基于共享资源矩阵法的Linux内核隐蔽通道搜索研究

基于共享资源矩阵法的Linux内核隐蔽通道搜索研究 /, ‘ ;参未 ? 一 硕士学位 论文 政研论文下载论文大学下载论文大学下载关于长拳的论文浙大论文封面下载 基于共享资源矩阵法的内核隐蔽通道搜索研究作者:杨司祺 导师:翟高寿? 北京交通大学 年月。~磐学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行 检索, 并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校 向国 家有关部门或机构送交论文的复印件和磁盘。 保密的学位论文在解密后适用本授权说明 学位论文作者签名: 导师签名:务寥南莠 年口月知日 签字日期:如 签字日期:如年护月加日中图分类号:: 学校代码: :. 密级:公开 北京交通大学 硕士学位论文 基于共享资源矩阵法的内核隐蔽通道搜索研究作者姓名:杨司祺 学 号: 导师姓名:翟高寿 职 称:副教授 学位类别:工学 学位级别:硕士 学科专业:计算机科学与技术 研究方向:操作系统安全 北京交通大学 年月致谢 本论文的工作是在我的导师翟高寿副教授的悉心指导下完成的,在此衷心感 谢翟高寿副教授两年来在生活和学习上给予我的事无巨细的关心和指导。 在硕士研究生的学习期间,无论是在专业知识还是为人原则方面,翟高寿副 教授都给我留下了深刻的印象。从课题的选择,课题的开展,以及论文的撰写 和 审定等各个环节,都倾注了翟老师的大量心血。同时,翟老师严谨的治学态度、 科学的工作方法以及谦虚友善的做人原则深深地影响了我,在此向翟老师致以最 崇高的敬意。 在对未来的规划以及工作的选择上,翟老师提供给了我许多非常有价值的建 议。在此再次感谢翟老师对我的大力帮助与关怀。 在实验室工作及撰写论文期间,江灿、吴彤、白静等同学对我论文中的研究 工作给予了热情的帮助,在此向他们表达我的感谢。 研究生科的郭神华老师对我的职业规划和综合素质的提高给予了极大的鼓 励、关心与帮助,在此特别向她表达我的感激之情。 此外,能够取得现在的成绩,首先要感谢我的家人尤其是我的父母对我的理 解和大力支持,是他们使我能够在学校专心完成我的学业,让我愉快地在北京交 通大学度过了两年的研究生生活。其次感谢所有教授或指导过我学习研究的老师。 最后,请允许我衷心地向所有给予我帮助与关怀的同学、朋友再次表示我最真挚 的感谢和祝福。 在即将离开陪伴我两年时光的红果园的时候,我想我会永远记住这里摘要 摘要 全球信息化时代的到来,使得信息技术在各行各业的应用日益广泛和深入。 在这样一个时期,信息安全保障工作,尤其是确保基础网络、重要信息系统和信 息内容的安全,已成为信息化发展中必须要解决的重大问题。就信息系统安全而 言,操作系统、网络系统和数据库系统的安全问题占据了核心的地位。鉴于数据 库、网络及包括应用软件在内的所有软件系统均建立在操作系统之上,所以如果 没有安全操作系统的支持,就不可能保障其它软件系统的安全可信性。 隐蔽通道分析一直以来都是安全操作系统研究中的重要问题。因此论文选取 内核源码为目标对象,对操作系统进行隐蔽通道分析的相关研究。 论文首先讨论了隐蔽通道的相关概念以及在隐蔽通道的分析过程中所要关注的相 关内容,随后在研究了不同的隐蔽通道标识方法后,根据各自的优缺点,确定了 以共享资源矩阵分析方法作为论文研究的突破口。在共享资源矩阵传递闭包的计 算方面,深入研究了早前的实现方法,对其进行改进与优化,提出了一种新的实 现方法,并从算法实现复杂度及统计学的角度将其与早前实现方法进行了对比。 同时,由于在进行共享资源矩阵传递闭包的计算之前,需要先构造共享资源 矩阵,而在构造的过程中,因为源代码文件数量庞大、结构复杂,从而导致了 构 造共享资源矩阵非常困难。因此,如何确定源代码分析的范围成为了最关键 的问 题。于是论文以..版本的内核源码为基础,对新版本的体系 结构进行了分析与讨论。在对内核源码组成结构进行归类分析后,针对新 版的体系结构,对内核中的文件的格式及其内含变量做 了研究与归纳总结,以期更好地分析内核在编译过程中各文件之间的相互 依赖性。 最后,论文就研究过程中存在的问题及今后的努力方向进行了总结与展望。 关键词:隐蔽通道;共享资源矩阵;传递闭包计算;;内核源代码 分类号:仰;黝 . , , . 他. 嬲幽 .,. . ? ? ,.. 吼 . 口 ,.伍., ? . .: ? ... ?. ,醯 咄地? .. 删 北京交通大学硕士学位论文 :; ; ;; : ; 目录 工贸企业有限空间作业目录特种设备作业人员作业种类与目录特种设备作业人员目录1类医疗器械目录高值医用耗材参考目录 目 录 摘要??. 、 绪论 .课题背景..信息安全。 ..操作系统安全?。. ..信息安全评估准则.... .隐蔽通道分析的必要性??。. .国内外研究现状?. .论文研究内容与技术路线论文组织结构 隐蔽通道分析方法研究. .隐蔽通道概念 ..隐蔽通道的定义? ..隐蔽通道的分类?. ..隐蔽通道的特点?. .隐蔽通道举例。 .隐蔽通道分析 ..隐蔽通道分析的层次与内容 ..隐蔽通道发生的条件. ..隐蔽通道的判定规则. ..真实隐蔽通道与潜在隐蔽通道?. .隐蔽通道的标识分析方法 ..句法信息流分析法??。.. ..无干扰分析法??. ..共享资源矩阵分析法. ..语义信息流分析法? ..隐蔽流树分析法本章小结 一种新的共享资源矩阵传递闭包计算算法的实现?。 .共享资源矩阵分析法与传递闭包计算? ..共享资源矩阵分析法主要步骤??. ..共享资源矩阵传递闭包计算基本思想??. .新的共享资源矩阵传递闭包计算算法实现。北京交通大学硕士学位论文 ..数据结构设计?. ..算法流程设计. ..算法实现关键环节处理??。 . .新算法实现与早前实现方法的对比??.. ..早前实现方法简介 ..新实现方法的优点 . ..两种算法实现方法的比较??。 . ..新实现方法在统计学上的特点。 . 本章小结??. . 文件的分析与研究。 . 内核源代码组成分析 . .. 工具 . .. 文件与其他各类脚本的区别 . .. 系统内核文件中的变量 .. 自动分析工具的构想 本章小结 结束语 .论文 工作总结 关于社区教育工作总结关于年中工作总结关于校园安全工作总结关于校园安全工作总结关于意识形态工作总结 .论文成果及创新. .研究展望? 参考文献 ?. 附录?. 作者简历? .. 科研成果??。 ? 独创性声明 .. 学位论文数据集?绪论 绪论 .课题背景 信息化浪潮正以迅雷之势席卷全球,冲击着传统社会的方方面面。信息技术 发展和网络社会的到来,在给人类社会带来巨大进步的同时,也在深刻改变着人 类的安全观念,并使国家安全面临诸多新的挑战。国家信息安全问题成为战略研 究的崭新的、紧迫的时代课题。 ..信息安全 全球信息化时代的到来,使得信息技术在各行各业的应用日益广泛和深入, 也使得影响国家安全的因素已不再局限于传统的政治、军事、经济、资源、国土 等有形因素。伴随着信息技术的广泛应用,特别是我国国民经济和社会信息化 进程的全面加快,知识和信息等无形因素正以前所未有的惊人速度渗透到社会的 每个角落。信息化带动了工业化的发展,网络与信息系统的基础性、全局性作用 日益增强,信息和网络已成为国家经济和社会发展的新的重要战略资源。 在这样一个特殊的历史时期,信息安全保障工作,尤其是确保基础网络、重 要信息系统和信息内容的安全,已成为信息化发展中必须要解决的重大问题。同 时也成为更好地维护国家安全、经济命脉和社会稳定,促进信息化健康发展,构 建社会主义和谐社会的重要保障及战略目标。各国政府也都高度重视国家信息安 全的建设,先后调整了国家安全战略,使信息保障成为国家安全的重要组成部分 【】 从内涵角度讲,信息安全是指在社会发展信息化的趋势和环境下,信息和信 息网络、信息系统的整体安全。从外延角度讲,信息安全是国家安全的重要组成 部分,信息安全关系到国民经济健康发展、政治稳定、文化安全、国防安全和公 民、企业的合法权益【】。 信息安全具有真实性、保密性、完整性、可用性、不可抵赖性、可控制性和 可审查性等七个基本属性。 胡锦涛总书记指出,“信息安全是个大问题,必须把信息安全问题放到至关重 要的位置,认真加以考虑和解决。目前研究的信息安全是在一个特定的历史时期北京交通大学硕士学位论文 和特定历史环境下的信息安全,信息安全离不开国家、历史和现实发展的大背景, 同时也与国家政治、经济、文化以及社会生活的方方面面紧密相关。从全局高度, 综合分析,我国信息安全问题仍面临着非常严峻的形势。 ..操作系统安全 信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然 的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服 务不中断。 网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系 统、各种安全协议、安全机制数字签名、信息认证、数据加密等,直至安全系 统,其中任何一个安全漏洞便可以威胁全局安全。 从信息系统的方面来说,在信息系统安全涉及的众多内容中,操作系统、网 络系统和数据库系统的安全问题占据了核心的地位。 如果将计算机软件和计算机硬件放在一起,从整体上研究计算机系统,可以 发现计算机系统是按层次结构进行组织的,内层是外层的支撑环境。 在所有软件中操作系统最重要,因为操作系统直接与硬件接触,属于最底层 的软件,它管理和控制硬件资源,同时为上层软件提供支持。任何程序必须在 操 作系统支持下才能运行,操作系统最终把用户与机器分隔开,凡对机器的操作一 律转换为操作系统的命令,这样一来,用户使用计算机就变成了使用操作系统。 数据库管理系统是建立在操作系统之上的,如果没有安全操作系统的支持, 就不可能保障其存取控制的安全可信性;在网络环境中,网络安全依赖于各主机 系统的安全可信性,没有操作系统的安全,就谈不上主机系统和网络系统的安全 性;同样,计算机应用软件都建立在操作系统之上,唯有通过安全操作系统才能 实现它们对系统中有关信息的安全存取与处理。 因此,从根本上来说,作为系统软件中最基础部分的操作系统,其安全问题 的解决成为关键中之关键。换句话说,操作系统安全是整个信息系统安全的基础, 没有系统的安全就没有信息的安全,其系统安全可信度的保证非常重要。 而作为当前最为流行,使有范围最广的操作系统,系统不仅兼容的平台 多,而且开放源代码。这使得我们在研究操作系统安全的时候,有了很重要的一 个工具。业内开始尝试从系统核心入手,通过限制应用对内存、处理器和系统配 置文件等系统资源的访问,强化应用及总体系统的安全。 绪论 ..信息安全评估准则 当今用户在使用计算机时,会遇到众多安全威胁,如: 信息泄露:信息被泄露或透露给某个非授权的实体。 破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。 拒绝服务:对信息或其他资源的合法访问被无条件地阻止。 非法使用非授权访问:某一资源被某个非授权的人,或以非授权的方式 使用。 窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信 息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程 中产 生的电磁泄露截取有用信息等。 假冒:通过欺骗通信系统或用户达到非法用户冒充成为合法用户,或 者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。 旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权 的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴 露 出来的一些系统‘‘特性”,利用这些“特性”,攻击者可以绕过防线守卫者 侵入系统 的内部。 授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限 用于其他非授权的目的,也称作“内部攻击”。 特洛伊木马:软件中含有一个觉察不出的有害的程序段,当它被执行时, 盛 会破坏用户的安全。这种应用程序称为特洛伊木马 。 陷阱门:在某个系统或某个部件中设置的“机关”,使得在特定的数据输 入时,允许违反安全策略。 计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害功能的 程序。 因此,合理的对计算机系统的安全性进行评估是十分必要的。为此,国内外 出台了一些重要的评价标准,这些标准都对计算机系统的安全保护能力进行 了等 级划分,并针对各等级的安全保护能力,提出了从定义、设计,到文档、评估 等 各方面的具体要求。 下面简单介绍国际上和我国主要的信息安全评估标准,并给出了各标准中与 论文相关的对隐蔽通道进行分析的要求。 《可信计算机安全评价标准》,从橘皮书【】到彩虹系列 由美国国防部于年公布,是计算机系统信息安全评估的第一个正式标准。 它把计算机系统的安全分为类:安全政策、可说明性、安全保障和文档。在 美 北京交通大学硕士学位论文 嘶神标准中有详细的描述。 国国防部彩虹系列 标准把安全保护分成等共个级别,对用户登录、授权管理、访问 控制、审计跟踪、隐蔽通道分析、可信通道建立、安全 检测 工程第三方检测合同工程防雷检测合同植筋拉拔检测方案传感器技术课后答案检测机构通用要求培训 、生命周期保障、文 档写作、用户指南等内容提出了规范性要求。由高到低依次为访问验证保护 级、安全域、结构化保护、安全标记保护、受控访问保 护、自主保护和无保护。 在橘皮书中,对隐蔽通道进行分析的要求出现在、和 三个级别中。 信息技术安全评价标准》简称为准 于年由美、加、英、法、德、荷等六个国家联合提出的,是第一个信息 技术安全评价国际标准,并逐渐形成国际标准。的目标是想把已有绪论 橘皮书中的级别。在计算机信息系统安全保护等级划分准则》中要求第四 级结构化保护级,相当于橘皮书级:“系统开发者应彻底搜索隐蔽 存储通道,并根据实际测量或工程估算确定每一个被标识通道的最大带宽”。第五 级访问验证保护级,相当于橘皮书级则要求:“系统开发者应彻 底搜索所有隐蔽通道,并根据实际测量或工程估算确定每一个被标识通道的最大 带宽”。 ..隐蔽通道分析的必要性 安全的计算机系统使用强制访问控制和自主访问控制策略约束合法通道中的 信息流动,这里文件和共享内存等都可以视作计算机系统中信息流动的通道。然 而通过实践发现,用户还可以利用计算机系统中本意并不用于通信的那些通道, 常见的有系统存储单元和定时设备等,也被称作隐蔽存储通道和隐蔽定时通道。 一般来说,计算机系统的访问控制机制很难对这些存储单元和定时设备加以控制, 所以也就很难对这些通道的通信行为加以控制,因此在高安全等级的操作系统设 计中,对隐蔽通道的分析及处理就是既困难但又非常值得关注的一个方面。 为了应对隐蔽通道的威胁,在橘皮书中要求级别以上的系统评估 必须包括隐蔽通道分析的内容,并且随着评估的级别的升高,对隐蔽通道的分析 要求越来越严格。隐蔽通道分析的目的在于找出系统的漏洞,并进一步分析这些 漏洞,以确定其潜在危害。我国及欧洲的/等其它国际 标准也均将是否通过隐蔽通道分析作为一个硬性指标来对高等级安全系统进行评 估。 .国内外研究现状 自年提出隐蔽通道的概念【】以来,隐蔽通道的分析研究已经历 经多年。由于充分认识到隐蔽通道在机密信息泄露方面的重要作用,各国及各 组织相继制定相应的评估准则,把隐蔽通道问题列入其中。因此,在开发一个安 全操作系统的时候,应该进行隐蔽通道分析,即分析隐蔽通道可能的形式以及传 输数据的能力。 国际上,对于隐蔽通道分析中最重要的隐蔽通道标识问题【】【】的研究,自 年代以来经历了定理证明路线和纯工程路线: 北京交通大学硕士学位论文 ?基于定理证明技术的隐蔽通道标识方法从进入世纪年代以后,证明 的目标由验证程序信息流意义上是安全的变为验证程序在更广泛的无干扰意义上 是安全的。例如,年.提出用信息流策略定义信息在系统中的流动 方式【】,以保护数据的机密性,防止信息流向未授权的用户。 ?纯工程路线通过用强制安全策略检查程序的全局信息流路径来发现潜在的 非法信息流,找出隐蔽通道。其代表就是年.提出的共享资源矩 阵法【?,该方法首先构造系统操作原语和共享资源属性的矩阵,然 后使用信息流分析技术推导系统调用间的全局信息流,标识系统中的全部潜在隐 蔽通道。另外,隐蔽流树法【】、语义信息流法【】等的提出【刀【也都属于基于 工程信息流分析技术的隐蔽通道标识方法。 而在我国,操作系统与计算机芯片一样,迄今为止仍然主要依赖于国外的现 有产品。这一方面加快了我国信息技术的发展,一方面也使我们的发展过多地受 制于人,许多研究只能在应用技术层面上进行,而无法深入涉及操作系统内部, 信息安全技术的研究也因此而受到严重的制约。从公开发表的文献看,国内对隐 蔽通道的研究比美国晚得多。最早的研究是世纪年代初国防科技大学的杨 涛和陈福接等与海军研究所的沈昌祥等完成的。为了设计一个以为目标的安 全操作系统,他们对系统代码进行了隐蔽通道分析,分析采用了于 提出的语义信息流法,处理信道采用了消除法和审计法。 进入世纪以来,国内对隐蔽通道分析的研究的热情逐渐高涨。隐蔽通道的 分析研究大致分为在三个领域的研究:操作系统隐蔽通道研究,网络隐蔽通道研 究以及数据库隐蔽通道研究。在操作系统隐蔽通道研究领域,中科院软件所卿斯 汉教授、朱继锋博为开发安胜高等级安全操作系统,对该系统进行了全面的 隐蔽通道分析,并且提出了一种新型的“回朔搜索”方法标识隐蔽存储通道。在隐 蔽通道标识方法中,姚丽红等人将隐蔽通道作为一种带有信号调节能力的通信信 道,利用了带标签的有限状态机来描述隐蔽通道并计算机了带宽: .针对异步隐蔽通道的最大带宽做了计算【】;鞠时光等人提出 和 了标型捌,指出要综合考虑带宽、威胁度、威胁率等所有的因素来确定 隐蔽通道的危害程度;还有基于信息流树结构的隐蔽通道标识方法【】【】【】【】 网阱】溯等。此外,刘文清、刘海峰等人对隐蔽通道的处理做了研究?,江苏 大学郭殿春、杨珍、王昌达等以及其他一些单位和个人也都在操作系统隐蔽通道 研究方面做出了一定的工作。总的来说,国内对隐蔽通道分析的研究已经越来越 重视。 绪论 .论文研究内容与技术路线 隐蔽通道的分析研究一直以来都是安全操作系统研究中的重要问题。隐蔽通 道的分析包括三方面的内容:隐蔽通道的标识;隐蔽通道带宽计算;隐蔽通道的 处理。其中操作系统中隐蔽通道的标识工作是整个隐蔽通道分析的关键环节,因 为这一步骤不仅是构造相关场景、计算带宽和处理隐蔽通道的前提条件,而且也 是难度最大的一个环节。 隐蔽通道研究工作的三十年来,国际上已经提出了多种标识方法,大体可以 分为基于源代码的隐蔽通道标识方法和基于顶层规范的隐蔽通道标识方法。但是, 不论是从工程层面还是从描述层面,现有的方法都只适用于小型系统,或者过度 依赖于特定系统结构而不具有通用性等。总之,至今都没有出现在大型的信息系 统中进行隐蔽通道标识的技术。 本文在中央高校基本科研业务费专项资金课题编号:,课题名 称:安全测试关键问题研究”的资助下,为解决隐蔽通道分析中最重要 的隐蔽通道标识问题,作者在进行大量研究的基础上,主要进行了以下方面的工 作: 总结现有的各种隐蔽通道标识以及分析的研究成果,并综合分析它们各自 的优缺点; 就如何对隐蔽通道进行分析进行了深入的研究; 提出一种新的共享资源矩阵传递闭包计算算法的实现方法,并将其与其他 实现方法进行了实际的测试比较与分析; 研究了文件和工具; 对内核中新版的体系结构进行了详细的归纳与分析。 .论文组织结构 本论文分为五章,其结构如下: 第一章:主要介绍了课题的研究背景,国内外研究现状以及论文主要的研究 内容、技术路线和组织结构; 第二章:主要总结和分析了隐蔽通道现有的研究成果,归纳隐蔽通道分析要 领,进而比较总结当下主流的隐蔽通道标识与分析方法; 第三章:主要提出了一种新的有效的共享资源矩阵传递闭包算法的实现,并 北京交通大学硕士学位论文 将其与早前可用的实现方法做出了对比; 第四章:主要是对内核中新版的体系结构进行深入研究,并 对其格式、语法及其内置变量做了详细的归纳与分析; 第五章:结束语,对论文的工作及研究成果进行总结和归纳,并提出了本课 题的后续发展建议及展望。隐蔽通道分析方法研究 隐蔽通道分析方法研究 本章将系统地介绍隐蔽通道的定义、分类、特点,以及发生的条件、判定规 则、标识方法。同时给出隐蔽通道的标识和分析方法。其中,由于如何标识 出系 统的隐蔽通道是本论文的主要研究内容, 故将在本章中做重点论述。本章在 概述 当下主流的隐蔽通道分析方法的基础上, 对这些方法做了比较和评价。 .隐蔽通道概念 隐蔽通道的概念是..于年在论文“关于限制问题的注释”中首 次提出的:“一个通信信道是隐蔽的,如果它既不是设计用于通信的,也不是 有意 用于传递信息的。’’所谓限制问题,是指进程调用程序的时候,系统能限制 在运行期间向以外的其他进程传送消息。发现,即便在采用强制访 问控制的系统中,如果采用适当办法,进程仍然可以向以外的进程传送消息。 他在这篇文章中将这些“适当”的方法归结为合法通道、存储通道和隐蔽通道类。 后来的研究表明,合法通道乃是一种阈下通道,与后两种通道有重要区别,进一 步根据具体使用场景不同,后两种通道也分别改称为隐蔽存储通道和隐蔽定时通 道。 ..隐蔽通道的定义 自从年..首次提出隐蔽通道的概念后,经过将近年的深 入研究,众多学者不断地对此概念提出更加深化的理解。为了全面深入的理解隐 蔽通道这个概念,下面简单介绍几位知名学者给出的不同定义。 定义..,如果一个通信信道既不是设计用于通信的,也 不是有意用于传递信息的,则称该通信信道是隐蔽的。 定义.,如果一个通道的通信机制是如下传递方式:通过 存储单元传输描述资源状态的变量,则称这个通信信道是隐蔽的。 定义.,隐蔽通道是资源分配策略和资源管理实现的结果。 定义., 隐蔽通道就是使用系统的非正常数据客体项, 从一个主体向另一个主体传递信息的通道。 北京交通大学硕士学位论文 定义.,给定一个强制安全策略模型及其在一个操作系统 中的解释甜土甜中的两个主体儡和,儡之间的通信是隐蔽的, 当且仅当模型中的对应主体岛和西之间的任何通信都是非法的。 由于是首次提出隐蔽通道的概念,因此..给出的定义比较模糊, 既没有说明隐蔽通道发生的机制,也未说明隐蔽通信的目标。因此,., .,.和.等人在面对具体的工程问题时,根据具体分析 的对象,从不同的角度各自分别重新阐述了隐蔽通道的概念。由于这些定义 都是 针对设计特定操作系统的具体工程目的提出的,因而具有很强的可行性。但 是定 义~定义都没有给出隐蔽通道与强制访问控制策略在系统实现中的关系。只 有.清楚地给出了隐蔽通道与不同的访问控制策略之间的关系。 ..隐蔽通道的分类 根据不同的分类标准,可将隐蔽通道划分为定时通道和存储通道,或者噪音 通道和无噪通道。 关于将隐蔽通道分类为隐蔽存储通道和隐蔽定时通道,最早是由.于 年提出的。虽然从理论角度来说,是否对隐蔽通道进行类别的划分没有重大 区别,但是在实际的工程处理中却是十分有用的,所以认为存储通道与定时 通道 是不同的。同时,在橘皮书中,对级别的安全操作系统开发要求识别 和处理隐蔽存储通道,而对和则要求必须同时识别和处理隐蔽存储通道与 隐蔽定时通道。可见对隐蔽通道进行分类的重要性。本文重点关注隐蔽存储通道。 隐蔽存储通道和隐蔽定时通道 所谓隐蔽存储通道,是指由于存在“可由一个进程称作发送进程直接或间 接地写入信息,同时可由另外一个进程称作接收进程直接或间接地读取信息” 的某个或某些存储单元而构成的通信信道。 如果一个进程称作发送进程可通过主动调节其对系统资源的使用方式和 过程来影响另外一个进程称为接收进程可观察到的相应资源访问所需的响应 时间的变化节奏,进而实现前者向后者传递信息的目的。那么由此构建成的通信 信道称为隐蔽定时通道。 隐蔽噪音通道和隐蔽无噪通道 隐蔽通道可能是有噪音的,也可能是无噪音的。 我们称该通道是有噪音的,只要存在发送者和接收者之外的第三个进程使用 该共享资源,接收者就不能百分之百地正确解释接收到的信号。 相应的,如果不管系统中其他进程如何动作,发送者传送的任意比特接收者 隐蔽通道分析方法研究 都能百分之百正确解码,则称该隐蔽通道是无噪音的。 ..隐蔽通道的特点 隐蔽通道依赖于强制安全策略 安全操作系统采用的强制访问控制策略将禁止从高级进程到低级进程或者安 全级不可比进程问的通信。而隐蔽通道正是这种能绕过系统的强制安全检查的通 道。 尽管隐蔽通道依赖于系统所实施的强制安全策略,但这并不表明只改变策略 就可以将隐蔽通道消除。某些隐蔽通道在任何强制访问控制策略模型下都会存在。 隐蔽通道与完整性策略有关 隐蔽通道不仅与用于保护信息流的安全策略有关,还与系统定义的完整性策 略有关。在实现强制安全策略如包括强制存取控制和自主存取控制 两部分的模型安全策略的系统中,隐蔽通道分析要保证能够找出所有不可 比安全级或从特定安全级到低安全级的非法泄密路径。 同样的,在实现强制完整性策略比如模型的系统中,隐蔽通道分析 要保证能找出所有不可比完整级或从特定完整级到低完整级的非法泄密路径。 隐蔽通道与规范的语义有关 除了以上点以外,隐蔽通道还与系统规范的语义有关,因为改变系统 的规范很可能消除或者引入新的隐蔽通道。所谓的即是可信计算基 的简写,系统的规范包括对系统的主体、客体、访问特权、 安全级和访问授权、客体/主体建立/删除规则进行操作的所有系统操作原语的规 范。 隐蔽通道与自主安全策略无关 这是因为无论在一个操作系统的实现中如何解释系统的自主安全策略模型, 它都无法抵御特洛伊木马的攻击。因为自主模型并不能防止程序以合法的方式取 得用户的敏感信息,所以如果再去关注这些程序是如何利用隐蔽通道来非法泄露 信息就显得毫无意义了。虽然系统的开发者们可以采取一些措施来限制代表用户 的程序的能力,但除非对系统操作实施强制访问控制策略,否则仍然没有通用的 办法去约束这些程序。北京交通大学硕士学位论文 ..隐蔽通道举例 现在有这样一种场景:用户对某文件拥有“写权限”,而用对该文件拥有 “读权限”,该文件原名为:‘。用户与用户之间受系统所采取的安全 策略控制不允许进行通信。如图.所示。 图正常的通信场景 此时,用户使用其对文件的“写权限”,将文件名更改为“?’。用户在 修改完该文件的名称后对其进行读取操作。这两项动作均不违反系统的安全策 略。但是要注意的是,用户在某种程度上读取到了用户的信息,即字符串 ‘伽【’间接地从用户传送给了用户,而这一行为是违反系统安全策略的。 这 条通信信道便构成了系统中的一条隐蔽通道。如图.所示。 隐蔽通道分析方法研究 图非法的间接信息传递 .隐蔽通道分析 研究高安全性的可信计算机系统必须进行隐蔽通道分析,尽可能地搜索出所 有的隐蔽通道,测量或估计它们的带宽并给予适当的处理,以控制隐蔽通道 对系 统的破坏。 ..隐蔽通道分析的层次与内容 隐蔽通道的分析与安全操作系统抽象的层次有关,具体的系统抽象的层次性 见图.。实际上,隐蔽通道分析可以在从抽象的安全模型到系统机器代码的任 何一个层次上进行。分析的抽象层次越高,越容易尽早地发现系统安全漏洞。 通常,根据实际需要与所采用的分析方法,隐蔽通道分析在以下个层次进 行:描述性项层规范级;砂形式化顶层规范级;源代码级。 北京交通大学硕士学位论文 而隐蔽通道的分析则包含个方面的内容:隐蔽通道标识;隐蔽通道 带宽的计算与工程测量;对被标识的隐蔽通道进行适当的处理。隐蔽通道分 析方法研究 ?产生隐蔽通道的充要条件是:满足上述条件中的一条或者两条都符合。 ..隐蔽通道的判定规则 年.总结了隐蔽通道的判定特征,指出如果一个存储通道是 隐蔽存储通道的话,必须至少满足以下判定规则: 发送方进程与接收方进程都必须有对某个共享资源的同一属性存取的权 限; 发送方进程必须有办法改变该共享资源; 接收方进程必须有办法检测到该共享资源发生的改变; ?必须存在某种机制,能够启动发送方进程和接收方进程间的隐蔽通信,并 能够正确给事件排序。该机制可能是另一条较小带宽的隐蔽通道。 若满足判据,就要找出满足判据的场景。如果可以找到这样的场景, 则表明存在隐蔽存储通道。值得一提的是,满足判据卜中的共享资源属性很 容易被标识出来,但构造判据的场景却需要很强的对系统的观察力。 类似的,也可以发现隐蔽定时通道,不过判据略有不同。如果一个定时通道 是隐蔽定时通道的话,至少需要满足的判定规则是: 发送方进程与接收方进程都必须有对某个共享资源的同一属性存取的权 限; 发送方进程与接收方进程必须有权存取一个时间参照,比如实时时钟; 发送方进程必须能够调整接收方进程检测共享资源属性的变化所用的响 应时间; 必须存在某种机制,能够启动发送方进程与接收方进程间的隐蔽通信, 并能够正确给事件排序。该机制可能是另一条较小带宽的隐蔽通道。 对于机来说,至少系统中的处理器都是共享的。因此,所有在系统中运 行的进程都至少有一个共享属性:的响应时间。也就是说,接收方进程通过 监视系统时钟就可以检测到响应时间的变化。 ..真实隐蔽通道与潜在隐蔽通道 对顶层规范包括描述性顶层规范和形式化顶层规范或源代 码进行静态的隐蔽通道分析,可以得到所有可能存在的隐蔽通道,或者称为潜在 的隐蔽通道。但是,这些通道并非都是真实隐蔽通道。因为在系统动态运行时, 只有满足一定条件,信息流才会发生。某些静态分析时代码或规范中存在的条件, 北京交通大学硕士学位论文 在系统动态运行时永远不可能作为一个真实事件发生。所以,没有了真实的使用 场景,有些非法流也就不可能建立起真实的隐蔽通道了。此外,如果对隐蔽通道 变量的读写操作与实际应用场景要求的读写操作无法保持一致,也会使得潜在隐 蔽通道不可能成为真实隐蔽通道。例如,某些原语只有在使用某些参数以及 处于特定的状态下,才能利用隐蔽通道非法地传送信息。因此,必须要构造 出隐蔽通道实际应用的场景,才能证明一个潜在的隐蔽通道是否为真实的隐蔽通 道。 .隐蔽通道的标识分析方法 ..句法信息流分析法 句法信息流分析法 是第一个比较系统的隐 蔽通道分析方法,由.提出,该方法详细阐述了信息流的概念并提出了 信息流的格模型,其本质上是一种信息流法。 该法的目标是标识系统中的非法信息流,为了实现这个目标,我们需要首先 识别系统中的两类基本的流??明流和暗流。 所谓明流,指的是诸如赋值语句:导致的从流向的流,用叫~表隐蔽通道分析 方法研究 用句法信息流法标识隐蔽通道的优点为: ?可以直接实现自动化: ?可以用于形式化规范和源代码; ?可以增量分析单个函数或者原语; ?不会遗漏任何可以导致隐蔽通道的非法流。 虽然句法信息流法具有如上的优点,但是该方法从来没有在真正的系统设计 中得到系统性的应用,因为无论哪种句法信息流分析方法都无法避免以下个 缺 点: ?该方法不够精确,总会找出很多伪非法流。为了消除这些伪非法流,就需 要额外增加很大的手工语义分析量; ?不能分析非形式化规范,比如自然语言描述的规范; ?无助于找出安放隐蔽通道处理代码的位置,要找出这样的位置只能依 靠对规范或者代码的语义分析。 ..无干扰分析法 “无干扰一这个概念是于年由.和.定义的,并且他 俩在等人工作的基础上引入了无干扰分析法 , 它的本质是一个用户不应当知道他不支配的其他任何用户的任何动作。无干 扰分 析法将可信计算基视为一个抽象机,并定义了两个用户进程之间的无干扰概 念。假设抽象机有一个初始状态或者称作启动状态,一个用户进程与另一个 用户 进程无干扰,是指当系统删除来自第一个进程自启动状态起的所有输入时仿 佛 系统中从未有这些输入,第二个用户进程观察到的输出结果没有任何变化。 .和.还认为,如果一个用户进程的输入不能对另一个进程的输 出造成影响,则第一个进程就不能向第二个进程传输消息。 现有一抽象机,令和表示该抽象机的两个用户进程,令?为机器的 一个输入序列,且以来自的一个输入结尾。假定输入时该机器处于启动状态, 并且对最后一个输入的响应输出是?。又假设?/是从?中删除所有来自 的输入后剩下的子序列。这样就可以用精确语言将无干扰概念表述如下: 如果对于以来自用户进程盼一个输入结尾的任意可能的输入序列?,都有 ?/,则称进程与进程无干扰。 为了避免分析无穷多的输入序列,可以进一步将的状态划分成若干个等 价类。这种等价类的划分方法是,如果两个状态是二等价的,则应满足条件: 北京交通大学硕士学位论文 它们对相同的输入必须响应相同的输出; 任意输入后对应的下一个状态也是等价的。 显然,这是一个递归定义。此外,和还证明了一个展开定 理 :与无干扰,当且仅当每个输入都使状态转化为一 个等价状态。该定理给出了一个检查无干扰的实用方法,对无干扰分析非常 重 要,因为只要给出表明状态和状态转移的形式化规范,我们就可以利用展开 定理进行无干扰分析。 无干扰分析方法有很多优点,比如: ?这种方法可以用于系统的形式化规范和源代码; ?可以避免发现伪非法流; ?可以用于分析单个的函数和原语。 但是这种方法缺点也相当明显:隐蔽通道分析方法研究 了伪非法流的隐患。 由于没给变量赋予安全级标签,也带来了以下问题: 不能证明单个原语或原语对是安全隔离的,即没有非法流存在。 因此增量分析新的原语十分不便; 分析可能会标识出一些采用信息流分析法本来应当自动过滤掉的潜 在隐蔽通道。 此外,虽然可以用于分析源代码,但是至今仍然没有自动从源代 码中构造出共享资源矩阵的工具出现,而往往这个步骤是最花费时间、最费 力的 一步。同时用手工方法从源代码中构造矩阵还很容易出错。 法相比于句法信息流法的最大优势是:它可以用于分析的非形式 化顶层规范。不过如果细节过少,这种优势就意义不大了。因此用于隐蔽 通道分析的一定要比较详细地对系统进行了描述。 ..语义信息流分析法 年,和借鉴了信息流分析和 共享资源矩阵法的优点,提出了语义信息流法,并在安全项目中用这种方 法进行了隐蔽通道分析工作。这种标识方法是建立在如下工作的基础上: 分析编程语言的语义、代码和内核中使用的数据结构,发现变量的可见 性同‘修改性; 动解决内核变量的别名问题,确定内核变量的间接可修改性; 对源代码进行信息流分析,确定内核变量的间接可见性。 确定变量经过内核原语的可见性//修改性、解决变量别名和对代码的信息流 分析是标识隐蔽存储通道的关键步骤。其中确定变量经过一个或多个内核原 语的 可见性同‘修改性,以及确定内核原语共享的变量都要经过一系列的步骤。 完成这 些步骤之后,才能把安全模型解释中所指定的,并在代码中实现的强制规则 应用 到共享变量和内核原语上。 语义信息流方法的分析步骤是: 选择内核原语以便用于隐蔽通道分析; 确定内核变量的可见性侗『修改性;通过语义分析,确定内核变量的直 接可见性同修改性;对每个原语生成一个“函数调用依赖关系’’集合; 通过信息流分析,确定内核变量的间接可见性;五在每个原语中解决变量别名 问题;标识在原语间共享的用户进程可见//修改的变量,消除局部变量。 北京交通大学硕士学位论文 分析共享变量,并标识隐蔽存储通道。 语义信息流方法的主要优点是: ?适用于源代码级的形式化分析,可以发现所有的潜在隐蔽存储通道,并确 定强制安全规则是否正确地实现: ?可以发现大量伪非法流;隐蔽通道分析方法研究 系统资源属性,返回列表包含该原语操作能够返回其状态的系统资源属性。 首先要确定分析的系统资源属性,把这个属性作为树的根结点。隐蔽流树由 发送者所做的对资源属性的修改动作序列,和由接收者所做的侦查对该资源属性 的修改的侦查动作序列组成。的左子树由发送者所做的修改该资源属性的动 作序列组成,而右子树则是由接收者所做的侦查对该资源属性的修改的侦查动作 序列组成。左子树也称为修改子树,其先把修改目标符号连接到根目标符号上, 这个符号代表发送者有能力修改属性,然后把那些能够使发送者修改属性的 操作符号被链接到修改符号上,如果至少有一个操作可以修改属性,那么树算 法会接着转向构造识别子树阶段。识别子树就是右子树,其首先添加一个识别目 标符号到根的与门,表示接收者有能力识别属性的修改。识别通过两种方法实 现:直接识别和间接识别。 这样,周游就能得到发送者发送信息和接收者接收信息的动作序列。分 析产生的操作序列要分步走。首先,要简化或者扩展每个操作序列,删除 冗余的序列。第二步,识别并删除要求发送方和接收方拥有可以合法通信特权的 操作序列。第三步,使用剩下的操作序列构造隐蔽通道场景。 本章小结 本章是整个论文的理论基础,主要分析了隐蔽通道相关的理论知识。对隐蔽 通道的理论研究已经有多年的历史,基本形成了较为系统的理论体系。 本章首先介绍了隐蔽通道的相关概念和知识,包括:隐蔽通道的定义;隐蔽 通道的分类;隐蔽通道的特点以及隐蔽通道的一个实例。 接下来,本章描述了在进行隐蔽通道分析时,所要注意的分析的层次与内容, 隐蔽通道发生的条件以及判定规则。特别的,还强调了区分系统中的真实隐蔽通 道与潜在隐蔽通道的重要性。 在本章的第三节中,主要阐述和分析了主流的隐蔽通道标识分析方法。隐蔽 通道分析主要分为三个步骤:隐蔽通道标识,隐蔽通道带宽计算,隐蔽通道的处 理。本章对当下主流的隐蔽通道分析方法】【蚓【及相关理论知识进行了讨论, 并对其进行了总结。由于现存的各种方法在拥有各自优点的同时,还存在一定的 适用局限性和缺点,因此,隐蔽通道的分析方法尤其是标识方法,从目前来看, 并没有公认的方法和流程。 一种新的共享资源矩阵传递闭包计算算法的实现 一种新的共享资源矩阵传递闭包计算算法的实现 共享资源矩阵是一个在安全操作系统隐蔽通道搜索与处理的研究中占据很重 要地位的数据结构。理想的算法实现是用一个连续存放的二维数组来描述共享资 源矩阵并进行传递闭包计算的。但是由于受到计算机内存以及编程语言的限制, 这种实现方法仅在理论上有效。本章主要介绍一种新的有效的共享资源矩阵传递 闭包算法的实现,并将其与早前可用的实现方法做出了对比。 .共享资源矩阵分析法与传递闭包计算 本节将会简要介绍共享资源矩阵分析法与其传递闭包计算算法的相关概念及 要点,以期为.节提供理论基础。 ..共享资源矩阵分析法主要步骤 共享资源矩阵分析法首先由.于年提出。顾名思义,共享资 源矩阵 ,是以矩阵的形式来存储系统 ,可信计算基原语对变量所具有的访问权限。在操 作系统下,存储的即是系统调用对共享资源变量所具有的读写权限,如无访 问权 限,只读权限,只写权限,读写权限等。 在使用共享资源矩阵分析法时,我们首先需要统计出所有可以被主体访问读 和/或写的共享资源通常是系统的变量。然后检查所有的共享资源,以确定 其是否能够用来在所有主体间隐蔽地传递信息。在实现这一步的时候,我们 需要 仔细研究系统中每一个原语即系统调用的定义。 共享资源矩阵分析法一般需分以下五步完成: 分析所有的原语操作,确定通过接口用户可见厂可修改的共享资源 属性; 构造共享资源矩阵,该矩阵的行头对应于用户可读厂可写的变量这些 变量代表共享资源属性,列头对应于用户可以使用的原语。如果一个原语 可以读一个变量,则将该矩阵项变量,原语标记为。同理,如果一个 原语可以写一个变量,则将该矩阵项变量原语标记为。最后,将既北京交通大 学硕士学位论文 不能读又不能写的变量合并成一行,分析时将它们视为一个变量。 由于用上述方法得到的共享资源矩阵并不完备,因此要对共享资源矩阵进 行传递闭包的计算。生成矩阵的传递闭包要靠观察包含的每一项来完成,具体步 骤如下:在矩阵中搜索包含标记的每一项,如果该项所在的行中出现标记,则 检查包含该标记的项所在的列。如果在该列的任意一个行中出现标记,且该行 与原始厢所在列的交叉项中没有标记,则在该矩阵项中增加间接读标记。重复 以上操作,直到矩阵中不再新增加项时为止。注意,这里区分与仅表明,为间 接读,为直接读,实际上二者无任何差别。在今后的分析中,将等同地视为。 分析每个矩阵行,找出同时包含和的行,并删去其他矩阵行。当一个 进程可以读某一个变量且另一个进程可以写该变量时,如果写进程的安全级支配 读进程的安全级,则这个变量就可以支持隐蔽通信,即可能产生潜在的隐蔽通道。 通过对这些矩阵项的分析,可以得种可能的结论: ?如果两个通信进程中间存在一条合法通道已授权通道,则该通道不是 隐蔽通道,则标记为‘‘; ?如果从该通道无法得到有用的信息,则标记为‘’; ?如果发送进程与接收进程是同一个进程,则标记为“”; ?如果不是前面三种情况,那么该通道就是潜在的隐蔽通道,将其标记为‘‘”。 分析该矩阵所有的项,找出潜在隐蔽通道的实际应用场景。只有找出使用 场景的通道才是真实隐蔽通道。 ..共享资源矩阵传递闭包计算基本思想 传递闭包计算算法的思想为:一个系统原语操作的读访问属性可能已被另外 一个原语修改过,而后者可能还访问过别的属性。一个原语间接读属性变量, 指的是该原语可以读的属性变量能被某函数写访问,而该函数能够读 变量。传递闭包计算就是要找出对变量的所有间接读操作,并把相应的项加入到 矩阵中。 根据传递闭包计算算法的思想,本文所提出的一种新的共享资源矩阵传递闭 包计算算法的实现将会在.节中详细阐述。 .新的共享资源矩阵传递闭包计算算法实现 众所周知,在编写程序时,如果使用连续数组的存储方式,将会要求系统分一种新的共享资源矩阵传递闭包计算算法的实现 配一大块连续的空闲内存单元用于存放重要数据。虽然改用链表存储可以不要求 这么大的一块连续内存空间,但是链表的最大缺点就是不能像连续存放的数组那 样对数据进行直接访问。所以在这个新的实现方法当中,我们将会给出一个新的 共享资源矩阵存储 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 ,同时该方案具有更少的时间复杂度和空间复杂度。 ..数据结构设计 由于实际隐蔽通道分析场景的特殊性,从而导致了共享资源矩阵将会是一个上 百阶的二维矩阵。程序语言的局限性又使得在实际程序的编写过程中,如果要求 系统分配如此大的一块连续内存空间,将会导致程序的崩溃。因此作者设计了一 种结合传统连续数组存储和链表存储的新存储方式。该矩阵的逻辑存储方式如图 .所示。 此种存储方式由两部分组成:行头/列头数组以及共享资源矩阵的本体部分。 从图.中可以看出,左侧的‘‘二共享资源属性’’一列为整个共享资源矩阵的行头数组, 该数组为连续存储,数组的每一个元素都是我们自定义的一个数据结构。同样的, 顶部的“系统调用”一行为整个共享资源矩阵的列头数组,该数组也为连续存储,数 组的每一个元素同样是我们自定义的一个数据结构。 而表示不同系统调用对不同共享资源属性所具有的访问权限以及该结构在整 个共享资源矩阵本体中所处的坐标的数据结构都是以十字链表的形式进行组织 的。 这样的逻辑存储方式不仅可以满足高阶矩阵的存放,避免系统内存连续空间 不 足以分配的尴尬局面,又可以以较小的代价对矩阵元素进行快速访问。