没有合适的资源?快使用搜索试试~ 我知道了~
隐蔽信道研究1
需积分: 0 0 下载量 193 浏览量
2022-08-04
16:08:08
上传
评论
收藏 1.36MB PDF 举报
温馨提示
试读
27页
摘要:隐蔽信道是指允许进程以危害系统安全策略的方式传输信息的通信信道,是对安全信息系统的重要威胁,并普遍存在于安全操作系统、安全网络、安全数据库系统中.国内外的
资源详情
资源评论
资源推荐
ISSN 1000-9825, CODEN RUXUEW E-mail: jos@iscas.ac.cn
Journal of Software, Vol.21, No.9, September 2010, pp.2262−2288 http://www.jos.org.cn
doi: 10.3724/SP.J.1001.2010.03880 Tel/Fax: +86-10-62562563
© by Institute of Software, the Chinese Academy of Sciences. All rights reserved.
隐蔽信道研究
∗
王永吉
1,2,3+
,
吴敬征
1,4
,
曾海涛
5
,
丁丽萍
1
,
廖晓锋
1,4
1
(中国科学院 软件研究所 基础软件国家工程研究中心,北京 100190)
2
(中国科学院 软件研究所 互联网软件技术实验室,北京 100190)
3
(中国科学院 软件研究所 计算机科学国家重点实验室,北京 100190)
4
(中国科学院 研究生院,北京 100049)
5
(中国移动通信研究院,北京 100053)
Covert Channel Research
WANG Yong-Ji
1,2,3+
, WU Jing-Zheng
1,4
, ZENG Hai-Tao
5
, DING Li-Ping
1
, LIAO Xiao-Feng
1,4
1
(National Engineering Research Center for Fundamental Software, Institute of Software, The Chinese Academy of Sciences, Beijing
100190, China)
2
(Laboratory for Internet Software Technologies, Institute of Software, The Chinese Academy of Sciences, Beijing 100190, China)
3
(State Key Laboratory of Computer Science, Institute of Software, The Chinese Academy of Sciences, Beijing 100190, China)
4
(Graduate University, The Chinese Academy of Sciences, Beijing 100049, China)
5
(China Mobile Research Institute, Beijing 100053, China)
+ Corresponding author: E-mail: ywang@itechs.iscas.ac.cn
Wang YJ, Wu JZ, Zeng HT, Ding LP, Liao XF. Covert channel research. Journal of Software,
2010,21(9):2262−2288. http://www.jos.org.cn/1000-9825/3880.htm
Abstract: Covert channel is the communication channel that allows a process to transfer information in a manner
that violates the system’s security policy. It is a major threat to the secure information systems and widely exists in
secure operation systems, secure networks and secure database. Covert channel analysis is generally required by
secure information systems’s secure criterion, such as TCSEC. This paper firstly analysis the covert channel concept,
field, techniques and classification. Next, it surveys the classic techniques and methods from the following aspects:
covert channel identification, measurement, elimination, limitation, auditing, and detection. The research
achievements in the past 30 years are systematically concluded, especially the new techniques of covert channel
measurements and handlings in recent years. This paper attempts to give a comprehensive and clear outline for this
research direction, and provides a useful reference for the researchers of this field.
Key words: covert channel; covert channel identification; covert channel measurement; covert channel
elimination; covert channel limitation; covert channel auditing; covert channel detection
∗ Supported by the National Natural Science Foundation of China under Grant No.60673022 (国家自然科学基金); the National
High-Tech Research and Development Plan of China under Grant No.2007AA010601 (国家高技术研究发展计划(863)); the Knowledge
Innovation Key Directional Program of the Chinese Academy of Sciences under Grant No.KGCX2-YW-125 (中国科学院重要方向项目)
Received 2009-07-27; Accepted 2010-05-05
王永吉 等:隐蔽信道研究
2263
摘 要: 隐蔽信道是指允许进程以危害系统安全策略的方式传输信息的通信信道,是对安全信息系统的重要威
胁,并普遍存在于安全操作系统、安全网络、安全数据库系统中.国内外的安全标准都要求对高等级的安全信息系
统进行隐蔽信道分析.首先分析隐蔽信道的基本概念,研究领域、技术组成及分类,然后从信道识别、度量、消除、
限制、审计和检测几个技术层面综述隐蔽信道研究中经典的技术和方法,系统地总结隐蔽信道领域 30 多年来的研
究成果,尤其对近年来隐蔽信道度量和处置新技术作了较为详尽的介绍.试图为该研究方向勾画出一个较为全面和
清晰的概貌,为隐蔽信道分析领域的研究者提供有益的参考.
关键词: 隐蔽信道;隐蔽信道识别;隐蔽信道度量;隐蔽信道消除;隐蔽信道限制;隐蔽信道审计;隐蔽信道检测
中图法分类号: TP393 文献标识码: A
隐蔽信道是指允许进程以危害系统安全策略的方式传输信息的通信信道
[1]
.我国的《计算机信息系统安全
保护等级划分准则》(GB17859-1999)
[2]
、美国的《可信计算机系统评估准则》(TCSEC)
[1]
以及国际标准化组织
ISO 在 1999 年发布的《信息技术安全评估通用准则》(ISO/IEC 15408,简称 CC 标准)
[3]
都对隐蔽信道分析提出
了明确的规定.要求高等级信息系统(GB17859-1999 第四级,TCSEC 中 B2 级以上)必须进行隐蔽信道分析,在识
别隐蔽信道的基础上,对隐蔽信道进行度量和处置.
隐蔽信道的概念最初是由 Lampson 在 1973 年提出
[4]
,其给出的隐蔽信道定义为:不是被设计或本意不是用
来传输信息的通信信道.在这篇开创性的文章里,Lampson 关注于程序的限制问题,即如何在程序的执行过程中
进行限制,使其不能向其他未授权的程序传输信息.他列举了恶意或行为不当的程序绕过限制措施,泄露数据的
6 种方法和相应的处理措施,并把这些方法归纳为 3 种类型:存储信道,合法信道和“隐蔽信道”.后续的研究将隐
蔽信道重新划分为两种类型:存储隐蔽信道和时间隐蔽信道
[5]
,统称隐蔽信道.其中:时间隐蔽信道对应于
Lampson 所指的“隐蔽信道”;合法信道则是一种阈下信道(subliminal channel)
[6]
,是公开信道中所建立的一种实
现隐蔽通信的方式.信道中公开的、有意义的信息仅仅充当了秘密信息的载体,秘密信息通过它进行传输.这种
隐蔽传输信息的方式后来逐渐淡出了隐蔽信道研究的中心,形成了相对独立的研究领域.
对隐蔽信道的分析和研究,文献[7]给出了详细的解释.隐蔽信道分析工作包括信道识别、度量和处置.信道
识别是对系统的静态分析,强调对设计和代码进行分析发现所有潜在的隐蔽信道.信道度量是对信道传输能力
和威胁程度的评价.信道处置措施包括信道消除、限制和审计.隐蔽信道消除措施包括修改系统、排除产生隐
蔽信道的源头、破坏信道的存在条件.限制措施要求将信道危害降低到系统能够容忍的范围内.但是,并非所有
的潜在隐蔽信道都能被入侵者实际利用,如果对所有的潜在隐蔽信道进行度量和处置会产生不必要的性能消
耗,降低系统效率.隐蔽信道检测则强调对潜在隐蔽信道的相关操作进行监测和记录,通过分析记录,检测出入
侵者对信道的实际使用操作,为信道度量和处置提供依据.
本文综述了隐蔽信道分析技术的研究历史、目前面临的主要问题以及今后的发展方向,试图为该研究方向
勾画出一个较为全面和清晰的概貌,为隐蔽信道相关领域的研究者提供有益参考.本文首先介绍隐蔽信道基本
概念、分类、研究背景和相关研究领域.从第 2 节逐步展开论述隐蔽信道识别、度量、消除、限制、审计和检
测技术中的典型方法,阐述隐蔽信道概念提出 30 多年来在各个技术层面的研究成果.最后总结全文,指出隐蔽
信道技术的发展方向.
1 隐蔽信道基本概念
1.1 隐蔽信道表示
在隐蔽信道研究过程中,研究人员给出了多种不同的定义.其中,Tsai 等人给出的隐蔽信道定义较为全面
[8]
:
给定一个强制安全策略模型 M 及其在一个操作系统中的解释 I(M).I(M)中的两个主体 I(S
h
)和 I(S
l
)之间的通信
是隐蔽的,当且仅当模型 M 中的对应主体 S
h
和 S
l
之间的任何通信都是非法的.该定义指出,隐蔽信道只与系统的
强制访问控制策略模型相关.隐蔽信道广泛存在于部署了强制访问控制机制的安全操作系统、安全网络和安全
2264
Journal of Software 软件学报 Vol.21, No.9, September 2010
数据库中.
1973 年,Bell 和 LaPadula 提出了著名的 Bell-LaPadula 多级安全强制访问控制模型(BLP 模型)
[9]
.该模型描
述如下:
系统包含主体集 S 和客体集 O,S 中的每一个主体 s 和 O 中的每一个客体 o 都分别具有一个固定的安全标
记 C(s)和 C(o)(表示信任和敏感等级).BLP 模型在安全标记之间建立了一种称为“支配”的偏序格关系,用“≥”表
示.BLP 模型要求安全系统内主体操作客体的安全信息流具有简单安全特性和*-特性:
• 简单安全特性:仅当 C(s)≥C(o)时,主体 s 才可以对客体 o 有“读”访问权限;
• *-特性:仅当 C(p)≥C(o)时,对客体 o 有“读”访问权限的主体才可以对客体 p 有“写”
访问权限.
简单安全特性表明,信息接收者的信任等级不得低于信息的敏感等级.*-特性表明,将一个敏感对象的内容
写入另一个敏感对象,要求后者的敏感等级至少不低于前者.这两个特性可以简单地概括为“不上读,不下写”.
BLP 模型既可以阻止低级别的主体访问高密级的信息,同时也阻止高安全级别主体通过“写”操作向低级别主
体泄漏信息.
即使在强制访问控制模型下,恶意用户仍然能够通过构建隐蔽信道实现从高安全级主体向低安全级主体
的信息传输,实现方式如图 1 所示.高安全级和低安全级用户之间通过修改和感知共享变量的值或者属性传递
信息.TCSEC 标准使用 TCB(trusted computing base,可信计算基)表示计算机系统中所有保护机制的总和(包括
硬件、固件和软件),负责执行安全策略.因此,隐蔽信道可以表示为 TCB 三元组:
〈variable,PA
h
,PV
i
〉 (1)
其中:variable 是系统中的变量;PA
h
是修改这个变量的 TCB 原语且具有较高的安全级;PV
i
是感知、观察这个变
量的 TCB 原语且安全级较低.从 PA
h
到 PV
i
的通信是系统安全策略所不允许的,则 PA
h
到 PV
i
的通信信道称为隐
蔽信道.
Fig.1 Example of covert channel
图 1 隐蔽信道示例
1.2 隐蔽信道分类
隐蔽信道三元组〈variable,PA
h
,PV
i
〉中变量 variable 可以表示系统中不同的属性,当 variable 表示存储属性
时,隐蔽信道为存储隐蔽信道.例如,在资源耗尽型信道中,variable 表示收发双方能够修改和感知的共享资源.当
variable 表示 CPU 时间或者响应时间等属性时,隐蔽信道为时间隐蔽信道.在对隐蔽信道识别方法的研究中,
Kemmerer 给出了隐蔽信道存在的最小条件
[10]
.
存储隐蔽信道存在最小条件:
(1) 信息的发送者和接收者必须能够访问某个共享资源的同一个属性;
(2) 信息的发送者能够以某种方式改变这个属性;
(3) 同时,信息的接收者必须能够检测这个属性的任何一个改变;
(4) 存在着某种机制初始化发送者和接收者,并且要保证发送和接收时间顺序的正确性,即建立好的同
步机制以保证信息正确地发送与接收.
Covert channel
Write
Read
BLP model
High-Level
Low-Level
Mid-Level
Read
Write
王永吉 等:隐蔽信道研究
2265
时间隐蔽信道存在最小条件:
(1) 发送者和接收者必须对某个共享资源的同一个属性有访问权;
(2) 发送者和接收者必须有一个统一的时间参考,比如一个实际时钟;
(3) 发送者必须能够调制接收者的响应时间来表示一个属性的改变;
(4) 一定存在某个机制使得发送和接收双方能够同步发送事件.
与存储隐蔽信道相比,时间隐蔽信道又称为无记忆通道,不能长久地存储信息.发送者发送的信息接收者必
须及时接收,否则要传递的信息就会消失,时效性较强.分析隐蔽信道存在条件及其表示〈variable,PA
h
,PV
i
〉可知,
存储隐蔽信道和时间隐蔽信道并没有本质的区别,只是 variable 变量代表的属性不同.在隐蔽信道分析中,时间
隐蔽信道具有更大的复杂性,TCSEC 标准要求 B2 级安全系统进行彻底的存储隐蔽信道分析,而更高级别的 B3
级和 A1 级安全系统才要求必须同时进行时间隐蔽信道分析.
与其他的通信信道类似,隐蔽信道也可以分为噪音信道和无噪信道.对于〈variable,PA
h
,PV
i
〉中的 variable 变
量,如果该变量只能被 PA
h
原语修改,而且对于任意修改,PV
i
原语都能够实现概率为 1 的正确解码,则该信道称为
无噪信道;如果 variable 变量被 PA
h
原语修改的同时还可能被其他原语修改,PV
i
不能正确解码,则该信道称为噪
音信道.在隐蔽信道分析中,通常将信道抽象成无噪信道以度量信道最大容量.但是在实际场景中,信道多为噪
音信道,影响隐蔽信道的传输效率.
隐蔽信道传输有固定的信息传输周期,如图 2 所示
[11]
.一个完整的信息传输周期包括发送者/接收者同步阶
段、信息传输阶段和反馈阶段.同步阶段中,发送者通知接收者准备发送信息,如果收发双方有事先的约定,例如
每隔 t 个时间单元发送新的信息,则同步阶段可以省略;如果收发双方通信路径不可信,则反馈阶段必须存在,否
则发送者无法确认接收方是否收到信息,也无法确认何时开启新的传输周期.
Fig.2 Covert channel cycle
图 2 隐蔽信道周期
1.3 隐蔽信道研究领域
Lampson 提出的隐蔽信道概念关注于程序的限制问题,但当前的隐蔽信道问题已经涉及到安全信息产品
的多个领域,包括安全操作系统、安全数据库、安全网络等.此外,还存在一些倍受关注的、与隐蔽信道相关联
的概念.下面分析隐蔽信道涉及到的研究领域以及相互之间的区别和联系,进一步加深对隐蔽信道的理解.
1.3.1 数据库隐蔽信道
数据库系统中的隐蔽信道主要包括以下 3 类
[12]
:
(1) 数据库存储资源引入的信道.信道可利用的数据库存储资源包括数据和数据字典,其主要原理是发
送者修改数据/数据字典,接收者则通过完整性约束等方式间接感知数据/数据字典的修改,从而获得
信息
[13]
;
(2) 数据库管理资源引入的信道.主要是数据库系统变量或安全机制的资源耗尽型信道.资源包括游标、
临时数据区等.另外,同时管理多个安全级别用户的系统安全机制也可能引入信道,如审计机制等
[14]
;
(3) 事务并发控制引起的隐蔽信道.安全数据库系统中通常依据 BLP 模型
[9]
实施强制访问控制,约束用户
的数据访问操作,以保证数据的安全性.同时,为了保证数据操作的实时性,系统还需要采用实时算法
Sender-Receiver
synchronization
Receiver observes
a symbol
Sender-Receiver
synchronization
(feedback)
Sender-Receiver
period
Transmission
period
Feedback
period
A symbol
transmitted
A symbol
received
Time
2266
Journal of Software 软件学报 Vol.21, No.9, September 2010
处理事务调度和并发控制
[15]
.恶意主体可以利用不同安全级事务间的并发冲突构造隐蔽信道,称作
数据冲突隐蔽信道(data conflict covert channel,简称 DC 信道)
[16]
.
数据冲突隐蔽信道中,两个不同安全级别的用户发起的事务 tr
l
,tr
h
共同访问同一数据项 d
x
,其安全级别关系
为 SL(tr
h
)≥SL(d
x
)≥SL(tr
l
).其中,低安全级别事务 tr
l
写访问 d
x
,高安全级别事务 tr
h
读访问 d
x
.在该场景下,可以构
造多种具体的数据冲突隐蔽信道,实现高安全级用户向低级别用户传递信息.
例如,入侵者利用事务执行过程中是否发生冲突的事实表示希望传输的符号,如图 3 所示.首先,低安全级用
户发起事务 tr
l
,如果高安全级用户希望发出符号‘1’,则发起事务 tr
h
.由于两个事务间存在冲突,系统放弃事务 tr
l
;
如果高安全级用户希望发出符号‘0’,则不发起事务 tr
h
,tr
l
可以执行完成.在该场景下,处于不同安全级别的事务
通过并发控制机制相互干扰传递信息.
Fig.3 DC covert channel
图 3 数据冲突隐蔽信道
1.3.2 阈下信道
阈下信道是指在基于公钥密码技术的数字签名、认证等应用密码体制的输出密码数据中建立起来的一种
隐蔽信道,除指定的接收者外,任何其他人均不知道密码数据中是否存在阈下消息
[17]
.阈下信道又称潜信道,是
一种信息隐藏方法.Simmons 于 1984 通过研究看守监狱中两个囚犯秘密协商逃跑计划的例子(如图 4 所示),引
入了阈下信道的概念
[6]
.图 4 中,Wendy 负责监视囚犯 Alice 和 Bob 的活动,一旦发现有异常行为就将其分开并更
加严格地看管;Alice 和 Bob 必须采用某种约定协商越狱情况.
Fig.4 Prisoner problem
图 4 囚犯问题
虽然在 Simmons 的定义中阈下信道也被称作隐蔽信道,但是一般认为,阈下信道与 TCSEC 标准中所指的隐
蔽信道有所差别
[6,18]
:
(1) 阈下信道是在公开信道中所建立的一种实现隐蔽通信的信道.由于传输信道本身的合法性,其更接
近于信息隐藏研究的范畴,并且已经被认可为一种典型的信息隐藏方法;
(2) 阈下信道的宿主是密码系统,且只能是非对称密码体制.阈下信道的特点是,即使监视者知道要寻求
的内容,也无法发现信道的使用并获取正在传送的阈下消息.因为阈下信道的加密特性,决定了其安
全性要么是无条件的,要么是计算上不可破的.这不是普通隐蔽信道所能做到的而且也不是必需的.
1.3.3 网络信道
网络信道一般可以分为两种:一种是多级安全网络传输信道,另一种是普通网络传输信道.第 1 种网络信道
中强调多级安全概念,这种信道存在于具有不同安全级别,需要进行隔离的主机之间.入侵者期望利用这种信道
从高安全级别主机获得信息,并传递给低安全级别主机.第 2 种网络信道中并不局限于多级安全环境,普通网络
中主机没有安全级别的定义.这种信道的两端主机甚至可能是被允许通信的,该信道只是期望在通信链路上再
tr
l
tr
l
tr
h
Send ‘0’
Send ‘1’
Alice Wendy
Bob
Covert channel
Covert channel
Shared secret
Overt channel Overt+Covert
channel
(Altered) Overt+Covert
channel
Overt channel
剩余26页未读,继续阅读
丽龙
- 粉丝: 22
- 资源: 333
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0