Содержание к диссертации
Введение
Глава 1 Анализ состояния предметной области и постанов ка задач исследования 14
1.1. Обзор и сравнительный анализ бортовых систем управления подвижного состава железных дорог 14
1.2. Анализ проблемы безопасности БСУ ПСЖД 23
1.3. Выявление особенностей бортовых микропроцессорных систем управления подвижного состава как объекта защиты и анализ используемой для построения БСУ ПСЖД элементной базы 26
1.4. Анализ нормативной базы и научно-методологических концепций в области ИБ 28
1.5. Анализ программно-аппаратных средств защиты вычислительных систем 32
1.6. Определение требований к устройству контроля и защиты и постановка задач исследования 37
Выводы по первой главе 40
Глава 2. Разработка принципов взаимодействия МУКЗ с БСУ 41
2.1. Выбор обобщенного подхода к анализу безопасности БСУ и построение модели информационной среды БСУ ПСЖД 41
2.2. Разработка моделей поведения нарушителей 43
2.3. Разработка модели угроз БСУ ПСЖД 49
2.4. Методика оценки уровня защищённости 52
2.5. Обобщённая модель взаимодействия МУКЗ с БСУ и оценка уровня защищённости 62
Выводы по второй главе 68
Глава 3. Разработка микропроцессорного устройства контроля и защиты БСУ ПСЖД 69
3.1. Разработка алгоритмов контроля и защиты БСУ 69
3.2. Формулировка задач анализа и синтеза МУКЗ 75
3.3. Построение модели функционирования БСУ с МУКЗ и выбор метода моделирования 81
3.4. Разработка имитационной модели и подготовка исходных данных для имитационного эксперимента 89
3.5. Проведение имитационного эксперимента и выбор числа и типа процессоров МУКЗ 96
3.6. Выбор дисциплины обслуживания и расчёт вероятностно-временных характеристик МУКЗ 105
3.7. Методика аналитического определения характеристик МУКЗ 110
3.8. Описание разработанного устройства и его технические характеристики 114
Выводы по третьей главе 123
Глава 4. Оценка надёжности устройства контроля и защиты 132
4.1. Нормирование показателей надёжности МУКЗ 132
4.2. Оценка надёжности аппаратных средств МУКЗ 134
4.3. Оценка надёжности программного обеспечения МУКЗ 143
Выводы по четвертой главе 149
Заключение по основным результатам работы 150
Список литературы 153
Приложение 169
- Выявление особенностей бортовых микропроцессорных систем управления подвижного состава как объекта защиты и анализ используемой для построения БСУ ПСЖД элементной базы
- Обобщённая модель взаимодействия МУКЗ с БСУ и оценка уровня защищённости
- Построение модели функционирования БСУ с МУКЗ и выбор метода моделирования
- Выбор дисциплины обслуживания и расчёт вероятностно-временных характеристик МУКЗ
Введение к работе
Актуальность темы. Развитие и широкое применение электронной вычислительной техники и микропроцессорных систем управления в промышленности, управлении, связи, на транспорте, в научных исследованиях и других сферах человеческой деятельности является в настоящее время приоритетным направлением научно-технического прогресса. Непрерывно возрастающая сложность и вследствие этого уязвимость систем и программных средств от случайных и предумышленных негативных воздействий выдвинули проблему их безопасности и устойчивости функционирования в разряд основных, определяющих принципиальную возможность и эффективность их применения для управления ответственными процессами и объектами. Для бортовых систем управления подвижного состава железных дорог, которые являются сложными распределёнными мультипроцессорными системами с программно-аппаратной реализацией основных функций, эта проблема особенно актуальна. Это связано с тем, что от функционирования их программно-информационного обеспечения
и аппаратных средств в значительной степени зависит правильное выполнение бортовыми системами своих функций и, соответственно, безопасность движения; программно-информационное обеспечение - предмет интеллектуальной собственности и коммерческих интересов; программно-информационное обеспечение - один из наиболее уязвимых компонентов бортовой системы ПСЖД. Общим подходом к обеспечению безопасности различных систем (вычислительных, информационных, управляющих) является разработка и включение в их состав программно-аппаратных устройств, обеспечивающих функции кон-троля и защиты. Данная работа посвящена разработке научных основ, технических принципов и созданию микропроцессорного устройства контроля и защиты для БСУ ПСЖД, что способствует улучшению качественных и эксплуатационных характеристик и совершенствованию теоретической и технической базы БСУ.
Работа была выполнена в соответствии с Федеральной целевой програм-мой «Модернизация транспортной системы России (2002-2010 г.г.)», утвержденной постановлением Правительством РФ № 848 от 05.12.01 г.; приоритетным направлением развития науки, технологий и техники РФ «Информационно-телекоммуникационные технологии и электроника» (утверждено указом Президента РФ № ПР-577 от 30.03.02 г.); научным направлением Южно-Российского государственного технического университета (НПИ) «Теория и принципы построения информационно-измерительных систем и систем управления» (утверждено решением ученого совета университета от 25.01.03 г.).
Целью диссертационной работы является повышение надёжности и безопасности движения поездов вследствие улучшения устойчивости БСУ ПСЖД к потенциальным целенаправленным несанкционированным и случайным воздействиям, а также улучшения качества и снижения трудоёмкости их диагностики, наладки и испытаний; защита прав интеллектуальной собственности организации-разработчика БСУ, что достигается посредством создания и включения в структуру БСУ принципиально нового элемента - микропроцес сорного устройства контроля и защиты МУКЗ.
Для достижения поставленной цели решались следующие основные задачи:
- определение на основании анализа структуры и потенциальных угроз БСУ ПСЖД принципов взаимодействия МУКЗ с БСУ, разработка и исследование моделей угроз и защиты БСУ;
- разработка принципов построения и алгоритмов функционирования МУКЗ в составе БСУ;
- разработка методики определения типа и числа процессоров МУКЗ; щ
- разработка структуры и алгоритма имитационной модели МУКЗ в составе БСУ;
- разработка программного обеспечения и проведение имитационного эксперимента с последующей статистической обработкой полученных данных;
- анализ полученных статистических закономерностей функционирования МУКЗ и вывод соотношений для расчёта основных вероятностно-временных характеристик МУКЗ; - выбор элементной базы, структуры и режима работы МУКЗ;
- создание на основе нового схемотехнического решения микропроцессорного устройства контроля и защиты для бортовых систем управления ПСЖД;
- построение и исследование модели надёжности МУКЗ;
- проведение испытаний МУКЗ в составе БСУ на соответствие требованиям к бортовым системам ПСЖД.
Методы исследований и достоверность результатов. Для решения поставленных задач в диссертационной работе применялись математический аппарат теории вероятностей и математической статистики, исследования операций и теории массового обслуживания, методы имитационного моделирования, теории надёжности и марковских случайных процессов, методы экспертных оценок. Достоверность научных результатов и выводов, сформулированных в диссертации, подтверждается согласованием теоретических положений с результатами натурных стендовых и имитационных экспериментов, практическим использованием и критическим обсуждением основных результатов работы с ведущими специалистами в данной области.
Научная новизна:
- разработанные алгоритмы функционирования и принципы взаимодействия МУКЗ в составе БСУ, соответствующие им модели угроз и защиты отличаются от известных тем, что учитывают: наличие штатного канала подключения внешнего отладочного оборудования с возможностью доступа к памяти и внутренним алгоритмам системы; необходимость передачи технологического программного обеспечения заказчику и невозможность контролировать разработчиком систему в течение всего жизненного цикла вследствие большой территориальной распределенности рассматриваемых объектов;
- предложенные научные основы создания и исследования микропроцессорных устройств контроля и защиты с использованием вероятностного подхода отличаются от известных тем, что учитывают требования к БСУ, определяемые моделями угроз и эксплуатационные требования и обеспечивают выполнение заданных временных ограничений, определяемых работой системы в режиме реального времени, при стохастическом характере реализации алгоритмов контроля и защиты;
- разработанные структура и алгоритм имитационной модели и реализующая их специализированная программа (свидетельство № 2005613123) в отличие от известных включают подмодели функционирования микропроцессорных устройств БСУ и обеспечивают исследование вероятностно-временных характеристик БСУ с МУКЗ как сети массового обслуживания без априорного знания ха Ш рактеристик потоков заявок, которые могут быть определены посредством об работки методами математической статистики данных имитационного эксперимента, проведённого с помощью разработанной программы;
- полученные на основании установленных с помощью теоретического анализа и имитационного моделирования статистических закономерностей методика выбора типа и числа процессоров МУКЗ и аналитические соотношения для расчёта вероятносгно-временных характеристик БСУ с МУКЗ отличаются тем, что в качестве таких характеристик рассматривается время программных циклов микропроцессорных устройств БСУ, включающее время выполнения основных алгоритмов управления и сумму времён, затрачиваемых на выполнение всех этапов процедур контроля и защиты.
Практическая ценность. Разработаны принципы построения и создано многофункциональное микропроцессорное устройство контроля и защиты для бортовых систем управления подвижного состава (патенты РФ №№ 40027, 50929), использование которого позволяет, в соответствии с современными техническими требованиями, повысить их качественные и эксплуатационные характеристики, связанные с надёжностью и безопасностью, улучшить качество и уменьшить трудоёмкость их диагностики, наладки и испытаний, обеспечить защиту интересов разработчиков. Разработанные алгоритмы, программное обеспечение и схемотехнические решения внедрены на электровозах НГТМ2 и ЭШ в составе бортовых систем управления. Созданное МУКЗ предполагается включать в состав перспективных систем управления электровозов ЭП2 и ЭПЗ, технические требования к которым предполагают наличие в их составе развитых средств контроля и защиты.
Устройство также используется как переносной наладочно-диагностиче-ский модуль для проверки микропроцессорных систем в ОАО «ВЭлНИИ», ЗАО «Локомотивные электронные системы», ООО «Локомотив-Модерн». Предполагается также его использование на испытательной станции 000 «ПК НЭВЗ» при приёмке и испытаниях электровозов с микропроцессорными системами управления, в производственной деятельности ПКБ «Ирис» и завода микроэлектроники ОАО «РИФ» при диагностике, наладке и испытаниях микропроцессорных систем и устройств; в учебном процессе в ЮРГТУ(НПИ) на кафедре «Автоматизация и управление технологическими процессами и производствами» в качестве лабораторного стенда.
Разработанные имитационная модель и компьютерная программа для имитационного моделирования, методика расчёта вероятностно-временных характеристик БСУ с МУКЗ, модель защиты и полученные оценки её прочности могут использоваться при разработке устройств контроля и защиты распределённых информационно-управляющих систем реального времени различного назначения.
Апробация результатов работы.
Основные результаты диссертационной работы и её отдельные разделы докладывались и обсуждались на следующих конференциях:
- III Международной научно-технической конференции «Состояние и перспективы развития электроподвижного состава», Новочеркасск, 2000 г.;
- IV Международной научно-технической конференции «Новые технологии управления движением технических объектов», Новочеркасск, 2001 г.;
- II Научно-теоретической конференции профессорско-преподавательского состава "Тран-спорт-2002", Ростов-н/Д., РГУПС, 2002 г.;
- V Международной научно-технической конференции «Новые технологии управления движением технических объектов», Новочеркасск, 2002 г.; • - IV Международной научно-технической конференции «Состояние и пер спективы развития электроподвижного состава», Новочеркасск, 2003 г.;
- VI Международной научно-технической конференции «Новые технологии управления движением технических объектов», Новочеркасск, 2003 г.;
- Научно-практической конференции «Актуальные проблемы транспорта Черноморского побережья России», Туапсе, 2004 г.;
- Международной школе-семинаре «Математическое моделирование и биомеханика в современном университете», Ростов-п/Д, 2005 г.;
- XIX Международной научной конференции «Математические методы в технике и технологиях» - MMTT-I9, Воронеж, 2006 г.
Результаты диссертационной работы обсуждались в ЮРГТУ(НПИ) на кафедрах «Автоматика и телемеханика», «Автоматизация и управление технологическими процессами и производствами», «Теоретическая механика» и получили одобрение.
Публикации, По результатам диссертационной работы опубликованы 23 печатные работы, в том числе 2 патента и свидетельство об официальной регистрации программы для ЭВМ.
Структура и объём работы. Диссертация состоит из введения, четырёх глав, заключения, списка использованной литературы и приложений. Работа изложена на 206 страницах, содержит 46 рисунков и 32 таблицы.
В первой главе «Анализ состояния предметной области и постановка задач исследования» рассмотрены существующие структуры БСУ ПСЖД различных типов, которые представляют собой распределённые мультипроцессор-ные комплексы с программно-аппаратной реализацией основных функций. Выявлена их потенциальная уязвимость от случайных и целенаправленных негативных воздействий, что обосновывает необходимость разработки на основе новых схемотехнических решений микропроцессорного устройства контроля и защиты. Как показало изучение современных технических решений, используемых при построения защищенных вычислительных систем и патентный ана-лиз, наиболее эффективно требуемые функции КЗ могут быть реализованы при построении и включении в структуру БСУ программно-аппаратного устройства, соединяемого с основными МПУ БСУ с помощью каналов связи и соответствующих коммуникационных интерфейсов. При этом в состав ТПО МПУ внедряются программные компоненты, посредством взаимодействия которых с МУКЗ реализуются алгоритмы контроля и защиты. Сформулированы основные требования к МУКЗ со стороны системы: работа в реальном масштабе времени; возможность интеграции в существующие и перспективные БСУ ПСЖД; нормальное функционирование в условиях эксплуатации на ПСЖД (температурные режимы, виброустойчивость и ударопрочность). Показано, что распространенные устройства защиты информации, используемые в ПК и компьютерных сетях, не удовлетворяют этим требованиям, поскольку они предназначены для пользовательских систем с унифицированной архитектурой, к которым не предъявляется специальных требований по условиям эксплуатации. Сформулированы основные задачи диссертационного исследования: построение моделей угроз и защиты БСУ, разработка алгоритмов работы и принципов взаимодействия МУКЗ с БСУ; разработка и исследование модели функционирования МУКЗ в составе БСУ, вывод расчётных соотношений и определение вероятностно-временных характеристик МУКЗ; выбор элементной базы, структуры и режима работы МУКЗ; разработка МУКЗ, построение и исследование модели его надёжности; проведение испытаний МУКЗ.
Во второй главе «Разработка принципов взаимодействия МУКЗ с БСУ» построена модель информационной среды БСУ, которая включает собственно аппаратуру БСУ, информационно-вычислительную технику (ПК, автоматизированные рабочие места и стенды, измерительные комплексы на базе ПК), применяемая в процессе разработки, наладки, тестирования программно-аппаратных компонентов БСУ, а также человеческий фактор - разработчики, наладчики, испытатели, т.е. сотрудники, участвующие в работах, связанных с БСУ ПСЖД. С её помощью разработаны модели угроз и поведения нарушителей, характеризующие способы и цели несанкционированного вмешательства злоумышленников в БСУ ПСЖД и случайные негативные воздействия. Были определены функции, которые должна обеспечивать подсистема безопасности БСУ: защита ТПО МПУ от несанкционированного копирования с дальнейшим распространением, использованием, изучением (выявление "ноу-хау"); защита ТПО МПУ от несанкционированного или случайного изменения, контроль и восстановление целостности ТПО; контроль работоспособности каналов связи и МПУ; контроль хода выполнения программ и алгоритмов в режиме реального времени; управление доступом к защищенным функциям БСУ - настройки и наладки БСУ, чтения/загрузки ТПО и служебной информации; контроль и регистрация действий машиниста. Предложена модель взаимодействия МУКЗ с БСУ и концепция защиты БСУ от угроз, связанных с несанкционированным доступом. С помощью разработанной модели выведено формальное соотношение для оценки уровня защиты от несанкционированного копирования, использования и распространения ТПО МПУ. Проведена количественная оценка уровня защиты с использованием метода экспертных оценок. Получены зависимости уровня защищенности, как вероятности непреодоления злоумышленниками защитной преграды, от количества внедрённых процедур защиты.
Третья глава «Разработка микропроцессорного устройства контроля и защиты» посвящена выбору элементной базы, структуры и режима работы МУКЗ. Одна из основных проблем, стоящих перед разработчиком МУКЗ - расходование алгоритмами контроля и защиты вычислительного ресурса. Это связано с тем, что в системах реального времени, к которым относится и БСУ ПСЖД, программный цикл по времени не должен превышать определенного наперёд заданного значения, которое определяется особенностями объекта управления. Поскольку процесс запуска распределённых в составе ТПО МПУ процедур КЗ является стохастическим, для исследования затрат вычислительного ресурса используется вероятностный подход. Для исследования величины времени цикла БСУ с МУКЗ была представлена в виде сети массового обслуживания, где заявками являются обращения МПУ к МУКЗ для выполнения процедур контроля и защиты, каналами обслуживания выступают микропроцессоры в составе МУКЗ. Исследование данной сети аналитическими методами затруднено ввиду необходимости учёта большого числа параметров и невозможности априорного определения характера потоков заявок. Поэтому была разработана имитационная модель, алгоритм моделирования и реализующая их специализированная компьютерная программа. Она позволяет исследовать вероятностно-временные характеристики БСУ с МУКЗ в зависимости от числа внедрённых процедур контроля и защиты, конфигурации БСУ, числа и типа микропроцессоров в составе МУКЗ, дисциплины обслуживания заявок. В результате проведённого имитационного эксперимента установлены основные закономерности реализации алгоритмов контроля и защиты в режиме реального времени. Осуществлён обоснованный выбор числа и типа процессоров в составе МУКЗ и режим работы устройства. Предложена методика и аналитические соотношения для нахождения вероятностно-временных характеристик БСУ с МУКЗ. На основе новых схемотехнических решений разработано микропроцессорное устройство контроля и защиты.
В четвёртой главе «Оценка надёжности устройства контроля и защиты» разработана модель оценки и прогнозирования надёжности МУКЗ, которая включает граф состояний и математическую модель в виде системы дифференциальных уравнений Колмогорова и позволяет определять вероятности состояний МУКЗ как функции времени. Получены количественные оценки вероятности безотказной работы МУКЗ на различных интервалах наработки и живучести устройства. Дана оценка ожидаемого числа ошибок в программном обеспечении МУКЗ. Проведены испытания разработанного устройства в составе бортовой микропроцессорной системы электровозов ЭШ и 2ЭС5К МСУД-Н, включающие испытания на воздействия верхних и нижних значений температур, механические испытания (на вибропрочность, виброустойчивость, воздействия одиночных ударов), проверку функционирования, что позволило подтвердить соответствие МУКЗ требованиям, предъявляемым к БСУ ПСЖД.
В приложениях представлены акты об использовании результатов диссертационной работы, протокол испытаний МУКЗ, патенты и свидетельство о регистрации программного обеспечения.
Выявление особенностей бортовых микропроцессорных систем управления подвижного состава как объекта защиты и анализ используемой для построения БСУ ПСЖД элементной базы
К особенностям, определяющим специфику БСУ ПС, можно отнести следующие [39-41]; работа в реальном масштабе времени; высокие требования по надёжности и безопасности функционирования (в любой ситуации система должна правильно выполнять свою функцию, а при любых сбоях и отказах не выполнять действий, приводящих к катастрофическим последствиям); наличие развитых средств загрузки и отладки, многие из которых постоянно присутствуют в системе, что необходимо с точки зрения устранения неполадок и усовершенствования программно-алгоритмического обеспечения, но в то же время делает систему потенциально уязвимой с точки зрения информационной безопасности; отсутствие пользователя в традиционном понимании - машинист является, по сути, оператором и не имеет доступа к алгоритмам управления, вследствие чего многие нештатные ситуации система должна разрешать самостоятельно; большая территориальная распределенность подвижного состава, что существенно усложняет действия, связанные с контролем и обслуживанием.
Эти особенности, многие из которых присущи всему классу встраиваемых систем [42], определяют необходимость разработки оригинальных концепций и технических решений защиты БСУ ПСЖД.
Как было определено выше, БСУ ПСЖД представляют собой распределённые многопроцессорные информационно-управляющие системы. Используемая для их построения элементная база является серийной продукцией в основном импортного производства. Это относится и к сопровождающим программным пакетам разработки, что делает актуальной проблему наличия программных и аппаратных закладок, которые активизируются по внешнему сигналу или в заранее установленные моменты времени и могут повлиять на алгоритм работы устройств.
Данные, представленные в табл. 1.1, показывают, что частично встроенные средства защиты присутствуют только у периферийных модулей. Эти механизмы реализуются аппаратно производителями элементной базы и предназначены для защиты содержимого внутренней памяти ОМК от считывания.
Однако, специфика БСУ как объекта защиты заключается в том, что ТПО МПУ передаётся заказчику на дисковом носителе, поскольку в противном случае разработчик будет вынужден обеспечивать бессрочное обслуживание БСУ. Кроме того, такая защита не может предотвратить несанкционированные стирание и запись в память. Злоумышленник также может достичь своих целей посредством внедрения своего аппаратного обеспечения с необходимой ему программой (заменить имеющийся процессор аналогичным).
Очевидной становиться необходимость введения в БСУ подсистемы контроля и защиты. Обеспечение безопасности в полной мере возможно при ком плексном рассмотрении БСУ и окружающей её информационной среды и при сочетании как инженерно-технических, так и организационно-юридических мероприятий. В данной работе акцент сделан на угрозы, связанные непосредст венно с аппаратурой БСУ.
Существующую в настоящее время нормативную базу в области информационной безопасности можно разделить на несколько категорий. Юридическую базу для взаимодействия субъектов информационного права составляют законы РФ, указы президента РФ и постановления правительства. Среди них отметим законы РФ и положения: «О государственной тайне»; «Об информации, информатизации и защите информации»; «О коммерческой тайне»; «Об электронной цифровой подписи»; «О связи»; «О федеральных органах правительственной информации и связи»; «Доктрина информационной безопасности РФ»; «О правовой охране программ для электронных вычислительных машин»; положение по аттестации объектов информатизации по требованиям безопасности информации; положение о сертификации средств защиты информации по требованиям безопасности информации. Эти документы предназначены как для государственных структур, так и для предприятий и ориентированы на обеспечение секретности: защиту государственной и коммерческой секретной информации, а также на защиту прав интеллектуальной собственности.
К другой категории относятся стандарты в области криптографии. Они являются практическими инструментами для реализации механизмов защиты информации при передаче и хранении [43-45]: ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования. ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма. ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хэширования. За рубежом широко известны и применяются стандарты алгоритмов шифрования DES, RC2, RC4, AES, алгоритмов хэширования MD2, MD4 и MD5, алгоритмов выработки и проверки электронной цифровой подписи DSS и RSA.
В области информационной безопасности важную роль играют международные и национальные нормативные документы, регламентирующие проектирование, разработку и сертификацию защищенных информационных систем. Эти документы можно разделить на два вида: оценочные стандарты, направленные на классификацию информационных систем и средств защиты по требованиям безопасности;
Обобщённая модель взаимодействия МУКЗ с БСУ и оценка уровня защищённости
Далее построена и исследована обобщённая модель защиты БСУ с МУКЗ от угроз, связанных с несанкционированным доступом (рис. 2.13) и получена оценка уровня защиты программного обеспечения МПУ от несанкционированного копирования, использования и распространения. Для построения данной модели, как и ранее, использован подход, предполагающий выявление каналов несанкционированного доступа, построение вокруг объекта виртуальной защитной оболочки из набора взаимосвязанных преград и вывод расчётных соотношений.
Выведем с помощью разработанной модели расчётное соотношение для оценки уровня защиты от несанкционированного копирования, использования и распространения ТПО МПУ. На рис. 2.13 буквами Qx обозначены вероятности преодоления преграды, соответственно, Рх = 1 - Qx - прочности преград, где х = 1..6. Для построения защиты использованы два типа механизмов: размещение в составе ТПО МПУ механизмов взаимной аутентификации, которые рассматривают МУКЗ в качестве ключа защиты и осуществляют его проверку; изъятие из ТПО МПУ функциональных компонент и размещение их в МУКЗ, где они выполняются по запросу от МПУ (защищаемые функции).
Для достижения своих целей злоумышленнику необходимо, получив предварительно исходные коды ТПО (вероятность Q2), исследовать их методом статического анализа на предмет выявления и нейтрализации процедур защиты (вероятность Q1) и осуществить восстановления защищенных функций с помощью посылки тестовых запросов и анализа ответов (вероятность Q4). В качестве альтернативных путей могут быть использованы; вскрытие протокола аутентификации МПУ и МУКЗ с целью эмуляции МУКЗ (вероятность Q3), вскрытие парольной схемы доступа (вероятность Q6) или взлом МУКЗ (вероятность Q5). Формальное соотношение прочности преграды:
Оценим вероятности, входящие в формулу. Поскольку предполагается, что коды ТОО передается заказчику на дисковом носителе, то 1 = 1,/4 = 0. Вероятность вскрытия схемы управления доступом (подбор пароля) может быть определена по формуле [90]: Q 6 = nj A s , где п - количество попыток подбора кода; А - число символов в выбранном алфавите кода пароля; s - длина кода пароля в количестве символов. В табл. 2.4 показана зависимость вероятности подбора пароля Q6 в зависимости от длинны кода пароля при п = 10 и А = 36 (латинский алфавит + 10 цифр). Из данных, представленных в таблице видно, что при s 4 подобрать пароль практически невозможно.
О мере достаточности этой величины можно также судить по времени, которое затратит нарушитель путем тривиального подбора пароля с неограниченным числом попыток. Тогда эта процедура займёт время, определяемое согласно [90] по формуле t = As /2, где t - время, требуемое для того, чтобы попробовать каждый пароль из последовательности запросов. Например, при А = 36, s = 5, t = 1 с (набор на клавиатуре и попытка подобрать пароль этой же рабочей станции), время необходимое нарушителю составит tHp 9-\0 лет.
При попытке подобрать такой же пароль автоматически с помощью генератора случайных чисел используется [91] формула КР -А Е/2Я,тде R скорость передачи сообщения в линии связи, симв/с; Е - число символов в передаваемом сообщении при попытке получить доступ (включая пароль и служебные символы). При s = 8, Е = 8, R = 9200/8 = 1150 симв/с (стандартная скорость интерфейса RS-232), потребуется tHp « 622 года.
Оценим вероятность взлома протокола аутентификации Q3. При реализации протоколов аутентификации и передачи команд устройством информационной безопасности микропроцессорным устройствам БСУ использовался криптографический стандарт ГОСТ 28147-89 [43]. Как показывают исследования в области криптографии, для вскрытия криптографической защиты возможно два пути - криптоанализ и атака на основе полного перебора. Чтобы гарантировать стойкость алгоритма к криптоанализу, применяются готовые, прошедшие специальные испытания и проверенные временем алгоритмы, к числу которых относится и упомянутый стандарт. Что касается атаки на основе полного перебора, то при достаточной длине ключа шифрования даже при наличии самых современных суперЭВМ успешную атаку практически невозможно произвести за разумное время [92]. Даже при уменьшении длины ключа или числа итераций криптографического алгоритма для увеличения производительности алгоритм ГОСТ 28147-89 обладает достаточным уровнем стойкости [93]. Поэтому вероятность взлома протокола будем считать практически невозможным событием, 3 и 0. Оценим вероятность взлома МУКЗ Q5. Современные микроконтроллеры и микро-ЭВМ, на базе которых строится МУКЗ, содержат встроенную память программ, куда загружается их программное обеспечение в виде загрузочных модулей. Для защиты памяти программ от несанкционированного копирования разработчики МК предусматривают специальные меры. Это, прежде всего, так называемые биты секретности (bit protection) - аппаратная защита встроенной памяти, включаемая при программировании соответствующих битов. Несмотря на то, что проводимые исследования [94,95] доказывают возможность взлома такой защиты, это, как правило, связано со вскрытием корпуса МК, применением специального дорогостоящего оборудования и сопряжено с существенными трудностями. Кроме того, при использовании в составе МУКЗ различных типов МК, задача злоумышленника значительно усложняется, т.е., взлом МУКЗ будем также считать практически невозможным событием: ?5 да 0. Поэтому наиболее предпочтительным для злоумышленника будем считать путь, связанный с выявлением и нейтрализацией процедур защиты и восстановлением защищенных функций, т.е. Рзаиі=(\-РЇ)-(\-Р4). Оценку эффективности защиты (прочности преграды Р) произведём с помощью известной функции принадлежности [35]: Рзвщ =Ь(ін,іж)9щ& tH- ожидаемое время преодоления преграды нарушителем; ж - время жизни защищаемой информации (в данном случае ТПО МПУ БСУ)
Построение модели функционирования БСУ с МУКЗ и выбор метода моделирования
На рис. 3.2 представлена модель БСУ с МУКЗ в виде Q-схемы (сети массового обслуживания). Выбор конкретной структуры модели объясняется тем, что она соответствует наиболее распространённому в настоящее время случаю, когда одновременно работают два полукомплекта оборудования БСУ (третий в резерве). Была задана следующая конфигурация БСУ: два блока микроконтроллера, шесть блоков дискретного ввода-вывода, четыре блока аналого-цифрового преобразования, два блока аналогового ввода-вывода и два блока индикации всего 16 устройств (кшу = 16), и предполагалась их одновременная работа (а не работа в режиме дублирующего резерва, когда работает только один полукомплект аппаратуры). Поэтому характеристики других конфигураций БСУ (с меньшим числом микропроцессорных устройств и с нахождением части устройств в резерве) будут не хуже полученных для данной конфигурации. Время Т было задано 10 мс для всех МПУ исходя из характеристик наиболее распространённого объекта управления. Основные параметры представленной модели - потоки заявок и обслу живания: Л-л/1» Хк{2 интенсивность потоков заявок на обслуживание, поро ждаемые соответственно первым (Л/]) и вторым (Л/2) технологическими МОДУ где j, A2fi - интенсивность потоков заявок, формируемых МПУ из первого и второго ТК, зависящая от характеристик алгоритма и размещенных механизмов защиты в составе технологического программного обеспечения МПУ. Каждый из потоков заявок, характеризуемый интенсивностями ЯМ], ЯМ1 можно представить как сумму потоков Яш - Я ш + Япш, где Я Мх - интенсивность потока обслуживания "собственным" вычислительным модулем; Яш - интенсивность потока, обслуживаемого "чужим" вычислительным модулем в режиме взаимопомощи. Для модели функционирования без взаимопомощи Яш =Я Ш, Я"ш = 0.
В качестве каналов обслуживания в исследуемой системе будем рассматривать совокупность канала связи и вычислительного модуля, соответственно, C{,UX и С2, U2. В качестве характеристик канала обслуживания - интенсивности обслуживания М\ , Мг характеризующие число заявок, обслуживаемых в единицу времени. Производительность вспомогательного вычислительного модуля при организации обмена данными между основными МПУ в режиме взаимопомощи: Міг У іг . гДе » время, затрачиваемое на передачу данных между вычислительными модулями в режиме взаимопомощи. В случае, если используется модель с вероятностной дисциплиной обслуживания заявок на выполнение алгоритма взаимной аутентификации, выделим также два потока заявок: поток обслуженных заявок Ям ,1 и поток не обслуженных Мм ,Мм , являющихся входными потоками для моделей поглощения ресурсов МР1 и МР2, которые представляют собой часть механизма защиты от несанкционированного копирования и использования программного обеспечения БСУ. Работа каждого из МПУ заключается в прохождении за заданный промежуток времени Тзад , определяемый длительностью такта полупериода, который для большинства существующих электровозов составляет 10 мс, некоторого маршрута G на графе G. Граф G определяется алгоритмом и реализующей его программой данного МПУ. Для каждого МПУ: V і - 1 -к обозначим Г,, множество маршрутов на графе С?,-: Г, = {G\ Л , гдеу- число возможных маршрутов на графе Gi, Номер маршрута jk в fc-ом программном цикле для /-го МПУ зависит от внешних по отношению к рассматриваемой модели воздействий %к, которые зависят от режима работы аппаратуры БСУ, команд управления с пульта машиниста, внешних возмущающих воздействий и т.д., т.е. является случайной величиной. Исследование величины %к затруднено, поскольку она связана с большим числом факторов.
Поэтому для каждого МПУ V/ = 1 ,.кмпу выберем маршрут G? , который обеспечивает наибольшую нагрузку на МУКЗ. Одной из основных проблем, стоящих перед разработчиком МУКЗ, является проблема расходования алгоритмами контроля и защиты вычислительного ресурса. В системах реального времени, к которым относится и БСУ ПСЖД [111], программный цикл Тц по времени не должен превышать определенного наперёд заданного значения Тшд, которое определяется особенностями объекта управления. В общем случае, это условие может быть выдвинуто для каждого из МПУ в составе БСУ:
Выбор дисциплины обслуживания и расчёт вероятностно-временных характеристик МУКЗ
После выбора числа и типа процессоров в составе МУКЗ и установления основных закономерностей процессов в рассматриваемой СеМО, с помощью которой было смоделировано функционирование БСУ с МУКЗ, были проведены имитационные эксперименты для выбора оптимальной с точки зрения времени цикла Тц дисциплины обслуживания D. Моделировалось два режима работы сети: с гарантированным обслуживанием всех заявок (дисциплины 1-4, табл. 3.9) и с разделением заявок на две категории - с вероятностным обслуживанием (процедуры аутентификации) и с гарантированным приоритетным обслуживанием остальных (дисциплины 5-9, табл. 3.9). Моделировались следующие дисциплины обслуживания: - со взаимопомощью и без взаимопомощи основных вычислительных модулей МУКЗ; - с относительными приоритетами обслуживаемых устройств и без приоритетов; - с ограничениями на длину очереди для заявок с вероятностным обслуживанием (в случае превышения заданного числа заявок в очереди при приходе заявки с вероятностным характером обслуживания ей будет отказано в обслуживании); - с ограничениями на время ожидания для заявок с вероятностным характером обслуживания. На диаграмме, изображенной на рис. 3.12, представлены значения Тц для пяти различных типов МПУ (слева направо: блок микроконтроллера, блок дискретного ввода-вывода, блок аналого-цифрового преобразования, блок аналогового ввода-вывода, блок индикации) для дисциплин обслуживания 1-4.
Из данных диаграммы видно, что ни одна из этих дисциплин не обеспечивает выполнение условия (3.2). На рис. 3.13 представлены данные о коэффициенте загрузки МУКЗ для рассматриваемых дисциплин, представлена диаграмма значений Тц для дисциплин обслуживания 5-9. Поскольку эти дисциплины относятся к режиму работы с отказами в обслуживании для заявок с вероятностным характером обслуживания, то необходимо также учитывать процент отказов, поскольку с учётом специфики алгоритма взаимной аутентификации в предыдущем параграфе было выдвинуто условие, согласно которому процент отказов (вероятность отказов Рк) Для данной категории заявок должен быть менее 50 %. Диаграмма значений для дисциплин 5-9 представлена на рис. 3.15. Как видно из представленных данных, наилучшие показатели как по времени цикла, так и для коэффициента загрузки достигаются при дисциплине обслуживания № 9. В этом случае как средние, так и максимальные значения Тц не превышают время Тзад. При этом вероятность отказов для алгоритмов с вероятностным характером обслуживания не превышает 50 % (что является необходимым условием). Таким образом, наилучшие показатели функционирования сети обеспечиваются при значениях Рк, приближающихся к 50 %, поскольку это позволяет максимально уменьшить нагрузку на МУКЗ, не нарушая при этом условий, связанных с особенностями алгоритмов КЗ. На основании установленных процессов функционирования рассматриваемой СеМО и статистических данных, полученных в результате имитационного эксперимента далее произведён расчёт вероятностно-временных характеристик БСУ с МУКЗ с использованием соотношения (3.3). В табл. 3.10 представлены полученные в результате имитационного эксперимента параметры распределения Тц - математическое ожидание М [ТЦ] и среднеквадратиче ское отклонение [ТЧ], а также вероятность непревышения Тзад условие (3.2), рассчитанная по формуле (3.3) для различных типов МПУ при дисциплине обслуживания № 9