隱通道可計(jì)算性的研究.pdf

1、作為一項(xiàng)重要的評(píng)估指標(biāo)，美國(guó)國(guó)防部的TCSEC準(zhǔn)則和ISO的CC標(biāo)準(zhǔn)都對(duì)隱通道做出了明確地規(guī)定，即軟件要獲得B2或EAL5及以上級(jí)的安全認(rèn)證，必須要通過(guò)不同強(qiáng)度的隱通道分析。隱通道分析由三部分工作組成：搜索、審計(jì)和消除。在經(jīng)歷了二十世紀(jì)八、九十年代的繁榮期后，近些年隱通道的研究進(jìn)展趨緩。造成這種現(xiàn)象的一個(gè)重要原因是基礎(chǔ)研究與應(yīng)用研究脫節(jié)，由于一直沒(méi)有完整的形式化描述體系作為理論基礎(chǔ)、以及相應(yīng)的數(shù)學(xué)工具作為研究手段，隱通道應(yīng)用領(lǐng)域中的研究

2、工作自然難以快速發(fā)展。給出隱通道的形式化定義，建立適用于隱通道計(jì)算的數(shù)學(xué)工具，并以此為基礎(chǔ)推導(dǎo)隱通道的性質(zhì)、研究隱通道分析中的各項(xiàng)工作，是本文的主要內(nèi)容，也是隱通道基礎(chǔ)研究的重要組成部分。
　　 本文的主要工作可以概括為兩大部分：(1)隱通道可計(jì)算性的研究；(2)在隱通道可計(jì)算性研究基礎(chǔ)上展開(kāi)的應(yīng)用研究。
　　 首先，本文通過(guò)研究可信系統(tǒng)的相關(guān)要素，分析隱通道的工作機(jī)理，給出了隱通道的一種形式化定義，并據(jù)此推導(dǎo)出了隱通道

3、的一般屬性、可計(jì)算屬性、以及存在的最小條件等性質(zhì)；進(jìn)一步地，通過(guò)在隱通道集合的內(nèi)部引入二元運(yùn)算關(guān)系，建立了一個(gè)代數(shù)系統(tǒng)。根據(jù)隱通道空間拓?fù)浣Y(jié)構(gòu)的變化，通過(guò)使用這個(gè)代數(shù)系統(tǒng)，能夠直接計(jì)算出可計(jì)算屬性值的相應(yīng)變化。
　　 其次，針對(duì)在實(shí)踐中觀察到的TCSEC準(zhǔn)則關(guān)于隱通道審計(jì)標(biāo)準(zhǔn)的不足，通過(guò)綜合使用帶寬、勢(shì)差、工作時(shí)間、敏感參數(shù)等多項(xiàng)可計(jì)算指標(biāo)，研制了一個(gè)新的審計(jì)標(biāo)準(zhǔn)α-IA。新標(biāo)準(zhǔn)在兼容TCSEC相關(guān)標(biāo)準(zhǔn)的同時(shí)，能夠根據(jù)用戶的具體

4、需求從不同角度去刻畫(huà)隱通道的威脅。進(jìn)一步地，在隱通道代數(shù)系統(tǒng)的基礎(chǔ)上，我們對(duì)新審計(jì)標(biāo)準(zhǔn)的計(jì)算方法作了詳細(xì)討論。
　　 再次，根據(jù)在可計(jì)算性研究中已經(jīng)證明出的隱通道存在的最小條件，對(duì)已知的靜態(tài)隱通道搜索和消除方法進(jìn)行了分類研究，總結(jié)了每種方法的基本思想和簡(jiǎn)要操作步驟，并討論了它們各自的優(yōu)點(diǎn)與不足。進(jìn)一步地，針對(duì)靜態(tài)方法的不足，提出了非靜態(tài)的隱通道搜索和消除方法。與基于系統(tǒng)項(xiàng)級(jí)描述或源代碼分析的靜態(tài)方法不同，這類新方法要求在系統(tǒng)的運(yùn)

5、行狀態(tài)下實(shí)行，現(xiàn)階段它們既可以獨(dú)立地使用，也可以作為靜態(tài)方法的補(bǔ)充。一般地，非靜態(tài)方法的總體成本低于相應(yīng)的靜態(tài)方法。搜索是隱通道審計(jì)和消除的工作依據(jù)，鑒于搜索環(huán)節(jié)的重要性，文中還對(duì)通用的全自動(dòng)隱通道搜索問(wèn)題進(jìn)行了研究，并證明了這是一個(gè)不可判定問(wèn)題，即不存在一個(gè)算法能在有限的時(shí)間里搜索出任意程序中含有的任何隱通道。這告訴我們不可能依賴單個(gè)程序，一勞永逸地解決所有的隱通道搜索問(wèn)題。
　　 最后，根據(jù)在可計(jì)算性研究中建立的隱通道形式化

6、定義，模擬隱通道的工作機(jī)理，開(kāi)發(fā)了一個(gè)隱通道的仿真系統(tǒng)。通過(guò)設(shè)計(jì)使用不同的通信協(xié)議，比較全面地對(duì)隱通道進(jìn)行了仿真，測(cè)試了隱通道的帶寬、抗干擾等項(xiàng)指標(biāo)。通過(guò)仿真試驗(yàn)還觀察到了一些在靜態(tài)分析中觀察不到的隱通道性質(zhì)，文中對(duì)這些性質(zhì)的成因做了分析。在文章結(jié)尾處，我們提出隱通道的語(yǔ)義分析是未來(lái)隱通道研究的重要方向。
　　 本文的主要?jiǎng)?chuàng)新點(diǎn)是：
　　 (1)給出了隱通道的形式化定義，并在此基礎(chǔ)上推導(dǎo)了隱通道的性質(zhì)，建立了一個(gè)用于隱通

7、道計(jì)算的代數(shù)系統(tǒng)。這為隱通道的形式化研究提供了理論基礎(chǔ)和數(shù)學(xué)工具。
　　 早期的隱通道研究，多是依據(jù)實(shí)際問(wèn)題提出特定的隱通道處理方法，因此這些方法看起來(lái)是彼此孤立的、且缺乏必要的理論基礎(chǔ)。在這種情況下，隱通道的研究不僅無(wú)法從形式化的高度展開(kāi)，而且只能依賴于試驗(yàn)和觀察去發(fā)現(xiàn)新的隱通道性質(zhì)并檢驗(yàn)相關(guān)處理方法的正確性。
　　 (2)研制了一個(gè)新的隱通道審計(jì)標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)在兼容TCSEC相關(guān)標(biāo)準(zhǔn)的基礎(chǔ)上，能根據(jù)用戶的需求，從多個(gè)角

8、度去刻畫(huà)隱通道的威脅。
　　 TCSEC使用純粹的帶寬指標(biāo)來(lái)審計(jì)隱通道的威脅，帶寬越高、威脅越大。這種方法的缺陷是沒(méi)有綜合考慮隱通道其它屬性對(duì)系統(tǒng)安全造成的危害。例如有兩個(gè)隱通道，它們的帶寬都是200 bits/s，其中一個(gè)將保密信息從“絕密”級(jí)泄露到“公開(kāi)”級(jí)，而另一個(gè)卻只是將保密信息從“絕密”級(jí)泄露到“機(jī)密”級(jí)，顯然兩者對(duì)系統(tǒng)安全的威脅并不真正相同。類似的情況還有，如果其中一個(gè)僅工作了1秒鐘，而另一個(gè)卻工作了1小時(shí)，那又該如

9、何評(píng)價(jià)它們的威脅?在TCSEC準(zhǔn)則關(guān)于隱通道的審計(jì)標(biāo)準(zhǔn)中，沒(méi)有回答這些問(wèn)題。
　　 (3)提出了非靜態(tài)的隱通道搜索和消除方法。
　　 靜態(tài)的隱通道搜索與消除方法，是建立在系統(tǒng)項(xiàng)級(jí)描述或源代碼分析基礎(chǔ)之上的方法，它們?cè)谑褂玫倪^(guò)程中容易找到一些在實(shí)際系統(tǒng)中并不存在的偽非法信息流，而消除這些偽非法信息流不僅會(huì)造成系統(tǒng)運(yùn)行效率的不必要下降，而且會(huì)消耗有限的人力、物力資源。
　　 非靜態(tài)的隱通道搜索與消除方法，是在系統(tǒng)動(dòng)態(tài)