ОСОБЕННОСТИ ПРИМЕНЕНИЯ КРИПТОГРАФИЧЕСКИХ СРЕДСТВ В ИНФОРМАЦИОННЫХ СИСТЕМАХ С МАНДАТНОЙ ПОЛИТИКОЙ УПРАВЛЕНИЯ ДОСТУПОМ.

д.э.н. Г. Черней

Информационные системы, особенно правительственные, в которых хранится и обрабатывается критичная информация, политика безопасности основывается на мандатной (или многоуровневой) политике доступа (МПД) [I]. В конце 70-х годов, когда были разработаны первые модели многоуровневого управления доступом, разработчики систем защиты информации пришли к выводу, что для больших, сложных систем именно данные модели приходят на полную или частичную замену дискретных моделей доступа.

Прорыв в области криптографии и множество криптографических решений, появившихся на рынке обусловили их внедрение в информационных системах. Обычно для обеспечения конфиденциальности применяют симметричное шифрование, для обеспечения целостности и невозможности отказа от действий - цифровую подпись. Для дискретных наборов данных, эти решения пользуются успехом. В случае, когда необходимо применение шифрования в сложной функционально-технологической системе возникают проблемы, которые либо решаются с трудом, или вообще не решаются (в таком случае используют организационные методы, которые, как известно не настолько эффективны как технико-технологические).

Для систем с дискретной политикой доступа существуют проблемы разрешения и отмены прав доступа. Для файловой системы применяется отраслевой стандарт PKCS#7 [2], который позволяет реализовать контроль доступа по списку к конкретному объекту, но это только частично снимают проблему отмены прав.

В классических моделях управления доступом отсутствует возможность обеспечения

непрерывности состояния аутентификации, т.е. при заданном пространстве предположений нельзя однозначно доказать, что субъект аутентифицирована во времени. Проецирование аутентификационных признаков на множество признаков авторизации осуществляется через множество дескрипторов безопасности, которые отражают состояние субъектов безопасности.

Процесс проецирования осуществляется логически, на основе вывода (да/нет) об аутентичности субъекта. Это является именно тем "узким" местом, которое разработчики информационных систем и пытаются локализовать. В этих целях было введено понятие "доверительной компьютерной базы" (ДКБ) [З], но практика последних лет доказывает отсутствие гарантий в части обеспечения безопасности даже в случае его применения.

Возвращаясь к проблемам обеспечения конфиденциальности и целостности данных, с одной стороны и аутентичности субъектов, следует отметить, что необходимы комплексные исследования в области обеспечения непрерывности аутентичности субъектов в частности, и реализации МПД с соответствующими правилами управления доступом.

На сегодняшний день в информационных системах с МПД шифрование возможно только на уровне системных сервисов, на ключе системы или при передаче для обеспечения конфиденциальности сообщений на сеансовых или долговременных ключах.

Проблемами, которые необходимо решить при внедрении криптографии в системах, основанных на МПД, являются следующие:

    1. В системе возможно применение одного ключа, но пользователей может быть достаточно много. В этих условиях необходимо передать ключ шифрования всем пользователям.
    2. В случае если у пользователя отбираются права доступа к информационным ресурсам, необходимо изменить ключ шифрования, что часто - нереально, во-первых, потому, что пользователей достаточно много и необходимо решить проблему передачи ключей, а во-вторых, что еще важнее - необходимо расшифровать всю информацию на старом ключе и зашифровать на новом.
    3. Также необходимо решить проблему восстановления ключей, которая, в условиях всеобщего применения криптографических средств, принимает особую важность для владельцев информационных систем. Необходимость восстанавливать ключи шифрования обусловлена многими причинами. К ним можно отнести: увольнение сотрудника, потеря ключа шифрования, разрушение носителя ключей и т.п.
    4. В соответствии с правилами МПД должны быть предусмотрены возможности управления правами доступа пользователей к зашифрованным информационным ресурсам.

В результате проведенных исследований, была разработана модель интеграции криптографических механизмов в информационных системах, основанных на МПД. Предлагаемая модель аутентификации и управления доступом основывается, с одной стороны на технологиях восстановления ключей, а с другой стороны - на инфраструктуре с открытыми ключами, что позволяет решить указанные проблемы.

В качестве управляющего звена, в модели вводится понятие органа авторизации, цель которого - управление авторизацией пользователей. В качестве основы для доверительной модели принимается, что центр авторизации имеет высший приоритет и обладает всеми правами на авторизацию пользователей и заслуживает полного доверия. В рамках данной модели вводятся такие понятия, как билет авторизации, стоп-лист билетов авторизации, др.

Описание модели. В системе используется только один ключ шифрования для информации определенного уровня секретности. Для доступа к информации искомый ключ разбивается на две части. Одна часть ключа (К1) может генерируется самим пользователем. Центр авторизации формирует в соответствии с политикой безопасностью и требования области применения билет авторизации, в котором в зашифрованном виде хранится часть ключа (К2). Эта часть ключа, вычисляется по технологии восстановления ключей [4]. При аутентификации сервер получает часть ключа от пользователя, билет авторизации, расшифровывает первую часть ключа шифрования, совмещает эти части и получает искомый ключ, на основе которого расшифровывает данные. После этого, пользователь получает данные, зашифрованные на его части ключа.

В докладе подробно рассмотрена предложенная модель и обоснована возможного ее использования на практике.

Достоинства модели. 1) облегчается управление правами доступа в соответствии с правилами МПД; 2) ключ шифрования находится в открытом виде только в памяти сервера при реализации криптографических функций; 3) Аутентичность пользователей определяется применением криптографических функций.

Недостатки модели: 1) В случае наличия большого количества серверов необходимо иметь по билету авторизации для каждого (хотя, практически эти ключи могут быть помещены в один билет). 2) Сложность организационно-технологической архитектуры системы, но которая в принципе сопоставима со сложностью инфраструктуры с открытыми ключами.

Применяемость. Предложенная модель может применяться в любых информационных системах, как коммерческих, так и государственных, подверженных повышенному риску и функционирование которых, основывается на МПД.

Направление дальнейших исследований. Необходимо исследовать возможность применения модели в распределенных средах обработки данных.

Литература:

  1. Bell D.E., L.J. LaPadula. 1976. Secure computer systems: unified exposition and multics interpretation. Report MTR-2997 Rev. 1. AD A023 588. Bedford, Mass.: The Mitre Corporation.
  2. PKCS #7: Cryptographic Message Syntax Standard. An RSA Laboratories Technical Note Version 1.5. Revised November 1, 1993.
  3. Schokley W., Schell R. 1987. TCB subsets for incremental evaluation. AIAA/ASIS/IEEE third aerospace computer security conference: Applying Technology to Systems. 131-139. W.D.C.: Amenrican Institute of Aeronautics and Astronautics.
  4. Kleinman P., Bemsteing L. Secret Sharing Schemes. Lecture Notes. 1995. 35 p.