Мельников Д. А. - Информационная безопасность открытых систем - 2013
.pdfчисла и функции преобразования. В зависимости от сущно сти ВКП могут использоваться три функции преобразова ния (F):
a) ОНФ. Если ВКП представляет собой значение параметра подлинности, то уникальное число и значение параметра под линности преобразуются с помощью ОНФ. Результат и уни кальное число передаются проверяющей стороне, причем таким образом, чтобы последняя могла осуществить точно такое же преобразование;
B) Асимметричный алгоритм. Если ВКП представляет собой закрытый ключ, то уникальное число подписывается с помощью этого закрытого ключа;
c) Симметричный алгоритм. Если ВКП представляет собой секретный ключ, то уникальное число шифруется с помощью секретного ключа или защищается с помощью криптографи ческой проверочной суммы, при вычислении которой исполь зуемый секретный ключ выступает в роли параметра подлин ности.
Этот пример приемлем и для аутентификации объекта, и для аутентификации источника данных. При аутентификации ис точника даннйх данные или цифровой отпечаток данных могут также преобразовываться с помощью функции F.
Служба запроса используется для получения интерактивно го СЕРТ|АУ и ВКП. Затем служба формирования генерирует уникальное число и осуществляет преобразование, используя следующие входные параметры:
a) уникальное число; B) ВКП;
c)УИД (дополнительно);
d)цифровой отпечаток (если требуется аутентификация источника данных).
Кроме этого, если ВКП является значением параметра под линности или секретным контрольным ключом, то служба формирования передает этот параметр в зашифрованном виде, причем таком, чтобы только конкретная проверяющая сторо
174
на могла его расшифровать, и вырабатывает ВИАУ для обмена (рис. 3.20).
Запрос аутентификации, [уникальноечисло], С ЁРТ/А У (УИД, [метод защиты], параметр защиты,...),
[С(ВКП,...)]
F(BKf1, уникальное число, [цифровой отпечаток])
i
...... ! |
Одна итерация |
Претендент |
бъект |
(объект аутентификации) |
Рис. 3.20. Способ аутентификации на основе уникального числа
и интерактивного СЕРТ|АУ‘
Служба проверки проверяет ВИАУ для обмена на предмет ее подлинности, используя параметр защиты из СЕРТ|АУ. Кроме этого, если используется значение параметра подлинности или секретный контрольный ключ, то служба проверки расшифро вывает зашифрованное значение параметра подлинности или зашифрованный секретный контрольный ключ, которые она сравнивает с параметром защиты. Также служба проверки про веряет, что уникальное число ранее успешно не использовалось (не было получено).
3 .10 .2 . С п о со б аутен ти ф и кац и и с использованием в стречного зап р о с а и и н тер акти в н о го С Е Р Т|А У
Для реализации этого способа применяется СЕРТ|АУ с целью обеспечения защиты аутентификации в соответствии1
1 1. СЕРТ/АУ(...) используется для обозначения СЕРТ|АУ, включаю щего соответствующие параметры. 2. С(...) используется для обозначения прикладного процесса службы обеспечения конфиденциальности. Эта служба используется только тогда, когда ВКП является значением пара метра подлинности.
175
с принципом «d)» (§ 3.1.3) и способ аутентификации на осно ве встречных запросов, представленный в § 3.4.1.5. СЕРТ|АУ обеспечивает защиту той ДТС, которая аутентифицировала владельца этого СЕРТ|АУ, имеющего специфический УИД. Этот способ обеспечивает доказательство того, что СЕРТ|АУ, имеющий соответствующий УИД, был получен претенден том.
Вданном примере используются интерактивные СЕРТ|АУ,
аУИД, метод защиты, параметр защиты и период действия СЕРТ|АУ включены в состав СЕРТ|АУ. Этот пример позволяет использовать соответствующий СЕРТ|АУ не один раз.
Метод защиты указывает на связь между параметром защи ты, содержащимся в СЕРТ|АУ, и ВКП, используемым для за щиты СЕРТ|АУ от несанкционированного применения. ВКП может быть связан с параметром защиты посредством однона правленной зависимости, такой как:
•ВКП представляет собой значение параметра подлинно сти, а параметр защиты является результатом вычисле ния однонаправленной функции по значению параметра подлиншзсти;
•ВКП представляет собой закрытый ключ, а параметр защиты является соответствующим открытым клю чом.
Когда значение параметра подлинности используется как ВКП, тогда это значение передается проверяющей стороне в ка честве защиты права собственности на СЕРТ|АУ. В течение пе редачи должна быть обеспечена конфиденциальность ключа, т.е. он должен передаваться в зашифрованном виде претендентом проверяющей стороне с использованием внешнего секретного ключа, связанного с конкретным каналом связи или с приемной стороной канала связи.
Защита права собственности от атак типа «повторная пере дача» достигается за счет использования встречного запроса и функции преобразования. В зависимости от сущности ВКП мо гут использоваться три функции преобразования (F):
176
a)ОНФ. Если ВКП представляет собой значение параметра подлинности, то встречный запрос и значение параметра подлинности преобразуются с помощью ОНФ. Результат и встречный запрос передаются проверяющей стороне, причем таким образом, чтобы последняя могла осуще ствить точно такое же преобразование;
B) Асимметричный алгоритм. Если ВКП представляет со бой закрытый ключ, то встречный запрос подписывается
с помощью этого закрытого ключа;
c)Симметричный алгоритм. Если ВКП представляет собой секретный ключ, то встречный запрос шифруется с помо щью секретного ключа или защищается с помощью крип тографической проверочной суммы, при вычислении ко торой используемый секретный ключ выступает в роли параметра подлинности.
Этот пример приемлем и для аутентификации объекта, и для аутентификации источника данных. При аутентификации ис точника данных данные или цифровой отпечаток данных могут также преобразовываться с помощью функции F.
Служба запроса используется для получения интерактивно го СЕРТ|АУ и ВКП. Затем служба формирования генерирует запрос аутентификации. После получения запроса на аутенти фикацию служба проверки формирует встречный запрос в ка честве ВИАУ для обмена. В дальнейшем служба формирования осуществляет преобразование, используя следующие входные параметры:
•встречный запрос;
•ВКП;
•УИД (дополнительно);
•цифровой отпечаток (если требуется аутентификация источника данных).
Кроме этого, если ВКП является значением параметра под линности или секретным контрольным ключом, то служба
177
формирования передает этот параметр в зашифрованном виде, причем в таком, что только бы конкретная проверяющая сторо на могла его расшифровать, и вырабатывает ВИАУ для обмена (рис. 3.21).
Первая итерация |
1 Вторая итерация |
||
З а п р о с а у т е н т и ф и к а ц и и , в с тр еч н ы й за п р о с |
К |
|
|
|
' |
" \ |
|
i |
щ |
|
|
|
|
|
|
г |
- | |
|
|
С Е Р Т 1 А У {У Щ , [м е то д за щ и ты ], п а р а м е т р з а щ и т ы ,.. |
* 4 |
|
|
[ С ( В К П , ... ) ] |
|
|
|
Г (В К П , вс тр еч н ы й з а п р о с , [У И Д ], [ц и ф р о в о й о тп е ч а т о к ]) |
|
|
|
П р е т е н д е н т |
П р о в е р я ю щ а я с т о р о н а |
||
(о б ъ е к т а у т е н т и ф и к а ц и и ) |
(с у б ъ е к т а у т е н т и ф и к а ц и и ) |
||
Рис. 3.21. Способ аутентификации на основе встречного запроса
и интерактивного СЕРТ|АУ'
Служба проверки проверяет ВИАУ для обмена на пред мет ее подлинности, используя параметр защиты из СЕРТ|АУ. Кроме этого, если используется значение параметра подлин ности или секретный контрольный ключ, то служба проверки расшифровывает зашифрованное значение параметра под линности или зашифрованный секретный контрольный ключ, которые она сравнивает с параметром защиты. Также служба проверки проверяет, что встречный запрос совпадает с тем, ко торый был передан.
Общая структура службы аутентификации представлена в табл. 3.2.1
11. СЕРТ/АУ(...) используется для обозначения СЕРТ|АУ, включающе го соответствующие параметры. 2. С(...) используется для обозначения при кладного процесса службы обеспечения конфиденциальности. Эта служба используется только тогда, когда ВКП является значением параметра под линности.
178
Таблица 3.2
Объект/субъект: Поетендент. пооверяющая сторона, ДТС, взаимодей ствующая сторона, администратор ИнсЬопманионный объект: ВИАУ
Цель объекта: обеспечить гарантии прелъявляемого параметра подлинности объекта Центр безопасности, взаимодействующая сторо на, администратор
— Разблокировка
— Деинсталляция
Г л а в а 4
Т Е О Р Е Т И Ч Е С К И Е О С Н О В Ы У П Р А В Л Е Н И Я Д О С Т У П О М
Совместные процедуры определения разрешенных к исполь зованию ресурсов в открытых системах ЭМВОС или Интернетархитектуры и предотвращения несанкционированного доступа (НСД) там, где это необходимо, называются управление досту пом. В данной главе рассмотрен общий подход к реализации СЛУД. Кроме того:
•определены общие концепции УД;
•представлен метод, в соответствие с которым базовые кон цепции УД могут быть использованы при обеспечении от дельных наиболее известных служб и способов УД;
•описаны такие службы и соответствующие способы УД;
•определены функциональные требования к протоколам, которые реализуют такие службы и способы УД;
•определены требования по обеспечению таких служб и способов УД;
•рассмотрено взаимодействие служб и способов УД с дру гими службами и способами обеспечения безопасности.
Как и в других службах обеспечения безопасности, УД мо жет осуществляться только в рамках контекста (содержания) принятой ПЛБ для соответствующей прикладной системы.
4 .1 . О б щ и е п о л о ж е н и я 4 .1 .1 . Цель управления доступом
Основная цель УД заключается в парировании угроз, связан ных с несанкционированными операциями (действиями), кото рые затрагивают функционирование компьютеров или систем связи. Такие угрозы, как правило, группируются в следующие классы:
180
•неавторизованное (несанкционированное) использова ние;
•раскрытие (вскрытие);
•модификация;
•разрушение;
•отказ в обслуживании.
Частными целями УД являются:
•УД процессов (которые могут функционировать от име ни пользователей или других процессов) к данным, дру гим процессам или вычислительным ресурсам;
•УД в рамках сетевого сегмента безопасности (ССБ) или через один или несколько ССБ;
•УД в соответствии с его условиями (например зависи мость от таких факторов, как время неудачной попытки доступа, размещение (местоположение) средства доступа или маршрут доступа);
•УД, которое реагирует на изменения авторизации в тече ние периода доступа.
4 .1 .2 . О сновны е аспекты У Д
В дальнейшем рассматриваются абстрактные функции УД, как правило, независящие от политик УД (ПЛУД) и системных проектов. УД в реальных системах затрагивает многие типы объ ектов, среди которых:
•физические объекты (например реальные системы);
•логические объекты (например объекты уровней ЭМ ВОС или Интернет-архитектуры, файлы, организации и предприятия);
•пользователи (физические лица).
УД в реальных системах может потребовать проведения це лого комплекса процедур (мероприятий). Такими процедурами являются:
•формирование структуры ПЛУД;
181
•определение формата данных (информации) для УД (access control information — ВИ для обеспечения УД, ВИУД-формат);
•размещение ВИУД в элементах (инициаторы, целевые объекты или запросы доступа);
•привязка ВИУД к элементам;
•преобразование вспомогательной информации, необ ходимой для принятия решения при УД (access control decision information — ВИПР), в форму, приемлемую для реализации (выполнения) функции принятия решения о предоставлении (отказе) доступа (access control decision function —ФПРР);
•реализация функций УД;
•изменение ВИУД (в любой момент времени после раз мещения соответствующей ВИУД, включая аннулирова ние);
•аннулирование ВИПР.
Эти процедуры могут быть разделены на две группы:
•функциональные (преобразование ВИПР в форму, при емлемую для реализации ФПРР, и выполнение ФПРР);
•обеспечивающие (все оставшиеся мероприятия).
Некоторые из процедур могут быть сгруппированы в рамках реальной системы как одна процедура по опознанию. Несмотря на то, что некоторые процедуры УД необходимо проводить пре жде, чем другие, очень часто многие из них перекрывают друг друга, а некоторые процедуры могут проводиться повторно.
4.1.2.1. Реализация функций УД
На рис. 4.1 и 4.2 представлены функции, являющиеся осно вополагающими при УД. Другие функции могут быть необходи мы в течение всей процедуры УД.
Основными объектами и функциями, привлекаемыми в про цессе УД, являются инициатор (initiator), функция принуж дения при УД (access control enforcement function — ФПРИ), ФПРР и целевой объект (target).
182
Рис. 4.1. Основополагающие функции при УД
Запроса на |
Принятое |
принятие |
решение |
решения |
|
Информация для принятия решения относительно инициатора запроса доступа
|
Информация для |
Функция принятие1 |
принятия решения |
относительно |
|
решения о предоставлении |
целевого |
доступа |
объекта |
(ФПРР-модуль) |
|
Информация для |
Хранимая инсформация |
Контекстно |
|
принятия решения |
для принятия1решения |
||
при УЯ |
|||
относительно |
зависимая |
||
запроса |
|
информация |
|
доступа |
|
|
|
Правила |
|
|
|
УДП |
|
|
Рис. 4.2. Функция принятия решения при УД
Инициаторами могут быть пользователи (физические лица) и машинные (основанные на применении вычислительной ма шины) объекты (процессы), которые имеют доступ или пытают ся получить доступ к целевым объектам. В реальных системах инициатором является машинный объект, несмотря на то что за просы машинного объекта на доступ от имени инициатора могут быть впоследствии ограничены ВИУД, принадлежащей машин ному объекту.
Целевыми объектами являются машинные объекты (про цессы) или объекты связи, по отношению к которым осущест вляется попытка получения доступа или к которым инициаторы
183