ВЕСТНИК УДМУРТСКОГО УНИВЕРСИТЕТА
УДК 004.056 Г.Н. Шлыков
ПРИМЕНЕНИЕ ГОМОМОРФИЗМА В МОДЕЛЯХ ЗАЩИТЫ ИНФОРМАЦИИ
Показаны способы применения гомоморфных преобразований при проектировании и анализе защищенных компьютерных систем. Раскрыты общие принципы применения алгебраических систем для исследования защищенности и построения моделей безопасности.
Ключевые слова: модели защиты информации, алгебраические системы, гомоморфизм.
В настоящее время при построении или анализе защищенных компьютерных систем (КС) применяются различные формальные модели безопасности, однако большинство специалистов используют их без ясного понимания математического аппарата, лежащего в основе каждой из моделей. Это тем более является важным в силу разных целей, преследуемых на этапах проектирования и анализа.
При построении защищенных компьютерных систем необходимо, чтобы были соблюдены требования политики безопасности (то есть качественной характеристики, описывающей свойства защищенности информации в КС в заданном пространстве угроз). С этой целью строят модель безопасности, то есть формальное (математическое, алгоритмическое, схемотехническое и т.п.) выражение политики безопасности.
Одним из назначений модели безопасности является подтверждение свойств (защищенности) разрабатываемой системы путем формального доказательства соблюдения требований политики (условий, критериев) безопасности разрабатываемой системы.
Модель безопасности включает:
• модель КС;
• критерии, принципы или целевые функции защищенности и угроз;
• формализованные правила, алгоритмы, механизмы безопасного функционирования КС.
КС представляется конечным множеством элементов, разделяемых на два подмножества:
• множество субъектов S (активные сущности);
• множество объектов О (пассивные сущности), между которыми циркулируют потоки информации, которые разбиты на два подмножества:
- множество потоков Р^ характеризующих легальный доступ;
- множество потоков Р№ характеризующих несанкционированный доступ.
Правила разграничения доступа задаются политикой безопасности и являются формально описанными потоками, принадлежащими Р^
Основными видами политики безопасности являются:
• дискреционная политика безопасности;
• мандатная политика безопасности;
• политика безопасности информационных потоков;
• политика ролевого разграничения доступа;
• политика изолированной программной среды.
Формальные модели безопасности необходимы и широко используются, так как только с их помощью можно доказать безопасность КС, опираясь при этом на объективные и неопровержимые постулаты математических теорий. Основным элементом модели безопасности является доказательство теоремы о том, что система, находящаяся в безопасном состоянии, не может перейти в небезопасное состояние при соблюдении всех установленных правил и ограничений.
Таким образом, реально существующая система отображается в виде алгебраической системы.
Под алгебраической системой А = (А, о) сигнатуры о понимают некоторое фиксированное множество А, с фиксированным на нем набором s1-местных функций £, qj-местных отношений (предикатов) PJ и константами с0,...,ск (элементами множества А). Сигнатура в данном контексте - это список обозначений для основных рассматриваемых на фиксированном множестве функций, отношений, констант, то есть кортеж (последовательность) элементов трех типов: £, Р^ ск. Такую алгеб-
раическую систему А = (А, о) называют универсальной алгеброй, если ее сигнатура о функциональна, или моделью, если ее сигнатура о предикатна (т.е. выражается через отношения).
Следует отметить, что формализация КС часто вынуждает интуитивно устанавливать отношения эквивалентности между двумя системами, каждая из которых может быть или реально существующей, или абстрактной. Если первая из них проще для исследования, чем вторая, то, наблюдая поведение первой системы, можно судить о свойствах второй. Используемую для исследования систему называют моделью.
Если между моделью и реальной системой наблюдается полное поэлементное соответствие, то модель называется изоморфной (одинаковой по форме). Примером изоморфной модели могут служить процессы в реальной системе и решение уравнения, описывающего поведение этой системы.
Во многих случаях изоморфные модели сложны и неудобны для практического использования. Более удобными оказываются модели, которые позволяют судить о существенных аспектах поведения системы, не детализируя их. Например, опираясь на некоторые свойства объектов, можно объединять их в определенные классы, при этом воздействие на любой элемент некоторого класса будет иметь одинаковый результат. Таким образом, без существенной потери правдоподобности модели, с сохранением интересующих специалиста свойств, сама модель упрощается.
Модели, отдельные элементы которых соответствуют только крупным частям реальной системы, а полное поэлементное соответствие между моделью и системой отсутствует, называются гомоморфными.
Изоморфизму и гомоморфизму можно дать строгое математическое определение в терминах теории групп [1].
Определение. Пусть А и В - некоторые алгебраические системы. Тогда отображение ф: А ^ В представляет собой гомоморфизм, если для любых элементов аь а2 е А выполнено соотношение ф(ага2) = ф(а0-ф(а2) (рис. 1).
Гомоморфизм ф: А ^ В называется изоморфизмом между А и В, если обратно к нему соответствие ф-1: В ^ А также является гомоморфизмом (рис.2). Для изоморфизма характерны свойства рефлексивности (ф: А ^ А), транзитивности (если ф: А ^ В и у: В ^ С, то уф: А ^ С относительно наборов предикатов) и симметричности (если £ А ^ В относительно некоторых наборов предикатов, определенных на множествах А и В, то существует Г1: В ^ А относительно тех же наборов предикатов), для гомоморфизма - те же свойства, кроме последнего.
Другие частные случаи гомоморфизма не рассматриваются.
Следует отметить, что гомоморфизм - алгебраическая абстракция, достаточно широко применяющаяся при построении различных алгебр и отношений между ними.
Полученные таким образом модели безопасности КС классифицируются по пяти основным видам (в соответствии с основными видами политики безопасности):
• модели систем дискреционного разграничения доступа;
• модели систем мандатного разграничения доступа;
• модели безопасности информационных потоков;
• модели ролевого разграничения доступа;
• субъектно-ориентированная модель изолированной программной среды.
Для анализа систем защиты, реализующих ту или иную политику безопасности, в большинстве случаев используют автоматные модели (модель Харрисона-Руззо-Ульмана, модель безопасности информационных потоков), построения, основанные на моделях решетки (классическая модель Белла
- ЛаПадула, модель Биба) и графовую модель (модель Take-Grant).
С развитием техники, с появлением проблемы «черного ящика» [2] стало очевидным огромное значение гомоморфизма. В этот период, период появления новой науки - кибернетики, непосредственно из практических потребностей появился ряд дисциплин, и в частности, теория автоматов.
Автоматом (пусть в данном случае - автомат Мили) называется система A = (S, X, Y, 5, X), где S, X, Y - алфавиты состояний, входов и выходов соответственно, а 5: S x X ^ S, X: S x X ^ Y - функции переходов и выходов.
Итак, пусть A = (S, X, Y, 5, X), B = (S’, X’, Y’, 5’, X’) - некоторые автоматы. Гомоморфизмом автомата A в автомат B называется совокупность трех функций ф = (а, ß, у), где а: X ^ X’; ß: S ^ S’; у: Y ^ Y’ (рис. 3).
YMr
X x S
5
(a, ß)
ß
YfMr
5'
Рис. 3. Гомоморфизм автомата A в автомат B
r
Поведением автомата называют способ его взаимодействия с внешней средой, то есть анализируются процессы преобразования информации и свойства автоматов либо синтезируются сами автоматы с заданными свойствами путем эксперимента с заданным «черным ящиком». В теории автоматов под экспериментом понимают процесс подачи входных слов и наблюдения выходных слов - ре-
акций самого автомата [3]. На основе априорной информации об автомате и полученной пары значений «вход-выход» и исследуют автомат. При этом функции автомата и его внутренние состояния полностью неизвестны. По полученному множеству экспериментов и достигается цель - распознавание, «расшифровка» автомата.
Автоматные модели используются в криптографии [4]. В частности, ими можно описать потоковые алгоритмы шифрования. При этом ключи выступают как параметры, определяющие класс автоматов. Каждый класс автоматов соответствует некоторому конкретному значению ключа. Отсюда эксперименты с автоматами по восстановлению этих параметров можно понимать как атаку на такую криптосистему.
В математических моделях безопасности КС понятие автомата часто используется для описания свойств собственно системы защиты информации, ее отдельных элементов или компьютерной системы в целом [5].
Так как система защиты информации является частью КС, то для успешного решения своих задач, обладая конечными ресурсами, она должна в каждый момент времени не только хранить и анализировать информацию о функционировании КС в предыдущие моменты времени, но и уметь предсказывать, что является алгоритмически неразрешимой задачей [6]. Следовательно, при построении системы защиты информации необходимо так определять требования политики безопасности КС, чтобы реализация системы защиты была возможна и соответствовала этим требованиям.
Требования политики безопасности удобно определять с использованием математических моделей безопасности КС. При этом КС строится так, чтобы ее математическая модель с заданной политикой безопасности была гомоморфна реальной модели.
Рассмотрим реальную КС и некоторый автомат с множествами состояний V и соответственно. Кроме того, и в компьютерной системе и в математической модели автомата существует множество алгоритмов и операций (аь ..., ап - в КС; рь ..., рп - в математической модели), которые переводят автомат из текущего состояния в последующее:
V [а, V*, 5 [р, 5*,
где V, V* е V, г е 1, ..., п; 5, 5* е S, г е 1, ..., п; обозначение [ - переход из состояния в состояние под воздействием операции а, и р, в КС и в математической модели соответственно.
Для соответствия КС ее математической модели необходимо существование гомоморфизма ф, то есть, для любых V, V* е V, г е 1, ..., п должно выполняться следующее условие (рис. 4):
(V [а, V*) ^ (ф^) [в ф^*)).
V
Алгоритм
у Ь V*
9
ь,.
9
Ф(У) 1, 9 (V*)
Операция
Рис. 4. Гомоморфизм компьютерной системы и автомата
Несмотря на кажущуюся простоту описания гомоморфизма, построить гомоморфизм реальной КС в ее математическую модель достаточно сложно. Основная трудноразрешимая проблема состоит в адекватности КС математической модели и наоборот. Это связано прежде всего с ошибками в ряде допущений при построении КС на основе ее математической модели. С другой стороны, математическая модель может соответствовать ошибочно определенным условиям функционирования КС. А значит, существует определенный риск построения КС, не являющейся безопасной, и неэффективного использования ее ресурсов, направленных на реализацию системы защиты.
Однако несомненной пользой применения гомоморфизма являются:
1) обоснованный и математически строгий формализм;
2) построение КС в соответствии с математическими правилами (алгоритмом), а не интуитивно;
3) гибкость в выборе условий (параметров), относительно которых производится гомоморфное преобразование;
4) упрощение модели и ее исследование без существенной потери качества и ее основных характеристик.
СПИСОК ЛИТЕРАТУРЫ
1. Роудз Дж., Тилсон Б.Р. Полугруппы. Элементарные определения и примеры // Алгебраическая теория автоматов, языков и полугрупп / под ред. М. Арбиба; пер. с англ. М.: Статистика, 1975.
2. Эшби У. Росс. Введение в кибернетику. М.: URSS, 2006.
3. Гилл А. Введение в теорию конечных автоматов. М.: Наука, 1966.
4. Грунский И.С., Козловский В.А., Копытова О.М. Представления автоматов и анализ атак на криптосистемы // Искусственный интеллект. 2004. №4.
5. Девянин П.Н. Модели безопасности компьютерных систем. М.: Академия, 2005.
6. Носов В.А. Основы теории алгоритмов и анализа их сложности. М.: Изд-во Моск. ун-та, 1992.
Поступила в редакцию 10.06.11
G.N. Shlykov
Application of homomorphism in information security models
The article shows how to use homomorphic transformations in the design and analysis of protected computer systems. We reveal some general principles on the application of algebraic systems for the study of vulnerability and for building security models.
Keywords: models of information security, algebraic systems, homomorphism.
Шлыков Герман Николаевич, аспирант Shlykov G.N., postgraduate student
ФГБОУ ВПО «Удмуртский государственный университет» Udmurt State University
426034, Россия, г. Ижевск, ул. Университетская, 1 (корп. 4) 462034, Russia, Izhevsk, Universitetskaya st., 1/4
E-mail: [email protected] E-mail: [email protected]