Содержание к диссертации
Введение
1. Анализ существующих моделей, механизмов и программных средств разграничения доступа 13
1.1 Дискреционная модель управления доступом 14
1.2 Мандатная модель управления доступом 16
1.3 Анализ систем мандатного разграничения доступа существующих СУБД .. 17
1.3.1 Анализ модели мандатного разграничения доступа в СУБД Линтер 20
1.3.2 Анализ модели мандатного разграничения доступа в СУБД Oracle 28
1.4 Удостоверяющие центры и сертификаты открытых ключей. Механизмы их использования для защиты данных в СУБД 31
1.5 Выводы 36
2. Разработка модели мандатного доступа в СУБД 39
2.1. Требования к модели разграничения доступа. Корректность и полнота модели 41
2.2. Классификация объектов доступа 44
2.3 Определение собственника, владельца и пользователя информации 49
2.4 Классификация субъектов доступа 52
2.5 Разработка формальной модели мандатного доступа в СУБД 53
2.6 Решение задачи взаимодействия систем мандатного и дискреционного доступа в СУБД 63
2.7 Выводы 66
3. Разработка системы мандатного разграничения доступа в СУБД . 68
3.1 Разработка архитектуры СУБД с мандатным доступом 68
3.1.1 Анализ принципов построения СУБД 70
3.1.2 Роль и функции диспетчера доступа 72
3.1.3 Роль и функции системы удостоверяющих центров 73
3.2 Разработка структуры цифрового сертификата, как средства хранения мандатных прав доступа 74
3.3 Внесение значений конфиденциальности в объекты доступа 78
3.4. Разработка алгоритма обработки запросов диспетчером доступа 81
3.4.1 Алгоритмы обработки запросов уровня записей 82
3.4.1.1 Обработка запроса SELECT 83
3.4.1.2 Обработка запросов INSERT 84
3.4.1.3 Обработка запросов UPDATE 86
3.4.1.4 Обработка запросов DELETE 87
3.4.2 Алгоритм обработки запросов уровня таблиц 88
3.4.2.1 Обработка запросов CREATE TABLE 89
3.4.2.2 Обработка запросов DROP TABLE 93
3.4.2.3 Обработка запросов DESCRIBE 96
3.4.3 Алгоритмы обработки запросов уровня баз данных 97
3.4.3.1 Обработка запросов CONNECT 97
3.4.3.2 Обработка запросов CREATE DATABASE 99
3.4.3.3 Обработка запросов DROP DATABASE 100
3.4.3.4 Обработка запросов SHOW TABLES 102
3.5 Решение проблемы совместного использования систем мандатного и дискреционного доступа 103
3.5.1 Разработка формата имени и пароля субъекта доступа 104
3.5.2 Определение дискреционных привилегий 107
3.5.3 Разработка правил формирования дискреционных прав доступа 108
3.6 Выводы 110
4. Анализ производительности и надежности субд с разработанными средствами защиты 112
4.1 Требования к разрабатываемым математическим моделям 114
4.2 Разработка формата заявки в моделируемой системе 118
4.3 Разработка математической модели без реализации мандатного доступа «СУБД» 120
4.4 Разработка математической модели с реализацией мандатного доступа «СУБД+МД=2» 127
4.5 Разработка математической модели с реализацией мандатного доступа «СУБД+МД=0» 133
4.6 Анализ разработанных моделей 135
4.7 Оценка надёжности защиты информации 140
4.8 Выводы 142
5. Разработка программных средств мандатного доступа в СУБД 145
5.1 Используемые криптографические функции 146
5.2 Реализация удостоверяющего центра 146
5.3 Реализация диспетчера доступа 148
5.4 Выводы 149
Заключение 150
Список использованных источников 152
Приложения 160
- Анализ систем мандатного разграничения доступа существующих СУБД
- Определение собственника, владельца и пользователя информации
- Разработка структуры цифрового сертификата, как средства хранения мандатных прав доступа
- Разработка формата заявки в моделируемой системе
Введение к работе
Актуальность проблемы. В настоящее время большинство информационных систем (ИС) строятся на основе систем управления базами данных (СУБД). СУБД обеспечивают универсальный механизм для хранения, обработки и предоставления данных, который может быть использован в различных областях деятельности человека. Использование СУБД как надежной основы для построения ИС, связано с проблемой разграничения доступа пользователей к хранимой информации. Согласно анализу причин нарушений безопасности [1,2] 89% недостатков средств защиты в ИС приходится именно на долю системы разграничения доступа. Теоретическим основам, связанным с разграничением доступа, посвящено значительное количество работ ученых: В.А. Галатенко, Д.П. Зегжды, А.М. Ивашко, П.Н. Девянина, Н.А Гайдамакина, Грушо А.А., В.А Герасименко, А.Ю. Щеглова, К.А. Щеглова, Leonard J. LaPadula, Uhlman J., Ruzzo W. и других.
Среди используемых для разграничения доступа моделей наиболее распространенными являются дискреционная и мандатная [3,4]. Дискреционный доступ легко реализуем, хорошо отлажен и интегрирован в ядро систем. Поэтому при создании СУБД разработчиками используются готовые решения дискреционной политики доступа, а инновации относятся к задачам увеличения производительности и расширению функциональности, не затрагивая принципиальных основ разграничения доступа. Для ряда ИС, строящихся на основе СУБД дискреционного доступа достаточно. Однако, существуют задачи разграничения доступа к информации по значению её ценности. Этот вопрос актуален для построения крупных ИС государственного или корпоративного масштаба, например геоинформационных систем. Для таких задач особого внимания требует модель мандатного доступа.
Для подавляющего. большинства современных СУБД реализаций мандатного разграничения доступа не существует. Её особенность состоит в предотвращении возможности преднамеренного или случайного понижения ценности информации за счёт контроля информационных потоков. Кроме того, с помощью мандатной модели возможно существенное упрощение задачи администрирования ИС во время установки и эксплуатации (не требуется высокого уровня детализации задания отношений субъект-объект, достаточная легкость включения в схему администрирования новых объектов и субъектов), что приводит к уменьшению количества ошибок. Таким образом, мандатная модель доступа обеспечивает высокую эффективность защиты данных и находится ближе к потребностям реальной жизни, нежели другие модели.
В настоящее время вопрос разработки механизмов и средств обеспечения мандатного доступа в ИС и в СУБД, в частности, не достаточно проработан, что объясняется следующими проблемами [5,6,7].
Отсутствие формальных моделей мандатного доступа, учитывающих особенности построения и функционирования СУБД, что затрудняет разработку средств мандатного контроля доступа в существующих и вновь создаваемых СУБД. Разработка такой модели является задачей нетривиальной и трудоемкой и требует детальной проработки правил общей мандатной модели Белла-Ла-Падула применительно к СУБД.
Небольшое количество существующих промышленных СУБД (в частности, Ingres, Oracle и Линтер) имеют собственную систему мандатного разграничения доступа. Однако, анализ систем доступа в этих СУБД показал, что реализованные средства не обеспечивают полноту и корректность [8]. В результате возникают каналы утечки информации уже на этапе проектирования ИС. Фактически остаются не решенными вопросы обеспечения мандатного доступа в уже существующих и функционирующих СУБД.
Важным вопросом организации мандатного управления доступом является защищенное хранение и надежная аутентификация прав доступа. Как правило, права доступа хранятся в служебных базах данных СУБД и ассоциируются с пользователем после его аутентификации системой, причем аутентификация самих прав доступа не происходит, что дает возможность подмены прав доступа. В современных СУБД аутентификация пользователя может производиться с применением цифровых сертификатов. Естественным было бы распространить сертификаты не только на аутентификацию пользователя, но и его прав, ликвидировав при этом необходимость их специальной дополнительной защиты.
Вышесказанное свидетельствует об актуальности темы диссертационной работы, связанной с разработкой систем мандатного разграничения доступа в СУБД.
Целю диссертации является разработка моделей, алгоритмов и программ обеспечения мандатного разграничения доступа для эффективной защиты СУБД.
Для достижения поставленной цели необходимо решить следующие задачи:
Разработка модели мандатного разграничения доступа в СУБД.
Решение проблемы защищенного хранения и надежной аутентификации прав мандатного доступа пользователей путем интеграции прав доступа в цифровые сертификаты.
Разработка системы мандатного разграничения доступа в существующих СУБД.
Программная реализация мандатного доступа в СУБД.
Проведение оценки производительности и надежности СУБД с разработанной системой мандатного разграничения доступа.
Методы исследования. В работе использованы основные положения теории множеств, теории матриц, метод формального описания моделей доступа,
теория систем и сетей массового обслуживания, а также теория надежности вычислительных систем.
Научная новизна полученных в диссертации основных результатов заключается в следующем.
Разработана оригинальная модель мандатного разграничения доступа в СУБД формализующая правила доступа к базам данных, таблицам и записям. Позволяет повысить надежность системы защиты СУБД за счёт предотвращения возможности понижения ценности информации, а также существенного упрощения процесса администрирования.
Впервые предложен способ обеспечения защищенного хранения и надежной и аутентификации прав мандатного доступа с помощью цифровых сертификатов.
Разработана новая система мандатного разграничения доступа, позволяющая эффективно реализовать модель мандатного доступа в существующих СУБД. Система включает диспетчер доступа, отвечающий за выполнения правил модели, а также удостоверяющий центр, отвечающий за администрирование пользователей.
Основные положения, выносимые на защиту:
Оригинальная модель мандатного разграничения доступа в СУБД формализует правила доступа к базам данных, таблицам и записям и повышает надежность системы защиты СУБД за счёт предотвращения возможности понижения ценности информации, а также существенно упрощает процесс администрирования.
Способ применения цифровых сертификатов обеспечивает защищенное хранение и надежную аутентификацию прав мандатного доступа.
Система мандатного разграничения доступа в СУБД, позволяет эффективно реализовать модель мандатного доступа. Система обладает способностью
обеспечения мандатного доступа в существующих СУБД без их модификации. 4. Разработанная система мандатного разграничения доступа не снижает существенно производительность, а в большинстве случаев способствует повышению производительности СУБД и повышает надежность её защиты. Практическая значимость работы.
Разработанная модель, механизмы и программы предназначены для обеспечения мандатного доступа в существующих или во вновь проектируемых СУБД. Результаты работы могут быть использованы специалистами для усовершенствования систем разграничения доступа в специализированных СУБД, таких как геоинформационные и экспертные системы с целью повьппения из защищенности.
Использование результатов. Материалы диссертационной работы были использованы в следующих работах:
В гранте РФФИ 03-07-90075 «Разработка и исследование методов и средств защиты информации в геоинформационных системах».
В гранте РФФИ 06-07-96608 «Разработка и внедрение новых технологий комплексной защиты многопользовательских региональных ГИС».
В лабораторной работе «Изучение системы удостоверяющих центров и сертификатов открытых» по курсу «Программно-аппаратные средства обеспечения информационной безопасности» кафедры БИТ ТРТУ.
Использование результатов диссертационной работы подтверждено актами об использовании.
Достоверность полученных результатов подтверждается строгостью математических выкладок, разработкой действующих программ и результатами экспериментов.
Апробация работы. Основные результаты, полученные в ходе работы, докладывались и обсуждались:
На Международной научно-технической конференции посвященной 225-летию МИИГАиК, Москва, 2004.
На XI Всероссийской научной конференции «Проблемы информационной безопасности в системе высшей школы», МИФИ, Москва, 2004.
На международных научно-практических конференциях «Информационная безопасность», Таганрог, 2004,2005,2006 годов.
На IX международной научно-практической конференции «Методы дистанционного зондирования и ГИС-технологии для оценки состояния окружающей среды, инвентаризации земель и объектов недвижимости», Италия, Неаполь, 2005 г.
На третьей международной конференции «Информационные системы и технологии (IST'20006)», Минск, 2006 г.
Публикации.
По теме диссертации опубликовано 13 печатных работ из них 8 статей в материалах международных конференций; Две статьи опубликованы в журнале «Известия Таганрогского радиотехнического университета (ТРТУ)» из перечня, рекомендованного ВАК РФ для публикации результатов диссертационных работ.
Объем и структура диссертации. Диссертация включает введение, пять глав, заключение, библиографический список и одно приложение.
В первой главе рассмотрены дискреционная и мандатная модели доступа. Выделены основные особенности моделей, недостатки и преимущества. Показано, что мандатная модель доступа обеспечивает высокую эффективность защиты данных и находится ближе к потребностям реальной жизни, нежели другие модели. Произведен анализ систем, в которых имеется мандатное разграничение доступа - это СУБД Oracle и Линтер. В результате анализа выявлен ряд каналов утечки информации в рассматриваемых системах.
Во второй главе представлена разработка новой формальной модели
мандатного разграничения доступа в СУБД. В качестве объектов доступа
выделено три вида объектов доступа, связанных иерархической зависимостью: базы данных, таблицы в базах данных и записи в таблицах. Разработана формальная модель мандатного доступа в СУБД, для которой доказаны свойства корректности и полноты. В рамках разработки модели доступа рассмотрены понятия «собственник», «владелец» и «пользователь» информации и дана их трактовка применительно к СУБД. В качестве субъекта доступа в диссертации выделена сущность пользователя СУБД.
В третьей главе представлена разработка системы мандатного разфаничения доступа в СУБД. Предложен новый способ защищенного хранения прав доступа субъектов с помощью цифровых сертификатов. Предложенный в диссертации механизм обеспечения мандатного доступа основывается на введении специального диспетчера доступа, который анализирует и модифицирует в соответствии с принятой политикой доступа запросы пользователей к базе данных. Разработаны алгоритмы обработки основных запросов пользователей диспетчером доступа для реализации правил модели мандатного доступа в СУБД. Сутью всех алгоритмов является определение последовательности действий при предоставлении информации диспетчером доступа с учётом её конфиденциальности пользователям с соответствующими метками доступа. Решены вопросы совместного использования дискреционной и мандатной систем доступа.
В четвертой главе произведен анализ производительности и надежности СУБД с разработанной системой мандатного разграничения доступа. В качестве метода оценки производительности выбран метод математического моделирования, основанный на теории массового обслуживания. Для оценки надежности использовалась теория надежности вычислительных систем. Сделан вывод о том, что реализованный мандатный доступ не снижает существенно производительность СУБД, а в большинстве случаев способствует повышению
производительности. При этом, надежность защиты СУБД с включенным мандатным доступом не уменьшается.
В пятой главе рассмотрена разработка программных средств мандатного разграничения доступа в СУБД. С помощью реализованных программ экспериментально подтверждены функциональные и временные возможности разработанной системы доступа. Кроме того, эти программы могут использоваться как для защиты существующих СУБД, так и при проектировании новых защищенных СУБД. Разработана и реализована программа удостоверяющего центра, предназначенная для генерации и вьщачи сертификатов открытых ключей пользователям СУБД, а также для назначения пользователям мандатных прав доступа. Разработана и реализована программа диспетчера доступа, осуществляющего мандатное разграничение доступа. Разработана и реализована программа, необходимая для взаимодействия пользователя и СУБД.
Анализ систем мандатного разграничения доступа существующих СУБД
Как уже отмечалось, на сегодняшний день реализацию мандатного доступа в СУБД предлагают ограниченное количество мощных корпоративных СУБД, в частности Линтер и Oracle. СУБД Линтер является отечественной разработкой компании Релэкс. Это реляционная многопользовательская СУБД, которая обеспечивает дискреционный и мандатный способ доступа к данным. СУБД Oracle является мощной зарубежной разработкой корпорации Oracle. В Oracle также предлагаются решения по обеспечению мандатного доступа к данным. Анализ предназначен выявить в рассматриваемых системах разграничения доступа этих СУБД уязвимости, позволяющие произвести утечку или порчу информации.
Автором диссертации был проведен ряд экспериментов, позволяющих составить и проанализировать модели мандатного доступа в рассматриваемых системах. Важно заметить, что экспериментам подвергается реализованная система разграничения доступа в СУБД, а не теоретическая модель. Модель доступа составляется автором диссертации на основе результатов экспериментов. Рассмотрим общий алгоритм выявления и анализа модели мандатного доступа. 1) На основе имеющейся документации и результатов изучения СУБД определяются виды объектов доступа (например: таблицы, строки или столбцы). 2) Изучается язык запросов SQL (Structure Quer у La nguage), с помощью команд которого пользователи могут взаимодействовать с данными, хранимыми в СУБД. В результате, определяются возможные операции, которые пользователи могут производить с объектами доступа. 3) Для каждого вида объектов доступа создаются несколько объектов с различными значениями конфиденциальности. 4) Создаются несколько пользователей - субъектов доступа, с различными правами мандатного доступа. 5) Формируется ряд SQL-запросов, которые выполняются пользователями с различными правами мандатного доступа к объектам доступа с различными значениями конфиденциальности. Анализируя результаты выполнения этих запросов, строится модель доступа и делается вьюод о наличии или отсутствии уязвимостей, позволяющих произвести утечку или порчу информации.
Рассмотрим понятия модели и системы в рамках проводимого анализа. Модель доступа - формальное вьфажение политики доступа. Система доступа реализует на практике формальную модель доступа [3,5,17]. Будем считать, что анализируемые системы доступа однозначно и безошибочно реализуют правила модели доступа. Поэтому, найденные уязвимости будут отнесены к недостаткам модели. Допущение, что все уязвимости относятся к модели, а не к реализации модели в системе доступа, делается в результате того, что недоступна документация, детально описывающая правила мандатной модели доступа в рассматриваемых системах.
Рассмотрим необходимые определения, которые будут применяться во время построения и анализа моделей доступа анализируемых систем.
Мандатную модель доступа, как и дискреционную, можно представить в виде матрицы доступа, где объекты доступа характеризуются строками, а субъекты столбцами. Ячейка матрицы, образованная пересечением столбца и строки, содержит список операций над объектами, которые имеет право выполнить субъект [5,].
Рассмотрим некоторые особенности СУБД Линтер по обеспечению мандатного доступа. Мандатные метки доступа в Линтер назначаются объекту один раз, после чего значение метки остается неизменным. Поэтому при модификации записи не возможно повысить значение её конфиденциальности. Следует отметить также следующую важную особенность реализации механизма мандатного разграничения доступа к объектам в модели Линтер. Разграничение доступа на уровне строк в таблицах является косвенным, т.е. метки доступа к строкам не задаются. Строка представлена совокупностью ячеек, где каждая ячейка имеет значение конфиденциальности равное конфиденциальности столбца, которому принадлежит. Поэтому в дальнейшем рассматриваемым объектом доступа будет не строка, а ячейка или группа ячеек в стоке с одинаковым значением конфиденциальности.
Система мандатного доступа Линтер определяет для субъекта права доступа по чтению (RAL) и права доступа по записи (WAL). В дальнейшем, при проведении анализа будем считать, что права по чтению равны правам по записи.
Объектами мандатного контроля доступа являются таблицы, записи в таблицах и столбцы в таблицах. Выделены следующие основные операции над объектами, которые присущи всем видам объектов доступа: - создание; - чтение; - модификация; - удаление. Рассмотрим разграничение доступа на уровне таблиц. Таблицы в СУБД Линтер занимают вершину в иерархии объектов доступа. Для объектов таблиц выделены следующие операции: «Создание» - созданная таблица, принадлежит только тому субъекту, который её создал; «Чтение» - эта операция состоит в предоставлении технической информации о таблице и её структуре и содержит имя таблицы, количество записей, количество столцбов, количество индексов, длина записи в байтах, параметры файлов на диске, где хранится таблица и прочее. Операция «чтение» для таблицы не предоставляет хранимые в этой таблицы данные. «Модификация» - модификация таблицы заключается в добавлении новых столбцов и в изменении её параметров. Однако, модель запрещает удалять созданные ранее столбцы. «Удаление» - эта операция отсутствует в мандатной модели доступа Linter. Хотя это не означает, что в Линтер удаление таблиц не предусмотрено. Операция удаления предусмотрена дискреционной системой доступа. Это объясняется тем, что все таблицы имеют своего владельца и только владелец имеет право удалить таблицу, что определяется дискреционными правилами доступа.
Определение собственника, владельца и пользователя информации
Важным этапом разработки систем разграничения доступа в ИС является однозначное определение и трактовка понятий «собственник», «владелец» и «пользователь». Закон РФ «Об информации, информатизации и защите информации», определяет и использует понятия собственника, владельца и пользователя [41]. Проблему определения собственников, владельцев и пользователей рассматривал А.Ю. Щеглов в работе [5].
Собственник информационных ресурсов - субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанными объектами. Только собственник определяет значимость (закрытость) информации, требования по ее защите и обозначает субъектов, имеющих право доступа к данной информации. Собственник может быть только один.
В рамках разрабатываемой модели доступа, собственником информации является организация (в лице директора или другого руководства) или государство. Только собственник определяет значение конфиденциальности информации или критерии её оценки.
Владелец информационных ресурсов - субъект, осуществляющий владение и пользование указанными объектами и реализующий полномочия распоряжения в пределах, установленных собственником. Таким образом, владелец реализует защиту информации в соответствии с требованиями собственника и предоставляет доступ к информации всем субъектам, обозначенным собственником (т.е. владелец имеет возможность назначить, изменить и распространить права на доступ).
Владельцев может быть несколько. Однако права владельца, в конечном счёте, определяются тем, кто является собственником информации, так как именно собственник информации может принимать решение о её передаче другим лицам.
Субъект доступа - это лицо или процесс, действия которого регламентируются правилами разграничения доступа [22]. В общем случае, классификация субъектов доступа может быть представлена на схеме (рисунок 2.2), в которой каждый пользователь для доступа к данным может создавать процессы, которые так же являются субъектами доступа [5].
Для современных сетевых СУБД характерной особенностью является тот факт, что пользователи обращаются к базе данных с помощью сетевого соединения с использованием клиентского программного обеспечения. За коммуникацию пользователей и базы данных отвечает сетевой сервер, который является частью СУБД. Даже если, пользователь и СУБД располагаются на одной рабочей станции, то взаимодействие пользователя с базой данных все равно происходит через локальное сетевое соединение с сетевым сервером. В разрабатываемой модели пользователь может запускать единственный процесс -клиентскую программу. Поэтому в терминологии модели доступа термин пользователь и процесс являются идентичными .
Пользователи СУБД обладают доступом к данным через сервер БД который является для них единственной точкой взаимодействия с содержимым базы данных (подробно описывается в «Анализ архитектуры существующих СУБД»), Однако, во всех современных СУБД существует администратор. Администратор имеет возможность взаимодействовать с базами данных напрямую или с помощью специальных программ, минуя сервер БД. В задачи администратора включают создание резервных копий, восстановление, поддержка таблиц, устранение проблем и отладка баз данных. В рамках разрабатываемой мандатной модели доступа, ориентированной на реализацию в сетевых СУБД, администратор не является субъектом доступа.
В результате, в разрабатываемой мандатной модели доступа определен один вид субъектов доступа - пользователь. Как было принято в предыдущем разделе, при построении модели выделено три вида объектов доступа. Это «база данных», «таблица», «запись». Объекты связаны трехуровневой иерархической зависимостью. В ИС, построенной на основе СУБД, может содержаться несколько баз данных. Базы данных составляют верхний уровень иерархии объектов доступа. База данных может содержать несколько таблиц. Таблицы составляют второй уровень иерархии. Таблица может содержать несколько записей. Записи составляют третий уровень иерархии. Таким образом, предложена трехуровневая иерархия объектов доступа (подробно об определении объектов доступа изложено в разделе 2.2 «Классификация объектов доступа»). Введены следующие обозначения. С = Ci,...Cj,...,Ck - линейно упорядоченное множество субъектов доступа - пользователей СУБД. Причем, множество С упорядочено таким образом, что чем меньше порядковый номер субъекта, тем он обладает большими полномочиями по доступу к объектам. Где Cj, j=l..k - это субъект или группа субъектов, обладающих одинаковыми правами доступа. О = Oi,..,Oi,...,Ok - линейно упорядоченное множество объектов доступа. Причем множество О упорядочено таким образом, что чем меньше порядковый номер объекта, тем больше полномочия необходимы субъекту для доступа к этому объекту. Где Oj, і = 1..К- это объект или группа объектов, характеризуемых одинаковыми правами доступа.
Разработка структуры цифрового сертификата, как средства хранения мандатных прав доступа
Важной составляющей механизма разграничения доступа является способ хранения прав доступа субъектов. Согласно требованиям Гостехкомиссии к мандатному доступу, каждому субъекту и объекту должны сопоставляться классификационные метки, отражающие их место в соответствующей иерархии (метки конфиденциальности). Данные метки должны служить основой мандатного принципа разграничения доступа. При санкционированном занесении в список пользователей нового субъекта ему должны назначаться классификационные метки.
Способ хранения прав доступа должен обеспечивать возможность определить мандатные права субъекта во время сеанса связи, а также защиту прав доступа от преднамеренной или случайной модификации или фальсификации. Проблема защиты прав доступа является критически важной, так как при реализованной модели мандатного доступа, обладающей корректностью и полнотою, невозможно гарантировать защиту данных, если имеются уязвимости в системе хранения прав доступа субъектов.
Автором работы преложен способ хранения прав доступа субъектов с помощью цифровых сертификатов [54-57]. Во время регистрации субъекта доступа в удостоверяющем центре, ему выдается личный цифровой сертификат. Помимо служебной информации в цифровой сертификат добавляется новое поле, которое содержит права доступа его владельца. Сертификат защищен от модификации и фальсификации с помощью ЭЦП центра, выдавшего этот сертификат. В результате, сертификат выступает не только как средство аутентификации его владельца, но и как средство аутентификации прав доступа его владельца. Это является принципиально новым решением.
При разработке способа хранения прав доступа с помощью сертификатов важно учесть совместимость произведенных изменений в структуре сертификата с существующей общепринятой структурой. Требования совместимости объясняется тем, что в настоящее время цифровые сертификаты активно используются для удостоверения принадлежности открытого ключа, и несоответствие общепринятым требованиям может привести к трудностям внедрения и использования такого способа в реально существующих системах.
Наиболее распространен формат сертификата, установленный Международным Телекоммуникационным Союзом ITU Rec. Х.509 ISCVIEC 9594-8. В настоящее время цифровые сертификаты в формате Х.509 версии 3 стали стандартом, поддерживаемым многочисленными удостоверяющими центрами. Поэтому, разрабатываемая структура сертификата, включающая мандатные права доступа его владельца, должна соответствовать Х.509 версии 3.
Основной задачей при модификации структуры сертификата для внесения значения мандатных прав является поиск такого пути, чтобы проделанные изменения не вызвали отклонений от стандартных требований. Для этого необходимо рассмотреть структуру сертификата. Разработчики требований Х.509 для описания структуры сертификата использовали язык описания абстрактного синтаксиса - Abstract Syntax Notation версии 1 (ASN.l). ASN.1 используется в широко известных стандартных протоколах, таких как: SS7, SNMP, Х.509, Н.323, CSTA и других. Спецификация языка ASN.1 приведена в рекомендации Х.208 МККТТ. Для описания структуры сертификата с правами мандатного доступа также будет применяться ASN.
В свою очередь, само дополнение может являться какой угодно сложной структурой (от простого текстового значения до сложной структуры), формат и интерпретация которого определяется идентификатором дополнения.
Основная цель критичных дополнений - предохранить сертификат, изданный удостоверяющим центром, от возможности использования его в приложениях, которые не могут обрабатывать такие дополнения. Правила обработки дополнений, изложенные в требованиях Х.509, требуют от прикладного программного обеспечения отвергнуть сертификат, если дополнение отмечено критичным и программа не может его интерпретировать.
Дополнения подразделяются на два класса: стандартные и специальные. К стандартным дополнениям относят дополнения, специфицированные рекомендациями Х.509. К специальным дополнениям относятся дополнения, реализованные разработчиком. Таким образом, если стандартные дополнения уже заданы и обеспечивают работоспособность инфраструктуры открытых ключей, то специальные дополнения позволяют разработчикам других систем расширять структуру сертификата. Для хранения значений мандатных прав доступа предлагается добавить в структуру сертификата новое дополнение. Описание этого дополнения в нотации ASN.1 будет следующим. MandatoryAcceess ::= ENUMERATED {open(4), confidence(3), secret(2), top_sectet(l), most_importance(0)} При этом определен перечисляемый тип, имеющий пять значений, каждому из которых присвоен целочисленный идентификатор. Значение конфиденциальности растет с уменьшением значения числового идентификатора. Строковый идентификаторы раскрывают семантику. Open (4) - значение доступа к «открытой» информации; Confidence(3) - доступ к «конфиденциальной» информации; Secret(2) - доступ к «секретной» информации; Top_sectet(l) -доступ к «сов. секретной» информации; Most_importance(0) -доступ к информации «особой важности». Предложенному дополнению MandatoryAcceess следует устанавливать флаг критичности в «false». Если информационная система, использующая сертификат с таким дополнением, не может его интерпретировать, то сертификат всё равно остается работоспособным и позволит удостоверить принадлежность открытого ключа, хранимого в нем. В результате предложенный способ хранения прав доступа в цифровом сертификате обеспечивает совместимость с международными общепринятыми требованиями Х.509 версии 3.
Как правило, система разграничения доступа хранит права доступа пользователей в собственной базе данных. После идентификации и аутентификации пользователя системой определяются его права из этой базы данных. Однако, такой способ нуждается в дополнительной защите базы данных с правами, которую могут повредить или изменить преднамеренно или случайно как злоумышленник со стороны, так и сотрудник этой организации. Предложенный автором диссертации способ хранения прав доступа в теле цифрового сертификата не требует отдельного хранения этих прав системой разграничения доступа. Права мандатного доступа пользователей хранятся только в их личных цифровых сертификатах. Электронно-цифровая подпись сертификата защищает значение прав доступа от модификации. Права мандатного доступа будут аутентифицированы, если проверка сертификата окажется положительной.
Разработка формата заявки в моделируемой системе
Для формирования структуры СеМО, моделирующей работу СУБД необходимо определить формат заявки, характерный для СУБД. Заявки циркулируют в СеМО, переходя из одной СМО в другую в соответствии с маршрутной матрицей. Современные СУБД поддерживают обработку большого количества различных видов запросов (выборка, удаление, создание, модификация записей; создание, удаление модификация таблиц и прочее). Для того, чтобы разрабатываемая модель учитывала все основные виды запросов, в диссертации предлагается следующий формат заявки. Заявка представляет собой полный сеанс связи пользователя с СУБД - от подключения и до разъединения. Заявка включает в себя весь набор запросов, который пользователь использует для работы с данными СУБД. Спектр запросов определен разработанной моделью мандатного доступа, описанной в главе 2.
Выбор всего сеанса связи в качестве заявки обеспечивает разрабатываемой модели выполнение свойства однородности (определение свойств СеМО дано в разделе 4.1). В однородной сети циркулируют заявки одного класса. Заявки относятся к разным классам, если они различаются маршрутами- путями движения заявок.
В реально функционирующей СУБД сеансы взаимодействия различных пользователей и сервера СУБД будут, конечно, отличаться. Однако для моделирования системы обычно берут «усредненный» или предполагаемый состав запросов в сеансе связи.
В столбце «Количество операций в заявке» указано число, характеризующее, сколько раз в одной заявке пользователь отправил на выполнение конкретный запрос. Так запрос Connect (подключение к базе данных) выполняется 1 раз за сеанс связи. А запрос Create (создание базы данных) выполняется 1 раз на 1000 сеансов связи.
В столбце «Количество этапов счёта» указано сколько раз в СеМО заявка прошла через СМО. Заявка будет находиться в СеМО пока не будут выполнены все запросы в заявке. Этап счета - это выполнение одного запроса в заявке.
Следует заметить, что в представленной таблице есть ряд операций, которые выполняются не в каждой заявке (например, запрос Create и Drop для таблиц выполняется один раз в сто заявок). Такое распределение количества операций делает разработанную модель приближенной к реально функционирующим системам. Например, на этапе функционирования информационной системы операция удаления всей базы данных происходит обычно крайне редко, поэтому в модели операция удаления базы данных задана с частотой одни раз в 1000 заявок. Однако, в этом случае будут существовать заявки, которые отличаются маршрутами. Следовательно, СеМО будет неоднородной, что противоречит заданным требованиям. Для того, что бы решить эту проблему принято следующее решение. Операции, которые в реальности выполняются не в каждой заявке, в разрабатываемой модели будут выполняться в каждой заявке. Для этого каждой такой операции назначен один этап счёта. Для того, чтобы учесть проделанные изменения, будут пересчитаны (пропорционально уменьшены) времена обслуживания СМО, в которые входят такие операции. Расчет времени обслуживания для всех СМО представлен в приложении 1.
Сеть состоит из четырех СМО: S1 - производит анализ поступивших в СУБД запросов данных и распределяет в какую СМО отправить его на вьшолнение. Интенсивность входного и выходного потока в S1 равна Х\. Время обслуживания этой СМО равно Тобсі. 52 - производит вьшолнение запросов, связанных с обработкой записей в таблицах. Интенсивность входного и выходного потока в S2 равна Хг. Вероятность перехода заявки из S1 в S2 равна Рі2. Время обслуживания равно ТобС2. 53 - производит выполнение запросов, связанных с обработкой таблиц в базе данных. Интенсивность входного и выходного потока в S3 равна А,3-Вероятность перехода заявки из S1 в S3 равна Рі3. Время обслуживания равно
Узел SO в графе обозначает внешнюю среду СеМО. Согласно графу, вероятность поступления заявки в S1 из внешней среды равна 1, что очевидно. А вероятность того, что заявка выйдет из СеМО (обработка заявки завершена) равна Р0. Для дальнейшего расчёта необходимо вычислить значения переходных вероятностей Ру.
Далее необходимо вычислить коэффициент загрузки для каждой СМО: рь Р2,рз,р4,р5- Вычисляются по формуле (4.3). Подставив в формулу расчёта коэффициента полученные значения интенсивностей (4.12), получены следующие коэффициенты загрузки.
