ISSN 1000-9825, CODEN RUXUEW E-mail: jos@iscas.ac
Journal of Software, Vol.21, No.9, September 2010, pp.2262−2288 www.jos doi: 10.3724/SP.J.1001.2010.03880 Tel/Fax: +86-10-62562563
© by Institute of Software, the Chine Academy of Sciences. All rights rerved.
∗
隐蔽信道研究
王永吉1,2,3+, 吴敬征1,4, 曾海涛5, 丁丽萍1, 廖晓锋1,4
1(中国科学院软件研究所基础软件国家工程研究中心,北京 100190)
2(中国科学院软件研究所互联网软件技术实验室,北京 100190)
3(中国科学院软件研究所计算机科学国家重点实验室,北京 100190)emba报名条件
4(中国科学院研究生院,北京 100049)
5(中国移动通信研究院,北京 100053)
Covert Channel Rearch
WANG Yong-Ji1,2,3+, WU Jing-Zheng1,4, ZENG Hai-Tao5, DING Li-Ping1, LIAO Xiao-Feng1,4
1(National Engineering Rearch Center for Fundamental Software, Institute of Software, The Chine Academy of Sciences, Beijing
100190, China)
2(Laboratory for Internet Software Technologies, Institute of Software, The Chine Academy of Sciences, Beijing 100190, China)
3(State Key Laboratory of Computer Science, Institute of Software, The Chine Academy of Sciences, Beijing 100190, China)
4(Graduate University, The Chine Academy of Sciences, Beijing 100049, China)
5(China Mobile Rearch Institute, Beijing 100053, China)
+ Corresponding author: E-mail: ywang@itechs.iscas.ac
Wang YJ, Wu JZ, Zeng HT, Ding LP, Liao XF. Covert channel rearch. Journal of Software,
2010,21(9):2262−2288. www.jos/1000-9825/3880.htm
Abstract: Covert channel is the communication channel that allows a process to transfer information in a manner
that violates the system’s curity policy. It is a major threat to the cure information systems and widely exists in
cure operation systems, cure networks and cure databa. Covert channel analysis is generally required by
cure information systems’s cure criterion, such as TCSEC. This paper firstly analysis the covert channel concept,
field, techniques and classification. Next, it surveys the classic techniques and methods from the following aspects:
covert channel identification, measurement, elimination, limitation, auditing, and detection. The rearch
achievements in the past 30 years are systematically concluded, especially the new techniques of covert channel
measurements and handlings in recent years. This paper attempts to give a comprehensive and clear outline for this
妇女节英文rearch direction, and provides a uful reference for the rearchers of this field.
Key words: covert channel; covert channel identification; covert channel measurement; covert channel
elimination; covert channel limitation; covert channel auditing; covert channel detection
∗ Supported by the National Natural Science Foundation of China under Grant No.60673022 (国家自然科学基金); the National
High-Tech Rearch and Development Plan of China under Grant No.2007AA010601 (国家高技术研究发展计划(863)); the Knowledge
Innovation Key Directional Program of the Chine Academy of Sciences under Grant No.KGCX2-YW-125 (中国科学院重要方向项目)
奥巴马告别演讲视频
Received 2009-07-27; Accepted 2010-05-05
王永吉等:隐蔽信道研究2263
摘要: 隐蔽信道是指允许进程以危害系统安全策略的方式传输信息的通信信道,是对安全信息系统的重要威胁,并普遍存在于安全操作系统、安全网络、安全数据库系统中.国内外的安全标准都要求对高等级的安全信息系统进行隐蔽信道分析.首先分析隐蔽信道的基本概念,研究领域、技术组成及分类,然后从信道识别、度量、消除、限制、审计和检测几个技术层面综述隐蔽信道研究中经典的技术和方法,系统地总结隐蔽信道领域30多年来的研究成果,尤其对近年来隐蔽信道度量和处置新技术作了较为详尽的介绍.试图为该研究方向勾画出一个较为全面和清晰的概貌,为隐蔽信道分析领域的研究者提供有益的参考.
关键词: 隐蔽信道;隐蔽信道识别;隐蔽信道度量;隐蔽信道消除;隐蔽信道限制;隐蔽信道审计;隐蔽信道检测
中图法分类号: TP393文献标识码: A
隐蔽信道是指允许进程以危害系统安全策略的方式传输信息的通信信道[1].我国的《计算机信息系统安全保护等级划分准则》(GB17859-1999)[2]、美国的《可信计算机系统评估准则》(TCSEC)[1]以及国
际标准化组织ISO在1999年发布的《信息技术安全评估通用准则》(ISO/IEC 15408,简称CC标准)[3]都对隐蔽信道分析提出了明确的规定.要求高等级信息系统(GB17859-1999第四级,TCSEC中B2级以上)必须进行隐蔽信道分析,在识别隐蔽信道的基础上,对隐蔽信道进行度量和处置.
隐蔽信道的概念最初是由Lampson在1973年提出[4],其给出的隐蔽信道定义为:不是被设计或本意不是用来传输信息的通信信道.在这篇开创性的文章里,Lampson关注于程序的限制问题,即如何在程序的执行过程中进行限制,使其不能向其他未授权的程序传输信息.他列举了恶意或行为不当的程序绕过限制措施,泄露数据的6种方法和相应的处理措施,并把这些方法归纳为3种类型:存储信道,合法信道和“隐蔽信道”.后续的研究将隐蔽信道重新划分为两种类型:存储隐蔽信道和时间隐蔽信道[5],统称隐蔽信道.其中:时间隐蔽信道对应于Lampson所指的“隐蔽信道”;合法信道则是一种阈下信道(subliminal channel)[6],是公开信道中所建立的一种实现隐蔽通信的方式.信道中公开的、有意义的信息仅仅充当了秘密信息的载体,秘密信息通过它进行传输.这种隐蔽传输信息的方式后来逐渐淡出了隐蔽信道研究的中心,形成了相对独立的研究领域.
对隐蔽信道的分析和研究,文献[7]给出了详细的解释.隐蔽信道分析工作包括信道识别、度量和处置.信道识别是对系统的静态分析,强调对设计和代码进行分析发现所有潜在的隐蔽信道.信道度量是对信道传输能力和威胁程度的评价.信道处置措施包括信道消除、限制和审计.隐蔽信道消除措施包括修改系统、排除产生隐蔽信道的源头、破坏信道的存在条件.限制措施要求将信道危害降低到系统能够容忍
的范围内.但是,并非所有的潜在隐蔽信道都能被入侵者实际利用,如果对所有的潜在隐蔽信道进行度量和处置会产生不必要的性能消耗,降低系统效率.隐蔽信道检测则强调对潜在隐蔽信道的相关操作进行监测和记录,通过分析记录,检测出入侵者对信道的实际使用操作,为信道度量和处置提供依据.
本文综述了隐蔽信道分析技术的研究历史、目前面临的主要问题以及今后的发展方向,试图为该研究方向勾画出一个较为全面和清晰的概貌,为隐蔽信道相关领域的研究者提供有益参考.本文首先介绍隐蔽信道基本概念、分类、研究背景和相关研究领域.从第2节逐步展开论述隐蔽信道识别、度量、消除、限制、审计和检测技术中的典型方法,阐述隐蔽信道概念提出30多年来在各个技术层面的研究成果.最后总结全文,指出隐蔽信道技术的发展方向.
1 隐蔽信道基本概念
1.1 隐蔽信道表示
在隐蔽信道研究过程中,研究人员给出了多种不同的定义.其中,Tsai等人给出的隐蔽信道定义较为全面[8]:给定一个强制安全策略模型M及其在一个操作系统中的解释I(M).I(M)中的两个主体I(S h)和I(S l)之间的通信是隐蔽的,当且仅当模型M中的对应主体S h和S l之间的任何通信都是非法的.该定义指出,隐蔽信道只与系统的强制访问控制策略模型相关.隐蔽信道广泛存在于部署了强制访问控制机制的安全操作系统、安全网络和安全
2264
Journal of Software 软件学报 V ol.21, No.9, September 2010
数据库中. 1973年,Bell 和LaPadula 提出了著名的Bell-LaPadula 多级安全强制访问控制模型(BLP 模型)[9].该模型描述如下:
系统包含主体集S 和客体集O ,S 中的每一个主体s 和O 中的每一个客体o 都分别具有一个固定的安全标记C (s )和C (o )(表示信任和敏感等级).BLP 模型在安全标记之间建立了一种称为“支配”的偏序格关系,用“≥”表示.BLP 模型要求安全系统内主体操作客体的安全信息流具有简单安全特性和*-特性:
• 简单安全特性:仅当C (s )≥C (o )时,主体s 才可以对客体o 有“读”访问权限;
• *-特性:仅当C (p )≥C (o )时,对客体o 有“读”访问权限的主体才可以对客体p 有“写”访问权限.
简单安全特性表明,信息接收者的信任等级不得低于信息的敏感等级.*-特性表明,将一个敏感对象的内容写入另一个敏感对象,要求后者的敏感等级至少不低于前者.这两个特性可以简单地概括为“不上读,不下写”. BLP 模型既可以阻止低级别的主体访问高密级的信息,同时也阻止高安全级别主体通过“写”操作向低级别主体泄漏信息.
即使在强制访问控制模型下,恶意用户仍然能够通过构建隐蔽信道实现从高安全级主体向低安全级主体的信息传输,实现方式如图1所示.高安全级和低安全级用户之间通过修改和感知共享变量的值或者属性传递信息.TCSEC 标准使用TCB(trusted computing ba,可信计算基)表示计算机系统中所有保护机制的总和(包括硬件、固件和软件),负责执行安全策略.因此,隐蔽信道可以表示为TCB 三元组:
〈variable ,PA h ,PV i 〉 (1) 其中:variable 是系统中的变量;PA h 是修改这个变量的TCB 原语且具有较高的安全级;PV i 是感知、观察这个变量的TCB 原语且安全级较低.从PA h 到PV i 的通信是系统安全策略所不允许的,则PA h 到PV i 的通信信道称为隐蔽信道.
百度在线翻译句子
Fig.1 Example of covert channel
图1 隐蔽信道示例
1.2 隐蔽信道分类
隐蔽信道三元组〈variable ,PA h ,PV i 〉中变量variable 可以表示系统中不同的属性,当variable 表示存储属性时,隐蔽信道为存储隐蔽信道.例如,在资源耗尽型信道中,variable 表示收发双方能够修改和感知的共享资源.当variable 表示CPU 时间或者响应时间等属性时,隐蔽信道为时间隐蔽信道.在对隐蔽信道识别方法的研究中, Kemmerer 给出了隐蔽信道存在的最小条件[10].
存储隐蔽信道存在最小条件:
有道词典在线翻译
(1) 信息的发送者和接收者必须能够访问某个共享资源的同一个属性;
(2) 信息的发送者能够以某种方式改变这个属性;
(3) 同时,信息的接收者必须能够检测这个属性的任何一个改变;
(4) 存在着某种机制初始化发送者和接收者,并且要保证发送和接收时间顺序的正确性,即建立好的同
步机制以保证信息正确地发送与接收.
High-Level Low-Level
王永吉等:隐蔽信道研究2265
工夫的意思时间隐蔽信道存在最小条件:
(1) 发送者和接收者必须对某个共享资源的同一个属性有访问权;
(2) 发送者和接收者必须有一个统一的时间参考,比如一个实际时钟;
(3) 发送者必须能够调制接收者的响应时间来表示一个属性的改变;
(4) 一定存在某个机制使得发送和接收双方能够同步发送事件.
与存储隐蔽信道相比,时间隐蔽信道又称为无记忆通道,不能长久地存储信息.发送者发送的信息接收者必须及时接收,否则要传递的信息就会消失,时效性较强.分析隐蔽信道存在条件及其表示〈variable,PA h,PV i〉可知,存储隐蔽信道和时间隐蔽信道并没有本质的区别,只是variable变量代表的属性不同.在隐蔽信道分析中,时间隐蔽信道具有更大的复杂性,TCSEC标准要求B2级安全系统进行
彻底的存储隐蔽信道分析,而更高级别的B3级和A1级安全系统才要求必须同时进行时间隐蔽信道分析.
与其他的通信信道类似,隐蔽信道也可以分为噪音信道和无噪信道.对于〈variable,PA h,PV i〉中的variable变量,如果该变量只能被PA h原语修改,而且对于任意修改,PV i原语都能够实现概率为1的正确解码,则该信道称为无噪信道;如果variable变量被PA h原语修改的同时还可能被其他原语修改,PV i不能正确解码,则该信道称为噪音信道.在隐蔽信道分析中,通常将信道抽象成无噪信道以度量信道最大容量.但是在实际场景中,信道多为噪音信道,影响隐蔽信道的传输效率.
隐蔽信道传输有固定的信息传输周期,如图2所示[11].一个完整的信息传输周期包括发送者/接收者同步阶段、信息传输阶段和反馈阶段.同步阶段中,发送者通知接收者准备发送信息,如果收发双方有事先的约定,例如每隔t个时间单元发送新的信息,则同步阶段可以省略;如果收发双方通信路径不可信,则反馈阶段必须存在,否则发送者无法确认接收方是否收到信息,也无法确认何时开启新的传输周期.
Fig.2 Covert channel cycle
图2 隐蔽信道周期
1.3 隐蔽信道研究领域
Lampson提出的隐蔽信道概念关注于程序的限制问题,但当前的隐蔽信道问题已经涉及到安全信息产品的多个领域,包括安全操作系统、安全数据库、安全网络等.此外,还存在一些倍受关注的、与隐蔽信道相关联的概念.下面分析隐蔽信道涉及到的研究领域以及相互之间的区别和联系,进一步加深对隐蔽信道的理解.
1.3.1 数据库隐蔽信道
数据库系统中的隐蔽信道主要包括以下3类[12]:
(1)数据库存储资源引入的信道.信道可利用的数据库存储资源包括数据和数据字典,其主要原理是发
送者修改数据/数据字典,接收者则通过完整性约束等方式间接感知数据/数据字典的修改,从而获得信息[13];
(2)数据库管理资源引入的信道.主要是数据库系统变量或安全机制的资源耗尽型信道.资源包括游标、
临时数据区等.另外,同时管理多个安全级别用户的系统安全机制也可能引入信道,如审计机制等[14];
(3)事务并发控制引起的隐蔽信道.安全数据库系统中通常依据BLP模型[9]实施强制访问控制,约束用户
的数据访问操作,以保证数据的安全性.同时,为了保证数据操作的实时性,系统还需要采用实时算法
2266nobody什么意思
Journal of Software 软件学报 V ol.21, No.9, September 2010
处理事务调度和并发控制[15].恶意主体可以利用不同安全级事务间的并发冲突构造隐蔽信道,称作数据冲突隐蔽信道(data conflict covert channel,简称DC 信道)[16].
数据冲突隐蔽信道中,两个不同安全级别的用户发起的事务tr l ,tr h 共同访问同一数据项d x ,其安全级别关系为SL (tr h )≥SL (d x )≥SL (tr l ).其中,低安全级别事务tr l 写访问d x ,高安全级别事务tr h 读访问d x .在该场景下,可以构造多种具体的数据冲突隐蔽信道,实现高安全级用户向低级别用户传递信息.
例如,入侵者利用事务执行过程中是否发生冲突的事实表示希望传输的符号,如图3所示.首先,低安全级用户发起事务tr l ,如果高安全级用户希望发出符号‘1’,则发起事务tr h .由于两个事务间存在冲突,
系统放弃事务tr l ;如果高安全级用户希望发出符号‘0’,则不发起事务tr h ,tr l 可以执行完成.在该场景下,处于不同安全级别的事务通过并发控制机制相互干扰传递信息.
Fig.3 DC covert channel
图3 数据冲突隐蔽信道
1.3.2 阈下信道
阈下信道是指在基于公钥密码技术的数字签名、认证等应用密码体制的输出密码数据中建立起来的一种隐蔽信道,除指定的接收者外,任何其他人均不知道密码数据中是否存在阈下消息[17].阈下信道又称潜信道,是一种信息隐藏方法.Simmons 于
1984通过研究看守监狱中两个囚犯秘密协商逃跑计划的例子(如图4所示),引入了阈下信道的概念[6].图4中,Wendy 负责监视囚犯Alice 和Bob 的活动,一旦发现有异常行为就将其分开并更加严格地看管;Alice 和Bob 必须采用某种约定协商越狱情况.
Fig.4 Prisoner problem
图4 囚犯问题
虽然在Simmons 的定义中阈下信道也被称作隐蔽信道,但是一般认为,阈下信道与TCSEC 标准中所指的隐蔽信道有所差别[6,18]:
(1) 阈下信道是在公开信道中所建立的一种实现隐蔽通信的信道.由于传输信道本身的合法性,其更接
近于信息隐藏研究的范畴,并且已经被认可为一种典型的信息隐藏方法;
(2) 阈下信道的宿主是密码系统,且只能是非对称密码体制.阈下信道的特点是,即使监视者知道要寻求
combative的内容,也无法发现信道的使用并获取正在传送的阈下消息.因为阈下信道的加密特性,决定了其安全性要么是无条件的,要么是计算上不可破的.这不是普通隐蔽信道所能做到的而且也不是必需的.
1.3.3 网络信道
网络信道一般可以分为两种:一种是多级安全网络传输信道,另一种是普通网络传输信道.第1种网络信道中强调多级安全概念,这种信道存在于具有不同安全级别,需要进行隔离的主机之间.入侵者期望利用这种信道从高安全级别主机获得信息,并传递给低安全级别主机.第2种网络信道中并不局限于多级安全环境,普通网络中主机没有安全级别的定义.这种信道的两端主机甚至可能是被允许通信的,该信道只是期望在通信链路上再Send ‘0’Send ‘1’ Covert channel Covert channel Shared cret Overt channel Overt+Covert channel (Altered) Overt+Covert channel
struckOvert channel
asmbly是什么意思
