена или искажена. Если целью шифрования является защита от угрозы нарушения конфиденциальности, то целью аутентификации является защита участников информационного обмена не только от действий посторонних лиц, но и от взаимного обмана. В чем состоит проблема аутентификации данных или цифровой подписи? В конце обычного письма или документа исполнитель или ответственное лицо обычно ставит свою подпись. Подобное действие преследует две цели. Во-первых, получатель имеет возможность убедиться в истинности письма, сличив подпись с имеющимся у него образцом. Во-вторых, личная подпись является юридическим гарантом авторства документа. Последний аспект особенно важен при заключении разного рода торговых сделок, составлении доверенностей, обязательств и т.д. Если подделать подпись человека на бумаге весьма непросто, а установить авторство подписи современными криминалистическими методами - техническая деталь, то с цифровой подписью дело обстоит иначе. Подделать цепочку битов, просто ее скопировав, или незаметно внести нелегальные исправления в документ сможет любой пользователь. В самой общей модели аутентификации сообщений представлено пять участников. Это отправитель А, получатель В, злоумышленник С, доверенная сторона Д и независимый арбитр Е. Задача отправителя А заключается в формировании и отправке сообщения Т получателю В. Задача получателя В заключается в получении сообщения Т и в установлении его подлинности. Задача доверенной стороны Д является документированная рассылка необходимой служебной информации абонентам вычислительной сети, чтобы в случае возникновения спора между А и В относительно подлинности сообщения представить необходимые документы в арбитраж. Задача независимого арбитра Е заключается в разрешении спора между абонентами А и В относительно подлинности сообщения Т. Перечислим возможные способы обмана (нарушения подлинности сообщения) при условии, что между участниками модели А, В, С отсутствует кооперация. Способ А: отправитель А заявляет, что он не посылал сообщение Т получателю В, хотя в действительности его посылал (подмена отправленного сообщения или отказ от авторства). Способ В1: получатель В изменяет полученное от отправителя А сообщение Т и заявляет, что данное измененное сообщение он получил от отправителя А (подмена принятого сообщения). Способ В2: получатель В сам формирует сообщение и заявляет, что получил его от отправителя А (имитация принятого сообщения). Способ С1: злоумышленник С искажает сообщение, которое отправитель А передает получателю В {подмена передаваемого сообщения). Способ С2: злоумышленник С формирует и посылает получателю В сообщение Т от имени отправителя А (имитация передаваемого сообщения). Способ СЗ: злоумышленник С повторяет ранее переданное сообщение, которое отправитель А посылал получателю В (повтор ранее переданного сообщения). Аутентификация (цифровая подпись) при условии взаимного доверия между участниками информационного обмена обеспечивается имитозащитой информации с помощью криптостойких преобразований. Приведем сравнительный анализ обычной и цифровой подписи. При обычной подписи: • каждая личность использует индивидуальные, только ей присущие характеристики - почерк, давление на ручку и т. д.; • попытка подделки подписи обнаруживается с помощью графологического анализа; • подпись и подписываемый документ передаются только вместе на одном листе бумаги; передавать подпись отдельно от документа нельзя; подпись не зависит от содержания документа, на котором она поставлена; • копии подписанных документов недействительны, если каждая из этих копий не имеет своей настоящей (а не скопированной) подписи. При цифровой подписи: • каждая личность использует для подписи документов свой уникальный секретный ключ; • Любая попытка подписать документ без знания соответствующего секретного ключа практически не имеет успеха; • цифровая подпись документа есть функция от содержания этого документа и секретного ключа; цифровая подпись может передаваться отдельно от документа; • копия документа с цифровой подписью не отличается от его оригинала (нет проблем каждой копии). Для аутентификации информации Диффи и Хеллман в 1976 г. предложили концепцию "цифровой подписи". Она заключается в том, что каждый абонент сети имеет личный секретный ключ, на котором он формирует подпись и известную всем другим абонентам сети проверочную комбинацию, необходимую для проверки подписи (эту проверочную комбинацию иногда называют открытым ключом). Цифровая подпись вычисляется на основе сообщения и секретного ключа отправителя. Любой получатель, имеющий соответствующую проверочную комбинацию, может аутентифицировать сообщение по подписи. При этом знание лишь проверочной комбинации не позволяет подделать подпись. Такие схемы называются асимметричными схемами аутентификации. Термин "цифровая подпись" используется для методов, позволяющих устанавливать подлинность автора сообщения при возникновении спора относительно авторства этого сообщения. Цифровая подпись применяется в информационных системах, в которых отсутствует взаимное доверие сторон (финансовые системы, системы контроля за соблюдением международных договоров и др.). Известны два класса формирования цифровой подписи. • Первый класс способов использует труднообратимые функции типа возведения в степень в конечных полях большой размерности (сотни и даже тысячи битов). К этому классу относится Российский ГОСТ на цифровую подпись (ГОСТР 34.10-94 и ГОСТ Р 34.11-94). Он является усложнением алгоритмов цифровой подписи RSA и Эль-Гамаля. • Второй класс способов использует криптостойкие преобразования, зависящие от секретного ключа. В обоих случаях требуется предварительная заготовка и рассылка возможным получателям информации контрольных комбинаций. Общедоступные контрольные комбинации должны быть нотариально заверены, чтобы ни отправитель, ни получатель не смогли впоследствии от них отказаться. Оба класса способов не нуждаются в закрытых каналах. Контрольные комбинации и подписи пересылаются открыто. Единственным секретным элементом во всех способах является личный секретный ключ отправителя. Необходимо отметить, что в настоящее время контроль целостности данных, хранимых в АС, осуществляется методами теории помехоустойчивого кодирования. Наибольшее применение получили циклические контрольные коды, описанные в п. "Организационно-технологические меры защиты целостности информации на машинных носителях", которые можно применять для контроля целостности не только секторов (блоков) на машинных носителях, но и файлов. Однако эти методы, дающие хорошие результаты при защите от воздействия случайных факторов (помех, сбоев и отказов), совсем не обладают имитостойксстыо, т.е. не обеспечивают защиту от целенаправленных воздействий нарушителя, приводящих к навязыванию ложных данных. Методы имитозащиты, основанные на криптографических преобразованиях, обеспечивают надежный контроль данных, хранящихся в АС, но в то же время реализуются в виде больших и сложных программ и требуют значительных вычислительных ресурсов.
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Последнее изменение этой страницы: 2017-01-27; просмотров: 1613; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.144.21.237 (0.011 с.) |