Научная статья на тему 'ДП-модель компьютерной стеганографической системы'

ДП-модель компьютерной стеганографической системы Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
392
201
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
КОМПЬЮТЕРНАЯ БЕЗОПАСНОСТЬ / СТЕГАНОГРАФИЯ / ДП-МОДЕЛИ

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Девянина Екатерина Витальевна

В статье реализуется попытка на основе семейства дискреционных ДП-моделей применить теорию формального моделирования управления доступом и информационными потоками для анализа условий безопасного функционирования компьютерных стеганографических систем.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

In article attempt on the basis of family of discretionary DP-models is realised to apply the theory of formal modelling of management of access and information streams to the analysis of conditions of safe functioning computer steganography systems.

Текст научной работы на тему «ДП-модель компьютерной стеганографической системы»

2009 Математические основы компьютерной безопасности №3(5)

УДК 004.94

ДП-МОДЕЛЬ

КОМПЬЮТЕРНОЙ СТЕГАНОГРАФИЧЕСКОЙ СИСТЕМЫ

Е. В. Девянина ФГНУ «ГНТЦ „Наука“», г. Москва, Россия E-mail: k_vitalievna@mail.ru

В статье реализуется попытка на основе семейства дискреционных ДП-моделей применить теорию формального моделирования управления доступом и информационными потоками для анализа условий безопасного функционирования компьютерных стеганографических систем.

Ключевые слова: компьютерная безопасность, стеганография, ДП-модели.

Большинство существующих подходов, используемых в компьютерной стеганографии [1-3], ориентированы либо на применение различных математических (в первую очередь вероятностных) приемов для разработки или анализа стойкости стеганографических преобразований, либо на исследование форматов файлов-контейнеров (изображений, видео, текстовых документов), используемых для сокрытия информации. В то же время стеганографические системы, как правило, реализуются программным обеспечением (ПО), являющимся частью компьютерных систем (КС). Таким образом, на безопасность стеганографической системы может оказывать влияние среда КС, в которой она функционирует.

Важнейшим компонентом обеспечения безопасности большинства существующих КС является система логического управления доступом и информационными потоками, для исследования которой используются формальные модели [4-6]. Следовательно, целесообразно рассмотреть подходы к применению таких моделей для анализа безопасности компьютерных стеганографических систем (КСС).

Семейство формальных моделей логического управления доступом и информационными потоками (ДП-моделей) [6, 7] предоставляет механизмы, позволяющие анализировать безопасность современных КС. Как правило, КСС функционируют в КС с дискреционным управлением доступом. Значит, в качестве основы построения формальной модели КСС (далее, сокращенно, КСС ДП-модели) следует выбрать дискреционные ДП-модели.

Заметим, что на безопасность КСС оказывают влияние следующие три фактора, которые будут взяты за основу при построении КСС ДП-модели:

— целостность ПО, реализующего КСС. То есть целостность сущностей, функционально ассоциированных с субъектами, реализующими стеганографические преобразования;

— недоступность для нарушителя параметров стеганографических преобразований. То есть недоступность данных, содержащихся в сущностях, параметрически ассоциированных с субъектами, реализующими стеганографические преобразования (сущностей, получение данных которых позволит нарушителю однозначно идентифицировать стеганографическое преобразование и осуществить обратное стеганографическое преобразование);

— зависимость безопасности ПО, реализующего стеганографические преобразования, от безопасности среды КСС, в которой оно функционирует. Например, зависимость от безопасности используемых в КСС операционных систем (ОС), в том числе от применяемых в ОС технологий администрирования.

Таким образом, при построении КСС ДП-модели целесообразно взять за основу ДП-модель с функционально ассоциированными с субъектами сущностями (ФАС ДП -модель), ДП-модель для политики безопасного администрирования (ПБА ДП-модель) [6] и ДП-модель с функционально и параметрически ассоциированными с субъектами сущностями (ФПАС ДП-модель) [7].

При описании КСС ДП-модели используем следующие предположения и определения.

Предположение 1. Будем считать, что КСС состоит из двух компьютеров (компьютера-источника и компьютера-приемника), удовлетворяющих следующим условиям:

— на компьютере-источнике и компьютере-приемнике функционируют доверенные субъекты «операционная система», реализующие среду для ПО, выполняющего стеганографические преобразования;

— на компьютере-источнике функционирует доверенный субъект, осуществляющий стеганографические преобразования данных из сущности-источника;

— на компьютере-приемнике функционирует доверенный субъект, осуществляющий обратное стеганографическое преобразование данных и их запись в сущность-приемник;

— передача данных между доверенными субъектами компьютера-источника и компьютера-приемника осуществляется через сущность «канал связи» (например, сеть Интернет);

— на компьютере-приемнике функционирует доверенный субъект, осуществляющий непосредственную обработку стеганографических контейнеров (таким образом, стеганографические контейнеры — видео, аудио или текстовые файлы — обрабатываются в соответствии с их содержанием, например, для просмотра).

Определение 1. Нарушителем в КСС является недоверенный субъект, имеющий право доступа на чтение к сущности «канал связи» (пассивный нарушитель) или имеющий права доступа на чтение и запись к сущности «канал связи» (активный нарушитель).

Определение 2. Нарушением безопасности КСС является реализация субъ-ектом-нарушителем направленного к себе информационного потока по памяти от сущности-источника или от сущности-приемника.

Определение 3. Доверенные субъекты компьютера-источника и компьютера-приемника называются стеганографически корректными, когда они не участвуют в реализации информационных потоков по памяти от сущности-источника или сущности-приемника к сущности «канал связи».

Определение 4. Доверенные субъекты компьютера-источника и компьютера-приемника называются параметрически корректными, когда они не участвуют в реализации информационных потоков по памяти от параметрически ассоциированных с ними сущностей к сущности «канал связи».

Существует ПО [І], сохраняющее в стеганографических контейнерах данные, позволяющие однозначно идентифицировать стеганографическое преобразование и осуществить обратное преобразование. Значит, не всегда доверенные субъекты, реализующие стеганографические преобразования, являются параметрически корректными. В то же время такие доверенные субъекты, как правило, не осуществляют сохранение в контейнерах или передачу по каналам связи скрываемых данных в явном, непреоб-разованном виде. Следовательно, стеганографическая корректность доверенных субъектов, реализующих стеганографические преобразования, является естественной для существующих КСС. Поэтому в дальнейшем будем использовать следующее предположение.

Предположение 2. Будем считать, что в рамках КСС ДП-модели все доверенные субъекты являются стеганографически корректными.

Из предположения 2 следует, что доверенные субъекты КСС не осуществляют непосредственную передачу данных, подлежащих стеганографичекому сокрытию, через сущность «канал связи». Кроме того, в соответствии с предположениями ФАС, ФПАС и ПБА ДП-моделей доверенные субъекты не реализуют информационные потоки по времени и имеют права доступа владения к сущностям, размещенным на компьютере, на котором функционирует соответствующий доверенный субъект.

В рамках предположений І и 2, используя элементы ФАС, ФПАС и ПБА ДП-моделей, опишем элементы КСС ДП-модели. Используем следующие обозначения: soS1, soS2 — доверенные субъекты «операционная система» компьютера-источника и компьютера-приемника соответственно;

eoS1 Є [soS1 ], eoS2 Є [soS2] —сущности, функционально ассоциированные с субъектами soS1 и soS2 соответственно;

es,ed — сущность-источник и сущность-приемник соответственно; s1 — доверенный субъект, реализующий стеганографическое преобразование на компьютере-источнике, при этом по определению выполняются условия s1 < soS1 (субъект s1 подчинен в иерархии сущностей субъекту soS1), s1 Є [soS1 ];

s2 — доверенный субъект, реализующий обратное стеганографическое преобразование на компьютере-приемнике, при этом по определению выполняются условия s2 < soS2, s2 Є [soS2 ];

s3 — доверенный субъект, осуществляющий на компьютере-приемнике непосредственную обработку стеганографических контейнеров, при этом по определению выполняются условия s3 < soS2, s3 Є [soS2];

e1 Є [s1], e2 Є [s2] —сущности, функционально ассоциированные с субъектами s1 и s2 соответственно (содержащиеся в сущностях данные задают стеганографическое преобразование, реализуемое субъектами);

e3 Є [s3] —сущность, функционально ассоциированная с субъектом s3; e1 Є^[, e'2 є]s2[ — сущности, параметрически ассоциированные с субъектами s1 и s2 соответственно (содержащиеся в сущностях данные идентифицируют стеганографическое преобразование, реализуемое субъектами); ес — сущность «канал связи»; sa — недоверенный субъект-нарушитель.

Начальное состояние Go = (So, Eo, Ro U Ao U Fo, Ho) системы E(G*, OP, Go) зададим в соответствии с рис. І (показан случай активного нарушителя, в случае пассивного нарушителя субъект sa не имеет права доступа writer к сущности ec).

Утверждение 1. Пусть в рамках КСС ДП-модели задана система E(G*, OP, Go) и выполнены предположения І и 2. Предикат can_write_memory(eS, sa, Go) или пре-

«?f€ J?i[ €os\ € [<?oii]

в

es

/ • \

, I i

! I *

t I •

< i 1

i i *

• / 1

: \ ownr

* * *

i / >

V 1

A »

\ и

\®/

e2 € fo] e2'€ M eos2 € [^j2] <?3 € [-Уз]

"" read,

Рис. 1. Начальное состояние системы в рамках КСС ДП-модели

дикат can_write_memory(ed, sa,G0) является истинным (происходит нарушение безопасности КСС) тогда и только тогда, когда выполняется одно из следующих трех условий:

Условие 1. Субъект-нарушитель sa является пассивным или активным, и доверенный субъект si или s2 является параметрически некорректным.

Условие 2. Субъект-нарушитель sa является активным, и хотя бы один из доверенных субъектов s1, s2, soSl и soS2 является некорректным (в соответствии с определением, заданным в рамках ФАС ДП-модели) относительно сущности ec.

Условие 3. Субъект-нарушитель sa является активным, и доверенный субъект s3 является некорректным относительно сущности 6d.

Доказательство. Доказательство необходимости выполнения условий утверждения является достаточно трудоемким и проводится аналогично обоснованию необ-

readr, writer \ read?, writer

writer s2 ] \ s0i2 Si

ходимых условий истинности предиката can_write_memory(x,y,G0), выполненному в рамках ФПАС ДП-модели [7].

Доказательство достаточности выполнения условий утверждения является конструктивным. В качестве примера приведем обоснование истинности предиката can_write_memory(es, sa,G0) при выполнении условия 1 утверждения. Пусть доверенный субъект s1 является параметрически некорректным. Тогда положим:

op1 = post(s1,ec,sa) —субъект s1 через сущность ec реализует информационный поток по памяти к субъекту-нарушителю sa;

op2 = own_take(readr,s1,e'1) —субъект s1, пользуясь правом доступа владения к сущности e1, получает к ней право доступа на чтение;

op3 = pass(e1, s1, sa) — субъект s1, являясь параметрически некорректным, реализует информационный поток по памяти от сущности e1 к субъекту-нарушителю sa;

op4 = know(sa, s1) — субъект-нарушитель sa, пользуясь информационным потоком по памяти от сущности e1, параметрически ассоциированной с субъектом s1, получает к нему право доступа владения;

op5 = take_right(readr, sa, s^ es) — субъект-нарушитель sa берет у субъекта s1 право доступа на чтение к сущности-источнику es;

op6 = access_read(sa,es) —субъект-нарушитель sa получает доступ на чтение к сущности-источнику es и реализует от нее к себе информационный поток по памяти.

Следовательно, существует траектория G0 hopi ... hope G6 = (S6, E6, R6 U A6 U UF6,H6), такая, что выполняется условие (es, sa,writem) E F6. Значит, предикат can_write_memory(es, sa, G0) является истинным. ■

Поясним смысл приведенных выше условий.

Условие 1 соответствует случаю, когда субъекты, реализующие стеганографические преобразования, передают в канал связи данные, позволяющие однозначно идентифицировать стеганографические преобразования.

При выполнении условия 2 доверенные субъекты КСС содержат уязвимости реализации, позволяющие активному субъекту-нарушителю, модифицировав данные, передаваемые по каналу связи, изменить содержание сущностей, функционально ассоциированных с доверенными субъектами, и получить над ними контроль.

В случае, когда выполняется условие 3, доверенный субъект, осуществляющий на компьютере-приемнике непосредственную обработку стеганографических контейнеров, содержит уязвимость реализации, позволяющую активному субъекту-нарушителю, модифицировав данные, передаваемые по каналу связи, изменить содержание сущностей, функционально ассоциированных с доверенным субъектом, и получить контроль над доверенными субъектами компьютера-приемника.

Доказательство утверждения показывает, что в рамках КСС ДП-модели возможен анализ безопасности КС, реализующих стеганографические преобразования данных и их передачу по каналам связи. Кроме того, возможно дальнейшее развитие КСС ДП-модели с целью более детального описания свойств и условий функционирования ПО, реализующего стеганографические преобразования, правил управления доступом, параметров администрирования и конфигурирования ОС, используемых в КСС.

ЛИТЕРАТУРА

1. Аграновский А. В., ДевянинП.Н., Хади Р. А., Черемушкин А. В. Основы компьютерной стеганографии: Учеб. пособие для вузов. М.: Радио и связь, 2003. 152 с.

2. Грибунин В. Г., Оков И. Н., Туринцев И. В. Цифровая стеганография. М.: СОЛОН-Пресс, 2002. 272 с.

3. Коханович Г. Ф., Пузыренко А. Ю. Компьютерная стеганография. Теория и практика. Киев: МК-Пресс, 2002. 288 с.

4. Bishop M. Computer Security: art and science. ISBN 0-201-44099-7, 2002. 1084 p.

5. Девянин П. Н. Модели безопасности компьютерных систем: Учеб. пособие для студ. высш. учеб. заведений. М.: Издательский центр «Академия», 2005. 144 с.

6. Девянин П. Н. Анализ безопасности управления доступом и информационными потоками в компьютерных системах. М.: Радио и связь, 2006. 176 с.

7. Колегов Д. Н. ДП-модель компьютерной системы с функционально и параметрически ассоциированными с субъектами сущностями // Вестник Сибирского государственного аэрокосмического университета им. акад. М. Ф. Решетнева. 2009. Вып. 1(22). Часть 1. С. 49-54.

i Надоели баннеры? Вы всегда можете отключить рекламу.