автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Конфигурирование безопасных встроенных устройств с учетом показателей ресурсопотребления

На правах рукописи

ДЕСНИЦКИИ Василий Алексеевич

КОНФИГУРИРОВАНИЕ БЕЗОПАСНЫХ ВСТРОЕННЫХ УСТРОЙСТВ С УЧЕТОМ ПОКАЗАТЕЛЕЙ РЕСУРОПОТРЕБЛЕНИЯ

Специальность:

05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

2 0!"'"{/'! 2013 005062143

Санкт-Петербург 2013

005062143

Работа выполнена в Федеральном государственном бюджетном учреждении науки Санкт-Петербургском институте информатики и автоматизации Российской академии наук (СПИИРАН). Научный руководитель: доктор технических наук,

профессор Котенко Игорь Витальевич

Официальные оппоненты: доктор технических наук, профессор, Заместитель директора по информационной безопасности, заведующий отделом проблем информационной безопасности

СПИИРАН Молдовян Александр Андреевич

доктор технических наук, профессор, профессор кафедры Федерального государственного бюджетного образовательного учреждения высшего профессионального образования «Санкт-Петербургского университета Государственной противопожарной службы Министерства Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий

стихийных бедствий» Иванов Александр Юрьевич

Ведущая организация:

ЗАО «Институт телекоммуникаций»

Защита состоится «25» июня 2013 г. в 15:30 на заседании диссертационного совета Д.002.199.01 при СПИИРАН по адресу: 199178, Санкт-Петербург, В.О., 14 линия, 39.

С диссертацией можно ознакомиться в библиотеке СПИИРАН. Автореферат разослан «22» мая 2013 г.

Ученый секретарь

диссертационного совета Д.002.199.01

кандидат технических наук _ , Нестерук Филипп Геннадьевич

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы диссертации

В настоящее время одной из важнейших проблем в области информационной безопасности является разработка встроенных устройств, характеризующихся высокой защищенностью. Рост числа как разновидностей, так и экземпляров устройств, а также их повсеместное распространение ставят особенно остро вопросы их защиты.

Специфика встроенных устройств включает их меньшую по сравнению с другими видами вычислительных систем производительность и ограниченность доступных программно-аппаратных ресурсов, выражаемых в терминах показателей реурсопотребления. В результате возникает потребность в минимизации расхода ресурсов устройства, выделяемых на работу его системы защиты.

Под конфигурированием безопасного встроенного устройства понимается процесс разработки системы защиты устройства путем комбинирования отдельных компонентов защиты с учетом их свойств, ограничений и требований к ним со стороны устройства и других компонентов защиты. Под конфигурацией защиты понимается комбинация компонентов защиты, для которой определены результирующие значения ее свойств, ограничения и требования.

Существующие подходы и средства, используемые при разработке систем защиты встроенных устройств, как правило, базируются на «ad hoc» приемах композиции, верификации и тестирования, как отдельных компонентов защиты, так и устройства в целом, оперируют, главным образом, в терминах функциональности защиты и не охватывают в должной мере ресурсопотребление разрабатываемой системы защиты. Как следствие, существующие подходы и средства не обеспечивают должного контроля объемов ресурсов, которые будут расходоваться системой защиты при эксплуатации, и, тем самым, не предоставляют возможностей по минимизации расхода ресурсов.

В индустрии разработки безопасных встроенных устройств и программных приложений и сервисов для них распространен подход, при котором вследствие большой вычислительной сложности используемых криптографических и других алгоритмов защиты информации разрабатываемые программно-аппаратные средства предъявляют высокие требования к ресурсам устройства, что значительно затрудняет или делает практически невозможным их функционирование на многих существующих устройствах. В качестве примера, приложение IP-телефонии «Skype» использует стойкие алгоритмы шифрования трафика, значительно увеличивающие объемы процессорной обработки сетевого трафика, что существенно затрудняет его выполнение на широком круге мобильных коммуникаторов.

Таким образом, актуальной является задача разработки модельно-методического аппарата для разработки системы защиты встроенных устройств и выбора эффективных конфигураций защиты с учетом характеристик ресурсопотребления. Решение этой задачи будет способствовать созданию новых и адаптации существующих приложений и сервисов для встроенных устройств для функционирования на широ-

ком круге встроенных устройств, характеризующихся существенными ограничениями на объемы их ресурсов.

Целью исследования является совершенствование существующих моделей, методов, методик и алгоритмов конфигурирования безопасных встроенных устройств.

Для достижения данной цели в диссертационной работе поставлены и решены следующие задачи:

1) анализ задачи конфигурирования безопасных встроенных устройств;

2) разработка модели безопасного встроенного устройства для решения задачи конфигурирования;

3) разработка модели процесса конфигурирования безопасного встроенного устройства с учетом показателей ресурсопотребления;

4) разработка методики конфигурирования безопасного встроенного устройства с учетом показателей ресурсопотребления;

5) разработка программных модулей системы конфигурирования безопасных встроенных устройств;

6) оценка эффективности конфигурирования безопасного встроенного устройства.

Объектом исследования являются безопасные встроенные устройства и процесс их конфигурирования.

Предметом исследования являются модели и методики конфигурирования безопасных встроенных устройств с учетом показателей ресурсопотребления.

Научпая задача работы - разработка модельно-методического аппарата для конфигурирования безопасных встроенных устройств.

Методологическую и теоретическую основу задачи составили научные труды отечественных и зарубежных авторов в областях защиты информации, защиты встроенных устройств, программной инженерии, системного анализа, оценивания производительности и ресурсопотребления программно-аппаратных систем, обь-екгао-ориенгированного анализа и проектирования.

Методы исследования, используемые в диссертации, относятся к методам теории множеств, методам моделирования и анализа защиты систем, а также экспертного, системного и объектно-ориентированного анализа

Основными результатами, выпосимыми на защиту, являются:

1. Модель безопасного встроенного устройства для решения задачи конфигурирования.

2. Модель процесса конфигурирования безопасного встроенного устройства с учетом показателей ресурсопотребления.

3. Методика конфигурирования безопасного встроенного устройства с учетом показателей ресурсопотребления.

Полученные результаты соответствуют следующим пунктам «13. Принципы и решения (технические, математические, организационные и др.) по созданию новых и совершенствованию существующих средств защиты информации и обеспечения

информационной безопасности» (результаты 1, 2 и 3), «1. Теория и методология обеспечения информационной безопасности и защиты информации» (результаты 1, 2 и 3) и «Модели и методы формирования комплексов средств противодействия угрозам хищения (разрушения, модификации) информации и нарушения информационной безопасности для различного вида объектов защиты вне зависимости от области их функционирования» (результаты 1,2 и 3) паспорта специальности 05.13.19 - «Методы и системы защиты информации, информационная безопасность».

Научная новизна исследования заключается в следующем.

1. Разработана модель безопасного встроенного устройства для решения задачи конфигурирования. Основным отличием данной модели является универсальное формальное представление безопасного встроенного устройства в терминах базовых и комплексных компонентов защиты, конфигураций защиты, их функциональных и нефункциональных свойств, типовых шаблонов защиты и критериев ресурсопотребления.

2. Разработана модель процесса конфигурирования безопасного встроенного устройства. Отличительной особенностью модели является комплексный подход к разработке и настройке системы защиты встроенных устройств путем анализа спецификации устройства на основе существующих моделей нарушителей встроенных устройств, применения типовых шаблонов защиты, оценивания ресурсопотребления и анализа несовместимостей компонентов защиты, многокритериального выбора эффективных конфигураций на множестве допустимых конфигураций с использованием заданной эвристики для критериев ресурсопотребления.

3. Разработана методика конфигурирования безопасного встроенного устройства Методика отличается использованием предложенных моделей. Помимо требований к защите методика учитывает особенности ресурсопотребления системы защиты встроенного устройства. Отличием методики является также выделение ролей эксперта по информационной безопасности и разработчика встроенного устройства в процессе конфигурирования безопасного встроенного устройства и определение согласованных действий для каждой из них.

Обоснованность и достоверность представленных в диссертационной работе научных положений обеспечивается за счет тщательного анализа состояния исследований в данной области, подтверждается согласованностью теоретических результатов с результатами, полученными при компьютерной реализации, а также апробацией основных теоретических положений в печатных трудах и докладах на научных конференциях.

Теоретическая и практическая значимость исследования.

Разработанные модели и методика могут быть использованы для решения задач защиты встроенных устройств и реализуемых ими сервисов. В частности, модели и методика позволяют совершенствовать существующие системы защиты встроенных устройств, повышая их защищенность за счет выбора эффективных конфигураций защиты с учетом показателей ресурсопотребления; позволяют проводить анализ

потенциальных несовместимостей между отдельными компонентами, входящими в состав системы защиты, что способствует повышению защищенности и надежности устройств; способствуют адаптации известных принципов, моделей, методов и методик, применяемых на практике, для эффективной защиты встроенных устройств; способствуют совершенствованию и исследованию эффективности разнообразных комбинированных механизмов защиты для широкого класса систем и выработки рекомендаций для построения перспективных систем защиты.

Реализация результатов работы. Результаты, полученные в диссертационной работе, были использованы в ряде научно-исследовательских работ: в проектах седьмой рамочной программы Европейского сообщества «SecFutur» (контракт №256668) и «MASSIF» (кошракг № 257475); в рамках Государственного контракта №11.519.11.4008 (Проект Минобрнауки России); проектах по грантам РФФИ №11-07-00435-а, №10-01-00826-а, №07-01-00547 и №04-01-00167; в проектах шестой рамочной программы Европейского сообщества «RE-TRUST» (кошракг №021186-2) и «POSITIF» (Кошракг №IST-2002-002314); в раде проектов по программе фундаментальных исследований ОН ИТ РАН; в проекте по результатам конкурсного отбора на предоставление в 2011 году субсидий молодым ученым, молодым кандидатам наук вузов и академических институтов, расположенных на территории Санкт-Петербурга (ПСП № 11152). Реализованный в работе программный прототип зарегистрирован в ФГУ ФИПС; регистрационные данные: «Конфигуратор системы защиты встроенных устройств»,№2013612691 от 11.03.2013.

Апробация результатов работы. Основные положения и результаты диссертационной работы докладывались на следующих научных и научно-практических конференциях на территории России: «РусКрипто'2013», The Sixth International Conference «Mathematical Methods, Models and Architectures for Computer Networks Security» (MMM-ACNS-2012), «Региональная информатика-2012», Конгресс по интеллектуальным системам и информационным технологиям «IS&IT» 2012, «Информационные технологии в управлении» (ИТУ-2012), «РусКрштго'2012», «Информационная безопасность регионов России-2011», «РусКрипто'2011», The Fifth International Conference «Mathematical Methods, Models and Architectures for Computer Networks Security» (MMM-ACNS-2010), «Региональная информатака-2010», «Информационная безопасность регионов России-2009»; а также на зарубежных конференциях-. International Euromicro Conferences PDP 2012, PDP 2011, PDP 2009, Fourth International Workshop IF&GIS'09.

Публикации. По материалам диссертационной работы опубликовано более 55 научных работ, в том числе 11 статей в журналах из перечня ВАК на соискание ученой степени доктора и кандидата наук (журналы «Вопросы защиты информации», «Системы высокой доступности», «Изв. Вузов. Приборостроение», «Труды СПИИРАН», «Информационные технологии и вычислительные системы», «Управление рисками и безопасностью», «Труды Института системного анализа Российской академии наук», «Проблемы информационной безопасности. Компьютерные системы»).

Структура и объем диссертационной работы. Диссертационная работа объемом 98 машинописных страниц, содержит введение, три главы, заключение, список литературы, содержащий 95 наименований, 4 таблицы, 10 рисунков и приложение.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована важность и актуальность темы диссертации, сформулированы цель диссертационной работы и решаемые задачи, определены научная новизна и практическая значимость работы. Кратко описаны разработанные модели и методика, которые используются для конфигурирования безопасных встроенных устройств, а также представлены основные результаты их реализации в научно-исследовательских проектах.

В первой главе диссертации определены место и роль задачи конфигурирования безопасных встроенных устройств.

В соответствии со спецификой встроенных устройств, включающей их большую по сравнению с другими видами вычислительных систем чувствительность к объемам доступных ресурсов, предложено выполнять конфигурирование безопасных встроенных устройств с учетом показателей ресурсопотребления. Такое конфигурирование основывается на «компонентном подходе», что позволяет осуществлять разработку и настройку системы защиты устройства на уровне отдельных компонентов защиты и их свойств, требований, ограничений, в частности ограничений ресурсопотребления. Таким образом, предложенное в работе конфигурирование позволяет осуществлять реализацию необходимых функциональных требований защиты при эффективном расходе ресурсов устройства, выделяемых на работу компонентов защиты. Примерами функциональных требований защиты являются «реализация целостности хранимых на устройстве данных», «необходимость аутентичности коммуникационного канала» для внешних коммуникаций устройства, «реализация удаленной аттестации платформы устройства».

С методологической точки зрения процесс конфигурирования безопасных встроенных устройств согласуется с более широким понятием конфигурирования применительно к вопросам разработки программного обеспечения сложных информационных систем. В работе дан обзор релевантной литературы и приведены основные используемые определения. Раскрыты основные особенности встроенных устройств, которые обуславливают необходимость разработки более эффективных подходов и решений по защите встроенных устройств с учетом этих особенностей.

Рассмотрены существующие подходы, модели, методы и методики в области разработки средств защиты встроенных устройств и комбинированных механизмов защиты. Рассмотрены базовые принципы защиты программного обеспечения информационных систем в контексте защиты систем со встроенными устройствами. Показано, что одним из перспективных направлений совершенствования защищенности встроенных устройств является построение компонентов защиты на базе конфигурирования.

Сформулирована задача исследования. Она заключается в разработке:

(1) модели Мл безопасного встроенного устройства для решения задачи конфигурирования;

(2) модели Мр процесса конфигурирования безопасного встроенного устройства с учетом показателей ресурсопотребления;

(3) методики Т конфигурирования безопасного встроенного устройства с учетом показателей ресурсопотребления;

(4) программной реализации Р системы конфигурирования безопасных встроенных устройств. Реализация Р должна использоваться для оценки эффективности методики Т\

(5) методика Т должна обеспечивать выполнение следующего критерия эффективности-. помимо требований к защите выбор компонентов защиты должен осуществляться с учетом их ресурсных характеристик. При этом стратегия конфигурирования должна обеспечивать минимальный расход заданных критически важных аппаратных и энергетических ресурсов устройства среди всех допустимых комбинаций компонентов защиты.

Задание критерия эффективности обуславливается, в первую очередь, спецификой встроенных устройств, которая включает наличие существенных ограничений на аппаратные и энергетические ресурсы устройства и, как следствие, часто значительной сложностью перенесения существующих средств защиты централизованных, сетевых и распределенных архитектур на случай встроенных устройств именно из-за недостатка ресурсов устройства. Выполнимость данного критерия позволит гарантировать эффективный выбор компонентов защиты разработчиком устройства. Выполнение критерия также сделает возможным разработку защищенных устройств с использованием меньших объемов ресурсов устройства, выделяемых на работу функций защиты, и обеспечить вытекающую из этого меньшую стоимость устройств.

К ограничениям методики Т, вытекающим из проведенного анализа существующих систем со встроенными устройствами, разрабатываемыми в индустрии, следует отнести ограничения «сверху» на количества функциональных требований защиты и компонентов защиты для встроенного устройства, которые учитываются разработчиком. Численные значения ограничений и их расчет представлены с обоснованием применимости предложенных моделей и методики. Ссылки на данные системы и их характеристика приведены в диссертационной работе.

Вторая глава работы посвящена рассмотрению первых трех научных результатов: модели безопасного встроенного устройства для решения задачи конфигурирования, модели процесса конфигурирования безопасного встроенного устройства с учетом показателей ресурсопотребления и методики конфигурирования безопасного встроенного устройства на основе разработанных моделей.

Модель безопасного встроенного устройства для решения задачи конфигурирования задает: формальное представление защищаемого устройства в виде ограничений и требований на основе его основных свойств; спецификацию имеющих-

ся в наличии компонентов защиты, их свойств и ограничений; конфигурации и допустимость конфигураций; типовые шаблоны защиты; критерии эффективности потребления программно-аппаратных ресурсов устройства компонентами защиты. Модель представляется как следующая формальная система:

{Device, Components, Criteria, Intruder Models, SecurityTemplates, configure, Effec-

tiveConfigurations),

где на основе информации об устройстве Device и программных приложениях на нем, имеющихся программных компонентах защиты Components, моделях нарушителя IntruderModels, типовых шаблонах защиты SecurityTemplates и критериях ресурсопотребления Criteria строится отображение configure, которое возвращает множество наиболее эффективных конфигураций EffectiveConfigurations. Отображение configure реализуется в виде методики, выполняемой разработчиком устройства в процессе конфигурирования устройства

Встроенное устройство представляется в виде кортежа Device = (DFR, DNC, DPC), где DFR определяет множество функциональных свойств защиты; DNC — множество нефункциональных ресурсных свойств устройства и DPC - множество свойств программно-аппаратной совместимости.

Определяется модель атак AM, включающая возможные виды атак на устройство. В частности, AM включает цели G потенциального атакующего, действия А, которые он должен выполнить для достижения целей G, а также программно-технические средства Г для проведения действий А. Модель атак формируется путем анализа известных моделей нарушителей IntruderModeb встроенного устройства на основе спецификации устройства К используемым моделям нарушителя относятся, в частности, модели, представляющие классификации нарушителей по уровню взаимодействия нарушителя со встроенным устройством (модель, разработанная Рае и Вилдманом в 2003 г.) и по возможностям нарушителя (модель, предложенная Грандом в 2004 г.; модель, предложенная Абрахамом и др. в 1999 г.).

Модель атак AM формирует функциональные требования защиты на основе свойств DFR, причем каждому возможному виду атак на устройство соответствует одно или несколько свойств DFR. Выполнение каждого свойства DFR обуславливается применением некоторого типового шаблона защиты SecurityTemplate.

Множество компонентов защиты представляется как Components = {component\ i е /}, где I— некоторое множество индексов.

Компонент защиты представляется в следующем виде Component — {CFP, CNR, СРС}, где CFP - множество функциональных свойств защиты, CNR - множество нефункциональных ресурсных свойств, СРС — множество свойств программно-аппаратной совместимости компонента.

Компоненты защиты подразделяются на базовые (атомарные) компоненты защиты BasicComponents ç; Components и комплексные. Под базовым компонентом понимается такой компонент, который представляет некоторую неделимую функ-

ционалыюсть защиты (например, компонент, реализующий некоторый криптографический алгоритм или крипто-функцию). Комплексные компоненты включают в свой состав один или несколько базовых компонентов.

SecurityTemplates задает множество типовых шаблонов защиты, применяемых разработчиком для защиты встроенного устройства. Каждый типовой шаблон реализуется некоторым комплексным компонентом защиты и включает описание некоторого алгоритма защиты с использованием базовых компонентов защиты BasicComponents, которые необходимо использовать. Фактически типовой шаблон параметризуется некоторым множеством базовых компонентов защиты, определяющих его конкретную реализацию SecurityTemplate=SecurityTemplate (BasicComponents).

Определяется понятие конфигурации защиты Configuration = {componentj \ i&J}, где У - множество индексов, причем Configuration CI Components, которая состоит из набора отдельных компонентов защиты. Фактически, конфигурация защиты определяет множество пар «типовой шаблон, набор базовых компонентов защиты>, которые реализуют все необходимые функциональные свойства защиты.

Для конфигураций также определяются: функциональные свойства защиты GFP = GFP{CFP), зависящие от функциональных свойств отдельных компонентов; нефункциональные ресурсные свойства защиты GNR = GNR(CNR), зависящие от ресурсных свойств компонентов; свойства программно-аппаратной совместимости G PC = GPC(CPC), определяющие интегральные значения, зависящие от свойств отдельных компонентов, входящих в конфигурацию. Критерии ресурсопотребления Criteria базируются на заданных показателях ресурсопотребления ResourceConsump-tion, используемых в процессе конфигурирования.

Компонент component является допустимым по отношению к заданному устройству Device, если всем свойствам программно-аппаратной совместимости СРС компонента можно поставить в соответствие свойства DPC устройства:

Усрс е CPC(componenl)3dpc е DPC(Device) | dpc(component) - cpc(Devicé).

При этом свойства срс и dpc задаются в виде предикатов. Конфигурация является допустимой, если выполняются следующие условия: свойства из множества GFP соответствуют свойствам DFR\ свойства GNR - свойствам DNC; свойства GPC - свойствам DPC:

Vdfr g DFR(Device)3gfp е GFP(conf) | dfr(Device) = gfp{conf)\ Vgnr e GNR(conf)3dnc e DNC(Device) \ gnr(conf) = dnc(Device), value(gnr(conf)) < value(dnc(Device));

Vgpc e GPC(conf)3dpc e DPC(Device) \ gpc(conf) = dpc(Device); где value - численное значение нефункционального ресурсного свойства.

На множестве допустимых конфигураций производится выбор конфигурации, которая минимизирует расход критически важных аппаратных ресурсов встроенного устройства. В общем случае такой выбор является многокритериальным и осуществляется в условиях лексикографического упорядочения конкретных критериев ресурсопотребления Criteria на основе заданной эвристики порядка критериев. Ого-

бражение configure определяет процесс нахождения наиболее эффективных (с точки зрения ресурсопотребления) конфигураций:

configure: <Device, Components, Criteria, IntruderModels, SecurityTemplates > —> EffectiveConfigurations

Особенностью модели безопасного встроенного устройства для решения задачи конфигурирования является ее направленность в качестве средства для универсального описания встроенных устройств и процессов разработки и настройки защиты для них. Использование данной модели способствует единообразному и согласованному пониманию процессов защиты устройств и конфигурирования их защиты. Модель может использоваться также при исследовании перспективных моделей, методов, методик и алгоритмов разработки и анализа процессов защиты систем со встроенными устройствами.

Модель процесса конфигурирования безопасного встроенного устройства относится к классу структурно-функциональных моделей процесса и включает последовательность и состав стадий процесса, совокупность процедур и применяемых программно-технических средств, взаимодействие участников процесса. Требования к безопасности устройства, а также возможности компонентов защиты и конфигураций выражаются с использованием функциональных свойств защиты.

Для определения списка возможных атак на устройство применяется аналитический подход с использованием существующих моделей нарушителя встроенного устройства.

Учитываемые модели нарушителя классифицируют нарушителя по уровню взаимодействия нарушителя с устройством и по возможностям нарушителя.

По уровню взаимодействия нарушителя с устройством выделяется четыре типа нарушителей: тип 1 - нарушитель взаимодействует с устройством через сеть Интернет; тип 2 - нарушитель находится в непосредственной близости от устройства, но не имеет физического доступа к нему; тип 3 - нарушитель имеет физический доступ к устройству, но без возможности доступа к встроенным в него электронным компонентам; тип 4—нарушитель имеет полный доступ к устройству.

По возможностям нарушители разделены на три уровня: уровень 1 — у нарушителя нет полного знания о системе, есть доступ только к общедоступному оборудованию, приоритет использования существующих уязвимостей, новые не создаются; уровень 2 -у нарушителя есть информация о конкретной системе, есть доступ к средне-сложному оборудованию; уровень 3 - нарушитель представляет собой организацию, у которой есть доступ к лабораторному оборудованию любой сложности и которая может создавать группы нарушителей уровня 2.

В соответствии с данными моделями нарушителей в рамках модели процесса конфигурирования выделяются категории нарушителя, определяемые парой значений (тип доступа, уровень возможностей). Проводится анализ спецификации устройства на предмет защищенности устройства от конкретной категории нарушителей, что позволяет в зависимости от особенностей устройства, его целей, на-

значения, функций и программно-аппаратного обеспечения сузить множество релевантных категорий нарушителей, способных выполнять эффективные атаки. Как результат анализа защищенности разработчик устройства формирует список возможных атак, которым подвержено устройство. При этом каждой атаке ставится в соответствие одно или несколько функциональных свойств защиты, которые необходимо предоставить устройству для его защиты.

Для каждого функционального свойства защиты подбирается типовой шаблон защиты, который направлен на препягствование ее осуществлению. Фактически, типовой шаблон представляет собой алгоритм защиты (в вцде комплексного компонента защиты), параметризуемый заданными криптографическими примитивами и алгоритмами (в виде базовых компонентов защиты). При этом разработчику доступно хранилище имеющихся типовых шаблонов и базовых компонентов защиты.

Например, типовой шаблон «удаленная аттестация процесса выполнения» требует, в частности, следующие виды базовых компонентов защиты: алгоритм генерации цифровых подписей на основе хэш-значений и алгоритм симметричного шифрования. Согласно выявленным категориям нарушителей выдвигаются требования к алгоритму шифрования, минимально допустимой длине его ключа и хэш-функции.

Разработанная модель базируется на определениях и методологическом аппарате MARTE («MARTE: Modeling and Analysis of Real-Time and Embedded Systems» -MARTE: моделирование и анализ систем реального времени и встроенных систем). В соответствии с MARTE модель включает следующие виды аппаратных ресурсов: вычислительные ресурсы, коммуникационные ресурсы, ресурсы хранения и энергоресурсы. Каждый ресурс характеризуется некоторым численным показателем — нефункциональным ресурсным свойством, определяющим величину его расхода в процессе функционирования устройства. Примерами ресурсных свойств являются «обьем оперативной памяти устройства» и «обьем передаваемых данных». Ресурсные требования формируются на основе значений наихудшего сценария расхода ресурса данным компонентам при выполнении на устройстве и определяются путем «тестирования» компонентов защиты с использованием программной эмуляции устройства. Ресурсные ограничения определяются путем анализа спецификации устройства и данных об объеме ресурсов, которые предполагается расходовать на поддержку системы защиты.

Многокритериальный выбор искомых конфигураций производится на множестве допустимых конфигураций в условиях лексикографического упорядочения заданных критериев ресурсопотребления. Упорядочивание осуществляется на основе эвристики, задающей важность ресурсов устройства. Эвристика задает следующий порядок ресурсов: энергоресурс, ресурс хранения, вычислительный ресурс, коммуникационный ресурс. Обоснование данной эвристики приводится в разделе с описанием предложенной методики. Каждый критерий ресурсопотребления представляет собой линейное ограничение «сверху» на соответствующее ресурсное свойство. Использование критериев ресурсопотребления направлено на осуществление наиболее экономного расхода критичных ресурсов устройства в процессе функционирования устройства.

Спецификация встроенного устройства

: Встроенное

Доступные

кямпоненты защиты

требований sstJísirfci

Эиупяция и профаимно-агетаратная реапнззщтя устройства

Гшовые шаблоны защиты

Конфигураций компонентов зещиты встроенного устройства : :

Цель процесса конфигурирования - выбрать такую конфигурацию, которая, во-первых, реализует все требуемые функциональные свойства защиты, во-вторых, удовлетворяет всем ресурсным ограничениям устройства, в-третьих, удовлетворяет ограничениям программно-аппаратной совместимости и, в-четвертых, удовлетворяет заданным критериям ресурсопотребления. Примерами свойств совместимости программно-аппаратной платформы устройства и компонентов защиты являются «совместимость с операционной системой Android 2.3», «совместимость с платформой Java 2 МЕ».

На рис. 1 представлена диаграмма, описывающая модель процесса конфигурирования. Диаграмма включает элементы, представляющие данные (прямоугольники) и действия (прямоугольники со скругленными углами) процесса, а также связи между ними (направленные стрелки). Прямоугольники с двойной линией обозначают входные данные процесса.

MARTE

Рис. 1. Структурно-функциональная модель процесса конфигурирования безопасного встроенного устройства Прямоугольники с прерывистой штриховой линией обозначают применение внешних по отношению к процессу объектов и субъектов и охватывают следующие элементы: нормативы и регламенты, учитываемые разработчиком при выборе тех или иных криптографических примитивов и алгоритмов (например, требования относительно длины ключа, стойкости алгоритма симметричного шифрования); эксперта по информационной безопасности, вовлеченного в процедуры выбора типо-

вых шаблонов защиты и отбора базовых компонентов защиты; модель MARTE, которая используется в качестве источника для ресурсов устройства, внесенных в модель, и их численных свойств. Прямоугольники с прямой линией обозначают основные объекты, вовлеченные в процесс конфигурирования. Прямоугольники со скругленными углами обозначают основные действия в процессе конфигурирования.

Анализ несовместимосгей представляет собой поиск потенциальных конфликтов с двумя или более типовыми шаблонами защиты, обуславливаемых противоречиями между их функционалами защиты. Модель включает три типа следующих несовместимосгей. Тип 1 - несовместимости, возникающие вследствие недостаточной согласованности некоторого компонента защиты и спецификации устройства Тип 2 — противоречия между функциями защиты нескольких компонентов защиты. Несовместимость типа 3 проявляется вследствие того, что базовые компоненты защиты, входящие в некоторый комплексный компонент защиты, помимо требований к устройству могут выдвигать также требования к другим базовым компонентам защиты этого комплексного компонента. Примеры трех типов несовместимосгей приведены в третьей главе работы. Анализ несовместимости по своей суш является эвристическим и проводится экспертом по информационной безопасности. При этом список рассматриваемых типов несовместимосгей не является исчерпывающим и может расширяться.

В целях более наглядного представления предлагаемой модели процесса на диаграмме опущены некоторые промежуточные действия между рассматриваемыми объектами, смысл которых ясен из контекста.

Результатом процесса конфигурирования является конфигурация защиты, полученная в соответствии с его особенностями и требованиями.

Методика конфигурирования безопасного встроенного устройства раскрывает последовательность действий, которые должны быть выполнены при конфигурировании компонентов защиты устройства (рис. 2).

Методика базируется на модели процесса конфигурирования безопасного встроенного устройства Оценивание потребления ресурса хранения, вычислительного ресурса и коммуникационного ресурса со стороны компонентов защиты заданной конфигурации осуществляется путем запуска целевого программного приложения устройства на его программной эмуляции. Процедура оценивания включает измерение потребляемого ресурса для программного приложения, защищенного при помощи компонентов защиты заданной конфигурации и для незащищенного программного приложения. Разность этих двух величин принимается в качестве значения ресурсопотребления конфигурации. Процедура оценивания реализуется при помощи модуля оценки ресурсопотребления в рамках системы конфигурирования и вызывается итеративно для заданных программного приложения и набора типовых шаблонов, включая автоматическую подстановку комбинаций базовых компонентов защиты.

Оценивание ресурса энергопотребления является технически более сложной задачей, так как требует оценивания на специализированном эмуляторе или пол-

ноценной программно-аппаратной реализации устройства. Вследствие технических сложностей проведение процедуры оценивания ресурса энергопотребления на практике было вынесено за рамки диссертационной работы. Детальное описание методики приведено в главах 2 и 3 диссертационной работы.

Действия эксперта по информационной безопасности

Действия разработчика встроенного устройства с использованием программной системы конфигурирования начат 1

Модули системы конфигурирования

йнапвз несовместишкгеі'і_|

компонентов ззщиш

Рис. 2 Представление методики конфигурирования безопасного встроенного устройства Третья глава посвящена рассмотрению практических вопросов проведения методики конфигурирования безопасного встроенного устройства, представлению разработанной системы конфигурирования, обоснованию эффективности методики и обоснованию применимости предложенных моделей и методики.

На рис. 3 приведена диаграмма, демонстрирующая проведение методики конфигурирования для встроенного мобильного устройства на базе виртуальной машины «Java 2 МЕ» (описание устройства приведено в главе 3 диссертационной работы).

При проведении многокритериального выбора конфигураций методика использует эвристику в условиях лексикографического упорядочения четырех заданных критериев ресурсопотребления. Выбор порядка учета критериев ресурсопотребления (энергоресурсы —» ресурс хранения —* вычислительный ресурс —> коммуникационный ресурс) определяется относительной важностью ресурсов по отношению друг к другу и обосновывается следующим образом.

Действия эксперта по информационной безопасности

Действия разработчика встроенного устройства с использованием

..¡ЛШ1

1. Предварительная стадия

Анализ моделей

нарушителя

Поср т ■>

2

¡Й;Ш ¡1. з йшршш*; : 2

Функцяональ • бзняй задеты.

а.з >штм*х

~2. Формирование требований"

г тип ое и« шаблонов защиты; í ■^Уа^^.ъ^енк -о с<е>»зз тщ^яъньи сн-ш таезмгтр

:! 2 удйяйьязз ьп&ъщря npomc.cs ныпс

Ш^ШшЩ^Ш - «яг. ЖЙ.

3 прхття -т а,-,--»<-} ~ дог,?

■■■Л, и- ад, и .Л". (х-а, I

Фильтрация базовых <

Определение ресурсных ограничений

Уточнение списка доступных базовых компонентов защиты на основе нормативоа а регламентов защиты

~ У Пр"о¥ед"&ни"еТ1Шг"оГри'гё рйа

Уточнение эвристики: ресурс

: ::Ара5;ения ■ 8№ИСП>1ТйПЬНЫЙ рйеуце -^сшмуник&ционный рее:

щ

Анализ несошестимостей компонентов защиты

Т8СТ 1 1

{аут иаосывеопнораа

Модули системы конфигурирования

-Ф л^Ц1-'1' К М05, МГ

мое

•сШЩЩ11»||р|

АЬ - 0Е8 "ЛГЗ ' ■

1|||| ;г Г -V-

наос- ачн «г

МОДУПЬ ОЦенК» рееурюияребяения

Мсщупь поддержи принятия решений

Рис. 3 Пример проведения методики конфигурирования безопасного встроенного устройства

Энергоресурсы. При нехватке энергоресурсов устройство не способно предоставлять необходимые функции даже в ограниченном виде. Помимо этого устройство, как правило, не в состоянии приостановить свою работу в корректном состоянии, что может повлечь сбои в дальнейшем работе, сброс текущих настроек и параметров защиты.

Ресурс хранения. Если устройство не имеет достаточных ресурсов для обработки используемых данных, то оно должно обеспечивать, как минимум, сохранность, как пользовательских данных, так и служебных (в том числе данных подсистемы защиты устройства).

Вычислительный ресурс (в первую очередь, ресурс оперативной памяти и центрального процессора устройства). Важность обуславливается необходимостью выполнения устройством своих функций даже в режиме с ограниченной функциональностью.

Коммуникационный режим. Часто даже коммуникационное встроенное устройство предполагает корректный режим работы с выключенными коммуникациями, для которого доступны лишь некоторые базовые функции

(например, локальный доступ к данным на чтение и запись). Поэтому данный вид ресурсов априори наименее приоритетный.

В зависимости от специфики конкретного устройства, требований к его безопасности и особенностей его работы количество критериев, а также их порядок может бьпъ скорректирован с привлечением эксперта по информационной безопасности. Например, если устройство имеет постоянное подключение к источнику электропитания, и энергопотребление не относится к важнейшим критериям (например, для устройства удаленного автоматизированного контроля расхода электроэнергии потребителями компании Mixed-Mode), то учитываются лишь оставшиеся критерии.

В главе 3 приведены примеры несовместимостей компонентов защиты, которые должны выявляться при проведении методики:

• Компонент резервного копирования данных имеет меньшую вместительность данных, чем это предполагает спецификация устройств (несовместимость типа 1);

• Компонент резервного копирования пользовательских данных устройства и компонент гарантированного уничтожения данных при наступлении определенного события оказываются несовместимыми при их применении к одному и тому же массиву данных, из-за логической противоположности действий этих компонентов (несовместимость типа 2). Результатом такой несовместимости будет то, что либо один из компонентов, либо сразу оба не будут корректно выполнять свое назначение;

• Требования безопасности регламентируют организацию избыточного хранения данных с использованием нескольких защищенных жестких дисков при помощи RAID-принципа, но емкости дисков отличаются, что сделает невозможным выполнение данного требования зашиты (несовместимость типа 5).

В работе проведено моделирование встроенного устройства «смартфон» и коммуникационного приложения «Мессенджер» на базе виртуальной машины платформы «Java2ME» для выполнения методики конфигурирования и оценивания ресурсопотребления. Моделируются защита программы от несанкционированных модификаций путем «мониторинга» состояний исполняемой программы на основе удаленной аттестации (с использованием хэш-функций MD5, SHA-256) и обеспечение конфиденциальности критически важных данных при их хранении в постоянной памяти (на основе алгоритмов симметричного шифрования AES/128, DES/56). Реализованы три процедуры измерения значений ресурсных свойств (объем оперативной памяти, объем постоянной памяти, величина пропускной способности коммуникационного канала). Результаты проведенных измерений при фиксированных ограничениях со стороны встроенного устройства приведены в таблице 1.

В работе приведено описание архитектуры и программной реализации предложенной системы конфигурирования безопасных встроенных, устройств. Основными ее модулями являются модуль оценки ресурсопотребления конфигураций,

модуль поддержки принятия решений при выборе конфигураций и хранилище доступных компонентов защиты (см. рис. 2).

Таблица 1. Расход ресурсов конфигураций, включающих компонент удаленной аттестации и компонент симметричного шифрования данных устройства

Удаленная аттестация Расход ресурса памяти/КБ Расход ресурса хранилища / КБ Расход коммуникационного ресурса / Кб/с

С использованием хэш-функции MD5 (128 bit) и шифрования AES/128 801 8 51,2

С использованием хэш-функции SHA-256 (256 bit) и шифрования DES/56 882 8 102,40

С использованием хэш-функции MD5 (128 bit) и шифрования DES/56 830 8 51Д

С использованием хэш-функции SHA-256 (256 bit) и шифрования AES/128 911 8 102,40

Система конфигурирования используется разработчиком в рамках методики конфигурирования для поддержки процесса выполнения некоторых ее стадий. Фрагмент программного интерфейса пользователя системы конфигурирования приведен на рис. 4.

а атш...................ш ... ...

..................................................................................................................................................._.............' -- .....I........................................

Рис. 4. Фрагмент программного интерфейса пользователя разработанной системы конфигурирования В работе приведено обоснование эффективности предложенной методики конфигурирования. В соответствии с заданным критерием эффективности выбор компонентов защиты осуществляется с учетом их ресурсных характеристик. При этом обеспечение минимального расхода заданных на основе эвристики критически важных ресурсов устройства среди всех допустимых конфигураций защиты подгвер-

задается эмпирически, путем сравнения результатов работы методики с результатами смоделированного альтернативного процесса подбора компонентов защиты на основе стратегии комбинирования с использованием «жадных алгоритмов».

Моделирование стратегии на основе «жадных алгоритмов» проводилось путем последовательного выбора и уточнения искомых компонентов защиты по каждому требованию защиты. Фактически, предложенное в работе конфигурирование является ее улучшением путем использования понятий конфигурации, критериев ресурсопотребления, типового шаблона защиты, базового и комплексного компонентов защиты и введения процедур формирования конфигураций и оценки ресурсопотребления, анализа несовместимостей, построения эвристики и поддержки принятия решений выбора конфигураций.

Помимо этого в отличие от предложенного в работе конфигурирования в соответствии с альтернативной стратегией на каждой итерации осуществляется локально наилучший выбор очередного компонента защиты, что не гарантирует что, во-первых, в конечном итоге найденные компоненты защиты суммарно будут иметь наилучшее ресурсопотребление и, во-вторых, по крайней мере какое-либо допустимое решение будет найдено всегда, когда она существует.

Сравнения производились путем запуска обеих стратегий на большом числе входных данных и последующего усреднения результатов. Входные данные включают значения ресурсных свойств компонентов защиты, задаваемых произвольно в заданных пределах и изменяемых для каждого запуска процедуры сравнения, а также фиксированные ограничения на объемы доступных ресурсов. Была выбрана эвристика с использованием трех ресурсов (вычислительный ресурс —» коммуникационный ресурс —> ресурс хранения).

Эффективность выражается при помощи показателя р, характеризующего, насколько в среднем предложенная методика конфигурирования позволяет улучшить потребление системой защиты устройства его ресурсов путем выбора более эффективной конфигурации защиты. Сравнение стратегий производится по первому из учитываемых ресурсов (в соответствии с порядком ресурсов согласно заданной эвристике). Показатель р определяет математическое ожидание разности полученных значений ресурсного свойства для предложенной методики и для альтернативной стратегии комбинирования.

Результаты проведенных сравнений представлены в таблице 2 и показывают зависимость значений показателя р от числа используемых типовых шаблонов защиты у„.

Таблица 2. Оценка эффективности методики

конфигурирования

Входные параметры Показатель эффективности

V* Р

5 15,38%

8 14,82%

12 11,48%

15 11,21%

20 10,58%

Приведенные данные показывают, что применение методики конфигурирования позволяет получил, на выходе более эффективные решения для защиты устройства. Улучшение ресурсопотребления составляет в среднем 10-15% в зависимости от условий проведения сравнений.

В работе обосновывается применимость предложенных моделей и методики для проведения конфигурирования встроенных устройств. К ограничениям, вытекающим из проведенного анализа трех существующих индустриальных систем со встроенными устройствами, следует отнести ограничения «сверху» на максимальное количество возможных конфигураций защиты. В частности, максимальное количество используемых типовых шаблонов защиты составляет 20 ппук, каждый из которых использует до 5 базовых компонентов защиты. На каждый базовый компонент защиты приходится не более 10 возможных альтернатив д ля их реализации (то есть не более 10 возможных криптографических примитивов гаи алгоритмов, из которых производится выбор). Поэтому задача может включать максимально до 20 • 5 • 10 = 1000 возможных конфигураций защиты, что поддается автоматизированным процедурам перебора и оценивания ресурсопотребления конфигураций за небольшое время.

В главе 3 приведены ссылки на проанализированные системы со встроенными устройствами и их характеристика: (1) устройства удаленного автоматизированного контроля расхода электроэнергии потребителями (компания Mixed-Mode), (2) система устройств оперативного реагирования и управления в чрезвычайных ситуациях (компания RUAG), (3) устройства для предоставления услуг цифровых потоковых видео и аудио данных потребителям (компания Technicolor).

Возможность применения методики конфигурирования на практике демонстрируется также на примере встроенного мобильного коммуникационного устройства.

Результаты работы могут применяться при разработке и адаптации систем защиты для широкого круга встроенных устройств практически во всех сферах жизнедеятельности. Разработка методики конфигурирования соответствует общей тенденции в области безопасных встроенных устройств к использованию специализированных программных инструментов разработки, верификации, тестирования и оценки средств защиты устройств.

ЗАКЛЮЧЕНИЕ

Данная работа предлагает модельно-методический аппарат для конфигурирования безопасных встроенных устройств. Основными научными результатами, выносимыми на защиту, являются:

1. Разработанная модель безопасного встроенного устройства для решения задачи конфигурирования, в которой определены формальное представление защищаемого устройства и его спецификация на основе свойств, компонентов защиты, конфигураций защиты, нарушителей, атак, типовых шаблонов защиты, критериев ресурсопотребления.

2. Разработанная модель процесса конфигурирования безопасного встроенного устройства с учетом показателей ресурсопотребления. Модель описывает основные понятия, цели, средства и особенности конфигурирования безопасных встроенных устройств с учетом показателей реурсопотребления.

3. Разработанная методика конфигурирования безопасного встроенного устройства с учетом показателей ресурсопотребления. Методика задает последовательность и состав стадий процесса конфигурирования, совокупность процедур и применяемых программно-технических средств, взаимодействие участников процесса

Разработаны программные модули системы конфигурирования безопасных встроенных устройств, используемые в рамках предложенной методики: модуль оценки ресурсопотребления конфигураций и модуль поддержки принятия решений при выборе наиболее эффективных конфигураций. Программные модули использовались при проведении экспериментальных оценок и обосновании эффективности методики конфигурирования.

Разработанные модели и методика могут применяться для решения задач защиты и повышения эффективности защиты встроенных устройств и реализуемых сервисов.

СПИСОК ПУБЛИКАЦИЙ ПО ТЕМЕ ДИССЕРТАЦИИ

Основные публикации в ведущих рецензируемых научных журналах и изданиях из списка ВАК:

Десницкий, В А. Конфигурирование встроенных и мобильных устройств на основе решения оптимизационной задачи / В.А. Десницкий // Труды СПИИРАН. -СПб.: Наука. - 2011. - Вып.4 (19). - С. 221-242.

Десницкий, В.А. Модель конфигурирования систем со встроенными и мобильными устройствами / В.А. Десницкий, И.В. Котенко, A.A. Чечулин // Вопросы защиты информации. - 2012. - № 2. - С. 20-28.

Десницкий, В А. Анализ информационных потоков для построения защищенных систем со встроенными устройствами / А.А.Чечулин, И.В. Котенко, В.А. Десницкий // Системы высокой доступности. - 2012. - №2. - С. 116-122. Десницкий, В А. Конфигурирование компонентов комбинированной защиты встроенных устройств на основе решения оптимизационной задачи / В.А. Десницкий, И.В. Котенко, A.A. Чечулин // Системы высокой доступности. - 2012. - №2. - С. 50-56. Десницкий, ВА. Модель конфигурирования защищенных и энергоэффективных встроенных систем / В.А. Десницкий, И.В. Котенко // Изв. Вузов. Приборостроение - СПб. - 2012. - Т. 55, № 11. - С. 52-57. - ISSN 0021-3454. Десницкий, ВА. Модели процесса построения безопасных встроенных систем / В А Десницкий, A.A. Чечулин // Системы высокой доступности. - 2011. - № 2. С. 97-101. Десницкий, ВА. Комбинированная защита программ от несанкционированных модификаций / В.А. Десницкий, И.В. Котенко // Изв. вузов. Приборостроение. -2010. - Т. 53. - № 11. - С. 36-41. - ISSN 0021-3454.

Десницкий, В .Л. Защищенность и масштабируемость механизма защиты программного обеспечения на основе принципа удаленного доверия / В.А. Десницкий, И.В. Котенко // Управление рисками и безопасностью. Труды Института системного анализа Российской академии наук (ИСА РАН) - М.: КомКнига. - 2010. -Т.52. - ISBN 978-5-9710-0385-4.

Десницкий, В.Л. Проектирование защищенных встроенных устройств на основе конфигурирования / В.А. Десницкий, И.В. Котенко // Проблемы информационной безопасности. Компьютерные системы. - 2013. - №1.

Десницкий, В.Л. Аспектно-ориентированная реализация модели защиты программ на основе удаленного доверия / В.А. Десницкий, И.В. Котенко // Информационные технологии и вычислительные системы - 2009. — № 4. — С. 67-76. Десницкий, В.Л. Защита программного обеспечения на основе механизма «удаленного доверия» / В. А. Десницкий, И.В. Котенко // Изв. вузов. Приборостроение -СПб, 2008. - Т.51, № 11. - С. 26-30.

Важнейшие публикации в других изданиях: Desnitsky, V. A Methodology for the Analysis and Modeling of Security Threats and Attacks for Systems of Embedded Components / J.F. Ruiz, V. Desnitsky, R. Haijani, A. Manna, I. Kotenko, A. Chechulin // Proceeding of the 20th International Euromicro Conference on Parallel, Distributed and Network-based Processing (PDP 2012). Garch-ing/Munich, February, 2012. - P. 261-268.

Desnitsky, V. Configuration-based approach to embedded device security / V. Desnitsky, I. Kotenko, A. Chechulin // Lecture Notes in Computer Science, Springer-Verlag, Volume 7531. - 2012. - P. 270-285.

Desnitsky, V. An Approach for Network Information Flow Analysis for Systems of Embedded Components / A. Chechulin, I. Kotenko, V. Desnitsky // Lecture Notes in Computer Science, Springer-Verlag, Volume 7531. -2012. -P. 146-155. Desnitsky, V. An abstract model for embedded systems and intruders / V. Desnitsky, I. Kotenko, A. Chechulin // Proceedings of the Work in Progress Session held in connection with the 19th Euromicro International Conference on Parallel, Distributed and network-based Processing (PDP 2011). SEA-Publications. SEA-SR-29. - 2011. - P. 2526. ISBN 978-3-902457-29-5.

Desnitsky, V. Security and Scalability of Remote Entrusting Protection / V. Desnitsky, I. Kotenko // Lecture Notes in Computer Science, Springer-Verlag, Vol. 6258. - 2011. - P. 298-306. ISSN 0302-9743.

Desnitsky, V. Design of Entrusting Protocols for Software Protection / V. Desnitsky, I. Kotenko // Fourth International Workshop «Information Fusion and Geographical Information Systems» (IF&GIS'09). Lecture Notes in Geoinfoimation and Cartography. Springer. - 2009, ISBN 978-3-642-00303-5.

Подписано в печать 20.05.2013г. Формат 60x84 1/16. Бумага офсетная. Печать офсетная. Усл. печ. л. 1,2. Тираж 100 экз. Заказ №3105.

Отпечатано в ООО «Издательство "JIEMA"» 199004, Россия, Санкт-Петербург, В.О., Средний пр., д. 24 тел.: 323-30-50, тел./факс: 323-67-74 e-mail: izd_lema@mail.ru http://www.lemaprint.ru

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ НАУКИ САНКТ-ПЕТЕРБУРГСКИЙ ИНСТИТУТ ИНФОРМАТИКИ И АВТОМАТИЗАЦИИ РОССИЙСКОЙ АКАДЕМИИ НАУК

Десницкий Василий Алексеевич

КОНФИГУРИРОВАНИЕ БЕЗОПАСНЫХ ВСТРОЕННЫХ УСТРОЙСТВ С УЧЕТОМ ПОКАЗАТЕЛЕЙ РЕСУРСОПОТРЕБЛЕНИЯ

Специальность 05.13.19 - Методы и системы защиты информации, информационная безопасность

На правах рукописи

04201358133

Диссертация на соискание ученой степени кандидата технических наук

Научный руководитель

доктор технических наук, профессор

Котенко Игорь Витальевич

Санкт-Петербург - 2013

Содержание

Содержание......................................................................................................................2

Введение...........................................................................................................................3

Глава 1. Анализ современного состояния проблемы конфигурирования безопасных встроенных устройств...........................................................................14

1.1 Безопасность встроенных устройств.....................................................................................14

1.2 Обзор литературы в области разработки безопасных встроенных устройств..............18

1.3 Постановка задачи исследования...........................................................................................25

Выводы по главе 1...........................................................................................................................28

Глава 2. Модели и методика для решения задачи конфигурирования..............29

2.1 Модель безопасного встроенного устройства для решения задачи конфигурирования.....29

2.2 Модель процесса конфигурирования безопасного встроенного устройства.................35

2.2.1 Конфигурирование безопасных встроенных устройств............................................35

2.2.2 Определение функциональных свойств защиты..........................................................38

2.2.3. Определение ресурсных свойств....................................................................................40

2.2.4. Осуществление многокритериального выбора...........................................................44

2.2.5 Анализ несовместимостей компонентов защиты......................................................48

2.3. Методика конфигурирования безопасного встроенного устройства...................................50

Выводы но главе 2...........................................................................................................................53

Глава 3. Применение и оценка методики конфигурирования безопасного встроенного устройства..............................................................................................55

3.1 Применение методики конфигурирования безопасного встроенного устройства...............55

3.2 Представление архитектуры системы конфигурирования................................................60

3.3. Обоснование эффективности методики конфигурирования безопасного встроенного устройства.........................................................................................................................................65

3.4 Обоснование применимости предложенных моделей и методики..................................68

Выводы по главе 3...........................................................................................................................72

Заключение....................................................................................................................74

Список литературы......................................................................................................76

Приложение..................................................................................................................88

Глоссарий..........................................................................................................................................89

Акты внедрения...............................................................................................................................93

Введение

В настоящее время одной из важнейших проблем в области информационной безопасности является разработка встроенных устройств, характеризующихся высокой защищенностью. Рост числа, как разновидностей, так и экземпляров устройств, а также их повсеместное распространение ставят особенно остро вопросы их защиты.

Специфика встроенных устройств включает их меньшую по сравнению с другими видами вычислительных систем производительность и ограниченность доступных программно-аппаратных ресурсов, выражаемых в терминах показателей ресурсопотребления. В результате возникает потребность в минимизации расхода ресурсов устройства, выделяемых на работу его системы защиты [28], [77].

Под конфигурированием безопасного встроенного устройства понимается процесс разработки системы защиты устройства путем комбинирования отдельных компонентов защиты с учетом их свойств, ограничений и требований к ним со стороны устройства и других компонентов защиты. Конфигурирование встроенного устройства производится индивидуально для каждого встроенного устройства рассматриваемой информационной системы. Под конфигурацией защиты понимается комбинация компонентов защиты, для которой определены результирующие значения ее свойств, ограничения и требования.

Существующие подходы и средства, используемые при разработке систем защиты встроенных устройств, как правило, базируются на «ad hoc» приемах композиции, верификации и тестирования, как отдельных компонентов защиты, так и устройства в целом; оперируют, главным образом, в терминах функциональности защиты и не охватывают в должной мере ресурсопотребление разрабатываемой системы защиты [73], [39]. Как следствие, существующие подходы и средства не обеспечивают должного контроля объемов ресурсов, которые будут расходоваться системой защиты

при эксплуатации, и, тем самым, не предоставляют возможностей по минимизации расхода ресурсов.

В индустрии разработки безопасных встроенных устройств и программных приложений и сервисов для них распространен подход, при котором вследствие большой вычислительной сложности используемых криптографических и других алгоритмов защиты информации разрабатываемые программно-аппаратные средства предъявляют высокие требования к ресурсам устройства, что значительно затрудняет или делает практически невозможным их функционирование на многих существующих устройствах. В качестве примера, приложение 1Р-телефонии 8куре использует стойкие алгоритмы шифрования трафика, значительно увеличивающие объемы процессорной обработки сетевого трафика, что существенно затрудняет его выполнение на широком круге мобильных коммуникаторов.

Таким образом, актуальной является задача формирования модельно-методического аппарата для разработки системы защиты встроенных устройств и выбора эффективных конфигураций защиты с учетом характеристик ресурсопотребления. Решение этой задачи будет способствовать созданию новых и адаптации существующих приложений и сервисов для встроенных устройств для функционирования на широком круге встроенных устройств, характеризующихся существенными ограничениями на объемы их ресурсов.

Целью исследования является совершенствование существующих моделей, методов, методик и алгоритмов конфигурирования безопасных встроенных устройств.

Для достижения данной цели в диссертационной работе поставлены и решены следующие задачи:

• анализ задачи конфигурирования безопасных встроенных устройств;

• разработка модели безопасного встроенного устройства для решения задачи конфигурирования;

• разработка модели процесса конфигурирования безопасного встроенного устройства с учетом показателей ресурсопотребления;

• разработка методики конфигурирования безопасного встроенного устройства с учетом показателей ресурсопотребления;

• разработка программных модулей системы конфигурирования безопасных встроенных устройств;

• оценка эффективности конфигурирования безопасного встроенного устройства.

Объектом исследования являются безопасные встроенные устройства и процесс их конфигурирования.

Предметом исследования являются модели и методики конфигурирования безопасных встроенных устройств с учетом показателей ресурсопотребления.

Научная задача работы - разработка модельно-методического аппарата для конфигурирования безопасных встроенных устройств.

Методологическую и теоретическую основу задачи составили научные труды отечественных и зарубежных авторов в областях защиты информации, защиты встроенных устройств, программной инженерии, системного анализа, оценивания производительности и ресурсопотребления программно-аппаратных систем, объектно-ориентированного анализа и проектирования.

Методы исследования, используемые в диссертации, относятся к методам теории множеств, методам моделирования и анализа защиты систем, а также экспертного, системного и объектно-ориентированного анализа.

Основными результатами, выносимыми на защиту, являются:

® Модель безопасного встроенного устройства для решения задачи конфигурирования.

• Модель процесса конфигурирования безопасного встроенного устройства с учетом показателей ресурсопотребления.

в Методика конфигурирования безопасного встроенного устройства с учетом показателей ресурсопотребления.

Полученные результаты соответствуют следующим пунктам «13. Принципы и решения (технические, математические, организационные и др.) по созданию новых и совершенствованию существующих средств защиты информации и обеспечения информационной безопасности» (результаты 1, 2 и 3), «1. Теория и методология обеспечения информационной безопасности и защиты информации» (результаты 1, 2 и 3) и «Модели и методы формирования комплексов средств противодействия угрозам хищения (разрушения, модификации) информации и нарушения информационной безопасности для различного вида объектов защиты вне зависимости от области их функционирования» (результаты 1, 2 и 3) паспорта специальности 05.13.19 - «Методы и системы защиты информации, информационная безопасность».

Научная новизна исследования заключается в следующем.

1. Разработана модель безопасного встроенного устройства для решения задачи конфигурирования. Основным отличием данной модели является универсальное формальное представление безопасного встроенного устройства в терминах базовых и комплексных компонентов защиты, конфигураций защиты, их функциональных и нефункциональных свойств, типовых шаблонов защиты и критериев ресурсопотребления.

2. Разработана модель процесса конфигурирования безопасного встроенного устройства. Отличительной особенностью модели является комплексный подход к разработке системы защиты встроенных устройств путем анализа спецификации устройства на основе существующих моделей нарушителей встроенных устройств, применения типовых шаблонов защиты, оценивания ресурсопотребления и анализа несовместимостей компонентов защиты, многокритериального выбора эффективных конфигураций на множестве допустимых конфигураций с использованием заданной эвристики для критериев ресурсопотребления.

3. Разработана методика конфигурирования безопасного встроенного устройства. Методика отличается использованием предложенных моделей.

Помимо требований к защите методика учитывает особенности ресурсопотребления системы защиты встроенного устройства. Отличием методики является также выделение ролей эксперта по информационной безопасности и разработчика встроенного устройства в процессе конфигурирования безопасного встроенного устройства и определение согласованных действий для каждой из них. Элементом новизны является, в частности, разработка и реализация автоматизированных процедур оценки ресурсопотребления и поддержки принятия решений выбора конфигураций.

Обоснованность и достоверность представленных в диссертационной работе научных положений обеспечивается за счет тщательного анализа состояния исследований в данной области, подтверждается согласованностью теоретических результатов с результатами, полученными при компьютерной реализации, а также апробацией основных теоретических положений в печатных трудах и докладах на научных конференциях.

Теоретическая и практическая значимость исследования. Разработанные модели и методика могут быть использованы для решения задач защиты встроенных устройств и реализуемых ими сервисов. В частности, модели и методика

• позволяют совершенствовать существующие системы защиты встроенных устройств, повышая их защищенность за счет выбора эффективных конфигураций защиты с учетом показателей ресурсопотребления;

® позволяют проводить анализ потенциальных несовместимостей между отдельными компонентами, входящими в состав системы защиты, что способствует повышению защищенности и надежности устройств;

• способствуют адаптации известных принципов, моделей, методов и методик, применяемых на практике, для эффективной защиты встроенных устройств;

• способствуют совершенствованию и исследованию эффективности разнообразных комбинированных механизмов защиты для широкого класса систем и выработки рекомендаций для построения перспективных систем защиты.

Реализация результатов работы. Результаты, полученные в диссертационной работе, были использованы в ряде следующих научно-исследовательских работ:

• Проект седьмой рамочной программы Европейского сообщества (Research Project of the European Community seventh framework programme) «Design of Secure and energy-efficient embedded systems for Future internet applications (SecFutur)» (контракт №256668), 2010-2013 гг.;

• Проект седьмой рамочной программы Европейского сообщества (Research Project of the European Community seventh framework programme) «Управление информацией и событиями безопасности в инфраструктурах услуг (MASSIF)» (контракт № 257475), 2010-2013 гг.;

• «Математические модели, методы и алгоритмы моделирования атак, анализа защищенности компьютерных систем и сетей, анализа рисков безопасности информации и принятия решений о выборе механизмов защиты в компьютерных системах и сетях»; Проект по программе фундаментальных исследований ОНИТ РАН «Архитектурно-программные решения и обеспечение безопасности суперкомпьютерных информационно-вычислительных комплексов новых поколений», 2012-2014 гг.;

• Государственный контракт №11.519.11.4008 «Исследование и разработка методов, моделей и алгоритмов интеллектуализации сервисов защиты информации в критически важных инфраструктурах» (Проект Минобрнауки России), 2011-2013 гг.;

• «Разработка и исследование математических моделей и методов анализа и синтеза систем разграничения доступа к информационным и сетевым ресурсам в современных и перспективных компьютерных системах и сетях на основе создания и применения средств искусственного интеллекта» (Грант РФФИ) № 11-07-00435-а, 20112013 гг.;

• «Математические модели и методы комплексной защиты от сетевых атак и вредоносного программного обеспечения в компьютерных сетях и системах, основывающиеся на гибридном многоагентном моделировании компьютерного противоборства, верифицированных адаптивных политиках безопасности и проактивном мониторинге на базе интеллектуального анализа данных» (Грант РФФИ) № 10-01-00826-а, 2010-2013 гг.;

• Проект шестой рамочной программы Европейского сообщества (Research Project of the European Community sixth framework programme) «Remote EnTrusting by RUn-time Software auThentication (RE-TRUST)» (контракт №021186-2), 2006-2009 гг.

• «Математические модели, методы и алгоритмы проактивной защиты от вредоносного программного обеспечения в компьютерных сетях и системах». Проект по программе фундаментальных исследований ОНИТ РАН «Архитектура, системные решения, программное обеспечение, стандартизация и информационная безопасность информационно-вычислительных комплексов новых поколений», 2009—2011 гг.;

• НИР по заказу секции прикладных проблем РАН (Государственный контракт), 2008-2009 гг.;

• «Модели и методы построения и поддержки функционирования интеллектуальных адаптивных систем защиты информации, основывающиеся на моделировании поведения систем защиты, реализации верифицированных политик безопасности, оценке

защищенности и проактивном мониторинге» (Грант РФФИ) № 07-0100547, 2007-2009 гг.;

• «Методы автоматического обнаружения и реагирования против Internet-червей» (Субконтракт с Международным научно-исследовательским институтом проблем управления (МНИИПУ) в соответствии с контрактом с Hewlett-Packard, 2006-2007 гг.;

• «Разработка научно-методических основ защиты информации в каналах связи системы международной коллективной экологической безопасности» («Защита-1»), (Государственный контракт с Центром исследования проблем безопасности РАН), 2006 г.;

• «Моделирование процессов защиты информации в компьютерных сетях в антагонистической среде: формальный подход, математические модели, многоагентная архитектура, программный прототип и экспериментальная оценка» (Грант РФФИ) № 04-01-00167, 2004-2006 гг.;

• «Математические модели активного анализа уязвимостей, обнаружения вторжений и противодействия сетевым атакам в компьютерных сетях, основывающиеся на многоагентных технологиях» (Проект по программе фундаментальных исследований ОНИТ РАН «Оптимизация вычислительных архитектур под конкретные классы задач, информационная безопасность сетевых технологий», 2003-2008 гг.;

• Проект Шестой рамочной программы (FP6) Европейского Сообщества «Средства и модели защиты информации, основанные на политике безопасности (POSITIF)» (Контракт №IST-2002-002314), 2003-2007 гг.;

• Проект по результатам конкурсного отбора на предоставление в 2011 году субсидий молодым ученым,