2009 Математические основы компьютерной безопасности №3(5)
УДК 004.94
ДП-МОДЕЛЬ
КОМПЬЮТЕРНОЙ СТЕГАНОГРАФИЧЕСКОЙ СИСТЕМЫ
Е. В. Девянина ФГНУ «ГНТЦ „Наука“», г. Москва, Россия E-mail: k_vitalievna@mail.ru
В статье реализуется попытка на основе семейства дискреционных ДП-моделей применить теорию формального моделирования управления доступом и информационными потоками для анализа условий безопасного функционирования компьютерных стеганографических систем.
Ключевые слова: компьютерная безопасность, стеганография, ДП-модели.
Большинство существующих подходов, используемых в компьютерной стеганографии [1-3], ориентированы либо на применение различных математических (в первую очередь вероятностных) приемов для разработки или анализа стойкости стеганографических преобразований, либо на исследование форматов файлов-контейнеров (изображений, видео, текстовых документов), используемых для сокрытия информации. В то же время стеганографические системы, как правило, реализуются программным обеспечением (ПО), являющимся частью компьютерных систем (КС). Таким образом, на безопасность стеганографической системы может оказывать влияние среда КС, в которой она функционирует.
Важнейшим компонентом обеспечения безопасности большинства существующих КС является система логического управления доступом и информационными потоками, для исследования которой используются формальные модели [4-6]. Следовательно, целесообразно рассмотреть подходы к применению таких моделей для анализа безопасности компьютерных стеганографических систем (КСС).
Семейство формальных моделей логического управления доступом и информационными потоками (ДП-моделей) [6, 7] предоставляет механизмы, позволяющие анализировать безопасность современных КС. Как правило, КСС функционируют в КС с дискреционным управлением доступом. Значит, в качестве основы построения формальной модели КСС (далее, сокращенно, КСС ДП-модели) следует выбрать дискреционные ДП-модели.
Заметим, что на безопасность КСС оказывают влияние следующие три фактора, которые будут взяты за основу при построении КСС ДП-модели:
— целостность ПО, реализующего КСС. То есть целостность сущностей, функционально ассоциированных с субъектами, реализующими стеганографические преобразования;
— недоступность для нарушителя параметров стеганографических преобразований. То есть недоступность данных, содержащихся в сущностях, параметрически ассоциированных с субъектами, реализующими стеганографические преобразования (сущностей, получение данных которых позволит нарушителю однозначно идентифицировать стеганографическое преобразование и осуществить обратное стеганографическое преобразование);
— зависимость безопасности ПО, реализующего стеганографические преобразования, от безопасности среды КСС, в которой оно функционирует. Например, зависимость от безопасности используемых в КСС операционных систем (ОС), в том числе от применяемых в ОС технологий администрирования.
Таким образом, при построении КСС ДП-модели целесообразно взять за основу ДП-модель с функционально ассоциированными с субъектами сущностями (ФАС ДП -модель), ДП-модель для политики безопасного администрирования (ПБА ДП-модель) [6] и ДП-модель с функционально и параметрически ассоциированными с субъектами сущностями (ФПАС ДП-модель) [7].
При описании КСС ДП-модели используем следующие предположения и определения.
Предположение 1. Будем считать, что КСС состоит из двух компьютеров (компьютера-источника и компьютера-приемника), удовлетворяющих следующим условиям:
— на компьютере-источнике и компьютере-приемнике функционируют доверенные субъекты «операционная система», реализующие среду для ПО, выполняющего стеганографические преобразования;
— на компьютере-источнике функционирует доверенный субъект, осуществляющий стеганографические преобразования данных из сущности-источника;
— на компьютере-приемнике функционирует доверенный субъект, осуществляющий обратное стеганографическое преобразование данных и их запись в сущность-приемник;
— передача данных между доверенными субъектами компьютера-источника и компьютера-приемника осуществляется через сущность «канал связи» (например, сеть Интернет);
— на компьютере-приемнике функционирует доверенный субъект, осуществляющий непосредственную обработку стеганографических контейнеров (таким образом, стеганографические контейнеры — видео, аудио или текстовые файлы — обрабатываются в соответствии с их содержанием, например, для просмотра).
Определение 1. Нарушителем в КСС является недоверенный субъект, имеющий право доступа на чтение к сущности «канал связи» (пассивный нарушитель) или имеющий права доступа на чтение и запись к сущности «канал связи» (активный нарушитель).
Определение 2. Нарушением безопасности КСС является реализация субъ-ектом-нарушителем направленного к себе информационного потока по памяти от сущности-источника или от сущности-приемника.
Определение 3. Доверенные субъекты компьютера-источника и компьютера-приемника называются стеганографически корректными, когда они не участвуют в реализации информационных потоков по памяти от сущности-источника или сущности-приемника к сущности «канал связи».
Определение 4. Доверенные субъекты компьютера-источника и компьютера-приемника называются параметрически корректными, когда они не участвуют в реализации информационных потоков по памяти от параметрически ассоциированных с ними сущностей к сущности «канал связи».
Существует ПО [І], сохраняющее в стеганографических контейнерах данные, позволяющие однозначно идентифицировать стеганографическое преобразование и осуществить обратное преобразование. Значит, не всегда доверенные субъекты, реализующие стеганографические преобразования, являются параметрически корректными. В то же время такие доверенные субъекты, как правило, не осуществляют сохранение в контейнерах или передачу по каналам связи скрываемых данных в явном, непреоб-разованном виде. Следовательно, стеганографическая корректность доверенных субъектов, реализующих стеганографические преобразования, является естественной для существующих КСС. Поэтому в дальнейшем будем использовать следующее предположение.
Предположение 2. Будем считать, что в рамках КСС ДП-модели все доверенные субъекты являются стеганографически корректными.
Из предположения 2 следует, что доверенные субъекты КСС не осуществляют непосредственную передачу данных, подлежащих стеганографичекому сокрытию, через сущность «канал связи». Кроме того, в соответствии с предположениями ФАС, ФПАС и ПБА ДП-моделей доверенные субъекты не реализуют информационные потоки по времени и имеют права доступа владения к сущностям, размещенным на компьютере, на котором функционирует соответствующий доверенный субъект.
В рамках предположений І и 2, используя элементы ФАС, ФПАС и ПБА ДП-моделей, опишем элементы КСС ДП-модели. Используем следующие обозначения: soS1, soS2 — доверенные субъекты «операционная система» компьютера-источника и компьютера-приемника соответственно;
eoS1 Є [soS1 ], eoS2 Є [soS2] —сущности, функционально ассоциированные с субъектами soS1 и soS2 соответственно;
es,ed — сущность-источник и сущность-приемник соответственно; s1 — доверенный субъект, реализующий стеганографическое преобразование на компьютере-источнике, при этом по определению выполняются условия s1 < soS1 (субъект s1 подчинен в иерархии сущностей субъекту soS1), s1 Є [soS1 ];
s2 — доверенный субъект, реализующий обратное стеганографическое преобразование на компьютере-приемнике, при этом по определению выполняются условия s2 < soS2, s2 Є [soS2 ];
s3 — доверенный субъект, осуществляющий на компьютере-приемнике непосредственную обработку стеганографических контейнеров, при этом по определению выполняются условия s3 < soS2, s3 Є [soS2];
e1 Є [s1], e2 Є [s2] —сущности, функционально ассоциированные с субъектами s1 и s2 соответственно (содержащиеся в сущностях данные задают стеганографическое преобразование, реализуемое субъектами);
e3 Є [s3] —сущность, функционально ассоциированная с субъектом s3; e1 Є^[, e'2 є]s2[ — сущности, параметрически ассоциированные с субъектами s1 и s2 соответственно (содержащиеся в сущностях данные идентифицируют стеганографическое преобразование, реализуемое субъектами); ес — сущность «канал связи»; sa — недоверенный субъект-нарушитель.
Начальное состояние Go = (So, Eo, Ro U Ao U Fo, Ho) системы E(G*, OP, Go) зададим в соответствии с рис. І (показан случай активного нарушителя, в случае пассивного нарушителя субъект sa не имеет права доступа writer к сущности ec).
Утверждение 1. Пусть в рамках КСС ДП-модели задана система E(G*, OP, Go) и выполнены предположения І и 2. Предикат can_write_memory(eS, sa, Go) или пре-
«?f€ J?i[ €os\ € [<?oii]
в
es
/ • \
, I i
! I *
t I •
< i 1
i i *
• / 1
: \ ownr
* * *
i / >
V 1
A »
\ и
\®/
e2 € fo] e2'€ M eos2 € [^j2] <?3 € [-Уз]
"" read,
Рис. 1. Начальное состояние системы в рамках КСС ДП-модели
дикат can_write_memory(ed, sa,G0) является истинным (происходит нарушение безопасности КСС) тогда и только тогда, когда выполняется одно из следующих трех условий:
Условие 1. Субъект-нарушитель sa является пассивным или активным, и доверенный субъект si или s2 является параметрически некорректным.
Условие 2. Субъект-нарушитель sa является активным, и хотя бы один из доверенных субъектов s1, s2, soSl и soS2 является некорректным (в соответствии с определением, заданным в рамках ФАС ДП-модели) относительно сущности ec.
Условие 3. Субъект-нарушитель sa является активным, и доверенный субъект s3 является некорректным относительно сущности 6d.
Доказательство. Доказательство необходимости выполнения условий утверждения является достаточно трудоемким и проводится аналогично обоснованию необ-
readr, writer \ read?, writer
writer s2 ] \ s0i2 Si
ходимых условий истинности предиката can_write_memory(x,y,G0), выполненному в рамках ФПАС ДП-модели [7].
Доказательство достаточности выполнения условий утверждения является конструктивным. В качестве примера приведем обоснование истинности предиката can_write_memory(es, sa,G0) при выполнении условия 1 утверждения. Пусть доверенный субъект s1 является параметрически некорректным. Тогда положим:
op1 = post(s1,ec,sa) —субъект s1 через сущность ec реализует информационный поток по памяти к субъекту-нарушителю sa;
op2 = own_take(readr,s1,e'1) —субъект s1, пользуясь правом доступа владения к сущности e1, получает к ней право доступа на чтение;
op3 = pass(e1, s1, sa) — субъект s1, являясь параметрически некорректным, реализует информационный поток по памяти от сущности e1 к субъекту-нарушителю sa;
op4 = know(sa, s1) — субъект-нарушитель sa, пользуясь информационным потоком по памяти от сущности e1, параметрически ассоциированной с субъектом s1, получает к нему право доступа владения;
op5 = take_right(readr, sa, s^ es) — субъект-нарушитель sa берет у субъекта s1 право доступа на чтение к сущности-источнику es;
op6 = access_read(sa,es) —субъект-нарушитель sa получает доступ на чтение к сущности-источнику es и реализует от нее к себе информационный поток по памяти.
Следовательно, существует траектория G0 hopi ... hope G6 = (S6, E6, R6 U A6 U UF6,H6), такая, что выполняется условие (es, sa,writem) E F6. Значит, предикат can_write_memory(es, sa, G0) является истинным. ■
Поясним смысл приведенных выше условий.
Условие 1 соответствует случаю, когда субъекты, реализующие стеганографические преобразования, передают в канал связи данные, позволяющие однозначно идентифицировать стеганографические преобразования.
При выполнении условия 2 доверенные субъекты КСС содержат уязвимости реализации, позволяющие активному субъекту-нарушителю, модифицировав данные, передаваемые по каналу связи, изменить содержание сущностей, функционально ассоциированных с доверенными субъектами, и получить над ними контроль.
В случае, когда выполняется условие 3, доверенный субъект, осуществляющий на компьютере-приемнике непосредственную обработку стеганографических контейнеров, содержит уязвимость реализации, позволяющую активному субъекту-нарушителю, модифицировав данные, передаваемые по каналу связи, изменить содержание сущностей, функционально ассоциированных с доверенным субъектом, и получить контроль над доверенными субъектами компьютера-приемника.
Доказательство утверждения показывает, что в рамках КСС ДП-модели возможен анализ безопасности КС, реализующих стеганографические преобразования данных и их передачу по каналам связи. Кроме того, возможно дальнейшее развитие КСС ДП-модели с целью более детального описания свойств и условий функционирования ПО, реализующего стеганографические преобразования, правил управления доступом, параметров администрирования и конфигурирования ОС, используемых в КСС.
ЛИТЕРАТУРА
1. Аграновский А. В., ДевянинП.Н., Хади Р. А., Черемушкин А. В. Основы компьютерной стеганографии: Учеб. пособие для вузов. М.: Радио и связь, 2003. 152 с.
2. Грибунин В. Г., Оков И. Н., Туринцев И. В. Цифровая стеганография. М.: СОЛОН-Пресс, 2002. 272 с.
3. Коханович Г. Ф., Пузыренко А. Ю. Компьютерная стеганография. Теория и практика. Киев: МК-Пресс, 2002. 288 с.
4. Bishop M. Computer Security: art and science. ISBN 0-201-44099-7, 2002. 1084 p.
5. Девянин П. Н. Модели безопасности компьютерных систем: Учеб. пособие для студ. высш. учеб. заведений. М.: Издательский центр «Академия», 2005. 144 с.
6. Девянин П. Н. Анализ безопасности управления доступом и информационными потоками в компьютерных системах. М.: Радио и связь, 2006. 176 с.
7. Колегов Д. Н. ДП-модель компьютерной системы с функционально и параметрически ассоциированными с субъектами сущностями // Вестник Сибирского государственного аэрокосмического университета им. акад. М. Ф. Решетнева. 2009. Вып. 1(22). Часть 1. С. 49-54.