Интерфейсы TSF

Интерфейсы TSF включают локальные интерфейсы, предоставляемые каждым узловым компьютером и сетевыми клиент-серверными интерфейсами, предоставляемыми парами узловых компьютеров. Локальные интерфейсы, предоставляемые каждым отдельным узловым компьютером, включают следующие интерфейсы ядра:

1. Системные вызовы, инициированные доверенными и недоверенными программами и обращенные к привилегированному программному обеспечению, работающему в привилегированном режиме. Как отдельно указано в этом документе, возможность использовать системные вызовы внешними программами, использующими предоставляемые ядром API, реализуется частью ядра, загружаемой в память целиком, и другими модулями ядра.

2. Несмотря на то, что с технической точки зрения следующие интерфейсы ядра представляют собой семантическое расширение системных вызовов open, ioctl или системных вызовов, связанных с сокетами, их нужно считать независимыми интерфейсами во время анализа безопасности:

• Файлы устройства: файлы устройства разрешают прямой доступ к аппаратным ресурсам. Доступ устанавливается на чтение, запись и/или исполнение функции mmap, или вызов ioctls для реализации более определенных механизмов доступа. Кроме того, некоторое ограниченное число файлов устройства предоставляют доступ к внутренним структурам данных ядра, используя семантику файловой системы, а также ioctls.
• Виртуальные файловые системы: виртуальные файловые системы обеспечивают доступ к внутренним структурам данных ядра, используя семантику файловой системы. Доступ ограничен следующими операциями: чтение, запись и/или вызов функции mmap.
• Сетевые сокеты, использующие протокол AF_NETLINK: сокеты netlink обеспечивают доступ к внутренним структурам данных ядра используя сетевую семантику. Доступ ограничен операциями отправки и/или получения информации.
• Сетевые сокеты, использующие протокол PF_KEY: сокеты PF_KEY используются для взаимодействия с логикой преобразования сетевых пакетов внутри ядра.
3. Все анализаторы/синтаксические анализаторы сетевых протоколов, реализованные ядром.

Следующий список содержит протоколы, доступные в исследуемой конфигурации:
 — Ethernet
 — ARP
 — Семейство протоколов TCP/IP
 — Маркированная передача с использованием протоколов IPSec
 — CIPSO

Следующие интерфейсы реализованы доверенными процессами в пространстве пользователя:

• Сетевые интерфейсы, предоставляемые парами узлов вычислительной сети SSHv2 и IKEv1
• Символьные массивы argv и envp, которые являются параметрами системного вызова execve. Эти два массива могут быть определены выполняемым приложением. Обратите внимание на то, что ряд переменных окружения, которым можно предоставить использование envp, реализованы библиотеками, которые обычно загружаются большинством, если не всеми, приложениями (например, библиотека C).
• Файлы, являющиеся частью базы данных TSF, которые определяют параметры конфигурации, используемые функциями безопасности.
• Интерфейсы межпроцессного взаимодействия, экспортированные приложением.
• Вызовы гипервизора, а также имитация и эмуляция инструкции, реализованная ядром Linux для поддержки среды виртуализации KVM. Это включает имтиацию и эмуляцию аппаратных средств, поддерживаемые ядром Linux.

Интерфейсы, которые не рассматриваются как интерфейсы TSF:

1. Интерфейсы между процессами, не относящимися к TSF, и используемыми аппаратными средствами. Как правило, пользовательские процессы не взаимодействуют через интерфейс непосредственно с аппаратными средствами; исключения составляют процессор, USB, соединения с параллельным портом, соединения с последовательным портом и аппаратное обеспечение машинной графики.

Пользовательские процессы взаимодействуют с процессором, выполняя инструкции ЦП, читая данные и изменяя содержимое регистров ЦП и физической памяти, выделенной процессу.

Пользовательские процессы взаимодействуют с аппаратным обеспечением машинной графики, изменяя содержание регистров и памяти в графическом адаптере. Доступ к остальным перечисленным аппаратным средствам из пространства пользователя выполняется при помощи соответствующих сигнальных шин, используемых для связи с соответствующим устройством. Непривилегированные инструкции процессора являются внешними видимыми интерфейсами. Однако, непривилегированные инструкции процессора не реализуют функции безопасности, и процессор ограничивает эти инструкции границами, определенными процессором. Кроме того, остальные перечисленные аппаратные компоненты не является частью исследуемой системы, так как они  — периферийные устройства. Поэтому, данный интерфейс не рассматривают как часть TSF.

Интерфейсы между различными компонентами TSF, которые невидимы для обычных пользователей (например, между подпрограммами в ядре), не рассматривают в качестве интерфейсов TSF. Это вызвано тем, что эти интерфейсы являются внутренними к доверенной части исследуемой системы и не могут быть вызваны за пределами этих доверенных частей.

2. Встроенное микропрограммное обеспечение, являющееся составной частью исследуемой системы, не рассматривают как предоставляющие интерфейсы TSF компоненты, т.к. они не разрешают выполнение прямых непривилегированных операций, обращенных к ним.

3. Реакции на исключительные ситуации процессора, относящиеся к встроенному микропрограммному обеспечению, также не рассматривают как интерфейсы TSF. Они не относятся к области безопасности, т.к. они обеспечивают доступ к встроенному микропрограммному обеспечению, которое не реализует функции безопасности.

4. В случае, если вычислительная среда обеспечивает среду виртуализации, такую как z/VM или PR/СМ в системах s390x или POWER LPAR в системах IBM POWER, спроектированные интерфейсы гипервизора среды виртуализации (как вызовы гипервизора) не рассматривают как интерфейсы TSF, т.к. они недоступны непривилегированным процессам в задачном режиме работы вычислительной системы и не реализуют функции безопасности. Следует особо отметить, что функциональные возможности гипервизора, реализованные ядром Linux и его интерфейсами, не относится к рассматриваемому здесь случаю.

5.Состояние режима системного управления (SMM, System Management Mode) процессоров, основанных на архитектуре Intel, не относится к области безопасности, поскольку программное обеспечение, выполняющееся в этом состоянии, не реализует функции безопасности. Кроме того, непривилегированный код не может получить доступ или изменить программное обеспечение, выполняющееся в этом состоянии процессора.

Интерфейсы TSF включают любой интерфейс, который возможен между непроверенным программным обеспечением, несущим потенциальную угрозу, и TSF.