Мельников Д. А. - Информационная безопасность открытых систем - 2013
.pdf4 .9 .3 . И н ф о р м ац и о н н о е взаим одействие м е ж д у ко м п о н е н та м и У Д
Рис. 4.8. Взаимосвязи между Ф ПРИ - и ФПРР-модулями
Ф П РР может быть реализована с помощью одного или нескольких ФПРР-модулей. И Ф ПРИ может быть реали зована с помощью одного или нескольких ФПРИ-модулей. Варианты взаимосвязей между компонентами УД представ лены на рис. 4.8, где рассматриваются взаимосвязи только для случая с одним инициатором и с одним целевым объ ектом:
а) инициатор представляет запрос доступа непосредствен но в ФПРИ-модуль, расположенный у этого инициатора,
244
который запрашивает разрешение у ФПРР-модуля. Если доступ разрешен, ФПРИ-модуль объявляет об этом целе вому объекту, указанному в запросе;
b)инициатор представляет запрос доступа непосредственно
вФПРИ-модуль, расположенный у запрашиваемого це левого объекта, который, в порядке очереди, направляет его в ФПРР-модуль для принятия решения. Если доступ разрешен, ФПРИ-модуль объявляет об этом целевому объекту, указанному в запросе. Существует корреляция между функциональностью и расположением в вари антах а) и Ь). ФПРИ-модуль осуществляет управление входящим или исходящим запросом доступа или обоими одновременно, следовательно, ФПРИ-модуль может за прашиваться инициатором, целевым объектом или про межуточным ФПРИ-модулем;
c)инициатор представляет запрос доступа в промежуточ ный ФПРИ-модуль, который, в порядке очереди, на правляет его в ФПРР-модуль для принятия решения. Если доступ разрешен, ФПРИ-модуль объявляет об этом целевому объекту, указанному в запросе;
d)информационное взаимодействие представляет собой композицию вариантов a) vib) с одним и тем же ФПРРмодулем, положительно отвечающий на запрос доступа, поступивший от ФПРИ-модулей инициатора и целе вого объекта. Инициатор представляет запрос доступа непосредственно в ФПРИ-модуль, расположенный у этого инициатора, который запрашивает разрешение у ФПРР-модуля. Если доступ разрешен, ФПРИ-модуль инициатора запрашивает доступ у ФПРИ-модуля, расположенного у запрашиваемого целевого объекта. ФПРИ-модуль целевого объекта, в порядке очереди, на правляет запрос доступа в ФПРР-модуль для принятия решения. Если доступ разрешен, ФПРИ-модуль целевого объекта объявляет об этом целевому объекту, указанному
взапросе;
245
е) и /) раздельные ФПРИ-модули реализуют функцию при нуждения для входящих и исходящих запросов доступа в процедуре УД. В варианте е) информационный обмен по добен варианту с), за исключением того, что оба ФПРИмодуля должны выработать положительное решение для запрашиваемого доступа. В вариантеf ) информационный обмен представляет собой композицию вариантов a) nb) с раздельными ФПРИ-модулями.
Рассмотренные варианты информационного взаимодей ствия существенно упрощены. Тем не менее можно рассмотреть и более сложные варианты информационного взаимодействия между инициатором, целевым объектом и ФПРИ-модулями, включив последовательные, вложенные и рекурсивные объ екты.
4.10. Сравнительный анализ УДПР и УДПП
УДПР очень часто рассматриваются как политика, осно ванная на использовании маркеров безопасности, включая инициаторов, обладающих разрешениями, которые подобны «секретному слову» или «специальному параметру», и защи щенные целевые объекты, распределенные аналогичным об разом по соответствующим группам, имеющим уникальные имена.
УДПП представляет собой политику, в которой индивиду альные пользователи или их группы или ролевые объекты по лучают доступ (либо им доступ запрещается) на основе их пара метров подлинности или ВИУД.
После детального анализа некоторые различия между УДПР и УДПП становятся неочевидными: разрешения в рам ках УДПР и ВИУД об инициаторе по существу одно и то же. Разрешения, которые связаны с УДПР, могут рассматриваться, как соответствующая ВИУД об инициаторе. В самом деле, если пользователи в соответствии с УДПР обладают уникальными неиерархическими индивидуальными разрешениями, то по-
246
следние становятся эквивалентны параметрам подлинности пользователя, а группы целевых объектов становятся эквива лентны записям в списках УД.
Очень часто между УДПР и УДПП проявляется и другое различие, которое заключается в том, что УДПР устанавлива ются административно, тогда как УДПП выбираются пользова телями. С точки зрения общих основ обеспечения безопасности различие лежит в УД к ВИУД, когда сама ВИУД трактуется как целевой объект (в смысле ее модификации). Это различие не очевидно: существует различие в выборе распределения или централизации возможного управления, что зависит от ПЛУД, диапазон которых начинается от чисто административного на значения политики до ее избирания исключительно пользо вателем. Конкретная ситуация отображается в совокупность реальных требований, устанавливаемых администраторами безопасности или их посредниками (например менеджерами департамента или руководителями группы), в отличие от инди видуально устанавливаемых ПЛУД.
4.11. Способ обеспечения ретрансляции ВИУД через инициатора
Вэтом способе участвуют три объекта:
•инициатор А;
•объект С;
•объект В.
Основное предназначение этого способа состоит в том, что бы позволить инициатору начать доставку информации напря мую от объекта С объекту В без участия инициатора Л в течение фазы доставки.
Инициатор первым запрашивает доступ к объекту С и пре доставляет ему ВИУД, привязанную к инициатору, чтобы полу чить доступ. Затем объект С предоставляет инициатору некую информацию, которая будет использоваться позднее объектом
247
В для получения доступа к объекту С. Эта информация состоит из следующих двух частей:
•уникальная ссылка на объект С, которая используется в течение срока действия ссылки;
•криптографический ключ, защищенный с использованием службы обеспечения конфиденциальности, для информа ционного взаимодействия объекта С и инициатора.
Сцелью обеспечения доступа к объекту С, объекту В необ ходимо получить от инициатора А уникальную ссылку и крип тографический ключ. При доставке от инициатора до объекта В криптографический ключ защищается на основе использования службы обеспечения конфиденциальности.
Взаключение уникальная ссылка и криптографический ключ используются объектом В для формирования ВИУД, при вязанной к запросу доступа. Последняя состоит из уникальной ссылки и криптографической проверочной суммы, вычислен ной с использованием криптографического ключа.
Вдальнейшем объект С может предоставить доступ, если криптографический ключ, используемый для вычисления крип тографической проверочной суммы, совпадет с одним из клю чей, указанных в ссылке.
Общая структура службы управления доступом представле на в табл. 4.1.
|
|
Таблица 4.1 |
Структура службы |
Элемент |
Объект/субъект: Инипиатоп. Леле- |
обеспечения безопас- |
|
вой объект |
ности (управления |
Ф у н к ц и и : Ф у н к ц и я ппинужления |
|
доступом) |
||
при УД, Функция принятия реше |
||
|
ния о предоставлении доступа |
|
|
Информация: Информация лля УЛ. |
|
|
Информациидля принятия решения |
|
|
при УД, Контекстно-зависимая ин |
|
|
формация, Правила политики УД |
|
|
Лель объектов: интерпретировать информацию |
|
|
для предоставления инициаторамдоступа кцеле |
|
|
вымобъектам, только какавторизованного |
248
Таблица 4.1 (продолжение)
|
Объект/субъект |
Центр безопасности сетевого сегмента |
||
|
Функция |
|
|
|
|
Мероприятия, |
—Инсталляция инфор- |
—Блокировка ком- |
|
|
связанные с |
мации для УД |
|
понента |
|
обеспечением |
—Изменение информа- |
—Разблокировка |
|
|
процедуры УД |
ции для УД |
|
компонента |
|
|
—Аннулирование ин |
|
|
|
|
формации для УД |
|
|
|
|
—Аннулирование ин |
|
|
|
|
формации для принятия |
|
|
|
|
решения при УД |
|
|
|
|
—Регистрация инфор |
|
|
|
|
мации для УД |
|
|
м |
Объект/ |
Инициатор |
Целевой объ |
|
Е |
субъект |
|
ект |
|
Р |
Функция |
|
|
Функция при |
0 |
|
|
||
|
|
|
нятия решения о |
|
|
|
|
|
|
П |
предоставлении |
|
Р |
||
доступа |
||
И |
||
|
||
Я |
|
|
Т |
|
|
И |
|
|
Я |
|
И
н
Л)
0
р
м
А
Ц
И
Я
|
Таблица 4.1 (окончание) |
Элементы |
—Идентификаторы (Центра безопасности сете |
данных, опреде |
вого сегмента, инициатора, целевого объекта, по |
ляемые Центром |
литики защищенного информационного взаимо |
безопасности |
действия, групп, ролевых объектов) |
сетевого сегмента |
—Критерий отбора информации для УД |
|
—Время (период времени) действия |
|
—Маркер критичности |
|
—Маркер целостности |
Информация, |
—Информациядля УД / Информация для приня- |
используемая в тия решения при УД (об инициаторе, привязанная
процедуре УД |
кинициатору, о целевом объекте, привязанная к |
||
|
целевому объекту, о запросе доступа, привязанная |
||
|
кзапросу доступа, об объекте процедуры, привя |
||
|
занная кобъекту процедуры, об информационном |
||
|
обмене, контекстно-зависимая, сохраняемая) |
||
|
—Перечень УД |
|
|
|
—Мандатдоступа |
|
|
|
—Метка |
|
|
|
—Сертификат для УД |
|
|
|
—Маркер УД |
|
|
Контрольная |
—Период вре- |
—Структура |
—Маршрут |
информация |
мени |
и формат по- |
соединения |
|
—Состояние |
литикиУД |
|
|
системы |
—Уровень |
|
|
|
аутентифи |
|
|
|
кации |
|
Глава 5 __________________________________
ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ОБЕСПЕЧЕНИЯ НЕОТКАЗУЕМОСТИ
Цель функционирования службы обеспечения неотказуе мости (СЛНТ) заключается в сборе, обработке, обеспечении доступности и признании неопровержимости доказательства1 (свидетельства) относительно заявленного события или дей ствия с целью урегулирования споров о произошедшем или не произошедшем событии или действии. СЛНТ может приме няться во многих ситуациях и при различных обстоятельствах. Служба может использоваться для формирования данных, хра нения данных или передачи данных. Она предусматривает фор мирование доказательства, которое может использоваться для доказательства того, что имел место некоторый вид события или действия, причем в дальнейшем невозможно отказаться от уча стия в этом событии или этого действия. В открытых системах ЭМВОС или Интернет-архитектуры СЛНТ может быть реали зована в двух формах:
•неотказуемостъ с доказательством источника, которое используется для защиты от ложного отказа отправителя от факта передачи им данных или составных элементов этих данных;
•неотказуемостъ с доказательством доставки, которое используется для защиты от ложного отказа получателя от факта приема им данных или составных элементов этих данных (т.е. информации, которую содержат дан ные).
Представленные ниже концепции не ограничиваются толь ко ЭМВОС и Интернет-архитектурой, так как они могут иметь
1 Доказательство (свидетельство) представляет собой информацию,
которая либо самостоятельно, либо в сочетании с другой информацией может использоваться для урегулирования (разрешения) спора.
251
весьма широкую интерпретацию, включая системы формирова ния и хранения данных, которые могут использоваться в даль нейшем.
Вданной главе:
•расширены основные концепции СЛНТ, представленные в главе 1, и дано описание, как они могут применяться в системах ЭМВОС и Интернет-архитектуры;
•представлены альтернативные способы обеспечения та ких служб;
•раскрыты взаимосвязи таких служб с другими СЛБ.
Для СЛНТ могут быть востребованы:
•судьи, которые будут урегулировать споры, возникаю щие в результате отказа от участия в событиях или дей ствий;
•ДТС, которые будут гарантировать аутентичность (под линность) и целостность данных, используемых при про верке доказательства.
5.1.Общие положения
5 .1 .1 . О сновны е ко н ц е п ц и и об есп еч ен и я неотказуем ости
СЛНТ применяет генерирование, проверку и регистрацию (запись) доказательства (свидетельства), а также последующее извлечение и повторную проверку этого доказательства (свиде тельства) с целью урегулирования споров. Споры не могут быть разрешены, если доказательство (свидетельство) не было пред варительно (заранее) зарегистрировано.
Целевое назначение СЛНТ — обеспечение доказательства (свидетельства) о соответствующем событии или действии. СЛНТ могут запрашиваться объектами, которые не принимали участие в том или ином событии или действии. Примеры дей ствий, которые могут быть защищены с привлечением СЛНТ, могут быть следующие:
252
•передача электронного почтового сообщения;
•внесение записи в БД;
•вызов удаленной процедуры.
При передаче сообщений с целью подтверждения их источ ника должны использоваться параметр подлинности этого ис точника и служба обеспечения целостности данных, для обе спечения подтверждения доставки — параметр подлинности получателя и служба обеспечения целостности данных. В неко торых случаях также может потребоваться доказательство, за трагивающее контекстно-зависимую информацию (например дата, время, местоположение источника/получателя).
СЛНТ предоставляет следующие средства, которые могут быть использованы в случае попытки отказа от чего-либо:
•формирования доказательства;
•регистрации доказательства;
•проверки сформированного доказательства;
•извлечения (восстановления) и повторной проверки до казательства.
Споры между сторонами могут быть урегулированы непо средственно через проверку доказательства. Однако спор мо жет быть урегулирован судьей, который устанавливает дока зательство и определяет, произошло или нет спорное действие или событие. Судебное решение обеспечивается эффективно только тогда, когда стороны спора признали удостоверяющий центр судьи. Для обеспечения гарантированного доказатель ства, принятого судьей, как правило, требуется заверение одной или несколькими ДТС. Судья может быть одновременно и ДТС, которая заверяет доказательство. Применяемые способы обе спечения неотказуемости используют несколько типов ДТС и форм доказательств.
5 .1 .2 . Роль и участие Д ТС
СЛНТ может привлекать одну или несколько ДТС.
ДТС, которые обеспечивают СЛНТ без каких-либо активных действий при каждом обращении к этой службе, называются ав-
253