В камере проблемы


  Share  
|


Рассмотрим клиента и сервера. Когда клиент выдает запрос на сервер, клиент отправляет на сервер определенные данные. Сервер затем использует данные для выполнения некоторых функций и возвращает результат (или не привести) к клиенту. Контроля доступа влияет на функции сервера двумя способами.

  1. Сервер должен обеспечить, чтобы ресурсы, доступ от имени клиента включают только те ресурсы, что клиент имеет право доступа.

  2. Сервер должен обеспечить, чтобы она не обнаружено клиента данные на любые другие лица не уполномочены см. клиента данных.

Первое требование отражает цель услуг. Эта цель - не допустить клиента отправлять сообщения на сервер, что причиной его доступ, изменять, передавать, или потребляют ресурсов, что клиент не разрешается доступ, изменять, передавать, или потреблять. Второе требование представляет собой цель этой службы пользователь. Эта цель - предотвратить сервер от передачи конфиденциальной информации услуг. В обоих случаях сервер должен быть ограничен доступ только конкретный набор ресурсов.

ПРИМЕР: Сервер остатки счетов для абонентов. В абонентам использовать клиента передать реестр записи, текущего банковского баланса, и те, и снятие депозитов, что расчистили банка на сервер. Сервер возвращает список нерешенных чеки и вклады и любое несоответствие между зарегистрироваться баланса и баланса банка. Абоненты уплачивать сбор за каждое использование.

В услуг требует, чтобы сервер правильно записи, которые используют службы каждый раз, когда он используется. В противном случае, поставщик услуг не может закона для использования сервиса. Угроза заключается в том, что кто-то может использовать службы, не обнаружено (и, следовательно, без предъявления обвинения), или что пользователь может выдавать другого абонента (в результате неправильно абонента будет взиматься). В услуг также не хочет сервер передать платежную отчеты или любые другие несанкционированные информацию клиента. Сервер должен послать только на основе информации из данных, чтобы клиент отправлено. Так что сервер должен быть ограничены только на оперативные данные, он направляется.

В абонент ожидает определенных служб безопасности с сервера. Сервер должен правильно журнала пользователя ссылки, чтобы пользователю не взимается неправильно. (Это соответствует потребностям поставщика услуг.) Сервер не должен запись или передавать данные о том, что абонент посылает ему так абонента конфиденциальных данных на абонента и не имеет отношения к услуг. Так что сервер должен быть ограничен сохранения данных на себя, а также отправлять результаты только для подписчиков.


Лампсон называет это сосредоточение проблемы.

В заключение проблемой является проблема предотвращения сервер от утечек информации, что пользователь этой службы считает конфиденциальной.

Одной из особенностей процессов, которые не утечка информации из замечание о том, что процесс должен хранить данные для последующего извлечения (утечки). А процесс, который не хранит информацию, не может ее утечки. Однако, в экстремальных, такие процессы также не могут выполнять любые расчеты, поскольку аналитик может наблюдать поток управления (состояние или процесс) и вывод, что поток информации о помощи. Это приводит к замечание о том, что процесс, который не может соблюдаться и не могут общаться с другими процессами можно не утечка информации. Лампсон называет это полной изоляции.

На практике достижение полной изоляции затруднен. Процессы быть ограничено, как правило, доля ресурсов, таких как процессоров, сетей хранения и диск с другими, незамкнутые процессы. В незамкнутые процессы могут передавать информацию за этими общими ресурсами.

А тайные канал - это путь общения, которая не предназначена для использования для коммуникации.

ПРИМЕР: р процесса должна быть ограничена, что она не может общаться с процессом q. Однако процессы р и q долю файловой системы. Для того чтобы процесс р отправить сообщение на процессе q, она создает файл с именем отправить в каталоге, что оба процесса могут читать. Незадолго до процесса q заключается в том, чтобы прочесть информацию, q удаляется отправить файл. Процесс р а затем передает немного, создав файл с именем 0bit или 1bit, по мере необходимости. Когда q обнаруживает либо файл, он записывает немного, и удаляет файл. Это продолжается до тех пор, пока р Создается файл с именем конца, в какой момент это сообщение прекращается.


Помещение является перевод. Предположим, что процесс р сводится к предотвращению утечек. Если он ссылается на втором процессе q, то q также должно быть ограничено или q может утечка информации, которая проходит р.

Норма перевода заключении говорится, что если процесс вызывает только второй процесс, второй процесс должен быть максимально ограничена, как звонящий.

Помещение представляет собой механизм для обеспечения соблюдения принципа мере привилегия. А правильно ограничивается процесс не может передавать данные на второй процесс, если передача необходима для завершения их задачи. Проблема в том, что процесс должен ограничиваться доступ к данным, было передано, и поэтому необходимо заключение о передаче, а не о доступе к данным. Чтобы осложнить ситуацию, процесс может передавать информацию на второй процесс. В этом случае, механизм заключения должны проводить различие между передачей данных и санкционировал передачу несанкционированных данных.

Сочетание этих проблем говорит о сложности предотвращения утечки. Дилемма заключается в том, что современные компьютеры предназначены для обмена ресурсами, но этим актом обмена они создают каналы связи, по которым информация может быть утечка.

Липнер рассматриваются проблемы от политики и моделирования аспекте. Он рассматривает два типа скрытых каналов. Первый предполагает использование хранилища для передачи информации. Если модель правильно описывает все способы, в которых информация может быть сохранена и читать, то обе модели рефератов законным и тайные каналы, по которым информация может потока. Эта модель ограничивает всех посещений хранения. Единственный доступ допускается, с разрешения политики, так что потоки информации являются законными. Однако, если модель не охватывает всех таких потоков, а затем несанкционированный потоков, или тайные каналы, возникнуть.

Липнер затем отмечает, что все процессы могут получить по крайней мере приблизительную идею времени. Это делает время канал. Программа может "читать" время, проверяя системные часы или (альтернативно) путем подсчета числа инструкций он казнен в течение настенные часы времени. Программа может "писать" время, запустив ряд ряд инструкций и остановки, позволяя другому процессу выполнять. Это разделяет канала не может быть эксклюзивным, если процесс не делит компьютер с другого процесса, что предполагает изоляцию как средство.

Кочер в сроках нападения на криптосистемами проиллюстрировать эту проблему. Кочер отмечает, что в инструкции осуществляется реализаций криптосистемами зависеть от установки битов в ключ. Например, алгоритм ниже осуществляет быстрый модульных exponentiation функции. Если бит 1, два размножений место; Иначе, один размножение происходит. Дополнительные умножение занимает дополнительное время. Кочер определяет биты из конфиденциальных экспоненты измерения исчисления времени.

Быстрый модульных exponentiation рутины. Это обычные вычисляет х = az мода n. В битного z являются zk1. . . , z0. 
  х: = 1; atmp: = а; для я: = 0 для к - 1 сделать, если начать zi = 1 то х: = (х * atmp) мода н; atmp: = (atmp * atmp) мода н; конец; результат: = х;

Мы изучить механизм изоляции первым. Затем мы будем изучать тайные каналы более подробно и обсудить другие подходы к их анализу, в том числе методов выявления скрытых каналов и их изоляцию.

в этой статье идет речь добавил Билл Kuriko

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions