Научная статья на тему 'О результатах формирования иерархического представления МРОСЛ ДП-модели'

О результатах формирования иерархического представления МРОСЛ ДП-модели Текст научной статьи по специальности «Математика»

CC BY
467
85
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
КОМПЬЮТЕРНАЯ БЕЗОПАСНОСТЬ / ФОРМАЛЬНАЯ МОДЕЛЬ / ИЕРАРХИЧЕСКОЕ ПРЕДСТАВЛЕНИЕ / LINUX / COMPUTER SECURITY / FORMAL MODEL / HIERARCHICAL DESCRIPTION

Аннотация научной статьи по математике, автор научной работы — Девянин Петр Николаевич

«Монолитное» представление мандатной сущностно-ролевой ДП-модели, являющееся основой механизма управления доступом в отечественной защищённой операционной системе специального назначения (ОССН) Astra Linux Special Edition, ввиду своего значительного объёма и сложности стало неудобно как для научного анализа, верификации и дальнейшего развития самой модели, так и для непосредственного применения в ОССН. По этой причине предлагается полностью переработанное иерархическое представление модели, описывающее её по уровням. В текущем таком представлении заданы четыре иерархически упорядоченных уровня, соответствующих: 1) ролевому управлению доступом; 2) мандатному контролю целостности; 3) мандатному управлению доступом с информационными потоками по памяти и 4) по времени. В дальнейшем возможно добавление новых, в том числе «боковых» уровней, например 3') для модели гипервизора.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

About results of designing hierarchical representation of mrosl DP-model

This article describes new approach to the hierarchical representation of mandatory entity-role DP-model of secure access and information flows control in OS of Linux set (MROSL DP-model). Existing "monolithic" description of MROSL DP-model is the basis of the access control mechanism in secure OS Astra Linux Special Edition. However, "monolithic" description of MROSL DP-model has considerable size and complexity. It is inconvenient for scientific analysis, verification and further development, as well as for its direct application in OS Astra Linux Special Edition. For this reason, a hierarchical representation of MROSL DP-model is completely revised, and we can describe it through its levels. Thus, each lower level of MROSL DP-model is an abstract system, whose elements are independent of the new elements belonging to a higher level of MROSL DP-model. When it is necessary, a higher level inherits, corrects or complements the lower level elements. There are four levels in this hierarchical representation of MROSL DP-model. First level corresponds to role-based access control (RBAC), second level RBAC and mandatory integrity control (MIC), third level RBAC, MIC and mandatory access control (MAC) with information flows by memory, and fourth level RBAC, MIC and MAC with information flows by memory and by time. New levels of lateral "branches" may be added to MROSL DP-model in the future. Some alternative levels can be: alternative third level RBAC, MIC and a model of hypervisor, or alternative fourth level RBAC, MIC, MAC with information flows by memory and a model of RBAC in a network.

Текст научной работы на тему «О результатах формирования иерархического представления МРОСЛ ДП-модели»

В рамках описанной модели мы рассмотрели ряд задач, связанных с анализом и блокированием атак в компьютерных сетях. В частности, рассмотрены задачи выбора злоумышленником нескольких хостов для атаки. При этом на возможности злоумышленника накладывались различные ограничения: например, требовалось получить root-право на некотором компьютере сети не более чем за фиксированное число моментов времени. Дополнительно предполагалось, что в процессе атаки злоумышленник не может в каждый момент времени иметь root-права более чем на заданном числе хостов сети. Такого рода задачи «подбора множеств хостов» являются комбинаторными из-за значительного в общем случае числа различных альтернатив, требующих проверки. Задачи описанного типа решались за счёт их сведения к задаче о булевой выполнимости (SAT). При этом использованы кодировки и общие идеи, представленные в работе [7], в которой методами SAT исследована активационная динамика в сетях. Если удавалось подобрать множество хостов, с которого злоумышленник успешно атаковал рассматриваемую систему, то для этой ситуации рассматривалась обратная задача: запретить те или иные уязвимости на некоторых хостах сети, чтобы в результате найденная атака стала невозможной. Эту задачу М. Данфорт называет задачей расстановки патчей. В рамках развитого вычислительного аппарата можно накладывать ограничения на число расставляемых патчей и их вид (например, предполагать, что блокирование некоторых уязвимостей невозможно). Все вычислительные эксперименты проводились на сетях, сгенерированных случайным образом в соответствии с моделью Барабаши — Альберт [8]. Перечисленные комбинаторные задачи удалось успешно решить для сетей с несколькими сотнями хостов.

ЛИТЕРАТУРА

1. Девянин П. Н. Модели безопасности компьютерных систем: учеб. пособие для вузов. М.: Издательский центр «Академия», 2005.

2. JhaS., Sheyner O., and Wing J. Two formal analysis of attack graphs // Proc. 15th IEEE Workshop on Computer Security Foundations (CSFW '02). 2002. P. 49-63.

3. Sheyner O., Haines J. W., Jha S., et al. Automated generation and analysis of attack graphs // Proc. 2002 IEEE Symposium on Security and Privacy. 2002. P. 273-284.

4. Колегов Д. Н. Проблемы синтеза и анализа графов атак. http://www.securitylab.ru/ contest/299868.php. 2009.

5. Danforth M. Models for Threat Assessment in Networks. PhD Thesis, University of CaliforniaDavis, 2006.

6. Kauffman S. Metabolic stability and epigenesis in randomly constructed genetic nets // J. Theoretical Biology. 1969. No. 22. P. 437-467.

7. Kochemazov S. and Semenov A. Using synchronous Boolean networks to model several phenomena of collective behavior // PLoS ONE. 2014. No. 9: e115156. P. 1-28.

8. Barabasi A-L. and Albert R. Emergence of scaling in random networks // Science. 1999. No. 286. P. 509-512.

УДК 004.94 DOI 10.17223/2226308X/9/32

О РЕЗУЛЬТАТАХ ФОРМИРОВАНИЯ ИЕРАРХИЧЕСКОГО ПРЕДСТАВЛЕНИЯ МРОСЛ ДП-МОДЕЛИ

П. Н. Девянин

«Монолитное» представление мандатной сущностно-ролевой ДП-модели, являющееся основой механизма управления доступом в отечественной защищённой опе-

рационной системе специального назначения (ОССН) Astra Linux Special Edition, ввиду своего значительного объёма и сложности стало неудобно как для научного анализа, верификации и дальнейшего развития самой модели, так и для непосредственного применения в ОССН. По этой причине предлагается полностью переработанное иерархическое представление модели, описывающее её по уровням. В текущем таком представлении заданы четыре иерархически упорядоченных уровня, соответствующих: 1) ролевому управлению доступом; 2) мандатному контролю целостности; 3) мандатному управлению доступом с информационными потоками по памяти и 4) по времени. В дальнейшем возможно добавление новых, в том числе «боковых» уровней, например 3') для модели гипервизора.

Ключевые слова: компьютерная безопасность, формальная модель, иерархическое представление, Linux.

Разработанная автором мандатная сущностно-ролевая ДП-модель (МРОСЛ ДП-модель) [1, 2] является частью комплексного научно-обоснованного решения [3] по разработке отечественной защищенной ОССН Astra Linux Special Edition [4, 5]. Для получения гарантий адекватности реализации МРОСЛ ДП-модели в ОССН Институтом системного программирования РАН [6, 7] она была сначала переведена в формализованную нотацию Event-B (Rodin Platform), которая позволила верифицировать описание модели и осуществить дедуктивные доказательства её свойств. Затем на основе формализованного представления модели с использованием инструмента дедуктивной верификации кода Why (в среде разработки Frama-С) были заданы и проверено выполнение спецификаций (предусловий и постусловий) функций механизма управления доступом ОССН, что позволило обосновать адекватность реализации модели в программном коде.

В то же время существующее описание МРОСЛ ДП-модели имеет значительный объём и является «монолитным», т. е. в нём элементы модели приводятся в порядке, принятом несколько лет назад в начале формирования модели. Первыми делаются предположения о базовых свойствах задаваемой в рамках модели абстрактной системы, потом даются определения элементов состояний системы, далее описываются требования к реализации в системе мандатного и ролевого управления доступом и мандатного контроля целостности, затем приводятся правила преобразования состояний системы, и в заключение формулируются и обосновываются условия безопасности системы, а также рассматриваются подходы к применению модели в ОССН.

В итоге по мере получения новых теоретических результатов и всё большей адаптации модели к условиям функционирования ОССН модель становится всё труднее корректировать, так как каждое изменение в каком-либо её элементе требует учёта во всех других связанных с ним элементах модели, а также проверки справедливости большинства обоснованных в модели утверждений. Кроме того, из-за большого объёма и «монолитности» модели, невозможности в таком виде её поэтапной реализации затрудняется использование модели разработчиками ОССН, а также создание на её основе новых моделей (например, модели гипервизора для ОССН).

В связи с этим автором реализуется переход от «монолитного» описания модели к иерархическому, позволяющему представить модель по уровням (слоям). При этом каждый нижний уровень модели представляет абстрактную систему, элементы которой не зависят от новых элементов, принадлежащих более высокому уровню, который, в свою очередь, наследует, а при необходимости корректирует или дополняет элементы нижнего уровня.

Таким образом, при иерархическом описании МРОСЛ ДП-модели в настоящее время задаются следующие уровни (рис. 1):

— первый уровень — модель системы ролевого управление доступом;

— второй уровень — модель системы ролевого управление доступом и мандатного контроля целостности;

— третий уровень — модель системы ролевого управление доступом, мандатного контроля целостности и мандатного управления доступом только с информационными потоками по памяти;

— четвёртый уровень — модель системы ролевого управление доступом, мандатного контроля целостности и мандатного управления доступом с информационными потоками по памяти и по времени.

Рис. 1. Иерархическое представление МРОСЛ ДП-модели и его возможные расширения

Этот подход позволяет постепенно усложнять формулировки определений и утверждений модели по мере включения в неё соответствующих очередному рассматриваемому уровню элементов. Например, на третьем уровне (мандатного управления доступом с информационными потоками по памяти) с использованием обозначений из [1] даётся следующая формулировка определения безопасного начального состояния системы. При этом идентификаторы определения и его условий дополнительно показывают последовательность их формирования при переходе от уровня к уровню (Ц — второй уровень, КП — третий уровень).

Определение О.Ц.06.КП. Начальное состояние Со системы ,ОР,С0) назовём безопасным, если оно удовлетворяет следующим условиям.

Условие Ц.1.КП. Для каждых субъект-сессий х,у € Б0, таких, что у € de_facto-_оши0(х), верно fs0 (у) = fs0 (х) и (у) ^ (х) (по сравнению со вторым уровнем добавляется требование равенства текущих уровней доступа субъект-сессий х и у, одна из которых де-факто владеет другой).

Условие Ц.2.КП. Для каждых недоверенной субъект-сессии x Е Ns0 , субъект-сессии y Е S0 и сущности e Е E0, таких, что либо (e Е [y] и (x,e,writem) Е F0), либо (e E]y[ и либо (e,x,writem) Е Fo, либо (x,e,reada) Е Л), верно fso(y) ^ fso(x) и iso(y) ^ iso(x) (по сравнению со вторым уровнем добавляется требование, чтобы текущий уровень доступа к сущностям, параметрически или функционально ассоциированным с сущностью y, недоверенной субъект-сессии x был не ниже текущего уровня доступа этой субъект-сессии y и субъект-сессия x либо имела информационные потоки по памяти, либо обладала доступом на чтение).

Условие Ц.3. (На третьем уровне в это условие не дополняется новых требований.) Условие Ц.4.КП. Для каждого информационного потока (x,y,writem) Е F0 справедливо fxo(x) ^ fy0(y), где fxo и fy0 — соответствующие функции feo или fs0, и справедливо ix0 (x) ^ iyo (y), где ix0 и iyo — соответствующие функции ieo или iso (по сравнению со вторым уровнем добавляется требование, чтобы при наличии информационного потока по памяти уровень конфиденциальности источника x был не выше уровня конфиденциальности приемника y).

Условие КП.5. Для доверенных субъект-сессий x,y ^ LSo, таких, что y Е de_facto_own0(x), (y, downgrade_admin_role, reada) Е AA0, верно (x, downgrade _admin_r ole, reada) Е AA0 (новое условие, добавленное на третьем уровне, заключающееся в запрете получения через де-факто владение специальной административной роли downgrade_admin_role, позволяющей нарушать правила мандатного управления доступом).

Аналогично задаются 34 де-юре и 10 де-факто правил преобразования состояний, когда на каждом очередном уровне добавляются, корректируются или остаются без изменений условия и результаты их применения.

При таком иерархическом описании модель гипервизора для ОССН (рис. 1) рассматривается как альтернативный (дополнительный) третий уровень (модель системы ролевого управления доступом, мандатного контроля целостности и гипервизо-ра), так как можно предположить, что гипервизор для ОССН должен обеспечивать корректность функционирования её мандатного контроля целостности, а мандатное управление доступом в ОССН не должно реализовываться средствами гипервизора. Аналогично модель ролевого управления доступом в компьютерной сети целесообразно считать альтернативной четвёртому уровню представления МРОСЛ ДП-модели, так как в этой модели существенным является мандатный контроль целостности и мандатное управление доступом только с информационными потоками по памяти.

Таким образом, переход от «монолитного» к иерархическому представлению МРОСЛ ДП-модели за счёт более ясного, структурированного её изложения способствует развитию самой модели, улучшению результатов её верификации при переводе модели в формализованную нотацию Event-B, а также позволяет повысить качество реализации модели непосредственно в ОССН.

ЛИТЕРАТУРА

1. Девянин П. Н. Модели безопасности компьютерных систем. Управление доступом и информационными потоками: учеб. пособие для вузов. 2-е изд., испр. и доп. М.: Горячая линия — Телеком, 2013. 338 с.

2. Девянин П. Н. Необходимые условия нарушения безопасности информационных потоков по времени в рамках МРОСЛ ДП-модели // Прикладная дискретная математика. Приложение. 2015. №8. С. 81-83.

3. Девянин П. Н., Куликов Г. В., Хорошилов А. В. Комплексное научно-обоснованное решение по разработке отечественной защищенной ОССН Astra Linux Special Edition // Методы и технические средства обеспечения безопасности информации: Материалы 23-й науч.-технич. конф. 30 июня-03 июля 2014г. СПб.: Изд-во Политехн. ун-та, 2014. С.29-33.

4. Операционные системы Astra Linux. http://www. astra-linux.ru/

5. Astra Linux. https://ru.wikipedia.org/wiki/AstraX_Linux

6. Девянин П. Н., Кулямин В. В., Петренко А. К. и др. О представлении МРОСЛ ДП-модели в формализованной нотации Event-B // Проблемы информационной безопасности. Компьютерные системы. 2014. №3. С. 7-15.

7. Devyanin P., Khoroshilov A, Kuliamin V., et al. Formal verification of OS security model with Alloy and Event-B // LNCS. 2014. V.8477. P. 309-313.

УДК 517.19 DOI 10.17223/2226308X/9/33

СХЕМА ОБЕСПЕЧЕНИЯ КОНФИДЕНЦИАЛЬНОСТИ В АЛГОРИТМЕ RAID-PIR

М. Р. Кащеев, Ю. В. Косолапов

Рассматривается задача обеспечения конфиденциальности информационной базы данных в схеме анонимного получения информации (private information retrieval) с удалённых серверов. Предполагается, что для хранения базы используются r серверов (r — нечётное), а для анонимного доступа к информации используется алгоритм RAID-PIR. Построен способ шифрования и распределения базы данных таким образом, чтобы, во-первых, по зашифрованным данным, хранящимся на каждом из серверов, нельзя было нарушить конфиденциальность базы данных, и, во-вторых, чтобы при чтении или перезаписи блока данных ни один из серверов не мог узнать, какой блок соответственно считывался или перезаписывался.

Ключевые слова: анонимность данных, PIR, 'распределение данных.

Под анонимностью в сетях передачи данных, как правило, понимается либо невозможность идентификации сервером пользователей, отправивших запрос (анонимность пользователя), либо невозможность идентификации сервером запрашиваемой пользователями информации (анонимность запроса) [1]. В настоящей работе рассматривается обеспечение второго варианта анонимности. Предполагается, что для хранения информационной базы данных используется несколько серверов. Пользователь заинтересован в получении некоторой части базы данных таким образом, чтобы серверы, участвующие в хранении, по отдельности не смогли идентифицировать, какая именно часть базы была запрошена пользователем. В подобных схемах серверы могут рассматриваться как недобросовестные наблюдатели, цель которых заключается в выяснении, в получении какой информации из базы данных заинтересован пользователь. Простейшим случаем обеспечения анонимности является схема с одним сервером, когда пользователь с сервера запрашивает всю базу полностью [2]. Обычно в системах обеспечения анонимности запроса предполагается, что серверу может быть известно (частично или полностью) информационное содержимое базы. В работе рассматривается ситуация, когда знание сервером базы нежелательно, при этом необходимо также защититься от получения сервером информации о расположении или доле запрашиваемой информации в базе. Таким образом, ставится задача построения схемы защиты

i Надоели баннеры? Вы всегда можете отключить рекламу.