КОНЦЕПТУАЛЬНАЯ  КОМБИНИРОВАННАЯ  МОДЕЛЬ  СИСТЕМЫ  ЗАЩИТЫ  ВСТРОЕННЫХ  УСТРОЙСТВ

Десницкий  Василий  Алексеевич

канд.  техн.  наук,  старший  научный  сотрудник  лаборатории  проблем  компьютерной  безопасности  СПИИРАН,  РФ,  г.  Санкт-Петербург

E-mail: 

GENERALIZED  INTRUDER  MODEL  AND  VERIFICATION  OF  INFORMATION  SYSTEMS  WITH  EMBEDDED  DEVICES

Desnitsky  Vasily

candidate  of  Science,  senior  researcher  of  the  laboratory  of  computer  security  problems  of  SPIIRAS,  Russia,  St.  Petersburg

АННОТАЦИЯ

Проектирование  защищенных  систем  со  встроенными  устройствами  представляет  собой  важнейшую  задачу  в  области  информационной  безопасности.  Особенностями  таких  систем  являются  автономность  устройств,  входящих  в  систему,  и  ограничения,  накладываемые  на  ресурсы  устройств,  и  вытекающая  из  этого  их  слабая  производительность.  Предлагаемая  в  работе  концептуальная  комбинированная  модель  системы  защиты  встроенных  устройств  нацелена  на  нахождение  наиболее  эффективных  комбинаций  компонентов  защиты  на  основе  решения  оптимизационной  задачи  с  учетом  нефункциональных  свойств  и  ограничений  устройства.

ABSTRACT

Design  of  secure  systems  with  efmbedded  devices  is  an  important  task  in  the  field  of  information  security.  The  features  of  such  systems  are  autonomy  of  the  devices  in  the  system  and  the  limitations  on  the  resources  of  the  devices  and  their  consequent  poor  performance.  The  Proposed  conceptual  model  of  the  combined  protection  system  for  embedded  devices  aimed  at  finding  the  most  effective  combination  of  security  components  one  the  base  of  solving  an  optimization  problem,  taking  into  account  non-functional  properties  and  limitations  of  the  device.

Ключевые  слова:  встроенные  устройства;  защиты;  конфигурирование.

Keywords:  embedded  devices;  protection;  configuring.

В  качестве  пути  достижения  компромисса  между  защищенностью  устройства  и  его  ресурсопотреблением  в  [2,  с.  25]  авторы  предлагают  использование  «реконфигурируемых  примитивов  безопасности»  на  основе  динамической  адаптации  архитектуры  устройства  в  зависимости  от  состояния  устройства  и  его  окружения.  Предлагаемая  в  [2,  с.  25]  адаптация  основывается,  во-первых,  на  возможности  динамического  переключения  между  несколькими  механизмами,  встроенными  в  устройство,  и,  во-вторых,  на  периодическом  обновлении  элементов  этих  механизмов  защиты.  В  отличие  от  [2,  с.  25]  построенная  в  настоящей  работе  модель  применяется  для  поиска  эффективных  с  точки  зрения  ресурсопотребления  решений,  которая  основывается  на  выборе  компонентов  защиты  с  учетом  нефункциональных  ресурсных  требований  и  ограничений.

Под  конфигурацией  понимается  множество  компонентов  защиты,  которое  реализует  все  необходимые  функциональные  свойства  защиты,  удовлетворяет  ограничениям,  накладываемым  устройством  на  объемы  ресурсов,  выделяемых  для  выполнения  защитных  функций,  и  удовлетворяет  ограничениям  программно-аппаратной  совместимости  устройства.  Если  конфигурация  удовлетворяет  всем  трем  условиям,  то  она  является  допустимой.  Оптимальность  понимается  в  соответствии  с  заданным  критерием  оптимальности,  определяемым  разработчиком  системы  в  процессе  ее  проектирования.  Процесс  конфигурирования  включает  решение  следующих  задач  на  стадии  проектирования  встроенных  устройств:  поиск  допустимых  конфигураций;  поиск  оптимальных  конфигураций;  проверка  допустимости  и  оптимальности  конфигурации.  Решаемая  оптимизационная  задача  является  в  общем  случае  многокритериальной  экстремальной  задачей  с  заданным  набором  ограничений.  Ее  математическая  постановка  формулируется  с  использованием  теоретико-множественного  представления:

  .

Формулировка  задачи  включает  задание  целевой  функции  (goal_function),  на  основе  значений  нефункциональных  свойств  конфигурации  и  определение  ограничений  (constr)  оптимизационной  задачи.  Рассматриваются  ограничения,  как  на  функциональные  и  нефункциональные  свойства  защиты  (functional_properties,  non_functional_properties),  так  и  на  свойства  программно-аппаратной  совместимости  (platf_compat_properties).  Цель  оптимизационной  задачи  —  в  соответствии  с  заданной  целевой  функцией  найти  экстремальное  значение,  представляющее  оптимальную  конфигурацию. 

Работа  базируется  на  определениях  и  методологическом  аппарате,  методологии  моделирования  MARTE  [4].  В  соответствии  с  MARTE  в  качестве  разновидности  нефункциональных  свойств  выделяются  количественные  (quantitative)  свойства,  которые  являются  измеримыми. 

При  этом,  во-первых,  количественное  свойство  характеризуется  набором  значений  (SampleRealizations),  которые  определяются  (измеряются)  во  время  работы  устройства,  причем  измерения  могут  производиться  в  рамках  экспериментов  на  реальной  системе  или  на  основе  программного  моделирования.  В  частности,  для  циклически  детерминированных  систем,  такие  значения  могут  быть  получены  однократно  и  «экстраполированы»  на  последующие  временные  циклы. 

Во-вторых,  количественно  нефункциональное  свойство  характеризуется  так  называемой  функцией  измерения  (Measure),  позволяющей  сопоставить  набору  полученных  значений  некоторую  числовую  величину.  К  функциям  измерения,  например,  можно  отнести  некоторые  математические  функции  max  (максимизация  множества),  min  (минимизация),  mean  (функция  усреднения). 

Для  получения  значений  нефункциональных  свойств  компонент  может  запускаться  в  режиме  отладки  с  использованием  профилировщиков,  либо  процедура  оценки  свойства  может  непосредственно  встраиваться  в  приложение.  В  последнем  случае  следует  учитывать  побочный  эффект  данной  процедуры  и,  возможно,  корректировать  получаемые  значения.

В  соответствии  с  MARTE,  в  качестве  используемых  в  процессе  конфигурирования  экспертных  знаний  выделяются  следующие  аппаратных  ресурсов:  вычислительные  ресурсы  (HW_Computing  package),  при  этом  его  свойство  opFrequencies  определяет  интервал  значений  частот  процессора,  на  которых  он  может  работать,  а  величины  MIPS,  FLOPS  позволяют  оценить  количество  операций,  выполняемых  в  единицу  времени;  ресурс  оперативной  памяти  (HW_ProcessingMemory),  характеризуется,  в  частности,  объемом  памяти  и  временем  отклика  при  доступе  к  памяти;  ресурс  хранения  (HW_StorageManager),  рассматриваемая  характеристика  —  объем  хранилища;  ресурс  коммуникаций  (HW_Communication  package),  характеристика  —  пропускная  способность  канала;  энергоресурсы  (HP_Power).  Энергоресурсы  расходуются  на  работу  компонентов  защиты,  а  также  тепловую  энергию.  Ресурс  характеризуется,  во-первых,  мощностью  источника  питания,  необходимой  для  работы  устройства  (HW_PowerSupply)  и,  во-вторых,  аккумуляторного  ресурса,  определяющего  продолжительность  автономной  работы  устройства  (HW_Battery). 

На  основе  данных  об  ограничениях  ресурсопотребления  устройств  системы  и  требованиях  к  защите  принимается  решение  о  выборе  оптимальной  конфигурации  защиты.  Верификация  комбинированной  системы  защиты  встроенных  устройств  проводится  с  использованием  модели  нарушителя  встроенных  устройств  и  позволяет  выявить  угрозы,  которым  подвержены  устройства  системы.  В  частности,  используются  две  классификации  нарушителей  по  уровням  их  возможностей  предложенная  —  классификация,  предложенная  Грандом,  2004  г.  [3]  и  классификация,  предложенная  в  [1,  с.  206].  В  соответствии  с  классификацией  [3]  множество  возможных  атак  на  систему  можно  разделить  на  шесть  уровней  по  требуемым  ресурсам:  (1)  не  требует  специальных  программ,  устройств  и  навыков;  (2)  достаточно  минимальных  навыков  и  общедоступных  средств;  (3)  средний  уровень  навыков  и  общедоступные  инструменты;  (4)  инженерные  навыки  и  специальные,  но  общедоступные  инструменты;  (5)  инженерные  навыки  и  высоко  специализированное  лабораторное  оборудование;  (6)  неограниченное  время  и  средства,  специально  изготовленное  оборудование. 

Обобщенная  классификация  нарушителей  по  уровню  их  возможностей  [1,  с.  206]  определяет  нарушителей  на  следующих  трех  уровнях.  Уровень  1.  У  нарушителя  нет  полного  знания  о  системе,  и  есть  доступ  только  к  общедоступному  оборудованию.  Приоритет  использования  существующих  уязвимостей,  новые  почти  не  создаются.  Проводятся  атаки  со  сложностью  от  1-го  до  3-го  уровня.  Уровень  2.  У  нарушителя  есть  информация  о  конкретной  системе,  и  есть  доступ  к  средне-сложному  оборудованию.  Проводятся  атаки  с  4-м  уровнем  сложности.  Уровень  3.  Нарушитель  представляет  собой  организацию,  у  которой  есть  доступ  к  лабораторному  оборудованию  любой  сложности  и  которая  может  создавать  группы  нарушителей  2-го  типа.  Проводятся  атаки  с  5-м  и  6-м  уровнем  сложности.  Работа  выполнена  при  финансовой  поддержке  РФФИ  (13-01-00843,  13-07-13159,  14-07-00697,  14-07-00417),  программы  фундаментальных  исследований  ОНИТ  РАН  (контракт  №2.2),  проекта  ENGENSEC  программы  Европейского  Сообщества  TEMPUS  и  государственных  контрактов  №  14.604.21.0033  и  14.604.21.0137.

Список  литературы:

1.Abraham  D.G.,  Dolan  G.M.,  Double  G.P.,  Stevens  J.V.  Transaction  security  system  //  IBM  Systems  Journal.  —  №  30(2).  —  P.  206—228.  —  1991.

2.Gogniat  G.,  Wolf  T.,  Burleson  W.  Reconfigurable  Security  Primitive  for  Embedded  Systems  //  Proceedings  of  System-on-Chip  2005  International  Symposium.  —  P.  23—28.  —  2005.

3.Grand  J.  Practical  Secure  Hardware  Design  for  Embedded  Systems  //  Proceedings  of  the  2004  Embedded  Systems  Conference.  San  Francisco,  California.  2004.

4.MARTE.  The  UML  Profile  for  MARTE:  Modeling  and  Analysis  of  Real-Time  and  Embedded  Systems.  Object  Management  Group,  Version  1.1.  //  2013.  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://www.omgmarte.org.  —  2000  (дата  обращения  1.10.2014).