5.5.1. Архитектура семейства программно-технических устройств аппаратной защиты информации

Показано, что для аппаратной аутентификации в электронной среде минимальная конфигурация СЗИ должна включать в свой состав следующие функциональные узлы (рис. 5.1). В энергонезависимой памяти, ЭНП, хранится как минимум эталонная информация для процедур идентификации/аутентификации пользователя, ссылки на полномочия пользователя и контрольные суммы для контроля целостности системных областей и системных файлов. Из ТМИ в контроллер поступает информация о пользователе и (в общем случае) контрольная сумма прикладных задач и данных. В ЭНП хранится (как минимум) эталонная информация для процедур аутентификации пользователя, ссылки на полномочия пользователя и контрольные суммы для контроля целостности системных областей и системных файлов. Датчик случайных чисел используется как генератор необходимых ключей взаимодействия. ROM BIOS содержит фиксированное описание процедур и преобразований, обеспечивающих все вышеуказанные функции.

В таком случае, в предположении, что нарушитель является легальным пользователем АС, рассмотрим возможную логику действий по подготовке разрушающего программного воздействия (РПВ).

Введем множество пользователей системы U = , |U| = m, и множество прав пользователей R, |R| = p, т.е. R = {r1r2, …, rp}. Рассмотрим подмножество   содержащее элементы   а также подмножества вида   Ri множества R:   есть права доступа пользователей системы  .

В ЭНП для i-ого пользователя  зафиксирована {Ii,Pi,Gi,Ri}, где: Ii —идентификатор пользователя i, Ui, Pi пароль пользователя i Ui; Gi  — контрольная сумма i, Riправа пользователя i Ui, ТМ, принадлежащей пользователю Ui, при этом хранится пара {Ii, Gi}.

С учетом особенностей потоков информации между узлами устройства определены основные параметры архитектуры семейства программно-технических устройств защиты информации.

Как отмечалось выше, на ТМ должна храниться не только идентифицирующая пользователя информация, но и отчуждаемые данные для аутентификации и контроля целостности, ключи шифрования (или их части). Утечка (перехват) этих данных может привести к дискредитации защиты.  Действительно, так как изменение данных в компьютере может сопровождаться изменениями данных в ТМ, контроллер должен обеспечивать и чтение, и запись. При этом логика действий нарушителя, в предположении, что нарушитель является легальным пользователем АС, могла бы быть такой, подготовить разрушающее программное воздействие (РПВ), выполняющее следующие функции:

а) фиксируются тройки {Ii, Pi, Gi} и соответствующие им права Ri при легальном входе пользователей за период времени Т;

б) анализируется информация о правах kчисло различных пользователей, зафиксированных РПВ, и  выбирается в качестве прав, которые необходимы нарушителю;

в) при загрузке нарушителем Uн с {IнPнGн} эта совокупность заменяется на {Ij, Pj, Gj}, что позволяет пользователю Uн получить права Rj.

Принципиальная осуществимость атак такого рода возможна лишь потому, что:

а) носящие конфиденциальный характер данные попадают в оперативную память ЭВМ, где к ним может получить доступ РПВ;

б) обработка данных выполняется процессором ЭВМ, который не различает источника данных. Отсюда следует возможность подмены данных.

Очевидно, что для того, чтобы противостоять атакам этого типа, необходимо изменить архитектуру контроллера — организовать каналы передачи данных, минуя RAM ЭВМ, и ввести микропроцессорное устройство управления (МCU), на основе которого будет осуществляться обработка данных, носящих конфиденциальный характер. В этом случае примерная структура контроллера может выглядеть так, как показано на рис. 6.1. В принципе, такое устройство вполне  работоспособно, и на практике остается лишь рассмотреть особенности связей и функциональность MCU с целью необходимости дооснащенная дополнительными блоками.

Важнейшей особенностью любого устройства является адаптивность. Так, например, до сих пор не существует стандарта на шину ISA — стало быть, вероятна  необходимость адаптации ИВВ. Дополнение котроллера функциональными блоками может привести к изменению ПО MCU. Это означает, что функциональность основных узлов контроллера должна определяться уже после изготовления контроллера путем программирования с использованием специализированного программатора, который должен входить в состав контроллера.

Для того чтобы снять ограничения по подключению к контроллеру дополнительных устройств, целесообразно использовать магистрально-модульный принцип организации вычислительных устройств. При этом полезно организовать поддержку наиболее применимых интерфейсов и шин, и в дальнейшем их можно будет использовать для расширения функциональных возможностей устройства. Такими шинами и интерфейсами могли бы быть RS232C, I2C, SPI. С точки зрения дополнительных устройств структура устройства может быть такой, как показано на рис. 6.2. Рассматривая этот вариант архитектуры, нетрудно заметить присутствующие противоречия. Программное обеспечение, записанное в ROM BIOS, с одной стороны, не должно меняться для гарантированности стабильности свойств, но возможность его модификации должна быть предусмотрена для обеспечения адаптивности. Это же касается и других программируемых узлов устройства. Данное противоречие может быть разрешено путем введения двух режимов функционирования устройства:

·       рабочего, в котором функциональность исполняется, но модификации невозможны;

·       специального (технологического), в котором исполняются только функции программирования узлов устройства.

Переход от одного к другому режиму должен реализовываться физическими (контролируемыми), а не программными методами.

<<Назад   Оглавление   Далее>>