（计算机应用技术专业论文）基于源代码的隐通道搜索工具的研究及实现.pdf

江苏大学硕士学位论文 摘要 在上世纪七十年代以前，为保证计算机系统中的信息安全性，自主存取控 制和强制存取控制策略在计算机多安全级系统中得到了广泛的应用。然而，实 施了这两种策略后的计算机系统仍然存在着安全隐患，其中就包括隐通道问题。 本文在综述隐通道分析方法和目前研究现状的基础上，解决了系统源代码 中信息流分析工作的自动化进行问题，并与课题组已经开发的共享资源矩阵搜 索方法相结合，提出了实现一个基于系统源代码的隐通道搜索工具的研究思想。 论文首先讨论了隐通道的形式化定义；然后给出了基于系统源代码的信息 流自动分析工具和隐通道搜索工具的设计方案；接下来详细讨论信息流分析工 具的设计，为实现信息流分析的自动化，提出了一种用于描述信息流的二叉树 结构，并给出了这种信息流树的构造规则和保证树中信息流准确无误的剪枝算 法描述，设计并实现了利用此树进行信息流分析并生成记录分析结果的信息流 向图的算法：接着，给出了信息流树构造算法和用作隐通道搜索方法输入的共 享资源矩阵的生成算法，并以此为基础，详细讨论了基于系统源代码的隐通道 搜索工具的设计与实现；最后，结合一个分析实例来说明基于系统源代码的隐 通道搜索工具的实际应用情况。 论文的主要贡献点在于： 1 提出了一套用树结构来描述系统源代码中信息流的方法，并构造出了这 种便于存放信息流且易于实现的信息流树。该树结构可以反映语句及函数中的 信息流，并可通过遍历树将这些信息存放在直观、易于理解的信息流向图中， 从而可以方便地为隐通道搜索方法提供信息流分析结果。 2 设计并实现了一个基于系统源代码的隐通道搜索工具。该工具以系统源 代码为输入，以隐蔽通道序列为输出，从而实现了隐通道搜索工作的自动化。 关键字：信息安全；隐通道；信息流规则；信息流树；信息流自动分析工 具；隐通道搜索工具 江苏大学硕士学位论文 a b s t r a c t b e f o r e1 9 7 0 ，i no r d e rt op r o t e c tt h ei n f o r m a t i o ns e c u r i t yi nc o m p u t e rs y s t e m s ，m a n d a t o r y a n dd i s c r e t i o n a r ya c c e s sc o n t r o lp o l i c yh a db e e nw i d e l ya p p l i e di ns e c u r ec o m p u t e rs y s t e m s h o w e v e r , t h ec o m p u t e rs y s t e m sw h i c hh a v ee n f o r c e dt h et w op o l i c i e ss t i l lh a v eh i d d e nd a n g e r ， w h i c hm a yi n c l u d ec o v e r tc h a n n e l s b a s e do no v e r v i e w i n gc o v e r r ic h a n n e l sa n a l y s i sm e t h o d sa n dc u r r e n tr e s e a r c hb a c k g r o u n d ， t h ep a p e rh a sr e s o l v e dt h ep r o b l e mt h a tt h ew o r ko fi n f o r m a t i o nf l o wa n a l y s i si ns y s t e ms o u r c e c o d ei sa u t o m a t e d ；a n dc o m b i n i n gw i t ht h ei m p l e m e n t e ds r mm e t h o d ，p r o v i d e dt h er e s e a r c h i d e at h a ti m p l e m e n t e dac o v e r tc h a n n e li d e n t i f i c a t i o nt o o lb a s e do ns y s t e ms o u r c ec o d e f i r s t l y t h ep a p e rh a sd i s c u s s e dt h ef o r m a l i z e dd e f i n i t i o no f c o v e rc h a n n e l s e c o n d l y ，t h e p a p e rh a sp r e s e n t e dt h ed e s i g ns c h e m ef o rt h ei n f o r m a t i o nf l o wa n a l y s i st o o l a n dt h ec o v e r t c h a n n e li d e n t i f i c a t i o nt o o lb a s e do ns y s t e ms o u r c ec o d e t h i r d l y , t h ep a p e rh a sd i s c u s s e dt h e d e t a i l e dd e s i g nf o rt h ei n f o r m a t i o nf l o wa n a l y s i st o o l ：i no r d e rt oa u t o m a t i n gt h ei n f o r m a t i o n f l o wa n a l y s i s ，p r o v i d i n gab i n a r yt r e es t r u c t u r ef o rd e s c r i b i n gi n f o r m a t i o nf l o w s ，p r e s e n t i n gt h e t r e e sc o n s t r u c t i n gr u l e sa n dt h ec u t t i n ga l g o d s mw h i c hc a na s s u r ea c c u r a t ei n f o r m a t i o nf l o w s d e s i g n i n ga n di m p l e m e n t i n gt h ea l g o r i s mt h a tc a nc r e a t et h ei n f o r m a t i o nf l o wg r a p hw h i c h r e c o r d st h er e s u l to fi n f o r m a t i o nf l o wa n a l y s i s f o u r t h l y , t h ep a p e rh a sp r e s e n t e dt w oa l g o r i s m s ： o n ec a r lb eu s e dt oc o n s t r u c tt h ei n f o r m a t i o nf l o wt r e e s t h eo t h e rc a nb eu s e dt op r o v i d et h e s h a r e dr e s o u r c em a t r i xf o rc o v e r tc h a n n e li d e n t i f i c a t i o nm e t h o d ；a n db a s e do nt h a tt h ep a p e r d i s c u s s e dt h ed e t a i l e dr e s e a r c ha n di m p l e m e n t a t i o nf o rt h ec o v e r tc h a n n e li d e n t i f i c a t o i nt 0 0 1 f i n a l l y , c o m b i n i n gw i t ha na n a l y s i se x a m p l e ，t h ep a p e rh a se x p l a i n e dt h ep r a c t i c a la p p l i c a t i o no f t h ec o v e r tc h a n n e li d e n t i f y i n gt 0 0 1 t h em a i nc o n t r i b u t i o no f t h ep a p e rr e s t sw i t ht h ef o l l o w i n g ： 1 p r e s e n tam e t h o dt h a tu s e st h et r e es t r u c t u r et od e s c r i b et h ei n f o r m a t i o nf l o w si ns y s t e m s o u r c ec o d e a n dc o n s t r u c tt h et r e es t r u c t u r ew h i c hc a l lb o t hb ec o n v e n i e n tt os t o r ei n f o r m a t i o n f l o w sa n db ee a s yt oi m p l e m e n t t h et r e ec a nr e f l e c tt h ei n f o r m a t i o nf l o w si nb o t hs t a t e m e n t s a n df u n c t i o n s ，a n dc a l ls t o r et h ei n f o r m a t i o nf l o w si nv i s u a l ，a p p r e c i a t e di n f o r m a t i o nf l o wg r a p h ， w h i c hc a nb ee a s yt op r o v i d et h er e s u l to fi n f o r m a t i o nf l o wa n a l y s i sf o rc o v e r tc h a n n e l i d e n t i f i c a t i o nm e t h o d s 2 d e s i g na n di m p l e m e n tac o v e r c h a n n e li d e n t i f i c a t i o nt o o lb a s e do ns y s t e ms o n r c ec o d e ， t h et o o lh a st h es y s t e ms o u r c ec o d ea si n p u t a n dh a st h ec o v e r tc h a n n e ls e q u e n c ea so u t p u t ， w h i c hi m p l e m e n t st h ea u t o m a t i o no f c o v e r tc h a n n e li d e n t i f i c a t i o n k e yw o r d s ：i n f o r m a t i o ns e c u r i t y ；c o v e r tc h a n n e l ；i n f o r m a t i o nf l o wr u l e ；i n f o r m a t i o nf l o wt r e e ； a u t o m a t e di n f o r m a t i o nf l o wa n a l y s i st o o l ；c o v e r tc h a n n e li d e n t i f i c a t i o nt o o l i i 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定， 同意学校保留并向国家有关部门或机构送交论文的复印件和电子版， 允许论文被查阅和借阅。本人授权江苏大学可以将本学位论文的全部 内容或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫 描等复制手段保存和汇编本学位论文。 保密口，在年解密后适用本授权书。 本学位论文属于 不保密回。 学位论文作者签名： 禾冯构 签字日期：六心年月7 曰 导师签名：专撇 签字日期：巧军6 月7 日 学位论文作者毕业后去向：， 工作单位：亨k e 。匙) 磐电话：邀j7 一a 营占j 通讯地址：池谚谚尊、溉遐 邮编：毋l 加 磅勘帱岁谚1 衫 独创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进 行研究工作所取得的成果。除文中已经注明引用的内容以外，本论文 不包含任何其他个人或集体已经发表或撰写过的作品成果。对本文的 研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本人 完全意识到本声明的法律结果由本人承担。 学位论文作者签名： 、不葫掏 日期：知j 年月7 日 江苏大学硕士学位论文 第一章引言 随着社会信息化进程的加快，信息化向着信息数字化、通信计算机化、计 算机网络化、网络i n t e r n e t 化的趋势发展，信息安全问题也日益突出。所谓信 息安全，是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或信息 被非法系统辨识、控制。信息安全所面临的威胁，大体上可以分为两类：一类 是信息泄露，另一类是信息破坏。由于计算机信息系统的安全性较为脆弱，信 息只要用计算机来处理、存储和传输就会存在安全上的隐患。 保护计算机中敏感信息安全的方法主要有两种，其一是使用密码技术；其 二是采用多级安全系统。在多级安全系统中，由于不存在密钥管理、以及对用 户透明等问题，所以在军方、企业的内部网络中得到了广泛应用。 1 1隐通道问题的提出 在上世纪七十年代以前，为保证计算机系统中的信息安全性，自主存取控 制策略和强制存取控制策略在计算机多安全级系统中得到了广泛的应用。计算 机领域的专家学者们普遍认为，这两种策略的实施可以有效地保证多安全级系 统中的安全性。 然而，1 9 7 3 年，b w l a m p s o n 在一篇论文中首次指出：在一个安全系 统中，即使所有未经授权的存取都被制止，系统程序仍然能够通过两种方式来 危害系统的安全性： ( 1 ) 系统程序的功能并不能完全符合系统安全策略的要求； ( 2 ) 系统程序在运行的过程中，仍有可能以不被系统觉察的方式造成数 据信息的泄露。 这就说明实旌了自主存取控制策略和强制存取控制策略后的系统仍然存在 着安全隐患。为能消除这一系统安全隐患，计算机领域的许多专家开始致力于 此问题的研究和探讨。 经过一段时间的分析，专家们将问题归结为系统中隐通道( c o v e r t c h a n n e l ) 的存在，并得到了隐通道的工作原理：安全系统中具有较高安全级别 的主体或进程根据事先约定好的编码方式，通过更改共享资源的属性并使低安 全级别的主体或进程观察到这种变化，来传送违反系统安全策略的信息。其中， 高安全级别的主体或进程称为发送方，低安全级别的主体或进程称为接收方。 并由此得出系统中隐通道存在的最小条件”： 江苏大学硕士学位论文 ( 1 ) 发送方和接收方必须能对共享资源的同一属性进行存取； ( 2 ) 必须存在一种方法，借之高安全级发送方能够改变该共享属性 ( 3 ) 必须存在一种方法，借之低安全级的接收方能够察觉这一改变 ( 4 ) 必须保证发送方和接收方之间的遥讯以正确的顺序进行。 1 2 安全系统中的隐通道分析 隐通道在最初产生的二十年里，吸引了许多优秀的计算机科学家进行研究， 取得了一定的进展，针对特定的问题，提出了一些有效的隐通道分析方法。 本节将阐述在安全系统中进行隐通道分析的产生背景，介绍隐通道分析方 法，并给出目前这方面的国内外研究现状。 1 2 1 产生背景 自隐通道问题提出以来，各国的信息安全专家，以及计算机、数学、通讯 等方面的相关学者通过广泛地研究发现，隐通道在信息安全方面特别是信息的 机密性泄露方面具有一定的危害性。 在计算机网络的飞速发展之后，隐通道问题更加引起各国政府和军方的重 视。因为由于隐通道的存在，一台联网的计算机可能在其主人毫不知情的情况 下，就被看不见的远程用户恶意窃取了保密信息。统计表明，多数木马程序都 是利用隐通道来工作的。与暴力入侵易于被安全管理人员发现不同，因为隐通 道是在安全模型的监控之下将保密信息外泄，所以如果不借助其它手段，依靠 系统固有的安全机制是不能检测出隐通道的。 正是由于充分认识到隐通道在机密信息泄露方面的重要作用，各国及各组 织相继制定相应的评估准则，把隐通道问题列入其中。1 9 8 3 年，美国国防部在 其发布的可信计算机系统评估准则( t c s e c ) 中，最早明确地提出隐通道的问题， 并规定在b 2 级及以上的高等级可信系统设计和开发过程中，必须进行隐通道分 析。t c s e c 标准将隐通道列入评估指标之后，1 9 9 9 年i s o 把可信计算机系统评 估准则c c 2 0 正式批准为国际标准，规定e a l 5 及以上安全级的安全软件系统必 须通过隐通道分析。另外，我国的g b t 1 8 3 3 6 、欧洲的i s o i e c1 5 4 0 8 ，加拿大 的c t c p e c 等，也均把是否通过隐通道分析作为评估一个高等级安全系统的硬性 指标。 1 2 2 隐通道分析方法 目前进行隐通道分析主要按照隐通道搜索、隐通道审计和隐通道消除的步 骤进行，下面将分别加以说明。 江苏大学硕士学位论文 ( 1 ) 隐通道搜索 隐通道搜索就是要找出系统中存在的隐通道。要在安全系统中搜索出隐通 道，应该寻找同时满足隐通道存在的那四个条件。但事实上，由于同时寻找四 个条件都成立的情况，不仅工作量大、复杂性高，而且效率低下，稍有不慎即 会出现漏报的情况。所以，现存的隐通道搜索方法，一般是仅搜索四个条件中 的一个或几个。这样做一方面提高了效率，另一方面降低了方法的复杂程度， 漏报的情况也较少。但随之而来的问题是，由于没有覆盖最小条件的全部，所 以会出现误报的情况。也就是说，用现有的方法搜索到的仅仅可能是隐通道， 要最终确认，还需要辅助以人工分析。而辅助分析的方法是明确的，即搜索时 没用到哪个条件，就需要用哪个条件作迸步的检验，直到每一个候选者都被 确认或排除是隐通道为止。 根据其工作方式，可将现有的隐通道搜索方法分为以下几类： 成对搜索发送方和接收方的搜索方法 这种方法的核心思想是通过成对地搜索信息的发送方和接收方来寻找隐通 道。因为这类方法着眼于发送方和接收方，即搜索满足隐通道存在最小条件的 第( 2 ) 和第( 3 ) 两个条件。所以，用这种方法找到的候选隐通道还需要辅之 以另外两个条件的检测，才能被最终确认或排除是否为隐通道。 检查共享资源的搜索方法 这类方法的核心思想是通过寻找高安全级主体与低安全级主体的共享资源 来搜索隐通道。如果共享资源不存在，则可以说明稳通道一定不存在，否则需 要按照隐通道存在的最小条件进行分析。因此，这类方法的操作复杂性很高， 故不适用于大型安全系统的隐通道搜索，但它们却能有效地证明安全系统中不 存在隐通道。 检查信息流向的搜索方法 这类方法中，检测目标不是集中在两端的主体或中间的客体上，它检测的 是信息流动的方向。其核心思想是：任何对系统安全策略的违反，当然包含隐 通道，都将体现为对“格( l a t t i c e ) ”定义的破坏。这种方法兼顾了四个条件。 不足之处在于，它对于信息流的语义识别功能较弱。在分析过程中会产生隐蔽 流( i m p l i c i tf l o w ) 和形式流( f o r m a lf l o w ) ”1 两种缺陷。隐蔽流是指安全 系统中的一些特定数据流能避开系统安全机制的监控，从而造成信息泄漏。形 式流则是一种无法通过系统安全机制检查的安全信息流动，即尽管信息流向是 符合安全策略的，但却不能通过系统安全机制的检查，因而造成误报。 ( 2 ) 隐通道审计 江苏大学硕士学位论文 隐通道审计就是评估系统中的隐通道对系统安全的危害程度。专家们在研 究中发现，许多隐通道尽管存在，但在一定条件下，它们并不会对系统安全性 造成危害。所以，在搜索出系统中潜在的隐通道之后，就必须评估隐通道对系 统安全所构成的威胁程度。审计工作一般可采用两种度量标准：“带宽”和“小 消息标准”，其中以“带宽”作为度量隐通道危害程度的标准最为常用“。下 面分别加以说明： 带宽 带宽是指信息通过信道传送的速率，在给定时间通过信道可以传送的信息 量，通常以b p s 为单位。这个标准比较适用于较长时间内大量数据泄漏的情况。 在实际实用中，怎样处理隐通道在很大程度上取决于隐通道的带宽。带宽越高， 单位时间内泄露的信息量就越多，对系统的安全性威胁就越大。在t c s e c 标准 中规定，带宽在l b i t s 及其以下的隐通道无需任何处理，带宽在l o o b i t s s 及 以上的隐通道必须作消除处理。而带宽介于两者之间的隐通道，将依据审计的 结论而定。 小消息标准 由于通道容量是一个渐近的定义，适用于一段较长时间内发送一个很大文 件的情况。当待传送的信息比较短时，为了得到可以容忍的传送度量，k a n ga n d m o s k o w i t z 提出了“小消息标准”“1 。 小消息标准( s m c ) 依赖于一个三元组( n ，t ，r ) ，其中，n 表示信息的长度， t 是传送所需的时间，r 是指信息的保真度，即，是否存在一个阈值，使得在该 阈值之内这个降级的少量信息对系统安全不构成威胁。当系统中存在隐通道时， 通过s m c 可以给出一个可以容忍的隐式泄漏的标准。在对整个系统安全进行分 析时，小消息标准必须与容量结合在一起使用。 ( 3 ) 隐通道消除 隐通道消除就是采取一定的措施消除系统中隐通道构成的安全威胁。消除 工作是依据审计结果进行的。从理论上讲，如果能打破形成某一隐通道的必要 条件，那么就可消除这一隐通道。但这种做法在实践中存在诸多困难。因为隐 通道的消除工作，首先必须保证系统正确的运行，其次不能导致系统性能的显 著下降。 总的说来，对隐通道的处理方式有以下几种”。”，每种方式对系统有不同的 要求，具有不同的实用性和消除效果。 彻底消除隐通道 彻底消除隐通道需要改变系统的设计或实施，这些改变包括： 4 江苏大学硕士学位论文 通过预先给所有参与者分配所需资源的最大数量，或者以每个安全级为 基础分隔资源，来消除任何潜在的隐通道参与者之间的资源共享。 消除任何潜在的会导致隐通道的接口、特征和机制。 这个途径在理论上可以保证系统中完全不存在隐通道的威胁，但是实际实 施时，如果完全取消不同级别间的资源共享，代价非常昂贵，会显著降低系统 性能和资源利用率。因此，在实际应用中不能完全采用这类方法。大多在一个 时间段内采用这种方法，在系统状态进行转换时需要重新分配或分隔资源，此 时允许隐通道存在。 限制带宽 这种方式是基于限制带宽的策略提出的，其目的是降低隐通道的最大带宽， 将带宽降低到预先确定的系统可接受的限度内。一般从以下两个途径限制带宽： 引入噪声； 在每个t c b 原语中引入延迟。 在实际应用中，采用第一种途径的技术比较多。例如，对于像共享表、磁 盘空间、进程标识的索引等共享资源使用随机分配算法；引入外来程序从而以 一种随机的模式修改隐通道变量。 第二种途径，向t c b 原语中引入有意的延迟只用于限制资源耗尽通道的带 宽。因为用一种特定的方式在这些通道中设置延迟，在通道不被使用时不会降 低系统性能。资源耗尽通道利用资源耗尽异常( 或错误) 返回信息来传送o 或 1 。通过在异常返回途径上设置延迟，可以与通道用户所用的编码中0 或l 的频 率成比例地降低隐通道带宽。在t c b 操作的通常模式中不会降低性能，因为通 常情况下资源耗尽异常很少( 除非通道被利用) 。 审计隐通道的使用 这类方法假定审计机制能明确检测到系统中隐通道被使用的过程，因此可 以确保检测到任何非授权使用隐通道的用户。在t c s e c 中只要求提供隐通道审 计的能力，而不是隐通道被实际审计。因此，隐通道审计实际上只是个威慑的 手段。 进行隐通道审计需要在审计追踪中记录足够的数据以便标识以下内容： 单个隐通道的使用，或某些类型隐通道的使用： 单个隐通道或某类隐通道的发送者和接收者。 这类方法的困难之处在于，对于无害用户的行为和实际的隐通道使用能否 进行明确区分，还要能够检测到所有此类隐通道的使用情况。审计的关键之处 在于确定哪个特定事件要被审计机制监控和记录，以确保所有隐通道的使用都 江苏大学硕士学位论文 被监测。 1 2 3 国内外研究现状 从隐通道问题提出到现在的三十几年里，国际上的信息安全专家进行了广 泛的研究，各类系统中的隐通道问题不断被发掘并加以分析，隐通道概念的内 涵也逐步清晰，分清了它和泄露信道( 1 e a k a g ec h a n n e l ) 的区别。 迄今为止，各国专家提出的隐通道的定义有十多种。其中，c ，一r t s a i 给 出的定义明确地提出了隐通道是依赖于系统中非自主存取控制策略的实现的， 具体定义为：给定一个非自主( 如强制) 安全策略模型m 和其在一操作系统中 的具体实现i ( m ) ，i ( s h ) 和i ( s i ) 是i ( m ) 上的两个主体，当且仅当s h 和s i 之间的通信在m 中是违法的，i ( s h ) 和i ( s i ) 之间潜在的通信就是隐 通道。此定义阐明了隐通道是通过违反系统安全策略的方式允许用户进程传递 信息的通信信道。然而，目前隐通道的定义均停留在自然语言的描述阶段，并 且这些描述性定义都是从各自的侧面去认识隐通道的嘲，至今仍没有人给出隐 通道的形式化定义。 另外，搜索隐通道始终是国际上的研究热点。目前，隐通道的搜索工作或 是基于系统的顶级描述进行，或是基于系统源代码进行，影响较大的隐通道搜 索方法主要有：信息流分析法。，共享资源矩阵法“，隐蔽流树法“”，无干扰 分析法“”和源代码分析法“”等等。大部分搜索方法都既可以基于系统顶级描述， 又可以基于系统源代码进行隐通道分析，但不能同时基于两者搜索系统中的隐 通道。 在隐通道消除方面，由于隐通道本身问题的特殊性，不可能找到一种普遍 适用的消除隐通道的方法，只能根据隐通道出现的特征、隐通道的产生机理和 具体特点，采取相应的消除措施。因此，针对各类情况的消除隐通道的方法不 断被提出。目前国际上已有的隐通道消除方法主要有：操作隔离法“、混沌时 间法“”、泵协议法“7 1 等。 由于西方国家对中国是禁止出售b 2 及以上级别的安全软件产品的，我国 必须自主地对隐通道问题进行研究，已经列入8 6 3 计划。目前，国内关于隐通 道的研究已处于起步阶段，已经有开发出隐通道搜索算法的报道“”。 1 3 研究背景及意义 搜索出系统中存在的隐通道是进行审计和消除工作的前提和基础，隐通道 搜索方法作用的优良与否将直接影响到消除效果的好坏。因此，从提出隐通道 6 江苏太学硕士学位论文 被监测。 1 2 3 国内外研究现状 从隐通道问题提出到现在的三十几年里，国际上的信息安全专家进行了广 泛的研究各类系统中的隐通道问题不断被发掘并加以分析，隐通道概念的内 涵也逐步清晰，分清了它和泄露信道( 1 e a k a g ec h a n n e l ) 的区别。 迄今为止，各国专家提出的隐通道的定义有十多种。其中，c 一r t s a i 给 出的定义明确地提出了隐通道是依赖于系统中非自主存取控制策略的实现的， 具体定义为：给定一个非自主( 如强制) 安全策略模型m 和其在一操作系统中 的具体实现i ( m ) ，i ( s h ) 和i ( s i ) 是i ( m ) 上的两个主体，当且仅当s h 和s i 之间的通信在m 中是违法的，i ( s h ) 和i ( s i ) 之间潜在的通信就是隐 通道。此定义阐明了隐通道是通过违反系统安全策略的方式允许用户进程传递 信息的通信信道。然而，目前隐通道的定义均停留在自然语言的描述阶段，并 且这些描述性定义都是从各自的侧面去认识隐通道的”，至今仍没有人给出隐 通道的形式化定义。 另外，搜索隐通道始终是国际上的研究热点。目前，隐通道的搜索工作或 是基于系统的顶级描述进行，或是基于系统源代码进行，影响较大的隐通道搜 索方法主要有t 信息流分析法“。，共享资源矩阵法1 ，隐蔽流树法1 。无干扰 分析法“”和源代码分析法“等等。大部分搜索方法都既可以基于系统顶级描述， 叉可以基于系统源代码进行隐通道分析，但不能同时基于两者搜索系统中的隐 通道。 在隐通道消除方面，由于隐通道本身问题的特殊性，不可能找到一神普遍 适用的消除隐通道的方法，只能根据隐通道出现的特征、隐通道的产生机理和 具体特点采取相应的消除措施。因此，针对各类情况的消除隐通道的方法不 断被提出。目前国际上已有的隐通道消除方法主要有：操作隔离法“、混沌时 间法“、泵协议法“7 1 等。 由于西方国家对中国是禁止出售b 2 及以上级别的安全软件产品的，我国 必须自主地对隐通道问题进行研究，已经列入8 6 3 计划。目前，国内关于隐通 道的研究已处于起步阶段，已经有开发出隐通道搜索算法的报道“”。 1 3 研究背景及意义 搜索出系统中存在的隐通道是进行审计和消除工作的前提和基础，隐通道 搜索方法作用的优良与否将直接影响到消除效果的好坏。因此，趴提出隐通道 搜索方法作用的优良与否将直接影响到消除效果的好坏。因此，从提出隐通道 6 江苏大学硕士学位论文 被监测。 1 2 3 国内外研究现状 从隐通道问题提出到现在的三十几年里，国际上的信息安全专家进行了广 泛的研究，各类系统中的隐通道问题不断被发掘并加以分析，隐通道概念的内 涵也逐步清晰，分清了它和泄露信道( 1 e a k a g ec h a n n e l ) 的区别。 迄今为止，各国专家提出的隐通道的定义有十多种。其中，c ，一r t s a i 给 出的定义明确地提出了隐通道是依赖于系统中非自主存取控制策略的实现的， 具体定义为：给定一个非自主( 如强制) 安全策略模型m 和其在一操作系统中 的具体实现i ( m ) ，i ( s h ) 和i ( s i ) 是i ( m ) 上的两个主体，当且仅当s h 和s i 之间的通信在m 中是违法的，i ( s h ) 和i ( s i ) 之间潜在的通信就是隐 通道。此定义阐明了隐通道是通过违反系统安全策略的方式允许用户进程传递 信息的通信信道。然而，目前隐通道的定义均停留在自然语言的描述阶段，并 且这些描述性定义都是从各自的侧面去认识隐通道的嘲，至今仍没有人给出隐 通道的形式化定义。 另外，搜索隐通道始终是国际上的研究热点。目前，隐通道的搜索工作或 是基于系统的顶级描述进行，或是基于系统源代码进行，影响较大的隐通道搜 索方法主要有：信息流分析法。，共享资源矩阵法“，隐蔽流树法“”，无干扰 分析法“”和源代码分析法“”等等。大部分搜索方法都既可以基于系统顶级描述， 又可以基于系统源代码进行隐通道分析，但不能同时基于两者搜索系统中的隐 通道。 在隐通道消除方面，由于隐通道本身问题的特殊性，不可能找到一种普遍 适用的消除隐通道的方法，只能根据隐通道出现的特征、隐通道的产生机理和 具体特点，采取相应的消除措施。因此，针对各类情况的消除隐通道的方法不 断被提出。目前国际上已有的隐通道消除方法主要有：操作隔离法“、混沌时 间法“”、泵协议法“7 1 等。 由于西方国家对中国是禁止出售b 2 及以上级别的安全软件产品的，我国 必须自主地对隐通道问题进行研究，已经列入8 6 3 计划。目前，国内关于隐通 道的研究已处于起步阶段，已经有开发出隐通道搜索算法的报道“”。 1 3 研究背景及意义 搜索出系统中存在的隐通道是进行审计和消除工作的前提和基础，隐通道 搜索方法作用的优良与否将直接影响到消除效果的好坏。因此，从提出隐通道 6 江苏大学硕士学位论文 问题开始，隐通道的搜索方法就为专家们所关注。 为简化工作量、得到较高的工作效率，目前主要是基于系统顶级描述进行 系统中的隐通道搜索工作。因为与系统源代码相比较，系统顶级描述简单易懂， 对分析人员的要求相对较低，从而省去很多繁琐的工作。然而，尽管这样可以 得到较高的工作效率，但由于系统项级描述并没有真实地体现系统实现的细节， 所以精度并不高，会出现漏报和错报的情况。 直接针对系统源代码进行隐通道搜索的方法，由于源代码复杂难懂，且需要 辅之以手工操作分析源代码中的信息流，对分析人员的要求就相当高，显然对于 较大规模的t c b 来说，效率会很低，使用这类分析法不大可行，并且很容易出错。 但是，基于系统源代码进行隐通道搜索却具备一些让人难以弃之不用的优点：1 ) 有助于发现核心代码中的所有潜在隐通道，因此可检测强制存取控制策略是否被 正确实施；2 ) 有助于避免发现错误的流冲突以及对他们所作的不必要的分析：3 ) 有助于标识审计代码和用于处理隐通道的时间延迟变量的核心位置。 正是因为这些原因，有时即使牺牲工作效率，但为了得出精确的搜索结果， 仍然需要基于系统源代码的方法来完成系统中隐通道的搜索工作。 目前已提出的隐通道搜索方法中，共享资源矩阵法等些搜索方法较为常 用。并且，在本文研究之前，课题组成员在进行隐通道问题的研究过程中，已 经作为硕士论文将共享资源矩阵搜索方法加以实现并应用，效果良好；然而在 用其进行隐通道分析之前，仍需辅之以大量的人工分析信息流的工作“”3 。为 此，本文立足于研究系统源代码中用于隐通道搜索的信息流的自动分析工具， 并将其与前面取得的研究成果相结合，将人们从手工分析信息流的繁重工作中 解放出来，以得到高效高精度的隐通道搜索工具。 1 4 研究内容与论文组织 本论文的研究是基于课题组成员已经实现并应用的共享资源矩阵隐通道搜 索方法，该方法的实现既可以基于系统顶级描述，也可以基于系统源代码进行 隐通道搜索工作，但在利用其进行隐通道分析之前，仍需手工完成系统中的信 息流分析工作。在些基础上，本论文的研究目标是设计并实现一个基于系统源 代码的信息流自动分析工具，并与课题组成员的研究成果相结合，实现一个基 于系统源代码进行隐通道分析的自动搜索工具。 本论文的主要工作分为以下几个方面： ( 1 )针对高级语言中各类语句的语法和语义，基于已提出的较为简单的 语句信息流规则，总结并归纳出能够产生信息流动的语句，并按其信息流动的 7 江苏大学硕士学位论文 特点，将语句分类，给出每一类语句不同语句形式下的信息流规则。 ( 2 ) 根据扩充的语句信息流规则，提出一种可以用来存放语句中信息流 信息的二叉树结构，利用此结构，通过剪枝、遍历树等操作来完成系统源代码 中语句及函数中的信息流分析工作。 ( 3 ) 基于提出的树结构，以及高级语言编译系统中的词法分析程序，设 计并实现一个可以自动扫描系统源代码进行信息流分析的工具。 ( 4 ) 利用开发的信息流自动分析工具，提供用于隐通道搜索的信息流分 析结果，作为课题组成员已实现的隐通道搜索方法的输入，实现一个基于系统 源代码的隐通道搜索工具。 ( 5 )利用已实现的工具，以一个小型操作系统的实时多任务功能模块为 待分析的系统源代码，分析其中可能存在的隐通道。 论文组织如下： 第一章概述隐通道问题的产生背景及研究现状，综述隐通道的分析方法， 明确本文的研究意义和内容。 第二章给出隐通道的形式化定义，简述可信系统的相关要素，分析隐通道 的工作机理，并给出一个隐通道实例。 第三章介绍基于系统源代码搜索隐通道方法所依据的思想，给出进行信息 流分析的自动工具的设计方案，以及依据信息流分析工具进行隐通道分析的自 动搜索工具的设计方案。 第四章分析高级语言中语句的特点，分类给出其不同语句形式下的信息流 规则，依据这些规则，构造用来描述语句信息流的语句树段，以及由语句树段 构造函数信息流树的规则，并给出信息流树的结构定义。 第五章分析信息流树中所包含的错误和无意义的信息流，并给出其产生的 原因，在些基础上，提出对信息流树进行剪枝操作，给出剪枝算法描述。 第六章简述将信息流树转化为信息流向图的必要性，给出信息流向图的数 据结构定义，并设计实现由信息流树生成信息流向图的算法。 第七章阐述隐通道搜索工具的工作流程，简介用于扫描系统源代码的词法 分析程序的工作原理，设计并实现该工具中的信息流树构造、确定函数依赖集、 共享资源矩阵生成算法。 第八章结合一个系统源代码实例，说明本文所设计并实现的基于系统源代 码的隐通道搜索工具的实际应用情况，并对搜索结果进行分析。 第九章对本文作总结，并给出下一步工作的展望。 8 江苏大学硕士学位论文 第二章隐通道的形式化定义 随着互联网的发展，信息安全正在逐步受到各界的重视，为保证一个系统 中的安全性，包括美国国防部的t c s e c 准则在内的各种可信系统及信息安全技 术评估标准相继提出，都对一个可信系统的等级进行了划分。 2 1 可信系统的相关要素 根据t c s e c 等标准可将一个可信计算机系统分成若干个有序的安全等级l 。， l ：，l 。，其中l l ( l i t i ，l i n 。对每一级的可信系统用自然语言确定了一 组安全约束条件。“。 2 1 1 安全策略 用自然语言对某一给定的可信系统所描述的安全约束条件的集合称为该系 统的安全策略，记作 。 每一安全策略对应着一个安全约束条件的集合：x ( l i ) = 。 这里l 表示系统的安全等级，p 表示安全约束条件。 公理1 当两个不同等级的可信系统满足厶 一 一 一一一 d i s e r e t i o n a r ya c c e s sc o n t r o l 0o一一毋一 o b j e c tr e u s e o一一一一 安 l a b e l s 0o 一一 全 l a b e l si n t e g r i t y 0 一一一 策 e x p o r t a t i o no fl a b e l e di n f o r m a t i o n o 一一一 略l a b e li n gh u m a n r e a d a b l eo u t p u t o 一一一 m a n d a t o r ya c c e s sc o n t r o l 0o 一 一 s u b j e c ts e n s i t i v i t yl a b e l s 亩 一一 d e v i c el a b e l s o一一 可i d e n t i f i c a t i o na n da u t h e n t i c a t i o n ooo 一一一 计 a u d i t oo田0一 算 t r u s t e dp a t hoo一 性 s y s t e ma r c h it e c t u r e 0ooo毋 一 s y s t e m i n t e g r i t y o 一一一一一 s e c u t i t yt e s t i n g 毋毋oooo d e s i g ns p e c i f i c a t i o na n d 0ooo 保 v e r i f i c a ti o n 证c o v e r tc h a n n e la n a l y s i s 毋oo t r u s t e df a c i l i t ym a n a g e m e n t o 0一 c o n f i g u r a ti o nm a n a g e m e n t 0 一 毋 t r u s t e dr e c o v e r y o一 t r u s t e dd is t r i b u t i o n o s e c u r i t yf e a t u r e su s e r sg u i d e o 一 一 一一 一 文t r u s t e df a c i l i t ym a n u a l oo0击。一 档t e s td o c u m e n t a t i o n o 一 一o一o d e s i g nd o c u m e n t a t i o n o 一 国0oo 注：表中各图标符号代表的意义为：对表中每一安全约束条件“一”表示“不作要求”；“一) ”表示“同 前一安全级别”；“o ”表示“比前一安全级别增加”。 l o 江苏大学硕士学位论文 2 1 2 安全模型 在开发可信系统过程中，必须使用某些程序与算法对安全策略 进行表达 与实现，而所使用的这些程序与算法就称为该可信系统的安全模型m 。 用一个安全模型来表达某个安全策略，由于受到系统实现人员的编程技术、 所使用算法的优劣等因素的影响，通常m 只能做到对 的部分实现。若用q 函 数代表模型所能覆盖的最大空间，则q ( 九) 指一安全策略 所确定的安全空 间，o ( m ) 指实现某一可信系统时，所使用的安全模型m 所能覆盖的安全空间。 一般情况下，q ( m ) q ( ) 。显然，只有一个理想化的安全模型m 才能对安全 策略 达到完全实现q (