Мельников Д. А. - Информационная безопасность открытых систем - 2013

Маркер безопасности, целостность которого защищена, мо­ жет содержать следующие дополнительные элементы инфор­ мации:

•информацию, из которой может быть установлен срок действия маркера безопасности;

•информацию, используемую для защиты от атак типа «повторная передача» (например уникальный номер).

2.3.Общие средства обеспечения безопасности

ч —

Средства обеспечения безопасности

1£=

84

Средства обеспечения безопасности делятся на два основ­ ных класса (рис. 2.4):

a) вспомогательные (обеспечивающие) СРБ; B) функциональные СРБ.

2 .3 .1 . В спом огательны е средства

К вспомогательным (обеспечивающим) СРБ относятся те средства, которые непосредственно в ПРБ не участвуют:

1.Средство инсталляции ВИ (install). Это средство обеспе­ чивает начальную загрузку ВИ, которая «привязана» к элементу1.

2.Средство деинсталляции ВИ (deinstall). Это средство используется для удаления объекта/субъекта из ССБ путем аннулирования ВИ, которая «объявляла» (ука­ зывала на то, что) этот объект/субъект участником ССБ.

3.Средство изменения ВИ (change). Это средство использу­ ется при модификации ВИ, связанной с элементом.

4.Средство привяжи ВИ (validate). Это средство устанав­ ливает привязку некоторой совокупности ВИ к элементу. Средство привязки ВИ используется УЦ или его пред­ ставителем.

5.Средство удаления привязки ВИ (invalidate). Это сред­ ство блокирует любое использование ВИ, связанной с элементом. Средство удаления привязки ВИ использу­ ется УЦ или его представителем. ВИ, заблокированная с помощью средства удаления привязки, может храниться внутри системы с целью проведения последующей про­ цедуры аудита безопасности и для обеспечения гарантии того, что ВИ остается заблокированной.

1Под элементом понимается информационный (информационно-тех­ нологический) элемент (совокупность данных).

85

6.Средство блокирования/разблокирования СЛБ (disable/ re-enable security service). Эти средства блокируют и раз­ блокируют определенные компоненты СЛБ.

7.Средство регистрации (enrol). Это средство побуждает ЦБ зафиксировать некоторую ВИ, связанную с объектом/ субъектом. Средство регистрации может использоваться любым объектом/субъектом, кроме ЦБ. Например, объ­ ект/субъект, желающий присоединиться к ССБ, может использовать средство регистрации для оповещения ЦБ о своем желании присоединиться к ССБ.

8.Средство удаления регистрации (un-enrol). Это средство используется для удаления элемента из ССБ и аннулиро­ вания связанной с этим элементом ВИ. Средство удале­ ния регистрации используется ЦБ или его пред­ ставителем.

9.Средство распределения ВИ (distribute). Это средство ис­ пользуется ЦБ или его представителем для обеспечения доступности компонентов ВИ для других объектов/субъ­ ектов.

10.Средство формирования перечня (list). Это средство фор­ мирует перечень ВИ, которая прикреплена к определен­ ному элементу.

2 .3 .2 . Ф ун кц и о н ал ь н ы е средства

К функциональным СРБ относятся те средства, которые не­ посредственно участвуют в ПРБ:21

1.Средство идентификации доверенных (надежных) ЦБ.

Это средство идентифицирует те ЦБ, которые являют­ ся доверенными (надежными) в контексте ПЛБ по от­ ношению к определенным элементам и по отношению к основным направлениям их деятельности, связанной с обеспечением безопасности (например обеспечение клю­ чами шифрования, СЕРТ|УД или СЕРТ|АУ).

2.Средство идентификации правил безопасного взаимо­ действия. Это средство идентифицирует используемые ПБВ. Функционирование этого средства может сопрово-

86

ждаться предварительным формированием информации или ее согласованием между элементами связанных друг с другом ССБ.

ПРИМЕЧАНИЕ.ПБВ формируются путем соглашения между ССБ, а не путем использования этого средства. Это средство иден­ тифицирует те ПБВ, которые уже сформированы и приемлемы для соответствующего направления деятельности.

3.Средство запроса ВИ. Это средство запрашивает необхо­ димую ВИ перед началом определенной процедуры (дея­ тельности). Примерами разновидностей такого средства являются:

•при управлении доступом: средство запроса на полу­ чение ВИ для УД, привязанной к инициатору; сред­ ство запроса получение ВИ для УД, привязанной к целевому объекту;

•при аутентификации: средство запроса на получение необходимой ВИ для процедуры аутентификации.

4.Средство формирование ВИ. Это средство формирует ВИ для определенной процедуры (деятельности), связанной с обеспечением безопасности. Примерами разновидно­ стей такого средства являются:

•при управлении доступом: средство формирования ВИ для УД с целью ее последующей привязки;

•при аутентификации: средство формирование необ­ ходимой ВИ для процедуры аутентификации;

•при обеспечении неотказуемости: средство формиро­ вания доказательства.

5.Средство проверки ВИ. Это средство осуществляет про­ верку подлинности ВИ, полученной путем применения средства формирования ВИ. Средство проверки ВИ мо­ жет само формировать ВИ, которая будет передана дру­ гому используемому средству проверки ВИ. Примерами разновидностей такого средства являются:

•при управлении доступом: средство проверки ВИ для УД;

87

•при аутентификации: средство проверки ВИ для про­ цедуры аутентификации;

•при обеспечении неотказуемости: средство проверки подлинности доказательства.

Пример ситуации, при которой данные, полученные на вы­ ходе средства проверки ВИ, передаются обратно для последую­ щей процедуры проверки, представляет собой протокол обоюд­ ной аутентификации. Предположим, что стороны А и В же­ лают аутентифицировать друг друга, и А инициирует инфор­ мационный обмен в соответствии с некоторым протоколом. А использует средство формирования для генерирования аутен­ тификационной информации, содержащей защиту параметра подлинности А и запрос, на который должна ответить В. В ис­ пользует средство проверки с целью проверки того, что запрос поступил от Л, и кроме этого формирует новый элемент аутенти­ фикационной информации, содержащей защиту параметра под­ линности В и ответ на запрос А. Затем А использует средство проверки для обработки ответа В. Средство проверки устанав­ ливает, что ответ поступил от В и что он совпадает с переданным запросом.

На практике могут понадобиться дополнительные средства обеспечения безопасности, которые не были рассмотрены ранее (например средства обеспечения физической и персональной безопасности). Однако такие средства в дальнейшем не рассма­ триваются. Тем не менее использование таких дополнительных средств обеспечения безопасности может даже исключить необходимость использования некоторых рассмотренных ранее СЛБ.

2.4. Взаимосвязи между СПБ

Очень часто для одной взаимодействующей стороны необ­ ходимо обращаться к нескольким различным СЛБ. Такое тре­ бование может быть удовлетворено либо за счет использования одного СПБ, который основан на нескольких СЛБ, либо за счет одновременного использования нескольких различных СПБ.

88

Если различные СПБ используются одновременно, то иногда возникает ситуация, в которой СПБ взаимодействуют не луч­ шим образом, чем может воспользоваться нарушитель. То есть, способы, обеспечивающие приемлемый уровень защищенности, которые при их изолированном использовании могут стать бо­ лее уязвимыми, применяются в сочетании с другими способами. Очень часто бывает так, что два СПБ могут комбинироваться несколькими различными способами. Уязвимости совместно используемых способов могут отличаться друг от друга в зави­ симости от способа совместного использования СПБ.

Наиболее важным случаем взаимодействия СПБ является совместное использование криптографических способов (на­ пример СПЦЛ со СПКН, или способ обеспечения неотказуе­ мости (СПНТ) со СПКН). Уровень защищенности, обеспечи­ ваемый двумя совместно используемыми способами, зависит от порядка, в соответствии с которым осуществляются криптогра­ фические преобразования (криптопреобразования).

В целом, когда используются асимметричные криптографи­ ческие алгоритмы, целесообразно сначала осуществлять крип­ топреобразования для обеспечения целостности или неотказуе­ мости, и только потом зашифровывать подписанные данные или данные, защищенные с помощью КПС.

Противоположным примером, когда необходимо использо­ вать две СЛБ в обратном порядке (т.е. СЛКН первой), являет­ ся случай, в котором службы используются между различными взаимодействующими сторонами, а одной стороне необходимо проверить целостность шифртекста при условии, что ей за­ прещено знать открытый текст. Такая ситуация характерна для систем обмена сообщениями, в которых ретрансляционному узлу может понадобиться проверка целостности и источника сообщения, но вместе с тем ему запрещено знать текст сообще­ ния.

Использование СЛЦЛ и СЛКН в рассмотренном противо­ положном порядке несет определенные риски, связанные с тем, что СЛЦЛ не сможет обеспечивать СЛНТ. Если все-таки не­ обходимо использовать все три службы и требуется обратный порядок применения СЛЦЛ и СЛКН, то можно использовать

89

два СПЦЛ, причем первый до применения СПКН, а второй — после. Примером такой ситуации является система обмена со­ общениями. Если защита конфиденциальности обеспечена, то в сообщение могут быть помещены две различные ЭЦП (первая ЭЦП формируется по шифртексту для защиты от вскрытия со­ общения при его обработке в ретрансляционном узле, а вторая ЭЦП формируется по открытому тексту для предоставления по­ лучателю доказательства неотказуемости источника).

2.5. Отказ в обслуживании и доступность

Отказ в обслуживании (denial of service, DoS-атака) наступа­ ет всякий раз тогда, когда качество обслуживания падает ниже требуемого уровня, включая событие, когда служба (услуга) становится вообще недоступной. Такой отказ в обслуживании может быть следствием внешней атаки нарушителя или нештат­ ных (катастрофических) событий (например шторм или земле­ трясение). Доступность представляет собой условие, при кото­ ром отказ в обслуживании или резкое снижение качество связи (соединения) невозможны.

Условия для отказа в обслуживании не всегда возможно предотвратить. Для выявления отказа в обслуживании могут использоваться СЛБ, чтобы в последующем провести необхо­ димые корректирующие процедуры (настройки). Однако факт выявления такого отказа не способен определить, было ли это обусловлено проведенной атакой нарушителя или нештатным (катастрофическим) событием. В соответствие с ПЛБ, при об­ наружении условий для отказа в обслуживании, возможно, по­ требуется регистрация этого события (для последующего про­ ведения аудиторской проверки) и передача сигнала оповещения об опасности средству обработки таких сигналов.

После того, как условие отказа в обслуживании было уста­ новлено, могут использоваться СЛБ для своих собственных кор­ ректировок и для возвращения к приемлемому уровню качества обслуживания. Для обнаружения условий отказа и для проведе­ ния корректирующих процедур (настроек) могут использоваться СЛБ, а также другие обеспечивающие службы, не связанные с

90

Г л а в а 3 ________________________________________________

ТЕОРЕТИЧЕСКИЕ ОСНОВЫ АУТЕНТИФИКАЦИИ

Во многих реальных прикладных системах предъявляются тре­ бования по обеспечению безопасности, основанные на корректно­ сти идентификации привлекаемых участников информационного взаимодействия. Такие требования могут включать защиту иму­ щества и ресурсов от несанкционированного (неавторизованного) доступа (НСД). Для реализации такой защиты могут использо­ ваться процедуры и способы управления доступом, основанные на параметре подлинности (identity), а также/или принуждения к прохождению процедуры идентификации с помощью проведения проверки регистрационных записей соответствующих событий, и с целью учета и выставления счета на оплату.

Процедура подтверждения подлинности называется аутен­ тификацией. В данной главе определен общий подход к реали­ зации служб аутентификации.

3.1. Общие положения

3 .1 .1 . О сновны е ко н ц е п ц и и аутен ти ф и кац и и

Аутентификация дает гарантию того (подтверждает), что объект действительно является тем, за кого себя выдает. Аутен­ тификация имеет значение только в условиях информационно­ го взаимодействия объекта (кого проверяют) и субъекта (кто проверяет) аутентификации. В ИТС рассматриваются две наи­ более важных формы аутентификации:

•объект выступает в роли претендента, устанавливающего информационное взаимодействие с субъектом (аутенти­ фикация объекта);

•объект является источником совокупности данных, кото­ рые доступны субъекту (аутентификация источника дан­ ных).

92

Эти две формы аутентификации имеют между собой разли­ чия, заключающиеся в следующем:

•аутентификация объекта обеспечивает подтверждение (доказательство) подлинности объекта в рамках инфор­ мационного взаимодействия. Подлинность аутентифи­ цированного объекта может быть гарантирована только тогда, когда функционирует соответствующая служба аутентификации;

•аутентификация источника данных обеспечивает под­ тверждение (доказательство) подлинности объекта, ко­ торый несет ответственность за некоторую совокупность данных.

Когда используется аутентификация источника данных, тог­ да необходимо иметь соответствующую дополнительную гаран­ тию того, что данные не были модифицированы. Это может быть достигнуто за счет использования службы обеспечения целост­ ности. Например:

•за счет использования систем, в которых данные не могут быть модифицированы;

•путем проверки того, что принятые данные полностью совпадают с цифровой копией (цифровым отпечатком) переданных данных;

•путем использования ЭЦП;

•путем использования алгоритмов симметричной крипто­ графии.

Термин информационное взаимодействие (соединение, ин­ формационный обмен), используемый в определении аутенти­ фикации объекта, может интерпретироваться весьма широко и может относиться, например, к взаимодействию открытых систем, связи между процессами или взаимодействию между пользователем и терминалом.

3.1.1.1. Идентификация и аутентификация

Взаимодействующая сторона информационного соединения является объектом, чья подлинность может быть аутентифи-

93