Статья опубликована в рамках: XXXVIII Международной научно-практической конференции «Инновации в науке» (Россия, г. Новосибирск, 29 октября 2014 г.)
Наука: Технические науки
Скачать книгу(-и): Сборник статей конференции
- Условия публикаций
- Все статьи конференции
дипломов
Статья опубликована в рамках:
Выходные данные сборника:
КОНЦЕПТУАЛЬНАЯ КОМБИНИРОВАННАЯ МОДЕЛЬ СИСТЕМЫ ЗАЩИТЫ ВСТРОЕННЫХ УСТРОЙСТВ
Десницкий Василий Алексеевич
канд. техн. наук, старший научный сотрудник лаборатории проблем компьютерной безопасности СПИИРАН, РФ, г. Санкт-Петербург
E-mail:
GENERALIZED INTRUDER MODEL AND VERIFICATION OF INFORMATION SYSTEMS WITH EMBEDDED DEVICES
Desnitsky Vasily
candidate of Science, senior researcher of the laboratory of computer security problems of SPIIRAS, Russia, St. Petersburg
АННОТАЦИЯ
Проектирование защищенных систем со встроенными устройствами представляет собой важнейшую задачу в области информационной безопасности. Особенностями таких систем являются автономность устройств, входящих в систему, и ограничения, накладываемые на ресурсы устройств, и вытекающая из этого их слабая производительность. Предлагаемая в работе концептуальная комбинированная модель системы защиты встроенных устройств нацелена на нахождение наиболее эффективных комбинаций компонентов защиты на основе решения оптимизационной задачи с учетом нефункциональных свойств и ограничений устройства.
ABSTRACT
Design of secure systems with efmbedded devices is an important task in the field of information security. The features of such systems are autonomy of the devices in the system and the limitations on the resources of the devices and their consequent poor performance. The Proposed conceptual model of the combined protection system for embedded devices aimed at finding the most effective combination of security components one the base of solving an optimization problem, taking into account non-functional properties and limitations of the device.
Ключевые слова: встроенные устройства; защиты; конфигурирование.
Keywords: embedded devices; protection; configuring.
В качестве пути достижения компромисса между защищенностью устройства и его ресурсопотреблением в [2, с. 25] авторы предлагают использование «реконфигурируемых примитивов безопасности» на основе динамической адаптации архитектуры устройства в зависимости от состояния устройства и его окружения. Предлагаемая в [2, с. 25] адаптация основывается, во-первых, на возможности динамического переключения между несколькими механизмами, встроенными в устройство, и, во-вторых, на периодическом обновлении элементов этих механизмов защиты. В отличие от [2, с. 25] построенная в настоящей работе модель применяется для поиска эффективных с точки зрения ресурсопотребления решений, которая основывается на выборе компонентов защиты с учетом нефункциональных ресурсных требований и ограничений.
Под конфигурацией понимается множество компонентов защиты, которое реализует все необходимые функциональные свойства защиты, удовлетворяет ограничениям, накладываемым устройством на объемы ресурсов, выделяемых для выполнения защитных функций, и удовлетворяет ограничениям программно-аппаратной совместимости устройства. Если конфигурация удовлетворяет всем трем условиям, то она является допустимой. Оптимальность понимается в соответствии с заданным критерием оптимальности, определяемым разработчиком системы в процессе ее проектирования. Процесс конфигурирования включает решение следующих задач на стадии проектирования встроенных устройств: поиск допустимых конфигураций; поиск оптимальных конфигураций; проверка допустимости и оптимальности конфигурации. Решаемая оптимизационная задача является в общем случае многокритериальной экстремальной задачей с заданным набором ограничений. Ее математическая постановка формулируется с использованием теоретико-множественного представления:
.
Формулировка задачи включает задание целевой функции (goal_function), на основе значений нефункциональных свойств конфигурации и определение ограничений (constr) оптимизационной задачи. Рассматриваются ограничения, как на функциональные и нефункциональные свойства защиты (functional_properties, non_functional_properties), так и на свойства программно-аппаратной совместимости (platf_compat_properties). Цель оптимизационной задачи — в соответствии с заданной целевой функцией найти экстремальное значение, представляющее оптимальную конфигурацию.
Работа базируется на определениях и методологическом аппарате, методологии моделирования MARTE [4]. В соответствии с MARTE в качестве разновидности нефункциональных свойств выделяются количественные (quantitative) свойства, которые являются измеримыми.
При этом, во-первых, количественное свойство характеризуется набором значений (SampleRealizations), которые определяются (измеряются) во время работы устройства, причем измерения могут производиться в рамках экспериментов на реальной системе или на основе программного моделирования. В частности, для циклически детерминированных систем, такие значения могут быть получены однократно и «экстраполированы» на последующие временные циклы.
Во-вторых, количественно нефункциональное свойство характеризуется так называемой функцией измерения (Measure), позволяющей сопоставить набору полученных значений некоторую числовую величину. К функциям измерения, например, можно отнести некоторые математические функции max (максимизация множества), min (минимизация), mean (функция усреднения).
Для получения значений нефункциональных свойств компонент может запускаться в режиме отладки с использованием профилировщиков, либо процедура оценки свойства может непосредственно встраиваться в приложение. В последнем случае следует учитывать побочный эффект данной процедуры и, возможно, корректировать получаемые значения.
В соответствии с MARTE, в качестве используемых в процессе конфигурирования экспертных знаний выделяются следующие аппаратных ресурсов: вычислительные ресурсы (HW_Computing package), при этом его свойство opFrequencies определяет интервал значений частот процессора, на которых он может работать, а величины MIPS, FLOPS позволяют оценить количество операций, выполняемых в единицу времени; ресурс оперативной памяти (HW_ProcessingMemory), характеризуется, в частности, объемом памяти и временем отклика при доступе к памяти; ресурс хранения (HW_StorageManager), рассматриваемая характеристика — объем хранилища; ресурс коммуникаций (HW_Communication package), характеристика — пропускная способность канала; энергоресурсы (HP_Power). Энергоресурсы расходуются на работу компонентов защиты, а также тепловую энергию. Ресурс характеризуется, во-первых, мощностью источника питания, необходимой для работы устройства (HW_PowerSupply) и, во-вторых, аккумуляторного ресурса, определяющего продолжительность автономной работы устройства (HW_Battery).
На основе данных об ограничениях ресурсопотребления устройств системы и требованиях к защите принимается решение о выборе оптимальной конфигурации защиты. Верификация комбинированной системы защиты встроенных устройств проводится с использованием модели нарушителя встроенных устройств и позволяет выявить угрозы, которым подвержены устройства системы. В частности, используются две классификации нарушителей по уровням их возможностей предложенная — классификация, предложенная Грандом, 2004 г. [3] и классификация, предложенная в [1, с. 206]. В соответствии с классификацией [3] множество возможных атак на систему можно разделить на шесть уровней по требуемым ресурсам: (1) не требует специальных программ, устройств и навыков; (2) достаточно минимальных навыков и общедоступных средств; (3) средний уровень навыков и общедоступные инструменты; (4) инженерные навыки и специальные, но общедоступные инструменты; (5) инженерные навыки и высоко специализированное лабораторное оборудование; (6) неограниченное время и средства, специально изготовленное оборудование.
Обобщенная классификация нарушителей по уровню их возможностей [1, с. 206] определяет нарушителей на следующих трех уровнях. Уровень 1. У нарушителя нет полного знания о системе, и есть доступ только к общедоступному оборудованию. Приоритет использования существующих уязвимостей, новые почти не создаются. Проводятся атаки со сложностью от 1-го до 3-го уровня. Уровень 2. У нарушителя есть информация о конкретной системе, и есть доступ к средне-сложному оборудованию. Проводятся атаки с 4-м уровнем сложности. Уровень 3. Нарушитель представляет собой организацию, у которой есть доступ к лабораторному оборудованию любой сложности и которая может создавать группы нарушителей 2-го типа. Проводятся атаки с 5-м и 6-м уровнем сложности. Работа выполнена при финансовой поддержке РФФИ (13-01-00843, 13-07-13159, 14-07-00697, 14-07-00417), программы фундаментальных исследований ОНИТ РАН (контракт №2.2), проекта ENGENSEC программы Европейского Сообщества TEMPUS и государственных контрактов № 14.604.21.0033 и 14.604.21.0137.
Список литературы:
1.Abraham D.G., Dolan G.M., Double G.P., Stevens J.V. Transaction security system // IBM Systems Journal. — № 30(2). — P. 206—228. — 1991.
2.Gogniat G., Wolf T., Burleson W. Reconfigurable Security Primitive for Embedded Systems // Proceedings of System-on-Chip 2005 International Symposium. — P. 23—28. — 2005.
3.Grand J. Practical Secure Hardware Design for Embedded Systems // Proceedings of the 2004 Embedded Systems Conference. San Francisco, California. 2004.
4.MARTE. The UML Profile for MARTE: Modeling and Analysis of Real-Time and Embedded Systems. Object Management Group, Version 1.1. // 2013. [Электронный ресурс] — Режим доступа. — URL: http://www.omgmarte.org. — 2000 (дата обращения 1.10.2014).
дипломов
Оставить комментарий