انتشار مدل سازی تهدید

الگوی پیام رسانی منتشر شده ، راه حلی برای انتشار پیام و مشکلات تحویل است. یک ناشر به جای انتقال مستقیم پیام به گیرنده نهایی (به عنوان مثال نحوه عملکرد الگوی پاسخ پاسخ سنتی) ، یک ناشر پیام را تحت یک موضوع مربوطه به یک سرور واسطه (کارگزار) منتشر می کند. گیرنده ها تقاضای خود را برای دریافت پیام های خاص با کارگزار ارتباط می دهند ، نه لزوماً از ناشران خاص با عضویت در موضوعات خاص. از آنجا که ناشر و مشترک از طرف مقابل آگاه نیستند ، کارگزار وظیفه ضبط پیام های منتشر شده ، اتصال اشتراک ها به موضوعات و ارائه پیام ها را به گیرندگان علاقه مند دارد.

شکل 1. معماری اشتراک مشترک

از پروتکل های ارتباطی بر اساس الگوی انتشار-اشتراک برای اتصال سیستم های اطلاعاتی مختلف و اجزای نرم افزاری از اواخر دهه 1980 استفاده شده است. چنین فناوری هایی با کمک روش های صف پیام ، در مورد ویژگی اصلی الگوی انتشار-اشتراک که در حال جداشدن فرستنده (ناشر) و گیرنده (مشترک) است ، تکامل یافته است. این خاصیت تولید کنندگان و مصرف کنندگان پیام را قادر می سازد تا در طول زمان ، مکان و هماهنگ سازی ارتباط برقرار کنند [1]. چنین تفکیک ناشران و مشترکان ، همراه با پروتکل های مسیریابی مبتنی بر محتوا ، ارتباطات بسیاری از افراد را تسهیل می کند.

مدل سازی تهدید و بحث در مورد راه حل

ماهیت چندکاره ای جدا شده و ارتباطات بسیاری از بسیاری در الگوی انتشار ، اجزای سیستم را با تهدیدهای مختلفی از جمله سیل ترافیک ناخواسته ، حملات سازش گره ، دستکاری داده ها ، نقض حریم خصوصی و غیره معرفی می کند. ما خطرات احتمالی را بر اساس مدل قدم مایکروسافت شناسایی کرده ایم [2]. شکل 2 روابط تهدیدهای گام به حملات احتمالی و راه حل های بالقوه در اکوسیستم انتشار را نشان می دهد.

شکل 2. قدم در انتشار مقاله

هویت کلاهبرداری یک دشمن می تواند اعتبار کاربر قانونی را برای جعل هویت یک نهاد معتبر در سیستم به آن دسترسی ، حدس بزند ، یا بازسازی کند. در یک محیط انتشار ، ناشران ، مشترکین و کارگزاران در معرض حملات جعل هستند. یک ناشر نامشروع ممکن است به عنوان یک معتبر به سیستم متصل شود. کارگزار (یا شبکه ای از کارگزاران) به آن اجازه می دهد تا موضوعات محدود را منتشر کند ، و مشترکین پیام های آن را می پذیرند که گویی از یک ناشر معتبر هستند. یک مشترک مشترک نیز می تواند در موضوعات محدود مشترک و دریافت پیام های محرمانه بالقوه مشترک باشد. یک کارگزار مخرب همچنین می تواند خود را به عنوان یک شرکت مشروع در سیستم معرفی کند. اگر پیام ها رمزگذاری نشده به پایان نرسند ، کارگزار جعلی قادر به خواندن پیام ها است ، یا پیام های ساخته شده را به نمایندگی از ناشران معتبر ، به موضوعات مهم خاصی سوق می دهد. علاوه بر این ، ممکن است تنظیمات مسیریابی را تغییر دهد یا پیام ها را رها کند. این تأثیر منفی بر محرمانه بودن ، صداقت و در دسترس بودن سیستم اطلاعات دارد.

برخی از پروتکل های منتشر شده از اعتبارنامه پشتیبانی از تأیید اعتبار متقابل توسط TLS (با استفاده از یک گواهینامه/کلید خصوصی) [3] یا مکانیسم های احراز هویت و لایه امنیتی ساده (SASL) پشتیبانی می کنند [4]. TLS ممکن است برای گره های محدود بسیار سنگین باشد زیرا این مقدار محاسبات رمزنگاری را بر روی کارگزار و مشتری تحمیل می کند. اگرچه کارگزاران ممکن است گره های باهوش و قادر به استفاده از هزینه باشند ، ناشران معمولاً گره های نازک هستند که برای اهداف خاص طراحی شده اند. به عنوان مثال ، یک ردیاب دود باتری که نتایج اندازه گیری را به یک گیرنده محلی ارسال می کند ، ممکن است منابع کافی برای حفظ اتصال TLS نداشته باشد.

دستکاری در دستکاری داده ها شامل اصلاح غیرمجاز داده های ذخیره شده یا پرواز است. پس از مرحله احراز هویت ، گره ها در یک سیستم منتشر شده به طور کلی از طریق داده ها و پیام های تأیید با یکدیگر ارتباط برقرار می کنند. اگر هر دو به طرز مخرب تغییر کند ، یکپارچگی پیام در معرض خطر است. چهار نوع ارتباطات می توانند در چنین سیستمی درگیر شوند:

1. ناشر - کارگزار
2. کارگزار - کارگزار (مسیریابی پیام)
3. کارگزار - مشترک
4. ناشر - مشترک (از طریق کارگزار)

اصالت و یکپارچگی پیام ها را می توان در سطح حمل و نقل یا پیام تأیید کرد. TLS ، به عنوان یک حفاظت از سطح حمل و نقل ، در صورت همراه با اعتبار مناسب گواهی می تواند برای محافظت در برابر دستکاری استفاده شود. مکانیسم های سطح پیام مانند امضای دیجیتال یا MAC (کد تأیید اعتبار پیام) ممکن است اطمینان حاصل کند که یک مهاجم نمی تواند پیام ها را در حین ترانزیت تغییر دهد و خطر حمله مجدد را کاهش دهد. به خصوص اگر استفاده از TLS امکان پذیر نباشد ، یا مشتری های غیر قابل اعتماد در محیط وجود دارند که می توانند به موضوعات محدود دسترسی پیدا کنند. به عنوان مثال ، اضافه کردن یک امضای دیجیتال یا کد تأیید اعتبار پیام keyed-hash (HMAC) یک محتوای پیام منتشر شده به پیام به گیرنده کمک می کند تا پیام را تأیید کند.

از آنجا که مکانیسم های امضای دیجیتال نامتقارن هستند ، نیازهای اصلی تأمین باعث ایجاد جداشدگی ناشران و مشترکین می شود. این یک انتخاب خوب است اگر یک ناشر واحد (که کلید خصوصی را در اختیار دارد) به یک موضوع خاص منتشر کند. از طرف دیگر ، HMAC از یک کلید مشترک استفاده می کند (که باید قبل از اتصال ، به طور ایمن رد و بدل شود ، به عنوان مثال ، تعبیه شده در یک ماژول سخت افزاری ضد دستکاری) که دارندگان می توانند پیام را امضا کرده و هم تأیید کنند. محاسبات HMAC به طور معمول سریعتر از امضای دیجیتال است و منابع کمتری را در دستگاه های محدود مصرف می کند. نقطه ضعف این است که تمام گره هایی که دارای کلید مشترک هستند می توانند هر پیام (عدم وجود بازپرداخت) را امضا کنند.

تهدیدهای تکذیب تکذیب شامل موقعیت هایی است که هیچ مدرکی وجود ندارد که کاربر در سیستم اقدامی انجام داده باشد. به عنوان مثال ، اگر ناشر پیام غیرقانونی را به یک موضوع ارسال کند ، باید اثبات کافی وجود داشته باشد که ناشر پیام را به قصد ارسال کرده است.

از آنجا که امضاهای دیجیتال از رمزنگاری نامتقارن استفاده می کنند ، هیچ کس غیر از دارنده کلید خصوصی نمی تواند پیام های مخرب را امضا کند مگر اینکه کلید خصوصی فاش شود. بنابراین ، امضاهای دیجیتال عدم بازپرداخت را ارائه می دهند.

اگرچه HMAC از الگوریتم های متقارن استفاده می کند ، اگر مشترکین کلید مشترک را در یک ماژول امنیتی سخت افزاری ضد آب که محاسبه می کند که برچسب را محاسبه می کند و هرگز کلید را آزاد نمی کند ، ذخیره می کند ، می تواند عدم بازپرداخت را نیز فراهم کند.

افشای اطلاعات افشای اطلاعات در مورد دسترسی به اطلاعات محرمانه توسط افراد غیرمجاز است. در یک محیط انتشار ، پیام های حساس می توانند در حالی که در بین ناشر کارگزار-مشترک یا در حالت استراحت قرار می گیرند ، در معرض دید قرار بگیرند.

TLS می تواند با رمزگذاری لایه حمل و نقل ، محافظت شدیدی را فراهم کند. ناشران و مشترکین باید گواهی کارگزار را تأیید کنند و یک کانال امن برای آن ایجاد کنند. در مواردی که حتی کارگزاران مجاز به دسترسی به محتوای پیام نیستند ، یا مشتری قادر به انجام TLS نیست ، رمزگذاری پایان به پایان لازم است. اگرچه ، این مخالف ماهیت سیستم های انتشار مشترک است که در آن ناشران و مشترکان قرار است جدا شوند.

علاوه بر محافظت از کانال های ارتباطی ، کارگزاران باید اطلاعات جلسه و پیام های پرواز را در یک پایگاه داده ایمن که توسط برنامه کارگزار رمزگذاری شده است یا در یک سیستم فایل محافظت شده رمزگذاری می کنند ، ذخیره کنند. علاوه بر این ، کارگزاران باید دسترسی به بازخورد سیستم و موضوعات وضعیت را محدود کنند. به عنوان مثال ، اگر یک کارگزار به طور عمومی وضعیت سرور ، پیام های خطای دقیق ، ابرداده و موارد دیگر را منتشر کند ، این کار بد است. علاوه بر این ، با اجرای مکانیسم های کنترل دسترسی مانند کنترل دسترسی مبتنی بر نقش (RBAC) ، کارگزاران می توانند صریحاً دسترسی کاربران یا نقش ها را به هر موضوع مشخص کنند.

انکار انکار خدمات از حملات (DOS) از ارائه خدمات به کاربران مشروع جلوگیری می کند. شبکه های منتشر شده به دلیل ماهیت متمرکز آنها ، در معرض چنین حملاتی هستند. ناشران یا مشترکان آهسته ، ناشران کلامی ، استثنائات سوء استفاده ، پیام های بزرگ و غیره ممکن است کارگزار را تحت الشعاع قرار داده و منابع موجود آن را خسته کند. هر دو گره مخرب و خوش خیم در یک شبکه می توانند باعث DOS شوند. اجرای مکانیسم های احراز هویت مناسب و رمزگذاری به طور قابل توجهی در برابر تلاش های عمدی محافظت می کند. برای جلوگیری از فرسودگی منابع ناشی از اجرای کارگزار بد یا تنظیمات ، کارگزار باید:

• پس از وقوع خطا ، کد پاسخ را برگردانید و اتصال را ببندید تا از حالت های مبهم جلوگیری شود. به عنوان مثال ، خطاهای نحوی ، داده های بزرگ و تلاش برای تأیید اعتبار ناموفق.
• اتصالات را ببندید و منابع را پس از مدت زمان قابل تنظیم آزاد کنید.
• بررسی کنید که آیا ناشر یا مشترک مجاز به درخواست سطح تحویل تضمین شده بالاتر است.
• صف های آینه ای در چندین گره چندین.
• نظارت بر حافظه و استفاده از دیسک و منابع اختصاصی بر این اساس.
• محدودیت های مصرف منابع عمومی و خاص را تنظیم کنید (به عنوان مثال ، تعداد اتصالات همزمان ، اندازه پیام ، انتشار در موضوعات خاص و غیره).

افزایش امتیاز یک کاربر غیرمجاز به کارکردهای ممتاز دسترسی پیدا می کند و اقدامات فراتر از رفتار مورد انتظار خود را انجام می دهد. به عنوان مثال ، یک سنسور دما که برای انتشار دمای ضبط شده برنامه ریزی شده است ، می تواند برای ارسال یک دستور دستگاه حذف فریب داده شود. چنین حملاتی در صورت وجود برنامه های مجوز کافی و مکانیسم های کنترل دسترسی به دستگاه امکان پذیر است.

منابع