（计算机应用技术专业论文）数据库系统隐蔽通道的分析与研究.pdf

摘要 摘要 信息安全是近几年来迅速发展的学科，它融合了网络，系统结构，数据库等 多个领域的理论和技术。因其涉及的领域广泛，并且现实意义重大，信息安全已 经成为研究人员和商业组织比较关注的领域之一。数据库安全问题是当前信息安 全比较重要的研究热点之一，来自各种数据库的安全问题对数据库安全的研究提 出了新的挑战，也为数据库安全问题拓展了新的研究平台。数据库系统隐蔽通道 的分析与研究是一个新的研究方向，集成了多领域的很多研究成果。随着网络的 迅速发展，数据库安全问题日益严重，隐蔽通道在实现了强制存取控制之后成为 另一大安全隐患威胁着数据库的安全，因此希望找到一种准确有效的隐蔽通道分 析的方法，这也就为隐蔽通道分析方法的研究提供了机遇。 针对上述需求，本文对数据库系统的隐蔽通道进行了分析和研究。首先，对 数据库安全进行了综述，介绍了数据库安全的基本概念及评估标准，引出了隐蔽 通道分析的必要性，接下来介绍了隐蔽通道的概念、分类、工作原理及分析要求， 从而对隐蔽通道进行了系统的概述。通过总结当前流行的隐蔽通道标识方法，分 析了每一种方法的优缺点，得出结论，目前尚无理论上健壮、实用上行之有效的 隐蔽通道标识方法，所以得出提出一种新的隐蔽通道标识方法的必要性。介绍完 隐蔽通道标识的方法，介绍了影响隐蔽通道带宽的因素及带宽的计算方法。提出 了本文研究的主要内容即改进的隐蔽通道标识方法、消除隐蔽通道的新方法和隐 蔽通道分析方法的验证模型。 综上所述，本文首先提出了一种标识隐蔽通道的方法，大大提高了构造共享 资源矩阵的效率和减小了错误率；其次提出了两类适用于不同的处理隐蔽通道的 方法，为处理隐蔽通道创造了多条途径；最后论述了一种能够适应不同分析方法 的验证措施，来论述不同分析方法有效性。 本论文在隐蔽通道的标识一章中，虽然提出的方法在标识隐蔽通道方面有了 一些改善，但是仍然没有把标识隐蔽通道做成为一个系统；隐蔽通道分析验证的 理论模型希望能够构造出验证分析方法的具体模型软件，这也将是本文继续研究 的难点；要达到高安全等级的数据库系统还要进行数据库安全的形式化分析，这 也将是以后研究的难点与重点。 关键词隐蔽通道；隐蔽通道的标识；隐蔽通道的处理；信息安全 a b s t r a c t a b s t r a c t i n f o r m a t i o ns e c u r i t y ( i s ) i saf a s td e v e l o p i n gr e s e a r c ha r e ai nt h el a s td e c a d e i ti n t e g r a t e st h e o r i e sa n dt e c h n o l o g i e sf r o mn e t w o r k ，s y s t e ma r c h i t e c t u r e ，a n d d a t a b a s e f o ri ti sac r o s s f i e l d ss u b je c ta n dc a nb eu s e dw i d e l y , i sh a sb e c o m e o n eo ft h em o s ta c t i v er e s e a r c ha r e a sf o rr e s e a r c h e r sa n db u s i n e s so r g a n i z a t i o n r e c e n t l yd a t a b a s es e c u r i t yi s s u e s ( d s i ) i saf o c u so fi s i s s u e sc o m ef r o ma l l k i n d so fd a t a b a s e sb r i n gb i gc h a l l e n g e sa n dn e wr e s e a r c hp l a t f o r mf o ri s d a t a b a s es y s t e mc o v e r tc h a n n e l ( d s c c ) i san e wr e s e a r c hd i r e c t i o nw h i c h i n t e g r a t e sr e s e a r c hp r o d u c t i o no fs om a n yf i e l d s w i t ht h er a p i dg r o w t ho ft h e w o r l dw i d ew e b ，d s ii sm o r ea n dm o r es e r i o u sa n dc o v e r tc h a n n e lw h i c h r e a l i z e st h em e t h o do fm a n d a t o r ya c c e s sc o n t r o lb e c o m e sa n o t h e rs e c u r i t y h i d d e nt r o u b l et h a ti sa b l et ot h r e a td a t a b a s es e c u r i t y s op e o p l en e e dam e t h o dt o h e l pt h e mf i n d i n gu s e f u ld s c ca n a l y z em e t h o d ，w h i c hb r i n g sb i gd e m a n d sf o r d s c c a n a l y z e t os a t i s f ys u c hr e q u i r e m e n t ，t h i st h e s i sh a sd o n er e s e a r c hw o r ko nc o v e r t c h a n n e lo fd a t a b a s e f i r s t ，i n t r o d u c et h ec o n c e p ta n ds t a n d a r do fd a t a b a s e s e c u r i t y , e d u c et h a ta n a l y z et h ec o v e r tc h a n n e li sn e c e s s a r y ，t h en e x ti n t r o d u c e t h ec o n c e p t ，s o r t ，e l e m e n t sa n da n a l y t i cr e q u e s t ，m a k eas y s t e m i ci n t r o d u c t i o n f o rc o v e r t c h a n n e l t h r o u g hs u mu p s e v e r a l r e p r e s e n t a t i o n a l m e a n so f i d e n t i f y i n gc o v e r tc h a n n e la n da n a l y z et h ea d v a n t a g ea n dd i s a d v a n t a g eo fe v e r y m e a n s ，w ek n o wd o n th a v ee f f e c t i v ea n a l y z em e a n st ot h ec o v e r tc h a n n e l ，s oi t i s n e c e s s a r y t oi n v e h tan e wm e a n st o i d e n t i f yt h ec o v e r tc h a n n e l a f t e r i n t r o d u c i n gt h em e a n st oi d e n t i f yt h ec o v e r tc h a n n e l ，i n t r o d u c et h ef a c t o r st o i n f l u e n c eb a n d w i d t ho ft h ec o v e r tc h a n n e la n dc a l c u l a t ef o r m u l a a p p l yt h em a i n i n v e s t i g a t i v ec o n t e n to ft h i sp a p e r , i n v e n tt h ei m p r o v e ds r m ，t h en e wm e a n so f d e a l i n gw i t hc o v e r tc h a n n e la n dau n i f o r mm o d e lt ov a l i d a t et h em e a n so f a n a l y z i n gc o v e r tc h a n n e la n de v a l u a t ed i f f e r e n tm e a n so fa n a l y z i n gc o v e r t c h a n n e l t h i sp a p e ri n v e n t sam e a n so fi d e n t i f y i n gt h ec o v e r tc h a n n e l ，a d v a n c et h e e f f i c i e n c yo fc o n s t r u c ts h a r er e s o u r c em a t r i xa n dr e d u c et h ee r r o r , t h es e c o n d a p p l yt w ok i n d so fm e a n st oe l i m i n a t et h ec o v e r tc h a n n e la n dc r e a t em a n yk i n g s o fr o u t e ，t h el a s t ，d i s c u s sak i n do fm e a n st ov a l i d a t et h em e a n st oa n a l y z et h e v a l i d i t yo fi t a l t h o u g ht h i sp a p e rm a k e ss o m em e l i o r a t i o ni ni d e n t i f y i n gt h ec o v e r t 1 1 i 北京工业人学工学硕一 j 学位论文 c h a n n e l ，b u td o n ti n v e n tas y s t e mt oi d e n t i f yt h ec o v e r tc h a n n e la n dd o n t i n v e n tas y s t e mf o r m e rt ov a l i d a t et h em e a n so fa n a l y z i n gt h ec o v e r tc h a n n e l ， t h e s ew i l lb et h ee m p h a s e so fc o n t i n u i n gr e s e a r c h ，a n di no r d e rt oa c h i e v et h e s u p e m a ll e v e lo fs e c u r i t y , d a t a b a s es y s t e mn e e da n a l y z et h e f o r m a l i z a t i o no f d a t a b a s es e c u r i t y , t h i sw i l lb et h ed i f f i c u l t yo fa f t e r t i m e k e y w o r d sc o v e r tc h a n n e l ；i d e n t i f yc o v e r tc h a n n e l ；d e a lw i t hc o v e r tc h a n n e l ； i n f o r m a t i o ns e c u r i t y 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他 人已经发表或撰写过的研究成果，也不包含为获得北京工业大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 己在论文中作了明确的说明并表示了谢意。 签名：麓酶：日期：三燮：丝也 关于论文使用授权的说明 本人完全了解北京工业大学有关保留、使用学位论文的规定，即：学校有权 保留送交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部或部 分内容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 第1 章绪论 第1 章绪论 1 1 课题研究的目的和意义 随着信息化的迅速发展、数据库的广泛应用，安全问题逐渐引起社会的高度 重视，但人们关注的一般只是操作系统和网络的安全而忽略了数据库的安全，认 为安全的操作系统和网络即可保证计算机中数据的安全，然而所有现代关系型数 据库系统只要有合适的查询工具，都能轻易的避开操作系统的安全机制和数据库 直接相连。所以说我们在关注计算机及网络安全的同时也要重视数据库安全的研 究。 美国国防部( d o d ) 1 9 8 5 年所颁布的“可信计算机系统评估标准”( t r u s t e d c o m p u t e rs y s t e me v a l u a t i o nc r i t e r i a ) 简称t c s e c 1 1 ，在此标准中将数据安全【2 j 划 分为四组七级【3 】( d 、c 1 、c 2 、b 1 、b 2 、b 3 、a ) ，具体标准如下： ( 1 ) d 级标准：为无安全保护的系统 ( 2 ) c 1 级标准：满足该级别的系统必须具有如下功能：主体、客体及主、 客分离；身份标识与鉴别；数据完整性；自主访问控制1 4 j ( 3 ) c 2 级标准：满足该级别的系统必须具有如下功能：满足c 1 级标准的 全部功能；审计 ( 4 ) b 1 级标准：满足该级别的系统必须具有如下功能：满足c 2 级标准全 部功能；强制存取控制【5 】 ( 5 ) b 2 级标准：满足该级别的系统必须具有如下功能：满足b 1 级标准全 部功能；隐蔽通道；数据库安全的形式化【6 j ( 6 ) b 3 级标准：满足该级别的系统必须具有如下功能：满足b 2 级标准的 全部功能；访问监控器 ( 7 ) a 级标准：满足该级别的系统必须具有如下功能：满足b 3 级标准的 全部功能；较高的形式化要求 这个标准主要应用在操作系统的评估上。“可信计算机系统评估标准在数据 库管理系统的解释”t d i 将t c s e c 扩展到数据库管理系统，一个数据库系统凡 符合b l 级标准者称为安全数据库系统或可信数据库系统，满足b 2 级标准以上 的系统称为高可靠性系统【7 j 。 一直以来欧美国家在高端技术上对我国实行禁运，在数据库管理系统方面， 安全级别限制在b 1 级以下，目前我国市场上的o r a c l e ，s y b a s e ，d b 2 等d b m s 只提供身份鉴别，自主存取控制，数据完整性和审计等安全性保护功能，其安全 级别只达到b 1 级【8 】，远远不能满足众多大中型企业及政务商务网站对数据库安 北京t 业大学j f 学硕士学位论文 全的需要，因此必须提升我国现有关系d b m s 的安全性能至b 2 甚至b 3 级，以 满足我国计算机信息系统对数据库安全的需要。在t c s e c 中规定凡满足b 2 级 标准的d b m s 要在b 1 级标准的基础上进行隐蔽通道的分析【9 】和数据库安全的形 式化分析【1 0 】。 由此可见，隐蔽通道的分析与研究是提升我国数据库系统安全级别的关键所 在，本文就是针对数据库系统隐蔽通道的研究展开的。 1 2 隐蔽通道简介 1 2 1 隐蔽通道的概念 隐蔽通道是在计算机中实施了自主存取控制和强制存取控制之后，计算机中 仍然存在着安全隐患，其中隐蔽通道的存在是安全计算机系统所面临的一个重要 威胁l l 。在分析一个系统的保密性时，一般需要考虑两类不同的通信通道：一类 可以被称为显式通道，显式通道通过使用被系统保护的数据对象资源( 如内存、 文件、输入输出设备) 来传递信息，即一个主体( 用户、进程等) 向此数据对象 写入信息，另一个主体从此数据对象中读取。操作系统可以通过访问控制策略来 控制显式通道上的信息传递。 另一类通道被称为隐蔽通道，与显式通道不同，隐蔽通道通过一些非数据对 象资源( 如设备繁忙标志、资源不足标志、文件锁、操作所需时间等等) 来传递 信息。隐蔽通道用来传递信息的这些载体，一般都不被认为是数据对象资源，访 问控制策略不会对其进行控制。所以就需要安全操作系统在访问控制之外，对隐 蔽通道进行特殊的处理，以保证系统的保密性符合要求。 t c s e c 中，将隐蔽通道定义为：“隐蔽通道是允许进程以违反系统安全策略 的方式传递信息的通道” 1 2 1 。通常情况下主体对客体的访问均通过正常路径，可 能使用t c b 在访问路径中作检查，但是，实际上在应用中往往存在着多种非正 常访问路径，它们构成了非法访问渠道，这种渠道往往比较隐蔽从而逃过了t c b 的检查【l3 i ，它们称为隐蔽通道。 1 2 2 隐蔽通道的分类 隐蔽通道有多种不同的分类方法，例如把隐蔽通道分为隐蔽存储通道和隐蔽 定时通道，有噪隐蔽通道和无噪隐蔽通道，聚合隐蔽通道和非聚合隐蔽通道等等 1 4 】 o 隐蔽通道最常用的分类是分成隐蔽存储通道和隐蔽定时通道。大多数安全评 第1 章绪论 价标准都采用了这类分类方法。当然，有时隐蔽存储通道和隐蔽定时通道之间的 分类界限并不是很明显，一个隐蔽存储通道可能从另一个角度看可能更像是一个 隐蔽定时通道，还有些隐蔽通道本身就是两者的混合体。 隐蔽存储通道定义为：如果使用这种通道涉及到一个进程直接或者间接写入 一个存储位置，而另一个进程直接或间接读这个存储位置。k e m m e r e r 给出的隐 蔽存储通道存在的必要条件1 1 5 j ： ( 1 ) 发送进程与接收进程都具有访问一个共享资源的统一属性的权限 ( 2 ) 发送进程可以修改一个共享资源的属性 ( 3 ) 接收进程可以检测该共享资源的改变 ( 4 ) 存在某种机制，能够启动发送进程与接收进程之间的通信，并正确调 节通信时间的顺序 隐蔽定时通道定义为：如果发送信号方式是一个进程调节自己对系统资源 ( 比如c p u ) 的使用、从而影向另外一个进程观察到的真实系统响应时。 k e m m e r e r 也给出的隐蔽定时通道存在的必要条件： ( 1 ) 发送进程与接收进程都具有访问一个共享资源的统一属性的权限 ( 2 ) 发送进程与接收进程都具有访问一个参考时钟，例如实时时钟的权限 ( 3 ) 发送进程能够调节接收进程检测共享资源属性变化所需的响应时间 ( 4 ) 存在某种机制，能够启动发送进程与接收进程之间的通信，并正确调 节通信事件的顺序 1 2 3 隐蔽通道的工作原理 专家们归纳出隐蔽通道的工作原理【1 6 】：安全系统中具有较高安全级别的主体 或进程根据事先约定好的编码方式，通过更改共享资源的属性并使低安全级别的 主体或进程观察到这种变化，来传递违反系统安全策略的信息。其中高安全级别 的主体或进程称为发送方，低安全级别的主体或进程称为接收方1 7 】。 1 2 4 隐蔽通道分析的要求 各个信息系统的安全评估标准中，一般都只在较高的安全等级中提出对隐蔽 通道分析的要求。其中，结构化保护级对隐蔽通道分析的要求是【l8 j ：系统开发者 应彻底搜索存储隐蔽通道，并根据实际计算或估算确定每一个被标识信道的最大 带宽。 访问验证保护级对隐蔽通道分析的要求是：系统开发者应彻底搜索隐蔽通 道，并根据实际测量或工程估算确定每一个被标识信道的最大带宽。计算机信息 系统可信计算基能够审计利用隐蔽通道时可能被使用的事件。 北京工、i k 大学工学硕+ l 学位论文 可以看出，两者的区别是结构化保护级只要求搜索隐蔽存储通道，而访问验 证保护级还要求搜索隐蔽定时通道。隐蔽通道分析的一般目标是【l 州： ( 1 ) 标识出隐蔽通道 ( 2 ) 通过计算隐蔽通道的带宽确定隐蔽通道的危害程度 ( 3 ) 根据一个事先定义的符合安全评估标准的策略，对隐蔽通道进行处理 1 3 国内外研究现状 1 3 。1 隐蔽通道的标识 彻底搜索隐蔽通道，即隐蔽通道标识的工作是隐蔽通道分析中最为困难的一 环。其困难性体现在理论和工程实践两个方面【2 0 】：一是理论上仍然不够成熟，缺 乏严谨且行之有效的方法；二是实际中工作量庞大，手工分析容易出错，缺乏行 之有效的自动工具。 、目前，主流的隐蔽通道标识方法共有3 种：信息流分析法；共享资源矩阵法 和无干扰分析法【2 l 】。下面将分别对这几种方法进行介绍。 ( 1 ) 信息流分析法 主要优点： 适合于源代码级的形式化分析，可以发现所有潜在的隐蔽通道，并确定 强制安全规则是否正确地实现。 、 可以发现大量伪非法流。 可以找出内核共享变量被查看修改的位置，有助于确定放置审计代码和 时间延迟变量的位置。 主要缺点： 从原语出发构造函数依赖关系集合容易产生状态爆炸，在过程中没有退 出机制，做了很多无效功。 没有自动工具，手工工作量大。 对于不同的编程语言需要开发不同的语法分析器和流生成器。 ( 2 ) 共享资源矩阵法 k e m m e r e r 提出的共享矩阵法( s r m ) 2 2 】，是迄今为止最为成功的一种隐蔽 通道表示方法，步骤如下： 分析所有t c b 原语操作，确定通过t c b 接口用户可见可修改的共享资 源属性。 q 构造共享矩阵，该矩阵的各行对应于用户可见的t c b 原语，各列对应于 用户可见可修改的共享资源属性。如果一个原语可以读一个变量，则将该矩阵 第1 章绪论 项 标记为r ，类似的，如果一个原语可以修改一个变量，将 该矩阵项 标记为m ，最后将既不能读又不能写的变量合并， 在分析时将他们视为一个变量。 对共享矩阵完成传递闭包操作。 分析每个矩阵行，找出同时包含r 和m 的行，并删去其它矩阵行。 分析矩阵的所有项，构造潜在隐蔽通道的实际应用场景。 主要优点： 简单直观，有很多成功的例子。 在d t l s ( 陈述式顶层规范) 和f t l s ( 形式化顶层规范) 和源代码级均 可应用。 适用于隐蔽存储通道和隐蔽定时通道。 主要缺点： 源代码级构造共享矩阵工作量大，手工构造效率低，容易出错。 不能证明单个的t c b 原语或原语对是安全隔离的，因此增加分析新的 t c b 原语十分不便。 过于保守，它所标识的潜在隐蔽通道常常不是真实隐蔽通道。 s r m 方法自问世以来，出现了各种衍生方法。例如，p o r r a s 和k e m m e r e r 提出的隐蔽流树( c f t ) 方法，在某种意义上可以看作是对s r m 方法的补充和 发展。 ( 3 ) 无干扰分析法 是一种形式化的分析方法。进程x 与进程y 无干扰，当且仅当对于x 的任 何输入，都使当前状态迁移到一个y 等价状态，只要给出说明t c b 状态和状态 迁移的形式化规范，用户就可以进行无干扰分析。 主要优点： 可以同时应用于形式化顶层规范和源代码。 可以避免标识伪非法流。 可以增量分析单个的t c b 函数和原语。 主要缺点： 没有支持的自动工具，单靠手工容易出错。 q 不适于分析包含大量共享变量的内核。 在实际应用中尚无成功的例子。 综上所述，目前尚无理论上健壮、实用上行之有效的隐蔽通道标识方法【2 3 1 。 因此，彻底搜索隐蔽通道仍然是一项困难的任务。困难的程度，依赖于具体的系 统和所采用的分析方法【2 4 】，一般地说，系统规模越大，系统越复杂，分析的难度 就越高。 北京工业火学工学硕士学位论文 1 3 2 隐蔽通道的带宽 对于已经被标识出的隐蔽通道要进行评估，评估系统中隐蔽通道所造成的危 害程度，通过计算隐蔽通道的带宽来度量隐蔽通道的危害程度，从而根据不同的 带宽采用不同的处理策略对隐蔽通道进行处理，以达到消除或者降低危害的结 果。 ( 1 ) 带宽的定义 带宽又叫频宽是指在固定的时间可传输的资料数量，亦即在传输管道中可以 传递数据的能力。隐蔽通道的带宽即是通过隐蔽通道发送进程向接收进程每秒可 传输的信息量，是隐蔽通道传送数据的速度，通常以b p s 为单位。带宽越大就意 味着每秒可传输的非法信息量越多，也就是该隐蔽通道所造成的危害就越大。 ( 2 ) 影响带宽的因素 ， 隐蔽通道的带宽受到很多因素的影响，具体包括以下几个方面。 噪声与延迟 当处于不同安全级别的两个进程r 和s 通过某一共享资源进行通信的时候， 系统中可能同时存在其他合法的资源进行通信。如果这些其他进程对共享资源进 行了“写 操作而改变了共享资源的属性，我们称之为“噪声 ；如果这些其他 进程没有改变共享资源的属性，而是“读”共享资源的属性，但是用共享资源时 需要使用同步机制进行保护，使得r 和s 访问次共享资源的时间延长，我们称 此为“延迟”。 噪音和延迟可能是影响隐蔽通道实际带宽的最大因素，最大能够降低隐蔽通 道最大可用带宽的7 5 。但是它们的影响与所运行系统的不同和系统当前运行的 负荷有很大关系，缺乏一个比较稳定的具体量化指标，所以在计算隐蔽通道最大 可用带宽时，一般都不考虑噪音和延迟，即假定系统中当前只有发送者进程s 和接收者进程r 。 系统设置与初始化条件 系统的一些参数很大程度上影响了t c b 原语的访问时间和进程的切换时 间，这些参数主要包括系统的内存大小、c a c h e 大小、c p u 、磁盘速度及系统的 初始化设置。这些参数都会很大程度地影响t c b 原语( 系统调用) 的执行时间 和进程切换时间，而这两个时间是隐蔽通道所消耗时间的重要组成部分。因此在 计算隐蔽通道的带宽时应尽量使得系统的参数及初始化设置为影响较小的值，该 参数的设置需要多次的试验。 编码方案和符号分布 隐蔽通道的最大可达带宽与发送进程与接收进程所采用的编码方案有关，带 宽的测量结果受到编码符号( o 和1 ) 分布情况影响。一般这种情况都假定o 和 第1 审绪论 1 均匀分布。 t c b 原语的选择 在测量隐蔽通道的带宽时，根据不同的原语测出的带宽可能不同，这个时候 我们选择不同原语对可能测出的最大带宽作为隐蔽通道的带宽。在测量t c b 执 行时间时要测量此t c b 在实际隐蔽通道利用方案中的执行时间，因为t c b 在不 同的执行环境中的执行时间会有差异【2 5 】。如果测量的t c b 原语的执行时间，不 是在实际隐蔽通道利用方案的上下文环境下测得的，可能会导致最后计算所得的 带宽偏大或者偏小。如果测量带宽偏大，而处理隐蔽通道的方案是增加延时，这 可能导致系统性能的不必要的降低；如果测量带宽偏小，隐蔽通道处理策略可能 会不处理此隐蔽通道，从而导致安全隐患。 测量场景与使用场景 需要测量运行时间的t c b 原语，不仅仅包括改变查看共享资源状态或者数 量的那两个t c b 原语，还包括了初始化使用场景环境的那些t c b 原语。而为改 变共享资源而使用的初始化场景的t c b 原语，和为查看共享资源而使用的初始 化场景的t c b 原语，很有可能是不同的。此外，即使是同一个原语，根据其不 同的执行结果( 比如成功、失败等等) ，其执行时间也是不一样的。所以，测量 时我们需要具体的隐蔽通道使用场景，来确定还要额外考虑那些初始化场景的 t c b 原语的执行时间，以及这些原语在哪种执行结果下的执行时间。 聚合隐蔽通道 一般而言，不论是串行聚合型还是并行聚合型隐蔽通道，都能使有效带宽增 加但是由于安全评估标准中，对隐蔽通道分析中的聚合现象一般不提要求，所以 测量带宽时，对此不考虑。 ( 3 ) 带宽的计算方法 带宽的计算一般有两种方法，基于马尔科夫过程的非形式化方法和基于信息 论的形式化方法【2 6 1 。 非形式化计算方法由于不能使用合适的编码技术，一般达不到隐蔽通道 的最大带宽。而形式化方法不仅能够比较精确的确定隐蔽通道的最大可用带宽， 还能够帮助确定其使用的合适的编码方案。此外，由于形式化方法计算带宽时， 还要定义一种实际的对隐蔽通道利用方案，这能够消除在隐蔽通道带宽计算时， 不同计算方对定义其中环境设置次数时所采用的假设的不一致。 所以，一般而言，采用基于信息论的形式化方法比采用非形式化方法来计算 隐蔽通道带宽，更合适、有效。 基于马尔科夫过程的非形式化方法 该方法的算法是基于以下假设： 无噪声、无延时 北京工业大学工学硕。 ：学位论文 环境设置和读都是由接收方进程完成的 假定设置0 和1 用时相等，并且传送的o 和1 分布相同 计算无噪隐蔽通道带宽b ( o ) 的公式为：b ( 0 ) = b ( t r + t s + 2 t c s ) 一1 【2 川，其中，b 是编码因子，在实际应用中通常假设为1 ，t r 表示接收进程观察共享变量所需 的时间，以及接收进程建立隐蔽通信环境所需的时间。t s 表示发送进程修改共 享变量所需的时间，以及发送进程建立隐蔽通信环境所需的时间。当一个新进程 分配c p u 时，内核从当前进程向新进程执行一个“上下文切换”操作。t c s 即 表示进程切换或上下文切换所需要的时间。 q 基于信息论的形式化算法【2 8 j 形式化方法的推导是基于香农信息论的。此方法把隐蔽通道建模成为一个确 定性有限状态机，即给定一个隐蔽通道所传输的信号( 比特0 或者比特1 ) ，当 前状态只会迁移到一个确定的下一状态。 可以将多数隐蔽通道建模成有限状态机，如图1 1 所示。图中每个通道记号 ( 0 或1 ) ，相对应的只有一个下一个状态。 l ，k 图1 - 1 隐蔽通道建模 f i g u r e1 - 1c o v e r tc h a n n e lm o d e l i n g 要确定两状态图表示的隐蔽通道的带宽n ( t ) ，就要找出时间t 内所有可能 的传递数。通道带宽可以表示为： c = l i m ( 1 0 9 2 n s ( t ) ) t 为找出n h ( t ) ，令n o ( t ) 为在时间t 内从两状态之一开始的可能的传递数， 令n 1 ( t ) 为在时间t 内从另一个状态开始的可能的传递数。一般地，当s 为状态 集合的值域时，对第s 个状态就有一个n s ( t ) 。传递数满足一个差分方程组。对 于文件锁通道，可得到如下的差分方程组： n o ( t ) = n o ( t i ) + n 1 ( t k ) n 1 ( t ) = n o ( t j ) + n 1 ( t 1 ) 一般地，n s ( t ) = n m ( t t s m ) ，其中t s m 是从状态s 转成状态m 所用的 时间。这里，n o ( t ) 仅对于可以表示为多个i 、j 、k 、l 之和的时间t 是非零值。 根据s h a n n o n 信息论，要确定通道的带宽，只需找出t 趋近于极限时n o ( t ) 的渐 第1 章绪论 近上限。该上限可以取如下的形式： n s ( t ) = a nx t 代入方程，可得：a nx t = e a mx t t s m 当t 趋近于无限时， c = l i m ( i 0 9 2 ( a s x t ) ) t = l 0 9 2x 方程的最大解，即为带宽。 1 4 本文主要研究内容 本文中主要对改进的隐蔽通道标识方法，消除构成隐蔽通道的发送进程和接 收进程进行了研究，隐蔽通道分析方法的验证，主要研究内容如下： ( 1 ) 提出了改进的隐蔽通道标识方法。该方法在共享资源矩阵法的基础上 进行了改进，首先对于共享资源属性进行分析，减少待构造共享资源矩阵的属性； 接下来利用算法构造共享资源矩阵，提高了效率；之后通过分析操作原语与共享 资源、合并、删除三元组序列等操作对潜在隐蔽通道进行分析，提高了潜在隐蔽 通道为真实隐蔽通道的可靠性。 ( 2 ) 提出了两类消除隐蔽通道的方法。第一类是消除发送进程和接收进程 的方法，该方法与消除共享资源属性的方法都属于彻底消除隐蔽通道，通过破坏 隐蔽通道存在的条件达到消除隐蔽通道的效果，两种方法理论依据相同，却可以 适用于不同的情况；第二类是禁止系统反馈信息和修改函数返回信息的方法，这 两种方法属于通过破坏隐蔽通道传输途径，使得发送进程无法获取接收进程的信 息，从而达到消除隐蔽通道的效果。 ( 3 ) 隐蔽通道方法的验证，简单论述了一种能够适应不同分析方法的验证 措施，验证不同分析方法的分析效果，并结合本文提出的隐蔽通道分析方法进行 了举例验证。 1 5 论文的组织结构 论文的章节结构安排如下： 第1 章，绪论：介绍了隐蔽通道的研究背景，基本概念和理论，总结了国内 外研究现状，并对本文的研究内容进行了说明。 第2 章，改进的隐蔽通道标识方法：在共享资源矩阵方法的基础上，提出了 改进的隐蔽通道标识方法，具体分析了改进的方面，并和共享资源矩阵方法进行 了对比，说明了改进后的方法的优点。 第3 章，隐蔽通道的处理：依据已有的隐蔽通道处理方法，提出了两类处理 隐蔽通道的方法，并分别指出了每种方法的适用情况。 北京丁业大学t 学硕十学位论文 第4 章，隐蔽通道分析的实际应用：假定了一个数据库系统，利用本文所提 出的隐蔽通道分析方法对该系统中的隐蔽通道进行了分析。 第5 章，隐蔽通道分析方法的验证：提出了一种能够适应不同分析方法的验 证措施，并对本文所提出的分析方法进行了验证。 第2 章改进的隐蔽通道标识方法 第2 章改进的隐蔽通道标识方法 通过了解隐蔽通道的基本概念，分类及工作原理，我们能深刻的体会到隐蔽 通道对于系统存在着极大的安全隐患。所以必须尽可能的找到系统中存在的隐蔽 通道对其进行消除。当然要想消除隐蔽通道就要先找到隐蔽通道，也就是标识隐 蔽通道。 隐蔽通道的标识是后续处理隐蔽通道等一系列操作的依据，所以说标识隐蔽 通道起着至关重要的作用。本章的内容简单介绍如下，2 1 节对共享资源属性进 行分析；2 2 节提出了构造共享资源矩阵的算法；2 3 节至2 6 节通过限定操作原 语与共享资源属性的安全级别、合并隐蔽通道序列及删除无效隐蔽通道等方面对 三元组序列的分行进行了改进，目的在于增加原语对的安全隔离性和提高所标识 潜在隐蔽通道的真实性；2 8 节两种标识方法进行了对比，直观地展现了改进后 的方法的优点；最后对本章的内容进行了总结。 本章提出的新的标识隐蔽通道的方法，即改进的共享资源矩阵法，该方法是 k e m m e r e r 的方法的扩展。 2 1 确定共享资源属性 首先按照k e m m e r e r 方法，标识出所有的原语与可见可修改的共享资源属 性。 要找到一个数据库系统中的所有操作原语与共享资源属性要对数据库系统 进行遍历，首先遍历系统中所有资源属性，根据不同发送进程与接收进程对属性 的操作从而确定共享资源属性与操作原语，达到遍历数据库系统中所有操作原语 与共享资源属性的结果。 系统遍历后会出现大量的资源属性，如此庞大的数据必然增加分析隐蔽通道 的难度，解决这个问题的关键是减少此步骤中加入到待构造共享资源矩阵的属性 数量，由于存在隐蔽通道是因为存在共享资源，所以要加入待构造共享资源矩阵 的属性必须满足下述三个条件： ( 1 ) 是共享变量( 直接可见或直接可变) ( 2 ) 要么能够反映共享资源属性的的改变，即共享资源属性的间接可见性 依赖于此变量 ( 3 ) 要么能够通过其改变共享资源属性，通过此变量可以间接改变共享资 源属性的状态或值 我们要去除不满足以上三个条件的资源属性，不把它加入到待构造的共享资 北京工业大学工学硕一i ：学位论文 源矩阵中。 2 2 构造共享资源矩阵 并构造共享资源矩阵【2 9 1 ，对此矩阵作传递闭包操作。 针对k e m m e r e r 方法手工构造共享资源矩阵效率低的问题，对于得到的操作 原语与共享资源属性构造共享资源矩阵采用自动构造程序。 构造矩阵类算法【3 0 】如下： t e m p l a t e c l a s sc m a t r i x 构造矩阵类 c l a s sc l i n e 构造矩阵线类 t 木_ p l i n e ； c m a t r i x * p m a t ； 一 p u b l i c ： c l i n e ( t 木p l i n e ，c m a t r i x 木p m a t ) ：_ p l i n e ( p l i n e ) ，_ _ p m a t ( p m a t ) ) ； t & o p e r a t o r 】( 1 0 n gn c 0 1 ) a s s e r t ( n c o l = 0 & & n c o l o m a t 一 g e t w i d t h o ) ；r e t u m _ p l i n e n c 0 1 ； ) l o n g _ s l n , _ s c o l ； t 丰_ p d a t a ； p u b l i c ： 第2 章改进的隐蔽通道坏识方法 c m a t r i x o ； c m a t r i x ( t 毒a r r a d d r e s s ，l o n ga r r w i d t h ) ；构造一维矩阵( 一行，a r r w i d t h 列) c m a t r i x ( c o n s tc m a t r i x & ) ；复制构造函数 v i r t u a l - c m a t r i x ( v o i d ) ；默认析构函数 属性 l o n gg e t h e i g h t 0c o n s t r e t u r n _ s l n ；) l o n gg e t w i d t h oc o n s t r e t u r n s c o l ； t 枣g e t d a t a ( 1 0 n g & a r r h e i g h t ，l o n g & a r r w i d t h ，t 审p = - n u l l ) c o n s t ； t 木g e t d a t a ( i n t & a r r h e i g h t ，h a t & a r r w i d t h ，t 木p = n u l l ) c o n s t l o n gt l = a r r h e i g h t ；l o n gt 22a r r w i d t h ； a n h e i g h t = _ s l n ；a r r w i d t h = _ s c o l ； r e t u r ng e t d a t a ( t l ，t 2 ，p ) ； o p e r a t o rv o i d 毒0 r e t u r ni s v a l i d 0 7 t h i s ：0 ； b o o li s v a l i d ( ) c o n s t i f ( t h i s i = n u l l & & _ _ p d a t a ! = n u l l ) r e t u mt r u e ； e l s er e t u r nf a l s e ； b o o li s l n d o m a i n ( 1 0 n gn l n ，l o n gn c 0 1 ) 1 3 - 北京_ - 1 2 l k 大学工学硕士学位论文 i f ( n l n = 0 & & n c o l = 0 ) r e t u r n t r u e ； e l s er e t u mf a l s e ； i n ti s v e c t o r 0 ；! t l 果是0 ，那就是一个数；1 ，列向量；一1 ，行向量 输出 f r i e n ds t d ：o s t r e a m & o p e r a t o r ( s t d ：o s t r e a m & , j k s ：c m a t r i x & ) ； p u b l i c ： 公有属性 s t a t i cf l o a tm _ f p r e c i s i o n ； s t a t i cd o u b l er n _ d p r e c i s i o n ； 2 3 对共享资源矩阵进行细化 首先需要对信息流进行细化，排除不满足隐蔽通道条件的矩阵项，如表2 1 ： ( 1 ) 分用户与系统之间的信息流和状态属性之间的信息流，将用户的输入 与系统的输入分别归并成一行，分别标记为u 。i n 和u o u t 。 ( 2 ) 信息流的流入属性。 ( 3 ) 分信息流的产生条件。如表l 一1 所示：g i = g ( 条件成立时调用) ，g 2 = n o tg ( 条件不成立时调用) ，g 3 = t r u e ( 无条件时调用) 。 表2 - 1 共享资源矩阵表 t a b l e2 - 1t a b l eo f s h a r i n gr e s o u r c e sm a t r i x 资源属性变量 操作( g 1 )操作( g 2 )操作( g 3 ) s lr s 2r t 1mm r grr u i n ( 输入) rr r u i n ( 输出) m 第2 章改进的隐蔽通道标识方法 2 4 分析操作原语及共享资源属性的安全级别 由于隐蔽通道违反了强制存取控制，强制存取是对数据本身进行密级标记， 无论数据如何复制，标记与数据是一个不可分的整体，只有符合密级标记要求的 用户才可以操纵数