автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Разработка моделей, алгоритмов и программ реализации мандатного разграничения доступа в СУБД с использованием цифровых сертификатов

кандидата технических наук
Басан, Александр Сергеевич
город
Таганрог
год
2007
специальность ВАК РФ
05.13.19
цена
450 рублей
Диссертация по информатике, вычислительной технике и управлению на тему «Разработка моделей, алгоритмов и программ реализации мандатного разграничения доступа в СУБД с использованием цифровых сертификатов»

Автореферат диссертации по теме "Разработка моделей, алгоритмов и программ реализации мандатного разграничения доступа в СУБД с использованием цифровых сертификатов"

□ОЗОВЗЭ49

На правах рукописи

Басан Александр Сергеевич

РАЗРАБОТКА МОДЕЛЕЙ, АЛГОРИТМОВ И ПРОГРАММ ЕАЛИЗАЦИИ МАНДАТНОГО РАЗГРАНИЧЕНИЯ ДОСТУПА В СУБД С ИНТЕГРАЦИЕЙ ПРАВ ДОСТУПА В ЦИФРОВЫЕ

СЕРТИФИКАТЫ

05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

1 4 Ш 2007

Таганрог - 2007

003063949

Работа выполнена в Технологическом институте Южного федерального университета в г Таганроге на кафедре «Безопасности-информационных технологий»

НАУЧНЫЙ РУКОВОДИТЕЛЬ

доктор технических наук, профессор Бабенко Людмила Климентьевна

ОФИЦИАЛЬНЫЕ ОППОНЕНТЫ

доктор технических наук, профессор Кравченко Павел Павлович (г Таганрог)

доктор технических наук, доцент Смирнов Сергей Николаевич (г Москва)

ВЕДУЩАЯ ОРГАНИЗАЦИЯ

ФГНУ НИИ «Спецвузавтоматика» (г Ростов-на-Дону)

Защита диссертации состоится «27» июня 2007 г в 14 20 на заседании диссертационного совета ДМ 212 208 25 при Южном федеральном университете, по адресу 347928, Ростовская область, г Таганрог, ул Чехова, 2, ауд И-425

Отзывы на автореферат просьба направлять по адресу 347928, Ростовская область, г Таганрог, пер Некрасовский, 44, Ученому секретарю диссертационного совета ДМ 212 208 25 Галуеву Г А

С диссертацией можно ознакомиться в Зональной научной библиотеке ЮФУ по адресу 344007, Ростовская область, г Ростов-на-Дону, ул Пушкинская, 148

Автореферат разослан «26» мая 2007 г

Ученый секретарь диссертационного совета, доктор технических наук, профессор

Галуев Г А

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность В настоящее время большинство информационных систем (ИС) строятся на основе систем управления базами данных (СУБД) СУБД обеспечивают универсальный механизм для хранения, обработки и предоставления данный, который может быть использован в различных областях деятельности человека Использование СУБД, как надежной основы для построения ИС, связано с проблемой разграничения доступа пользователей к хранимой информации Согласно анализу причин нарушений безопасности 89% недостатков средств защиты в ИС приходится именно на долю системы разграничения доступа Теоретическим основам, связанным с разграничением доступа, посвящено значительное количество работ ученых В А Галатенко, Д.П Зегжды, А М Ивашко, П Н Девянина, Н.А Гайдамакина, Грушо А А., В А Герасименко, А Ю Щеглова, К А Щеглова, Leonard J LaPadula, Uhlman J., Ruzzo W и других

Среди используемых для разграничеиия доступа моделей наиболее распространенными являются дискреционная и мандатная Дискреционный доступ легко реализуем, хорошо отлажен и интегрирован в ядро систем Поэтому при создании СУБД разработчиками используются готовые решения дискреционной политики доступа, а инновации относятся к задачам увеличения производительности и расширению функциональности, не затрагивая принципиальных основ разграничения доступа. Для ряда ИС, строящихся на основе СУБД, дискреционного доступа достаточно Однако, существуют задачи разграничения доступа к информации по значению её ценности Этот вопрос актуален для построения крупных ИС государственного или корпоративного масштаба, например геоинформационных систем Для таких задач особого внимания требует модель мандатного доступа.

Для подавляющего большинства современных СУБД реализаций мандатного разграничения доступа не существует Её особенность состоит в предотвращении возможности преднамеренного или случайного понижения ценности информации за счёт контроля информационных потоков Кроме того, с помощью мандатной модели возможно существенное упрощение задачи администрирования ИС во время установки и эксплуатации (не требуется высокого уровня детализации задания отношений субъект-объект, достаточная легкость включения в схему администрирования новых объектов и субъектов), что приводит к уменьшению количества ошибок Таким образом, мандатная модель доступа обеспечивает высокую эффективность защиты данных и находится ближе к потребностям реальной жизни, нежели другие модели

В настоящее время вопрос разработки механизмов и средств обеспечения мандатного доступа в ИС и в СУБД, в частности, не достаточно проработан, что объясняется следующими проблемами

Отсутствие формальных моделей мандатного доступа, учитывающих особенности построения и функционирования СУБД, что затрудняет разработку средств мандатного контроля доступа в существующих и вновь создаваемых СУБД Разработка такой модели является задачей нетривиальной и трудоемкой и требует детальной проработки правил общей мандатной модели Белла-Ла-Падула применительно к СУБД.

Небольшое количество существующих промышленных СУБД (в частности, Ingres, Oracle и Линтер) имеют собственную систему мандатного разграничения доступа Однако, анализ систем доступа в этих СУБД показал, что реализованные средства не обеспечивают полноту и корректность В результате возникают каналы утечки информации уже на этапе проектирования ИС Фактически остаются не решенными вопросы обеспечения мандатного доступа в уже существующих и функционирующих СУБД

Важным вопросом организации мандатного управления доступом является защищенное хранение и надежная аутентификация прав доступа Как правило, права доступа хранятся в служебных базах данных СУБД и ассоциируются с пользователем после его

аутентификации системой, причем аутентификация самих прав доступа не происходит, что дает возможность подмены прав доступа В современных СУБД аутентификация пользователя может производиться с применением цифровых сертификатов Естественным было бы распространить сертификаты не только на аутентификацию пользователя, но и его прав, ликвидировав при этом необходимость их специальной дополнительной защиты

Вышесказанное свидетельствует об актуальности темы диссертационной работы, связанной с разработкой систем мандатного разграничения доступа в СУБД

Целю диссертации является разработка моделей, алгоритмов и программ обеспечения мандатного разграничения доступа для эффективной защиты СУБД

Для достижения поставленной цели необходимо решить следующие задачи

1 Разработка модели мандатного разграничения доступа в СУБД

2 Решение проблемы защищенного хранения и надежной аутентификации прав мандатного доступа пользователей путем интеграции прав доступа в цифровые сертификаты

3 Разработка системы мандатного разграничения доступа в существующих СУБД

4 Программная реализация мандатного доступа в СУБД

5 Проведение оценки производительности и надежности СУБД с разработанной системой мандатного разграничения доступа

Методы исследования. В работе использованы основные положения теории множеств, теории матриц, метод формального описания моделей доступа, теория систем и сетей массового обслуживания, а также теория надежности вычислительных систем

Научная новизна полученных в диссертации основных результатов заключается в следующем

1 Разработана оригинальная модель мандатного разграничения доступа в СУБД, формализующая правила доступа к базам данных, таблицам и записям Позволяет повысить надежность системы защиты СУБД за счёт предотвращения возможности понижения ценности информации, а также существенного упрощения процесса администрирования

2 Впервые предложен способ обеспечения защищенного хранения и надежной и аутентификации прав мандатного доступа с помощью цифровых сертификатов

3 Разработана новая система мандатного разграничения доступа, позволяющая эффективно реализовать модель мандатного доступа в существующих СУБД Система включает диспетчер доступа, отвечающий за выполнения правил модели, а также удостоверяющий центр, отвечающий за администрирование пользователей

Основные положения, выносимые на защиту:

1 Оригинальная модель мандатного разграничения доступа в СУБД формализует правила доступа к базам данных, таблицам и записям и повышает надежность системы защиты СУБД за счёт предотвращения возможности понижения ценности информации, а также существенно упрощает процесс администрирования

2 Способ применения цифровых сертификатов обеспечивает защищенное хранение и надежную аутентификацию прав мандатного доступа

3 Система мандатного разграничения доступа в СУБД, позволяет эффективно реализовать модель мандатного доступа Система обладает способностью обеспечения мандатного доступа в существующих СУБД без их модификации

4 Разработанная система мандатного разграничения доступа не снижает существенно производительность, а в большинстве случаев способствует повышению производительности СУБД и повышает надежность её защиты

Практическая значимость работы.

Разработанная модель, механизмы и программы предназначены для обеспечения мандатного доступа в существующих или во вновь проектируемых СУБД Результаты работы могут быть использованы специалистами для усовершенствования систем разграничения

доступа в специализированных СУБД, таких как геоинформационные и экспертные системы с целью повышения их защищенности

Использование результатов Материалы диссертационной работы были использованы в следующих работах

1 В гранте РФФИ 03-07-90075 «Разработка и исследование методов и средств защиты информации в геоинформационных системах»

2 В гранте РФФИ 06-07-96608 «Разработка и внедрение новых технологий комплексной защиты многопользовательских региональных ГИС»

3 В лабораторной работе «Изучение системы удостоверяющих центров и сертификатов открытых» по курсу «Программно-аппаратные средства обеспечения информационной безопасности» кафедры БИТ ТРТУ

Использование результатов диссертационной работы подтверждено актами об использовании

Достоверность полученных результатов подтверждается строгостью математических выкладок, разработкой действующих программ и результатами экспериментов

Апробация работы Основные результаты, полученные в ходе работы, докладывались и обсуждались

• На Международной научно-технической конференции посвященной 225-летию МИИГАиК, Москва, 2004

• На XI Всероссийской научной конференции «Проблемы информационной безопасности в системе высшей школы», МИФИ, Москва, 2004

• На международных научно-практических конференциях «Информационная безопасность», Таганрог, 2004, 2005,2006 годов

• На IX международной научно-практической конференции «Методы дистанционно! о зондирования и ГИС-технологии для оценки состояния окружающей среды, инвентаризации земель и объектов недвижимости», Италия, Неаполь, 2005 г

• На третьей международной конференции «Информационные системы и технологии (IST'20006)», Минск, 2006 г

Публикации.

По теме диссертации опубликовано 13 печатных работ из них 8 статей в материалах международных конференций; Две статьи опубликованы в журнале «Известия Таганрогского радиотехнического университета (ТРТУ)» из перечня, рекомендованного ВАК РФ для публикации результатов диссертационных работ Объем и структура диссертации.

Диссертация состоит из введения, пяти глав, заключения, списка литературы, включающего 70 наименований, одного приложения Основной текст диссертации изложен на 160 страницах, включая 19 рисунков и 10 таблиц

СОДЕРЖАНИЕ РАБОТЫ Во введении обоснована актуальность разработки системы мандатного разграничения доступа в СУБД формулируются цели работы, решаемые в ней задачи, определяются научная новизна и практическая ценность выносимых на защиту результатов

В первой главе рассмотрены дискреционная и мандатная модели доступа Выделены основные особенности моделей, недостатки и преимущества Показано, что мандатная модель доступа обеспечивает высокую эффективность защиты данных и находится ближе к потребностям реальной жизни, нежели другие модели Произведен анализ систем, в которых имеется мандатное разграничение доступа - это СУБД Oracle и Линтер В результате анализа выявлен ряд каналов утечки информации в рассматриваемых системах

В СУБД Линтер объектами мандатного контроля доступа являются таблицы и столбцы в таблицах В ходе проведения экспериментов, заключающихся в формировании и выполнении ряда запросов пользователей с различными правами мандатного доступа к объектам с

различными значениями конфиденциальности, автором были определены правила мандатного разграничения доступа Проведенные эксперименты выявили ряд каналов утечки информации за счет некорректности реализации системы мандатного доступа Так, например, субъекты доступа могут модифицировать таблицы с меньшим значением конфиденциальности, чем значение доступа субъекта. В Линтер модификация таблицы заключается в добавлении новых столбцов и в изменении её параметров, например имени столбца в таблице В этом случае, имя столбца является двусторонним (дуплексным) каналом передачи информации между субъектами с более высокими и более низкими правами доступа, что представляет собой канал утечки информации Используя этот канал, субъект, имеющий право читать данные «особой важности» может изменить имя столбца в таблице со значением конфиденциальности «открыто», внеся в новое имя информацию «особой важности» В результате новое имя столбца, содержащее информацию «особой важности», будет доступно всем субъектам, имеющим право читать только «открытую» информацию

Анализ системы доступа СУБД Oracle выявил, что модель мандатного разграничения доступа не обладает полнотой, так как обеспечивается мандатный доступ только на уровне строк в таблицах, при этом не контролируются потоки информации к таким структурам, как таблицы и базы данных, в результате чего существует ряд каналов утечки информации Результат анализа показал сложность и нетривиальность задачи обеспечения мандатного доступа в современных СУБД из-за их архитектурных особенностей, большого числа способов представления и взаимодействия информации с пользователями

Во второй главе представлена разработка новой формальной модели мандатного разграничения доступа в СУБД В качестве объектов доступа выбраны все сущности в СУБД, которые образуют с пользователями информационные потоки по запросам языка SQL В итоге, выделено три вида объектов доступа, связанных иерархической зависимостью базы данных, таблицы в базах данных и записи в таблицах. Модель мандатного доступа, основанная на этих видах объектов, обладает полнотой, контролируя все информационные потоки между субъектами (пользователями) и объектами, а реализованная система доступа обладает гибкостью

В рамках разработки модели доступа, в главе рассмотрены понятия «собственник», «владелец» и «пользователь» информации и дана их трактовка применительно к СУБД В качестве субъекта доступа в диссертации выделена сущность пользователя СУБД

Для формализации модели введены следующие обозначения. С =<СЬ ,Cj, ,Ck>-линейно упорядоченное множество субъектов доступа - пользователей СУБД. Причем, множество С упорядочено таким образом, что чем меньше порядковый номер субъекта, тем он обладает большими полномочиями по доступу к объектам Где Cj, j=l k — это субъект или группа субъектов, обладающих одинаковыми правами доступа

0 = <Оь ,0,, ,0]t> - линейно упорядоченное множество объектов доступа. Причем множество О упорядочено таким образом, что чем меньше порядковый номер объекта, тем большие полномочия необходимы субъекту для доступа к этому объекту Где 0„ i = 1 к - это объект или группа объектов, характеризуемых одинаковыми правами доступа

1 - порядковый номер объекта доступа. Это номер строки в матрице доступа, характеризующий значение конфиденциальности объекта j - порядковый номер субъекта Номер столбца в матрице доступа, характеризующий права доступа субъекта. Чем меньше j или 1, тем выше права доступа субъекта или значение конфиденциальности объекта

Id - идентификатор объекта Каждый объект доступа может быть однозначно определен по собственному id Использование термина О, будет подразумевать все объекты равной конфиденциальности, а термин О,(id) - конкретный объект, имеющий значение конфиденциальности i, и определяющийся идентификатором id

В модели определены типовые операции СУБД над объектами с учетом степени их конфиденциальности

«Создание» - создание нового объекта. В модели операция «создание» имеет следующие параметры Созд(у,к11,1(32) Первый параметр 1 определяет значение конфиденциальности создаваемого объекта. Второй параметр j определяет значение метки доступа субъекта, создающего объект Третий параметр М1 определяет идентификатор создаваемого объекта. Четвертый параметр И2 определяет идентификатор объекта, которому будет подчинен создаваемый объект В случае, если создаваемый объект не является подчиненным, то 1(32 равен О

«Включение» - включает в иерархическую зависимость к объектам новые объекты Операция выполняет перенаправление к операции «создание» объекта по определенным в модели правилам «Включение» необходимо для формализации процесса создания иерархически связанных объектов Обозначается, как Вкл(у,1с11,1с12д), где 1 - значение конфиденциальности родительского объекта, .)- значение метки доступа субъекта, 1(11 -идентификатор создаваемого объекта, \62 - идентификатор родительского объекта, I- значение конфиденциальности нового объекта, включаемого в зависимость к родительскому объекту Перенаправление осуществляется следующим образом ВКЛ(у,1(11Д<32,1) => Созд(у, 1(11,1(12)

«Чтение» - чтение содержимого объекга. В рамках разрабатываемой формальной модели используется без параметров, так как эта операция не требует дальнейшей детализации в модели

«Удаление» - удаление объекта. Операция удаления имеет следующие параметры Уд(1,1<1), где I- значение конфиденциальности удаляемого объекта, 1(1 - идентификатор удаляемого объекта Операция удаления может иметь два результата выполнения, в зависимости от начальных условий (условия приведены ниже в формальном описании модели)

«Полное удаление» - удаление объекта со всеми иерархически принадлежащими ему объектами. Обозначается, как Уд_пол(1,1(1), где I — значение конфиденциальности удаляемого объекта, 1<1 - идентификатор удаляемого объекта

«Удаление с повышением» - эта операция специально введена для обеспечения удаления иерархически связанных объектов Обозначается как Уд_пов(1,к1), где I- значение конфиденциальности удаляемого объекта, 1(1 - идентификатор удаляемого объекта. Операция предназначена для решения проблемы, когда субъект, согласно значению его метки доступа, имеет право удалить объект Но удаляемый объект имеет в своей иерархии другие объекты, с более высоким значением конфиденциальности, недоступные для удаления субъектом В результате «Удаления с повышением», удаляются все объекты, иерархически принадлежащие удаляемому объекту и имеющие значение конфиденциальности равное значению метки доступа субъекта, после чего значение конфиденциальности удаляемого объекта повышается на одно значение Например: субъект имеет метку доступа 3(«конфиденциально») Удаляемый объект1 имеет значение конфиденциальности 3(«конфиденциально») Объекту1 принадлежит объект2 со значением конфиденциальности 3 («конфиденциально»), обьектЗ со значением конфиденциальности 2(«секретно»), объект4 со значением конфиденциальности 1(«сов секретно») Результат удаления объекта1 будет следующим объект1 имеет значение конфиденциальности 2«секретно» и включает объектЗ со значением конфиденциальности 2(«секретно») и объект4 со значением конфиденциальности 1(«сов секретно»)

«Модификация» - изменение структуры объекта или его содержимого -Для формального описания правил корректного удаления иерархических объектов в модели разработана функция вир Функция 81!Р(1,1с1) - определяет наивысшее значение конфиденциальности среди всех объектов доступа, принадлежащих в иерархии объекту О, с идентификатором Если объект 0,(1(3) не имеет вложенных объектов (подчиненных ему иерархически), то функция возвращает значение 1 Например, в базе данных имеется один объект «таблица!» с идентификатором к! «Таблица!» имеет три записи «запись!» имеет

значение конфиденциальности - 3, «запись2» - 2, «записьЗ» - 1 Функция 8иР(3,к!) верн-результат -1

Для очерченного круга операций, иерархических объектов СУБД и, основываясь н классической модели Белла-ЛаЛадула, разработано следующее формальное описание прави модели мандатного управления доступом в СУБД

1 Создание \ Чтение \ Удаление \ Модификация \ Включение, если } = /

2 - Чтение \ Включение, если }<1 ■ 3 Создание, если J > /

1 * Вкл(}, у, ¡(11, ¡(12,0 => СоздЦ, ], к/1, ¡¿2), ? 5 ]

, [Уд пол(г,к1), если ]=8иР(1,к1)

2* УдЬ,к!) = \ ~ х

[Уй_ нов, если ) > 5№{г, иГ)

Правило 1 формирует главную диагональ матрицы доступа и определяет случай «полного) доступа, когда субъект имеет право выполнять любую операцию над объектом Это правил формализует и детализирует для СУБД первое правило модели Белла-ЛаПадулла, состоящее том, что субъект имеет право читать только те документы, уровень конфиденциальност которых не превышает его собственный

Правило 2. Субъект имеет право читать существующие объекты со значение конфиденциальности не выше значения его метки доступа, а также включать в иерархическу зависимость к таким объектам новые объекты Это правило, как и предыдущее правило формализует и детализирует для СУБД первое правило модели Белла-ЛаПадулла Правило 3 формализует и детализирует для СУБД »-правило модели Белла-ЛаПадулл состоящее в том, что субъект имеет право заносить информацию только в те документы значение конфиденциальности которых не ниже его собственной метки доступа Возможност создавать объекты с большим значением конфиденциальности, чем значение метки доступ позволяет решить проблему «информаторов», когда субъект, обладающий минимальным правами доступа должен внести в СУБД некоторую секретную информацию, которая е; известна

Правило 1*. Вкл{1, ].1(1\, 1(12,1) => Созд^,]М\,иЛ2), / < ] , Это операция субъекта с метко доступа J по «включению» нового объекта с идентификатором к!1 и значение конфиденциальности 1 в иерархическую зависимость к объекту с идентификатором и32 значением конфиденциальности 1. Необходимым условием выполнения операции «включение) является условие 1< ] Это условие определяет возможность субъекту создавать новы

объекты только со значением конфиденциальности не меньшим, чем значение метки доступ субъекта, что удовлетворяет *-правилу модели Белла-ЛаПадулла и предотвраща возможность понижения ценности информации Например, субъект с меткой доступа («секретно») имеет право создать в таблице со значением конфиденциальност 3(«конфиденциально») записи со значениями конфиденциальности 2( «секретно»), 1 («сов секретно») и 0 («особой важности») Однако, этот субъект не имеет возможности включат новые записи в таблицу со значением конфиденциальности 1 («сов секретно»), так ка значение её конфиденциальности превышает значение метки доступа субъекта Правило 2*. Это правило определяет способ удаления объекта Специфика операции удалени объекта определяется иерархической зависимостью объектов доступа Если объект н содержит зависимых объектов, или все зависимые объекты имеют значени конфиденциальности равное значению конфиденциальности рассматриваемого объекта(те выполняется условие ) =8иР(мс1)), то происходит полное удаление объекта вместе с ег подчиненными объектами Если объект содержит объекты со значением конфиденциальност больше чем доступ субъекта (т е выполняется условие р8иР(мс!)), то происходит «удаление

повышением» Эта операция позволяет удалить для субъекта доступный ему объект, который имеет другие недоступные для субъекта объекты Для этого удаляются все объекты, принадлежащие удаляемому объекту и имеющие значение конфиденциальности равное значению метки доступа субъекта После этого значение конфиденциальности удаляемого объекта увеличивается та 1 Таким образом, в объекте остаются только недоступные субъекту объекты, и сам объект становится недоступен для субъекта.

Для разработанной модели доступа доказана efe корректность и полнота Под корректностью модели доступа понимается ее свойство полностью разделять ресурс между субъектами При этом правила модели задают доступ таким образом, чтобы различные субъекты имели доступ к непересекающимся элементам разделяемого ресурса, те чтобы обеспечивалась невозможность несанкционированного обмена информацией между собой Под полнотой модели доступа понимается её свойство определять правила доступа ко всем ресурсам системы, средствами которых возможен несанкционированный обмен информацией субъектами между собой.

С доказательством корректности связано определение канонической модели доступа Каноническая модель управления доступом для линейно упорядоченных множеств субъектов и объектов доступа является модель, описываемая матрицей доступа, в которой только элементы главной диагонали разрешают полный доступ (все возможные операции над объектами) субъектов к объектам Модель доступа обладает корректностью только в том случае, если она может быть представлена в виде канонической модели управления доступом Матрица доступа, формируемая разработанной моделью, задает для всех элементов главной диагонали полный доступ субъектов к объектам Во всех остальных элементах полный доступ не задается Таким образом, разработанная модель доступа является канонической и, следовательно, обладает корректностью .

Вопрос полноты модели связан с выбором объектов доступа В разработанной модели объектами доступа выбраны записи, таблицы и базы данных Гакой выбор объектов обосновывается тем, что в системе не останется неконтролируемых мандатным доступом потоков информации между какими-либо категориями представления информации в СУБД и пользователями Поэтому разработанная модель обладает полнотой

В третьей главе представлена разработка системы мандатного разграничения доступа в СУБД Как правило, система разграничения доступа хранит права доступа пользователей в собственной базе данных Такой способ нуждается в дополнительной защите этой базы данных, которую могут повредить или изменить преднамеренно или случайно как злоумышленник со стороны, так и собственный сотрудник Предложен новый способ защищенного хранения прав доступа субъектов с помощью цифровых сертификатов, который не требует отдельного хранения этих прав системой разграничения доступа В сертификат, содержащий открытый ключ, сроки действия, информацию о владельце сертификата и издателе и прочую служебную информацию, добавляется новое поле, которое содержит права доступа его владельца Сертификат защищен от модификации и фальсификации с помощью ЭЦП удостоверяющего центра, выдавшего этот сертификат В результате, сертификат выступает не только как средство аутентификации открытого ключа и его владельца, но и как средство аутентификации прав доступа владельца сертификата, что является принципиально новым решением, обеспечивающим эффективную защиту баз данных Для хранения значений мандатных прав доступа в геле сертификата предлагается использовать механизм дополнений, описанный в известном и широко применяемом формате сертификатов X 509 v 3 Это позволит обеспечить совместимость используемого сертификата с международными общепринятыми требованиями X 509 Описание разработанного дополнения в нотации ASN.1 (Abstract Syntax Notation - использовалась разработчиками требований X 509), будет следующим MandatoryAcceess = ENUMERATED fореп(4'), confldence(3), secret(2), topjsecret(l), most importance(0)} Приведенное описание может использоваться

разработчиками для обеспечения хранения прав доступа в сертификатах в различных программных реализациях удостоверяющего центра

Предложенный в диссертации механизм обеспечения мандатного доступа основывается на введении специального диспетчера доступа, который анализирует и модифицирует в соответствии с принятой политикой доступа запросы пользователей к базе данных Таким образом, для пользователей, штатная политика доступа СУБД подменяется политикой диспетчера доступа А задача мандатного доступа сводится к тому, что СУБД посредством Диспетчера Доступа предоставляет пользователю только ту информацию, которая соответствует метки доступа из сертификата. Общая архитектура защищенной СУБД представлена на рисунке 1

Удостоверяющий центр на представленной схеме выполняет административные функции, выдавая пользователям сертификаты и тем самым, разрешая законному владельцу сертификата работать с данными СУБД Существующая СУБД- это комплекс программных средств, реализующий функции создания, централизованного управления и организации доступа к базам данных различных пользователей.

, Сущютвцощая CJ^g

__________________________________________ЗещищеннаяСУБд: оввтелц

Рис 1 Архитектура СУБД с мандатным доступом Разработаны алгоритмы обработки основных запросов пользователей диспетчером доступа для реализации правил модели мандатного доступа в СУБД Алгоритмы описывают обработку запросов уровня записей (обработка таких sqt-операторов как SELECT, INSERT, DELETE, UPDATE), обработку запросов уровня таблиц (sql-операторы CREATE TABLE, DROP TABLE, DESCRIBE), а также обработку запросов уровня баз данных (sql-операторы CONNECT, SHOW TABLES, CREATE DATABES, DROP DATABASE) Сутью всех алгоритмов является определение последовательности действий при предоставлении информации диспетчером доступа с учётом её конфиденциальности пользователям с соответствующими метками доступа

При совместном использовании систем дискреционного и мандатного доступа правила дискреционного доступа должны являться дополнением правил мандатного доступа, а не наоборот, иначе потребуется повторить средствами дискреционного доступа все разграничения, реализованные системой мандатного доступа, использование которой в этом случае становится бессмысленным Современные СУБД основаны на дискреционном доступе и базируются на принципе «всё, что явно не разрешено, то запрещено» Для решения задачи совместного использования мандатного и штатного дискреционного доступа в главе предложено реализовать в системе дискреционного доступа СУБД принцип «Всё, что явно не запрещено, то разрешено», иначе правила мандатного доступа будут лишь дополнять правила дискреционного доступа. Реализация этого принципа в диссертации основывается на анализе и модификации sql-запросов, сформированных администратором при назначении дискреционных прав субъектам Модификация sql-запросов осуществляется диспетчером доступа таким образом, что команды, разрешающие какие-либо дискреционные права изменятся на команды, запрещающие эти же права При этом изначально, по умолчанию,

каждый новый пользовать будет наделяться всеми возможными дискреционными правами ко всем объектам

В четвертой главе произведен анализ производительности и надежности СУБД с разработанной системой мандагного разграничения доступа. В диссертации производительность характеризуется затратами времени СУБД с системой защиты на выполнение запросов пользователей В качестве метода оценки производительности выбран метод математического моделирования, основанный на теории массового обслуживания Сети массового обслуживания (СеМО) представляют собой совокупность конечного числа систем массового обслуживания (СМО), в которой циркулируют заявки, переходящие в соответствии с маршрутной матрицей из одной СМО в другую С целью оценки производительности в диссертации построены следующие математические модели

• Математическая модель СУБД без реализации мандатного разграничения доступа Имеет название «СУБД»

• Математическая модель СУБД с реализацией мандатного доступа «СУБД+МД=2» Здесь запросы к данным формирует субъект доступа с промежуточным значением доступа МД -мандатный доступ, а 2 - значение метки доступа (секретно)

• Математическая модель СУБД с реализацией мандатного доступа «СУБД+МД=0» Здесь запросы к данным СУБД формирует субъект доступа с максимальным значением доступа МД - мандатный доступ, а 0 - значение метки доступа (особой важности)

В результате моделирования определяются функции зависимости времени пребывания заявок от величины интенсивности входного потока заявок, которые дают представление о том, каким образом реализованная система защиты влияет на время пребывания заявки в СУБД В качестве экспериментальной СУБД использовалась СУБД MySQL 3 23 53-rnar. Выбор объяснен широкой популярностью этой СУБД для создания информационных систем в локальных и глобальных сетях Кроме того, эту СУБД отличает простота использования Дистрибуция MySQL распространяется бесплатно для некоммерческих проектов Каталог СУБД содержит 10 баз данных Каждая база данных содержит 10 таблиц Таблица содержит 200000 записей

Современные СУБД поддерживают обработку большого количества различных видов запросов (выборка, удаление, создание и прочее) Для того, чтобы разрабатываемая модель учитывала все основные виды запросов, в диссертации предполагается, что заявка представляет собой полный сеанс связи пользователя с СУБД - от подключения и до разъединения и включает набор основных запросов, который пользователь использует для работы с данными СУБД Спектр запросов определен разработанной моделью доступа Формат заявки представлен в таблице 1

Выбор всего сеанса связи в качестве заявки обеспечивает разрабатываемой модели выполнение свойства однородности СеМО Следует заметить, что в таблице есть ряд запросов, которые выполняются не в каждой заявке Такое распределение количества запросов делает разработанную модель приближенной к реально функционирующим системам Например, на этапе функционирования информационной системы запрос на удаление всей базы данных происходит обычно крайне редко, поэтому в модели операция удаления базы данных задана с частотой один раз в 1000 заявок (запрос Drop в таблице)

С помощью экспериментальных данных выявлено, что распределение длительностей

Таблица 1 Структура заявки

Количество Название Количеств

запросов в запроса о этапов

заявке счета

Операций над объектами «Базы Данных»

1 Connect 1

1/100 Show 1

1/1000 Create 1

1/1000 Drop 1

Операции над объектами «Таблицы»

2 Describe 2

1/100 Create I

1/100 Drop 1

Операции над объектами «Записи»

100 Select 100

10 Delete 10

10 Create 10

20 Update 20

Всего операций счёта 148

обслуживания различных видов запросов в СУБД подчиняется экспоненциальному закону

Разработанная в диссертации СеМО «СУБД» без реализации мандатного доступа представлена на рисунке 2 Сеть состоит из четырех СМО

81 - производит анализ поступивших в СУБД запросов данных и

•—ГШ-

S1 4

Анализ запросов е СУБД

распределяет в какую СМО отправить его на выполнение Интенсивность входного и выходного потока в S1 равна ?ч- Время обслуживания этой СМО равно Тобс, Количество операций счёта nl = l.

S2 - производит выполнение запросов, связанных с обработкой записей в таблицах Интенсивность входного и выходного потока в S2 равна Рис.2 Схема Семо «СУБД» Х2 Вероятность перехода заявки из S1 в

52 равна Р12 Время обслуживания равно T^j Количество операций счёта п2 = 140

53 - производит выполнение запросов, связанных с обработкой таблиц в базе данных Интенсивность входного и выходного потока в S3 равна Яз Вероятность перехода заявки из S1 в S3 равна Р13 Время обслуживания равно То6сз Количество операций счёта пЗ = 4 S4 -производит выполнение запросов, связанных с обработкой базы данных Интенсивность входного и выходного потока в S4 равна Х4 Вероятность перехода заявки из S1 в S4 равна Р]4 Время обслуживания равно Тобс4 Количество операций счёта п4 = 4

Экспериментально найдены средние времена обслуживания в каждой из СМО Т^, = 0,074 сек; Т^г = 0,1902 сек, Т,^ = 0,0008 сек; То6с4 = 0,088 сек Общее количество операций счёта, согласно разработанной структуре заявки, N = 149 Основываясь на методике анализа экспоненциальных СеМО, были произведении расчёты и получена следующая зависимость

времени пребывания заявки в СеМО «СУБД» от интенсивности входного потока заявок Я,,

N*T

■г__"

* пр ~ 1_т

ъ*тобс3

п *Т

_4_' обсА

*N

о6с\ Л0 JV

\-Т„,

*Ла*1

1-

Т * X *i

1 обсЗ л0 '

1 -Г.

При интенсивности заявок 1000 в сутки (0,0116 в сек) время пребывания заявки в ■ СеМО «СУБД» равно 51,5295 сек

Разработанная в диссертации СеМО «СУБД+МД=2» с реализацией мандатного доступа, где заявки формирует субъект с доступом 2 - «секретно», состоит из 5 СМО и представлена на рисунке 3

81,82,83,84 -эти СМО аналогичны описанным ранее в СеМО «СУБД». Интенсивность входного потока и среднее время обслуживания эти СМО обозначаются соответственно. То6сь X,, Т0бс2» Том, Х3, Тобсь ?ч - является анализатором запросов реализованного диспетчера доступа Производит анализ поступивших в СУБД запросов для

-5ЕШ—L

S5

Анализ запросов в ДД

О)

зш—

S1

Анализ запросов в СУБД

/ А, S4

Обработка БД

-UEE-

Рис.З Схема СеМО «СУБД+МД=2»

беспечения дальнейшего обеспечения мандатного доступа Интенсивность входного и ыходного потока в S5 равна Х5 Время обслуживания этой СМО равно Т0бс5

Экспериментально найдены средние времена обслуживания в каждой из СМО To5ci = ,074 сек, Той = 0,1117 сек, Т^з = 0,0035 сек, Тобс4 = 0,095 сек, То6с5 = 0,074 сек

Основываясь на формулах теории моделирования экспоненциальных СеМО и азработанной модели, представленной на рисунке 3, была получена следующая зависимость ремени пребывания заявки от интенсивности входного потока

Т ~

«р

(Jv-i )*та

n3*{N-\)*Tol

1 -

n4*(N -])* Та6Ы

1) N-Àq* Товс2 *n2*(N -l) N-ÀQ* Тобс} *

n3*(N~l) (2)

N*T„,

N-A,*To6c4*n44X-О 1-4у*Ты

>N

При интенсивности заявок 1000 в сутки (0,0116 в сек) время пребывания заявки в еМО «СУБД+МД=2» равно 44,529 сек

Разработанная в диссертации СеМО «СУБД+МД=0» с реализацией мандатного оступа, где заявки формирует субъект с доступом 0 - «особой важности» имеет структуру античную структуре «СУБД+МД=2», представленную на рисунке 3 В моделях отличаются олько значения параметров — средние времена обслуживания в каждой СМО, поэтому ормула для расчета времени пребывания заявки определяется формулой 2 Времена обслуживания найдены экспериментально. Т0бс1 = 0,074 сек , Т,^ — 0,201 сек, То6с3 = 0,0013 сек, То6с4 = 0,0929 сек , Т0бс5 = 0,074 сек

При интенсивности заявок 1000 в сутки (0,0116 в сек) время пребывания заявки в СеМО «СУБД+МД=0» равно 66,9277 сек

Закономерность влияния реализованного мандатного доступа в СУБД на время пребывания показана на графиках зависимости среднего времени пребывания заявки от интенсивности входного потока заявок для всех трех разработанных математических моделей Графики представлены на рисунке 4 В результате делаются следующие выводы • Время выполнения заявки в СУБД „,ж>г

1 1 1 Il 1 1 . 1 Н(х)-"СУЬД+МД=2"

1 4

Г3(х)-"СУЬД+\1Д=0"

1 t

/ / /

у/Г1(х)-"суьд'<

.'■у

1 I 1 1 1 1

с реализованным мандатным доступом существенно зависит от значения метки доступа субъекта, и т сформировавшего запрос Чем Щ выше значение метки доступа £ ш субъекта, тем больше время £ пребывания его заявки в СУБД 1 Для субъекта со значением метки •§ а» доступа «Секретно» время = пребывания заявки в СУБД с Ъ

^ 1СЮ

реализованным мандатным а

доступом меньше, чем в СУБД без реализованного мандатного „ 0

доступа При интенсивности 1000 < заявок/сутки время пребывания заявки сокращается в 1,16 раза Для субъекта с максимальным значением метки доступа «Особой важности» время пребывания заявки в СУБД с реализованным мандатным доступом выше, чем в СУБД без реализованного мандатного доступа При интенсивности 1000 заявок/сутки время пребывания заявки увеличивается 1,3 раза.

Ишснсквноси, посаупзашя заявок, !/с Рис 4 Графика зависимости времени пребывания заявки от интенсивности входного потока

Надежность системы защиты — вероятность того, что в любой момент времени система защищена Надежность, согласно теории вычислительных систем задается формулой Pj = 1-Х*ТВ , где к - это среднее число отказов системы защиты в единицу времени, Тв - время восстановления, интервал времени в течении которого после возникновения отказа уязвимость устраняется

Для оценки надежности штатной и разработанной мандатной системы доступа предлагается использовать следующее соотношение Р2 = (1 -(1 -Pi)( 1 -Рд)) Pi - надежность только штатной дискреционной системы доступа, Рд - надежность только мандатной добавочной системы защиты Примем в качестве переменной надежность добавочной защиты -Рд Надежность встроенной защиты будет константой (для дальнейшего расчёта примем значение Р) = 0,7) График зависимости надежности всей системы от Рд представлен на рис 5

Из построенной зависимости можно сделать вывод о том, что надежность системы, включающей разработанные средства добавочной защиты всегда больше, чем надежность системы, включающей только встроенную защиту В случае отказа добавочной защиты, надежности равны

В пятой главе рассмотрена разработка программных средств мандатного разграничения доступа в СУБД С помощью реализованных программ экспериментально

подтверждены функциональные и временные возможности

разработанной системы доступа. Кроме того, эти программы могут использоваться как для защиты существующих СУБД, так и при проектировании новых защищенных СУБД

Разработана и реализована программа удостоверяющего центра, предназначенная для генерации и выдачи сертификатов открытых ключей пользователям СУБД, а также для назначения пользователям мандатных прав доступа

Разработана и реализована программа диспетчера доступа, осуществляющего мандатное разграничение доступа

Разработана и реализована программа, необходимая для взаимодействия пользователя и СУБД

При разработке криптографических программных средств симметричного и асимметричного шифрования использована разработка кафедры БИТ ТРТУ «CriptoBIT v 2.1» Это библиотека криптографических функций в составе Симметричное шифрование ГОСТ 28147-89, Стандарт электронной цифровой подписи ГОСТ Р 34 10-2001; Стандарт Хеш-значения ГОСТ Р 34 11-94, Асимметричная система шифрования Эль-Гамадя-Шнорра

Реализован собственный удостоверяющий центр «Certify Center System v 2 1» На разработанный программный продукт получено свидетельство об официальной регистрации программы для ЭВМ 2004610606 «Программа удостоверяющего центра для организации взаимной аутентификации с помощью сертификатов открытых ключей»

Важным условием в работе программы диспетчера доступа является осуществление им контроля всех точек доступа пользователей к СУБД, иначе возможно появление потоков информации между СУБД и пользователями, не контролируемых системой мандатного

доступа Для выполнения этого условия предложено использовать межсетевой экран (файервол), закрывающий сетевые порты, обслуживающие СУБД для удаленных пользователей Но для диспетчера доступа сетевой порт СУБД остается открытым Сетевые порты диспетчера доступа для удаленных соединений открыты В результате, пользовательские программы не могут отправлять запросы прямо на сервер СУБД, а могут отправлять только диспетчеру доступа Запросы пользователей на работу с данными формируются на языке запросов SQL и отправляются диспетчеру доступа Если права субъекта позволяют выполнить запрос, то диспетчер доступа выполняет этот запрос в СУБД СУБД возвращает диспетчеру доступа результат выполнения запроса - некоторый набор данных Для передачи результатов выполнения запроса от диспетчера доступа пользователю предложено использовать формат XML (расширяемый язык разметки) Применение XML обеспечивает совместимость при передаче структурированных данных между разными системами обработки информации

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

1 Разработана оригинальная модель мандатного разграничения доступа в СУБД, формализующая правила доступа к базам данных, таблицам и записям Позволяет повысить надежность системы защиты СУБД за счёт предотвращения возможности понижения ценности информации, а также существенного упрощения процесса администрирования

2 Впервые предложен способ обеспечения защищенного хранения и надежной аутентификации прав мандатного доступа с помощью цифровых сертификатов Права мандатного доступа хранятся в сертификате, и защищены от фальсификации электронной цифровой подписью Достоинством предложенного способа является возможность хранения прав мандатного доступа совместно с другими параметрами, обеспечивающими защиту информации с применением методов асимметричного шифрования

3 Разработана система мандатного разграничения доступа, позволяющая эффективно реализовать модель мандатного доступа в существующих СУБД Разработанная архитектура СУБД с мандатным доступом включает диспетчер доступа, отвечающий за выполнение правил разработанной модели доступа, а также удостоверяющий центр, отвечающий за администрирование пользователей Разработаны алгоритмы обработки запросов диспетчером доступа для основных видов запросов к базам данных, таблицам и записям Разработан способ внесения значений конфиденциальности в объекты доступа Разработан механизм, обеспечивающий корректное совместное использование штатной дискреционной системы доступа и разработанной системы мандатного доступа

4 Разработаны программные модули, реализующие мандатный доступ в СУБД В частности, созданы программы диспетчера доступа и удостоверяющего центра Успешная разработка программных средств позволила доказать применимость теоретических разработок на практике, а также провести ряд экспериментов для оценки производительности разработанной системы мандатного разграничения доступа в СУБД

5 Произведена оценка производительности и надежности СУБД с разработанными средствами защиты Сделан вывод о том, что реализованный мандатный доступ не снижает существенно производительность СУБД, а в большинстве случаев способствует повышению производительности При этом, надежность защиты СУБД с включенным мандатным доступом не уменьшается

По теме диссертации опубликованы 13 работ, из которых можно выделить следующие:

1 Бабенко Л К, Басан А С, Макаревич О Б «Организация мандатного доступа к данным ГИС на основе сертификатов» Сборник трудов Международной научно-технической конференции посвященной 225-летию МИИГАиК М 2004 стр 38-43

2 Бабенко JIК , Басан А С , Макаревич О Б «Обеспечение защиты ГИС «Интеграция» с помощью цифровых сертификатов» Сборник трудов Известия ТРТУ Материалы L научно-технической конференции Таганрог 2004 г стр 127-129

3 Бабенко JIК, Басан А С, Макаревич О Б «Обеспечение защиты данных геоинформационной системы на основе сертификатов открытых ключей» Материалы VI Международной научно-практической конференции «Информационная безопасность», Таганрог ТРТУ - 2004г стр 266 -269

4 Бабенко JIК, Басан А С , Макаревич О Б «Организация мандатного доступа к данным ГИС на основе сертификатов» Сборник научных трудов XI Всероссийской научной конференции «Проблемы информационной безопасности в системе высшей школы» М МИФИ, 2004 стр 88-89

5 Бабенко Л К, Басан АС, Макаревич ОБ «Средства защиты ГИС на основе сертификатов открытых ключей» Методы дистанционного зондирования и ГИС-технологии для оценки состояния окружающей среды, инвентаризации земель и объектов недвижимости Материалы IX международной науч -практической коференции 14-21 мая 2005 г - Новосибирск СГГА, 2005 стр 46- 49

6 Бабенко Л К, Басан А С, Макаревич О Б Обеспечение мандатного доступа к данным СУБД // Известия ТРТУ Специальный выпуск Материалы LI научно-технической конференции профессорско-преподавательского состава - Таганрог Из-во ТРТУ, 2005 №9(53) -332с

7 Бабенко Л К, Басан А С , Макаревич О Б Мандатный доступ в СУБД //Известия ТРТУ Тематический выпуск Материалы VII Международной научно-практической конференции «Информационная безопасность» Таганрог Издательство ТРТУ, 2005 № 4(48), 250с

8 Бабенко Л К, Басан А С Разработка мандатной модели доступа в СУБД // Материалы VIII Международной научно-практической конференции "Информационная безопасность" -Таганрог Изд-во ТРТУ, 2006 - 280 с

9 Басан А С Классифкация объектов защиты при обеспечении мандатного разграничения доступа в СУБД // Материалы VIII Международной научно-практической конференции "Информационная безопасность" -Таганрог Изд-во ТРТУ, 2006 - 280 с

10 Бабенко Л К, Басан А С , Макаревич О Б Разработка мандатной модели доступа и анализ существующих моделей в современных СУБД // Материалы третьей международной конференции «Информационные системы и технологии (IST'20006) Минск, 2006 г

Личный вклад автора в работах, написанных в соавторстве, состоит в следующем [1,2,3,4] - разработка алгоритмов обеспечения мандатного доступа к базе данных геоинформационной системы, а также способа защищенного хранения прав мандатного доступа с цифровых сертификатах, [5,6,7,8,9] - разработка формальной модели мандатного разграничения доступа в СУБД, [10] - анализ систем мандатного разграничения доступа в современных СУБД

ЛР№ 020565 от 23 06 97 г Подписано в печать формат 60x84 1/16

Бумага офсетная Печать офсетная Уел п л - 1 Тираж 100 экз Заказ № ¡LiZ-"С"

Издательство Таганрогского государственного радиотехнического университета

ГСП 17 А, Таганрог - 28, Некрасовский, 44 Типография Таганрогского государственного радиотехнического университета ГСП 17 А, Таганрог-28, Энгельса, 1

Оглавление автор диссертации — кандидата технических наук Басан, Александр Сергеевич

ВВЕДЕНИЕ.

1. АНАЛИЗ СУЩЕСТВУЮЩИХ МОДЕЛЕЙ, МЕХАНИЗМОВ И ПРОГРАММНЫХ СРЕДСТВ РАЗГРАНИЧЕНИЯ ДОСТУПА.

1.1 Дискреционная модель управления доступом.

1.2 Мандатная модель управления доступом.

1.3 Анализ систем мандатного разграничения доступа существующих СУБД.

1.3.1 Анализ модели мандатного разграничения доступа в СУБД Линтер.

1.3.2 Анализ модели мандатного разграничения доступа в СУБД Oracle.

1.4 Удостоверяющие центры и сертификаты открытых ключей. Механизмы их использования для защиты данных в СУБД.

1.5 Выводы.

2. РАЗРАБОТКА МОДЕЛИ МАНДАТНОГО ДОСТУПА В СУБД.

2.1. Требования к модели разграничения доступа. Корректность и полнота модели.

2.2. Классификация объектов доступа.

2.3 Определение собственника, владельца и пользователя информации.

2.4 Классификация субъектов доступа.

2.5 Разработка формальной модели мандатного доступа в СУБД.

2.6 Решение задачи взаимодействия систем мандатного и дискреционного доступа в СУБД.i.

2.7 Выводы.

3. РАЗРАБОТКА СИСТЕМЫ МАНДАТНОГО РАЗГРАНИЧЕНИЯ ДОСТУПА В СУБД.

3.1 Разработка архитектуры СУБД с мандатным доступом.

3.1.1 Анализ принципов построения СУБД.

3.1.2 Роль и функции диспетчера доступа.

3.1.3 Роль и функции системы удостоверяющих центров.

3.2 Разработка структуры цифрового сертификата, как средства хранения мандатных прав доступа.

3.3 Внесение значений конфиденциальности в объекты доступа.

3.4. Разработка алгоритма обработки запросов диспетчером доступа.

3.4.1 Алгоритмы обработки запросов уровня записей.

3.4.1.1 Обработка запроса SELECT.

3.4.1.2 Обработка запросов INSERT.

3.4.1.3 Обработка запросов UPDATE.

3.4.1.4 Обработка запросов DELETE.

3.4.2 Алгоритм обработки запросов уровня таблиц.

3.4.2.1 Обработка запросов CREATE TABLE.

3.4.2.2 Обработка запросов DROP TABLE.

3.4.2.3 Обработка запросов DESCRIBE.

3.4.3 Алгоритмы обработки запросов уровня баз данных.

3.4.3.1 Обработка запросов CONNECT.

3.4.3.2 Обработка запросов CREATE DATABASE.

3.4.3.3 Обработка запросов DROP DATABASE.

3.4.3.4 Обработка запросов SHOW TABLES.

3.5 Решение проблемы совместного использования систем мандатного и дискреционного доступа.

3.5.1 Разработка формата имени и пароля субъекта доступа.

3.5.2 Определение дискреционных привилегий.

3.5.3 Разработка правил формирования дискреционных прав доступа.

3.6 Выводы.

4. АНАЛИЗ ПРОИЗВОДИТЕЛЬНОСТИ И НАДЕЖНОСТИ СУБД С

РАЗРАБОТАННЫМИ СРЕДСТВАМИ ЗАЩИТЫ.

4.1 Требования к разрабатываемым математическим моделям.

4.2 Разработка формата заявки в моделируемой системе.

4.3 Разработка математической модели без реализации мандатного доступа «СУБД».

4.4 Разработка математической модели с реализацией мандатного доступа «СУБД+МД=2».

4.5 Разработка математической модели с реализацией мандатного доступа «СУБД+МД=0».

4.6 Анализ разработанных моделей.

4.7 Оценка надёжности защиты информации.

4.8 Выводы.

5. РАЗРАБОТКА ПРОГРАММНЫХ СРЕДСТВ МАНДАТНОГО ДОСТУПА В СУБД.

5.1 Используемые криптографические функции.

5.2 Реализация удостоверяющего центра.

5.3 Реализация диспетчера доступа.

5.4 Выводы.

Введение 2007 год, диссертация по информатике, вычислительной технике и управлению, Басан, Александр Сергеевич

Актуальность проблемы. В настоящее время большинство информационных систем (ИС) строятся на основе систем управления базами данных (СУБД). СУБД обеспечивают универсальный механизм для хранения, обработки и предоставления данных, который может быть использован в различных областях деятельности человека. Использование СУБД как надежной основы для построения ИС, связано с проблемой разграничения доступа пользователей к хранимой информации. Согласно анализу причин нарушений безопасности [1,2] 89% недостатков средств защиты в ИС приходится именно на долю системы разграничения доступа. Теоретическим основам, связанным с разграничением доступа, посвящено значительное количество работ ученых: В.А. Галатенко, Д.П. Зегжды, А.М. Ивашко, П.Н. Девянина, Н.А Гайдамакина, Грушо А.А., В.А Герасименко, А.Ю. Щеглова, К.А. Щеглова, Leonard J. LaPadula, Uhlman J., Ruzzo W. и других.

Среди используемых для разграничения доступа моделей наиболее распространенными являются дискреционная и мандатная [3,4]. Дискреционный доступ легко реализуем, хорошо отлажен и интегрирован в ядро систем. Поэтому при создании СУБД разработчиками используются готовые решения дискреционной политики доступа, а инновации относятся к задачам увеличения производительности и расширению функциональности, не затрагивая принципиальных основ разграничения доступа. Для ряда ИС, строящихся на основе СУБД дискреционного доступа достаточно. Однако, существуют задачи разграничения доступа к информации по значению её ценности. Этот вопрос актуален для построения крупных ИС государственного или корпоративного масштаба, например геоинформационных систем. Для таких задач особого внимания требует модель мандатного доступа.

Для подавляющего. большинства современных СУБД реализаций мандатного разграничения доступа не существует. Её особенность состоит в предотвращении возможности преднамеренного или случайного понижения ценности информации за счёт контроля информационных потоков. Кроме того, с помощью мандатной модели возможно существенное упрощение задачи администрирования ИС во время установки и эксплуатации (не требуется высокого уровня детализации задания отношений субъект-объект, достаточная легкость включения в схему администрирования новых объектов и субъектов), что приводит к уменьшению количества ошибок. Таким образом, мандатная модель доступа обеспечивает высокую эффективность защиты данных и находится ближе к потребностям реальной жизни, нежели другие модели.

В настоящее время вопрос разработки механизмов и средств обеспечения мандатного доступа в ИС и в СУБД, в частности, не достаточно проработан, что объясняется следующими проблемами [5,6,7].

Отсутствие формальных моделей мандатного доступа, учитывающих особенности построения и функционирования СУБД, что затрудняет разработку средств мандатного контроля доступа в существующих и вновь создаваемых СУБД. Разработка такой модели является задачей нетривиальной и трудоемкой и требует детальной проработки правил общей мандатной модели Белла-Ла-Падула применительно к СУБД.

Небольшое количество существующих промышленных СУБД (в частности, Ingres, Oracle и Линтер) имеют собственную систему мандатного разграничения доступа. Однако, анализ систем доступа в этих СУБД показал, что реализованные средства не обеспечивают полноту и корректность [8]. В результате возникают каналы утечки информации уже на этапе проектирования ИС. Фактически остаются не решенными вопросы обеспечения мандатного доступа в уже существующих и функционирующих СУБД.

Важным вопросом организации мандатного управления доступом является защищенное хранение и надежная аутентификация прав доступа. Как правило, права доступа хранятся в служебных базах данных СУБД и ассоциируются с пользователем после его аутентификации системой, причем аутентификация самих прав доступа не происходит, что дает возможность подмены прав доступа. В современных СУБД аутентификация пользователя может производиться с применением цифровых сертификатов. Естественным было бы распространить сертификаты не только на аутентификацию пользователя, но и его прав, ликвидировав при этом необходимость их специальной дополнительной защиты.

Вышесказанное свидетельствует об актуальности темы диссертационной работы, связанной с разработкой систем мандатного разграничения доступа в СУБД.

Целю диссертации является разработка моделей, алгоритмов и программ обеспечения мандатного разграничения доступа для эффективной защиты СУБД.

Для достижения поставленной цели необходимо решить следующие задачи:

1. Разработка модели мандатного разграничения доступа в СУБД.

2. Решение проблемы защищенного хранения и надежной аутентификации прав мандатного доступа пользователей путем интеграции прав доступа в цифровые сертификаты.

3. Разработка системы мандатного разграничения доступа в существующих СУБД.

4. Программная реализация мандатного доступа в СУБД.

5. Проведение оценки производительности и надежности СУБД с разработанной системой мандатного разграничения доступа.

Методы исследования. В работе использованы основные положения теории множеств, теории матриц, метод формального описания моделей доступа, теория систем и сетей массового обслуживания, а также теория надежности вычислительных систем.

Научная новизна полученных в диссертации основных результатов заключается в следующем.

1. Разработана оригинальная модель мандатного разграничения доступа в СУБД формализующая правила доступа к базам данных, таблицам и записям. Позволяет повысить надежность системы защиты СУБД за счёт предотвращения возможности понижения ценности информации, а также существенного упрощения процесса администрирования.

2. Впервые предложен способ обеспечения защищенного хранения и надежной и аутентификации прав мандатного доступа с помощью цифровых сертификатов.

3. Разработана новая система мандатного разграничения доступа, позволяющая эффективно реализовать модель мандатного доступа в существующих СУБД. Система включает диспетчер доступа, отвечающий за выполнения правил модели, а также удостоверяющий центр, отвечающий за администрирование пользователей.

Основные положения, выносимые на защиту:

1. Оригинальная модель мандатного разграничения доступа в СУБД формализует правила доступа к базам данных, таблицам и записям и повышает надежность системы защиты СУБД за счёт предотвращения возможности понижения ценности информации, а также существенно упрощает процесс администрирования.

2. Способ применения цифровых сертификатов обеспечивает защищенное хранение и надежную аутентификацию прав мандатного доступа.

3. Система мандатного разграничения доступа в СУБД, позволяет эффективно реализовать модель мандатного доступа. Система обладает способностью обеспечения мандатного доступа в существующих СУБД без их модификации.

4. Разработанная система мандатного разграничения доступа не снижает существенно производительность, а в большинстве случаев способствует повышению производительности СУБД и повышает надежность её защиты. Практическая значимость работы.

Разработанная модель, механизмы и программы предназначены для обеспечения мандатного доступа в существующих или во вновь проектируемых СУБД. Результаты работы могут быть использованы специалистами для усовершенствования систем разграничения доступа в специализированных СУБД, таких как геоинформационные и экспертные системы с целью повышения из защищенности.

Использование результатов. Материалы диссертационной работы были использованы в следующих работах:

1. В гранте РФФИ 03-07-90075 «Разработка и исследование методов и средств защиты информации в геоинформационных системах».

2. В гранте РФФИ 06-07-96608 «Разработка и внедрение новых технологий комплексной защиты многопользовательских региональных ГИС».

3. В лабораторной работе «Изучение системы удостоверяющих центров и сертификатов открытых» по курсу «Программно-аппаратные средства обеспечения информационной безопасности» кафедры БИТ ТРТУ.

Использование результатов диссертационной работы подтверждено актами об использовании.

Достоверность полученных результатов подтверждается строгостью математических выкладок, разработкой действующих программ и результатами экспериментов.

Апробация работы. Основные результаты, полученные в ходе работы, докладывались и обсуждались:

• На Международной научно-технической конференции посвященной 225-летию МИИГАиК, Москва, 2004.

• На XI Всероссийской научной конференции «Проблемы информационной безопасности в системе высшей школы», МИФИ, Москва, 2004.

• На международных научно-практических конференциях «Информационная безопасность», Таганрог, 2004,2005,2006 годов.

• На IX международной научно-практической конференции «Методы дистанционного зондирования и ГИС-технологии для оценки состояния окружающей среды, инвентаризации земель и объектов недвижимости», Италия, Неаполь, 2005 г.

• На третьей международной конференции «Информационные системы и технологии (IST'20006)», Минск, 2006 г.

Публикации.

По теме диссертации опубликовано 13 печатных работ из них 8 статей в материалах международных конференций; Две статьи опубликованы в журнале

Известия Таганрогского радиотехнического университета (ТРТУ)» из перечня, рекомендованного ВАК РФ для публикации результатов диссертационных работ.

Объем и структура диссертации. Диссертация включает введение, пять

Заключение диссертация на тему "Разработка моделей, алгоритмов и программ реализации мандатного разграничения доступа в СУБД с использованием цифровых сертификатов"

5.4 Выводы

Разработанная система мандатного разграничения доступа в СУБД реализована в виде программных модулей. Созданы программы диспетчера доступа, удостоверяющего центра, программа пользователя. Успешная разработка программных средств позволила доказать применимость теоретических разработок на практике, а так же провести ряд экспериментов для оценки производительности разработанной системы мандатного разграничения доступа в СУБД.

ЗАКЛЮЧЕНИЕ

В ходе выполнения диссертационной работы были получены следующие основные результаты:

Разработана оригинальная модель мандатного разграничения доступа в СУБД формализующая правила доступа к базам данных, таблицам и записям. Позволяет повысить надежность системы защиты СУБД за счёт предотвращения возможности понижения ценности информации, а также существенного упрощения процесса администрирования.

Впервые предложен способ обеспечения защищенного хранения, надежной идентификации и аутентификации прав мандатного доступа с помощью цифровых сертификатов. Права мандатного доступа хранятся в сертификате, и защищены от фальсификации электронной цифровой подписью. Достоинством предложенного способа является возможность хранения прав мандатного доступа совместно с другими параметрами, обеспечивающими защиту информации с применением методов асимметричного шифрования.

Разработана система мандатного разграничения доступа, позволяющая эффективно реализовать модель мандатного доступа в существующих СУБД. Разработанная архитектура СУБД с мандатным доступом включает диспетчер доступа, отвечающий за выполнение правил разработанной модели доступа, а также удостоверяющий центр, отвечающий за администрирование пользователей. Разработаны алгоритмы обработки запросов диспетчером доступа для основных видов запросов к базам данных, таблицам и записям. Разработан способ внесения значений конфиденциальности в объекты доступа. Разработан механизм, обеспечивающий корректное совместное использование штатной дискреционной системы доступа и разработанной системы мандатного доступа.

Разработаны программные модули, реализующие мандатный доступ в СУБД. В частности, созданы программы диспетчера доступа и удостоверяющего

150 центра. Успешная разработка программных средств позволила доказать применимость теоретических разработок на практике, а также провести ряд экспериментов для оценки производительности разработанной системы мандатного разграничения доступа в СУБД,

Произведена оценка производительности и надежности СУБД с разработанными средствами защиты. Сделан вывод о том, что реализованный мандатный доступ не снижает существенно производительность СУБД, а в большинстве случаев способствует повышению производительности. При этом, надежность защиты СУБД с включенным мандатным доступом не уменьшается.

Таким образом, разработаны модели, алгоритмы и программы реализации мандатного разграничения доступа в современных СУБД с использованием цифровых сертификатов.

Подводя итог, можно заключить: поставленная цель исследования полностью достигнута, все научные задачи решены.

Библиография Басан, Александр Сергеевич, диссертация по теме Методы и системы защиты информации, информационная безопасность

1. CERT, www.cert.org

2. Демурчев Н.Г. «Проектирование системы разграничения доступа автоматизированной информационной системы на основе функционально ролевой модели на примере высшего учебного заведения». Диссертация на соискание ученой степени кандидата технических наук.

3. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. -М.: Горячая линия Телеком, 2000. 452 е., ил

4. Зегжда Д.П., Ивашко A.M. Как построить защищенную информационную систему. Технология создания безопасных систем/ Под ред. П.Д. Зегжды, В.В. Платонова СПб.: НПО Мир и Семья-95,1997.

5. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. -СПб: Наука и Техника, 2004. 384 е.: ил.

6. Гайдамакин Н.А. Автоматизированные информационный системы, базы и банки данных. М.:Гелиос АРВ, 2002.

7. Гайдамакин Н.А. Разграничение доступа к информации в компьютерных системах. Екатеринбург: Изд-во Урал. гос. ун-та, 2003.

8. Бабенко JI.K., Басан А.С., Макаревич О.Б. Разработка мандатной модели доступа и анализ существующих моделей в современных СУБД // Материалы международной конференции. Ноябрь 2006, Минск (JI.K. -Нальчик).

9. М. Harrison, W.Ruzzo, J. Uhlman "Protection in operation systems", Communications of the ACM, 1976

10. Брагг P. Система безопасности Windows 2000.: Пер. с англ. М.: Издательский дом «Вильяме», 2001. - 592 с.

11. Девянин П.Н. Анализ безопасности управления доступом и информационными потоками в компьютерных системах. Учеб. пособие для вузов. -М.: Радио и связь, 2006.-176 с.

12. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. М.,1992.

13. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. М., 1992.

14. Leonard J LaPadula and D. Elliott Bell "Secure Computer Systems: A Mathematical Model", MITRE Corporation Technical Report 2547, Volume II, 31 May 1973.

15. D. Elliot Bell, Leonard J. LaPadula // "Secure Computer Systems: Mathematical Foundations". MITRE Technical Report 2547, 1973. Vol. II.

16. John McLean, Security Models. Encyclopedia of Software Engineering. Wiley Press, 1994

17. McLean J., John D. Security Models and Information Flow, Proceedings of 1990 // IEEE Symposium on Research in Security and Privacy. IEEE Press, 1990.

18. McLean J., John D. The Specification mid Modeling of Computer Security. // Computer.-Vol.23, No. 1,1990

19. А.Ю. Щеглов, К. А. Щеглов «Вопросы и способы реализации пожомочного(мандатного) механизма контроля доступа к резервам».-http://articles.security-bridge.eom/articles/91/11627/

20. Гостехкомиссия РФ. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. М.: Воениздат, 1992.

21. Описание СУБД Линтер. Официальный сайт компании РЕЛЭКС. -http://www.relex.ru/linter rus.php

22. Theriault М., Newman A. Oracle Security Handbook. Osborn/ McGraw, Oracle Press Inc., 2001.

23. Theriault M., Heney W. Oracle Security. O'Reilly&Associates, Inc., 199826.0racle Label Security. Официальный сайт компании Oracle,http://www.oracle.com/database/label-security.html

24. Пржиялковский В. Изучаем метки доступа к строкам: задание свойств столбца доступа к таблице. -http://www.citforum.ru/database/oracle/LearnOLSl

25. ElGamal Т.А Public-Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms. IEEE Transaction on Information Theory, IT-31,1985

26. ISO/IEC 9798-3. Information Technology Security Techniques - Entity Authentication Mechanisms - Part3: Entity Authentication Using a Public Key Algorithm.

27. КОЛЕС 9796. Information Technology Security Techniques -Digital Signature Scheme Giving Message Recovery, 1991

28. Борсуковский Ю. Информационная безопасность: подходы и решения. // Мир денег.-2001.№7

29. ITU-T Recommendation Х.509 (1997 Е): Information Technology -Open Systems Interconnection -The Directory: Authentication Framework, June 1997.140 p.

30. Oracle Advanced Security. Официальный сайт компании Oracle, -http://www.oracle.com/database/advanced-securitv.html

31. Schneier Bruce. Secrets and Lies: digital security in a network word. NY: John Wiley & Sons, 2000

32. Castano S., Fugini M.G., Martella G., Samarati P. Database Security. Addison Wesley Publishing Company, ACM Press, 1995

33. Девянин П.Н. Модели безопасности компьютерных систем: Учеб. пособие для студ. Высш. Учеб. заведений. М.: Издательский центр «Академия», 2005. - 144с.

34. Sandhu Ravi S. «The Typed Access Matrix Model» Proceedings of IEEE Symposium on Security and Privacy, Oakland, California, May 46,1992.

35. Басан A.C. Классифкация объектов защиты при обеспечении мандатного разграничения доступа в СУБД // Материалы VIII Международной научно-практической конференции "Информационная безопасность". -Таганрог: Изд-во ТРТУ, 2006. 280 с.

36. Поль Дюбуа «MySql». Издательский дом «Вильяме», Москва 2001 г.

37. Steve Suehring MySQL Bible Published by Wiley Publishing Inc. 909 Third Avenue New York? NY 10022

38. Федеральный закон от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации" (с изменениями от 10 января 2003 г.).

39. McCollum C.J., Messing J.R. and Notargiacomo L. Beyond the pale of MAC and DAC defining new forms of access control. In Proceedings of IEEE Symposium on Security and Privacy. Pp. 190-200. Oacland, С A, May, 1990

40. Sandhu Ravi. Role-Based Access Control, In Advances in Computers, Vol.46, Academic Press, 1998.

41. Bell D.E., LaPadula L.J. Secure Computer Systems: Unified Exposition and Multics Interpretation. Bedford, Mass.: MITRE Corp., 1976. - MTR-2997 Rev.l.

42. Secure Internet Programming: Security issues for mobile and distributed objects/ Jan Vitek: Christian D. Jensen (ed.). Berlin: Springer, 1999/

43. А.П. Баранов. Математические основы информационной безопасности.

44. Щеглов А.Ю. Проблемы и принципы проектирования системы защиты информации от несанкционированного доступа. Часть 2. Системный подход к построению системы защиты// Экономика и производство. №10-12. -1999

45. Бабенко Л.К., Басан А.С. Разработка мандатной модели доступа в СУБД // Материалы VIII Международной научно-практической конференции "Информационная безопасность". -Таганрог: Изд-во ТРТУ, 2006. 280 с.

46. Бабенко JI.K., Басан А.С., Макаревич О.Б. Мандатный доступ в СУБД //Известия ТРТУ. Тематический выпуск. Материалы VII Международной научно-практической конференции «Информационная безопасность». Таганрог. Издательство ТРТУ, 2005. № 4(48), 250с.

47. Бабенко Л.К., Басан А.С., Макаревич О.Б. «Организация мандатного доступа к данным ГИС на основе сертификатов» Сборник трудов Международной научно-технической конференции посвященной 225-летию МИИГАиК М. 2004. стр. 38-43

48. Бабенко Л.К., Басан А.С., Макаревич О.Б. «Обеспечение защиты ГИС «Интеграция» с помощью цифровых сертификатов» Сборник трудов Известия ТРТУ. Материалы L научно-технической конференции. Таганрог 2004 г. стр. 127-129

49. Trusted Mach System Architecture//Technical report TIS TMACH Edoc-0001-97A, Trusted Information Systems, Inc, March 19,1997

50. Trusted Mach Mathematical Model//Technical report TIS TMACH Edoc-0017-96B, Trusted Information Systems, Inc, October 31,1996

51. Kovacich Gerald L. The Information Systems Security Officer's Guide/ Establishing and Managing an Information Protection Program Butterworth-Heinemann, 1998

52. Девянин П.Н., Михальский O.O., Правиков Д.И., Щербаков А.Ю. Теоретические основы компьютерной безопасности: Учеб. пособие для вузов. -М.: Радио и связь, 2000.-192 с.

53. Девянин П.Н. Анализ безопасности управления доступом и информационными потоками в компьютерных системах. Учеб. пособие для вузов. -М.: Радио и связь, 2006.-176 с.

54. Моделирование систем с использованием теории массового обслуживания/Под ред. д.т.н. Д.Н.Колесникова: Учеб. пособие/СПбГПУ. СПб, 2003.-180 с.

55. Кофман А., Крюон Р. Массовое обслуживание. Теория и приложения.-Москва, «Мир», 1965

56. Башарин Г. П. Модели информационно-вычислительных систем: Сборник научных трудов. М.: Наука, 1994. 78 с.

57. Вычислительные системы, сети и телекоммуникации/B.JI. Брейдо. СПб: Питер, 2003. 688 с.

58. А. Щеглов, К. Щеглов «Оценка влияния добавочных средств защиты от несанкционированного доступа на загрузку вычислительного ресурса защищаемого объекта». http://articles.securitv-bridge.com/articles/91/11640/158

59. А. Щеглов, К. Щеглов «Введение в теорию надежности защиты информации. Задачи резервирования механизмов защиты».-http://dailv.sec.ru/dailvpblshow.cfm?rid=9&pid=12130&pos=6&stp=25