Научная статья на тему 'Условия безопасности информационных потоков по памяти в рамках МРОСЛ ДП-модели'

Условия безопасности информационных потоков по памяти в рамках МРОСЛ ДП-модели Текст научной статьи по специальности «Математика»

CC BY
521
79
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
КОМПЬЮТЕРНАЯ БЕЗОПАСНОСТЬ / ФОРМАЛЬНАЯ МОДЕЛЬ / ИНФОРМАЦИОННЫЙ ПОТОК / LINUX / COMPUTER SECURITY / FORMAL MODEL / INFORMATION FLOW / ACCESS CONTROL

Аннотация научной статьи по математике, автор научной работы — Девянин Петр Николаевич

В рамках мандатной сущностно-ролевой ДП-модели, ориентированной на реализацию в отечественной защищённой операционной системе специального назначения Astra Linux Special Edition, анализируются условия безопасности информационных потоков по памяти в смысле Белла ЛаПадулы и мандатного контроля целостности.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Security conditions for information flows by memory within the mrosl DP-model

Some sufficient conditions for security of information flows by memory are analysed within a mandatory entity-role security model of access and information flows control in OS Linux set (MROSL DP-model). The implementation of this conditions provides, firstly, a mandatory integrity control (MIC) preventing any modification (via a proper information flow by memory) of entities with a certain integrity level by a subject-session with a small integrity level, and, secondly, a mandatory access control (MAC) preventing information flows by memory from entities with a high level of confidentiality to entities with a low level of confidentiality.

Текст научной работы на тему «Условия безопасности информационных потоков по памяти в рамках МРОСЛ ДП-модели»

ной СУБД имеет следующую архитектуру. На стороне клиента приложению посредством специальной библиотеки предоставляется NoSQL-интерфейс доступа к данным. На стороне сервера MySQL реализован модуль расширения (plagin), который преобразует NoSQL-запросы приложения в низкоуровневые операции подсистемы хранения данных (storage engine). В дополнение к стандартному MySQL-протоколу взаимодействия клиента и сервера БД реализован дополнительный NoSQL-протокол с поддержкой выборки по диапазону над зашифрованными данными. Отличительными характеристиками NoSQL-протокола являются: 1) асинхронность (работа клиента на время обработки запроса сервером не приостанавливается); 2) поддержка интерактивного алгоритма шифрования (на сервере хранится промежуточное состояние взаимодействия); 3) обход SQL-уровня MySQL-сервера, что позволяет избежать временных затрат на синтаксический анализ и оптимизацию запросов. Наиболее близким аналогом разработанной СУБД можно назвать исследовательский проект CryptDB [4], в котором подсистема, реализующая шифрование данных, является настройкой (прокси-сервером) над СУБД MySQL.

ЛИТЕРАТУРА

1. Жиров А. О., Жирова А. О., Кренделев С. Ф. Безопасные облачные вычисления с помощью гомоморфной криптографии // БИТ. 2013. Т. 1. С. 6-12.

2. Popa R. A., Li F. H., and Zeldovich N. An ideal-security protocol for order-preserving encoding // IEEE Symp. Security and Privacy. San Francisco, CA, USA, May 23-24, 2013. P. 463-477.

3. Boldyreva A., ChenetteN., Lee Y., and O’Neill A. Order-preserving symmetric encryption // EUROCRYPT’09. LNCS. 2009. V. 5479. P. 224-241.

4. Papa R. A., Redfield C. M. S., Zeldovich N., and Balakrishnan H. CryptDB: protecting confidentiality with encrypted query processing // Proc. Twenty-Third ACM Symp. Operating Systems Principles (SOSP’11). New York, NY, USA, 2011. P. 85-100.

УДК 004.94

УСЛОВИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ПОТОКОВ ПО ПАМЯТИ В РАМКАХ МРОСЛ ДП-МОДЕЛИ

П. Н. Девянин

В рамках мандатной сущностно-ролевой ДП-модели, ориентированной на реализацию в отечественной защищённой операционной системе специального назначения Astra Linux Special Edition, анализируются условия безопасности информационных потоков по памяти в смысле Белла — ЛаПадулы и мандатного контроля целостности.

Ключевые слова: компьютерная безопасность, формальная модель, информационный поток, Linux.

Фундаментальным требованием безопасности операционных систем, реализующих мандатное управление доступом, является предотвращение возможности реализации информационных потоков по памяти «сверху вниз» (безопасность в смысле Белла — ЛаПадулы [1]). Кроме того, современную защищённую операционную систему трудно представить без мандатного контроля целостности, основой которой является предотвращение возможности модификации (через создание соответствующих информационных потоков по памяти) сущностей с высоким уровнем целостности субъект-сесси-

ями с низким уровнем целостности. Таким образом, важным этапом при разработке мандатной сущностно-ролевой ДП-модели (МРОСЛ ДП-модели) [1-3], реализуемой в настоящее время в отечественной защищенной операционной системе специального назначения (ОССН) Astra Linus Special Edition [4], стало формулирование и обоснование достаточных условий безопасности в смысле Белла — ЛаПадулы и мандатного контроля целостности.

Дополнительно к использованным в перечисленных работах дадим следующие определения и обозначения.

Определение 1. Доверенную субъект-сессию y назовем функционально корректной относительно доверенной субъект-сессии y' и сущности или субъект-сессии e, когда y не реализует информационный поток по памяти от e к некоторой сущности e', функционально ассоциированной с y'. Субъект-сессию y назовем абсолютно функционально корректной относительно субъект-сессии y' и сущности или субъект-сессии e, когда y не реализует информационный поток по памяти от e к некоторой сущности e', функционально ассоциированной с y'. При этом используем следующие обозначения:

— f _correct : LS ^ 2LsX(EuS) —функция, задающая для каждой доверенной субъект-сессии множество пар вида (доверенная субъект-сессия, сущность или субъект-сессия), относительно которых она функционально корректна;

— af _correct : S ^ 2Sx(EuS) —функция, задающая для каждой субъект-сессии множество пар вида (субъект-сессия, сущность или субъект-сессия), относительно которых она абсолютно функционально корректна.

Определение 2. Доверенную субъект-сессию y назовем параметрически корректной относительно доверенной субъект-сессии y' и сущности или субъект-сессии e, когда y не реализует информационный поток по памяти от или к e от или к некоторой сущности e', параметрически ассоциированной с y'. Субъект-сессию y назовем абсолютно параметрически корректной относительно субъект-сессии y' и сущности или субъект-сессии e, когда y не реализует информационный поток по памяти от или к e от или к некоторой сущности e', параметрически ассоциированной с y'. При этом используем следующие обозначения:

— p_correct : LS ^ 2LsX(EuS) —функция, задающая для каждой доверенной субъект-сессии множество пар вида (доверенная субъект-сессия, сущность или субъект-сессия), относительно которых она параметрически корректна;

— ap_correct : S ^ 2Sx(EuS) —функция, задающая для каждой субъект-сессии множество пар вида (субъект-сессия, сущность или субъект-сессия), относительно которых она абсолютно параметрически корректна.

Определение 3. Назовём траекторию G0 hopi G1 -op2 ... -opN GN системы E(G*,OP, G0), где N ^ 0, на которой доверенные субъект-сессии не инициируют выполнение де-юре правил преобразования состояний, траекторией без кооперации доверенных и недоверенных субъект-сессий. Таким образом, по определению в системе S(G*, OP, G0) на траекториях без кооперации доверенных и недоверенных субъект-сессий для передачи прав доступа доверенные субъект-сессии могут инициировать выполнение только де-факто правил вида flow_memory_access(x,y,aa), flow_time_access(x,y), find(x,y, z), post(x,y, z) и pass(x,y, z).

Определение 4. Состояние G системы E(G*, OP, G0) назовём безопасным, когда оно удовлетворяет следующим условиям:

— для каждых субъект-сессий х,у Е Б, таких, что у Е de _f acto _own(x), выполняется

1з{у) = fs(x) и is(У) ^ is(x);

— для каждых недоверенной субъект-сессии х Е Ns, субъект-сессии у Е Б и сущности е Е Е, таких, что либо (е Е [у] и (х,е^тиет) Е Е), либо (е Е]у[ и либо (е,х^тйет) Е Е, либо (x,e,reada) Е А), верны условия fs(у) ^ fs(x) и Іs{y) ^ is(x)]

— для каждой доверенной субъект-сессии у Е Ls и каждой сущности с^_епШу Е Е Е_HOLE, где с Е LC, верно условие (у,с^_еЫйу^гйеа) Е А;

— для каждого информационного потока (x,y,af) Е Е, где Е ^гйет^гНе^, справедливо ^^) ^ fy(у), где ^ и fy — соответствующие функции fe, fr или fs,

и, если = writem, то справедливо ix ^) ^ % (у), где ix и iy — соответствующие функции ie или is.

Определение 5. Пусть Со — безопасное начальное состояние системы Т.(О*, ОР, О0) и существует траектория без кооперации доверенных и недоверенных субъект-сессий О0 -ор1 С\ -ор2 ■ ■ ■ ^~орм Ом, где N ^ 1. Будем говорить, что в состоянии Ом произошло нарушение безопасности системы, когда в нём выполняется одно из следующих условий, при этом они не выполняются в состояниях О1 траектории, где 0 ^ i < N:

— существуют недоверенная субъект-сессия x Е NsN и доверенная субъект-сессия у Е de_facto_ownN^) П LSN, такие, что iSN (у) = i_high (нарушение безопасности в смысле мандатного контроля целостности);

— существует информационный поток по памяти (x,y,writem) Е Ем, такой, что x,y Е Ем и не верно неравенство feN ^) ^ feN (у) (нарушение безопасности в смысле Белла — ЛаПадулы);

— существует информационный поток по времени ^, у, writet) Е Ем, такой, что x,y Е Е Ем и не верно неравенство feN ^) ^ feN (у) (нарушение безопасности в смысле контроля информационных потоков по времени).

В следующей базовой теореме безопасности (БТБ-ДП) сформулированы достаточные условия безопасности системы, заданной в рамках МРОСЛ ДП-модели, в смыслах Белла — ЛаПадулы и мандатного контроля целостности. При этом анализ условий безопасности информационных потоков по времени как существенно более сложный планируется осуществить при проведении дальнейших исследований.

Теорема 1. Пусть О0 — безопасное начальное состояние системы Е(О*,ОР,О0). Пусть на всех траекториях системы без кооперации доверенных или недоверенных субъект-сессий О0 —ор1 О\ —ор2 ■ ■ ■ —0pN Ом, где N ^ 0, и в каждом состоянии Ом для каждой субъект-сессии в Е Бм и сущности е Е Ем выполняются следующие условия:

— если е Е [в], то выполняются условия iSN(в) ^ ieN(е) и (fSN(в) = feN(е) или ieN (е) = i_high) (корректность уровней конфиденциальности и целостности сущностей, функционально ассоциированных с субъект-сессиями);

— если е Е]в[, то выполняется равенство fSN (в) = feN (е) и для каждой роли или административной роли г Е Ям и АЯм, такой, что (e,readr) Е РАм(г), выполняются условия iSN (в) ^ ieN (е) ^ irN (г) (корректность уровней конфиденциальности и целостности, а также прав доступа на чтение к сущностям, параметрически ассоциированным с субъект-сессиями);

— для всех доверенных субъект-сессий в Е LSN верны равенства f _correctм(в) = = p_correctм (в) = LsN х (Ем и Бм) (функциональная и параметрическая кор-

ректность всех доверенных субъект-сессий относительно всех доверенных субъект-сессий и сущностей);

— для всех субъект-сессий s Е SN выполняются равенства {s' Е SN : fSN (s') = = fSN(s)}x(EN U SN) С af_correctN(s) = ap_correctN(s) (абсолютная функциональная и параметрическая корректность субъект-сессии относительно всех сущностей и субъект-сессий с совпадающим уровнем конфиденциальности).

Тогда система T,(G*, OP, G0) безопасна в смыслах Белла — ЛаПадулы и мандатного контроля целостности.

Условия теоремы БТБ-ДП требуют от ОССН функционально и параметрически корректной (абсолютно корректной) реализации всех субъект-сессий и корректного задания соответствующих уровней конфиденциальности и целостности функционально или параметрически ассоциированных с ними сущностей. Если, например, субъект-сессия, имеющая высокий уровень доступа, некорректно обрабатывает данные («заражается») в сущностях с низким уровнем конфиденциальности и это приводит к получению фактического владения над нею субъект-сессией с низким уровнем доступа, то система защиты ОССН не сможет этому воспрепятствовать. Таким образом, условия теоремы БТБ-ДП указывают на необходимость повышения качества разработки прикладного программного обеспечения ОССН.

ЛИТЕРАТУРА

1. Девянин П. Н. Модели безопасности компьютерных систем. Управление доступом и информационными потоками: учеб. пособие для вузов. 2-е изд., испр. и доп. М.: Горячая линия — Телеком, 2013. 338 с.

2. Девянин П. Н. Адаптация мандатной сущностно-ролевой ДП-модели к условиям функционирования ОС семейства Linux // Системы высокой доступности. 2013. №3. С. 98-102.

3. Девянин П. Н. Администрирование системы в рамках мандатной сущностно-ролевой ДП-модели управления доступом и информационными потоками в ОС семейства Linux // Прикладная дискретная математика. 2013. №4(22). С. 22-40.

4. Операционные системы Astra Linux. http://www.astra-linux.ru/.

УДК 004.94

ОБЩИЙ МЕТОД АУТЕНТИФИКАЦИИ НТТР-СООБЩЕНИЙ В ВЕБ-ПРИЛОЖЕНИЯХ НА ОСНОВЕ ХЕШ-ФУНКЦИЙ

Д. Н. Колегов

Предлагается метод аутентификации HTTP-сообщений в веб-приложениях, построенный на основе криптографических протоколов с ключевыми хеш-функциями. Данный метод может быть использован для защиты от многих атак на веб-приложения, использующих уязвимости в реализации механизмов аутентификации или авторизации.

Ключевые слова: криптографические протоколы, аутентификация сообщений, веб-приложения.

Одним из свойств, характеризующих безопасность протоколов, является свойство аутентификации сообщений, заключающееся в обеспечении аутентификации источника данных и целостности передаваемого сообщения. Аутентификация источника данных означает, что протокол обеспечивает гарантии того, что полученное сообщение или

i Надоели баннеры? Вы всегда можете отключить рекламу.