技術領域

本發明屬于信息安全技術領域，涉及一種基于系統操作指南的對多級安全系統進行隱通道搜索的方案。

背景技術

多級安全系統因為不存在密鑰管理、以及對用戶透明等優點，所以在軍方、企業的內部網絡中得到了廣泛應用。但多級安全系統中存在著一個重要的安全隱患，即隱通道問題。

由于隱通道在導致機密性信息泄漏方面所起的作用，美國國防部率先在其發布的可信計算機系統評估準則（TCSEC）中，將隱通道明確列入評估的指標，規定在B2級及以上高安全等級系統設計和開發中，必須進行隱通道分析。其后，多個國家都在相應的標準中對隱通道分析作了硬性規定。我國《計算機信息系統安全保護等級劃分準則》（GB?17859-1999）中也規定：對于第四級（結構化保護級）和第五級（訪問驗證保護級）的安全系統，系統開發者應徹底搜索隱通道，并根據實際測量或工程估算確定每一個被標識信道的最大帶寬。

徹底搜索隱通道，即標識隱通道的工作是隱通道分析中最為困難的一環。其困難性體現在理論和工程實踐兩個方面：第一理論上仍然不夠成熟，沒有嚴謹且行之有效的方法；第二實際工作量龐大，手工分析容易出錯，缺乏行之有效的自動工具。目前存在的隱通道搜索方法主要有下面四種。

共享資源矩陣法

共享資源矩陣法由Kemmerer于1983年提出，是迄今為止最為成功的一種隱蔽通道標識方法。該方法的分析步驟是:

1、分析所有的可信計算基TCB原語操作，確定通過TCB接口用戶可見/可修改的共享資源屬性；

2、構造共享資源矩陣，該矩陣的各行對應于用戶可見的TCB原語，各列對應于用戶可見/可修改的共享資源屬性。如果一個原語可以讀一個變量，則將該矩陣項（TCB原語，變量）標記為R。類似地，如果一個原語可以修改一個變量，則將該矩陣項（TCB原語，變量）標記為M。最后，將既不能讀又不能寫的變量合并，分析時將它們視為一個變量。

3、對共享資源矩陣完成傳遞閉包操作，具體步驟如下:在矩陣中搜索包含標記R的每一項，如果該項所在的行中出現M標記，則檢查包含該M項的所在列。如果在該列的任意一個行中出現R標記，且該行與原始R項所在列的對應行中沒有R標記，則在該矩陣項中增加間接讀標記r。重復以上操作，直到矩陣中無法再增加r項時為止。注意，這里區分r與R僅表明，r為間接讀，R為直接讀。在今后的分析中，將r等同地視為R。

4、分析每個矩陣行，找出同時包含R和M的行，并刪去其他矩陣行。當一個進程可以讀一個變量且另一個進程可以寫該變量時，如果寫進程的安全級支配讀進程的安全級，就可能產生潛在的隱蔽通道。通過對矩陣項的分析，可以得到以下4種不同類型的通道:

(1)該通道為合法通道，將它標記為“L”；

(2)從該通道無法獲得有用的信息，將它標記為“N”；

(3)發送進程與接收進程是同一個進程，將它標記為“S”；

(4)該通道為潛在的隱蔽通道，將它標記為“P”。

5、分析矩陣所有的項，構造潛在隱蔽通道的實際應用場景。可以構造出實際應用場景的潛在隱蔽通道，即為真實隱蔽通道。

語法信息流方法

語法信息流方法的分析步驟是，(1)將信息流語義附加在每個語句之后。例如，當b不為常數時，賦值語句a:＝b產生由b到a的信息流，用a←b表示，并稱之為“明流”。類似地，條件語句產生暗流。例如，if?x＝a?then?y:＝b?else?z:＝c產生的暗流是y←x和z←x。這時，同時存在明流y←b和z←c。(2)定義安全信息流策略，例如“如果信息從變量b流向變量a，則a的安全級必須支配變量b的安全級”。(3)將流策略應用于形式化頂層規范或源代碼，生成信息流公式。例如，a:＝b的流公式為SL(a)≥SL(b)，其中SL(x)表示變量x的安全級。(4)證明流公式的正確性。如果無法證明某個流公式的正確性，則需要進一步對語句進行語義分析，并判斷該信息流：(a)是非法流還是偽非法流；(b)是否能夠產生真實隱蔽通道，而不只是潛在隱蔽通道。

語義信息流方法

語義信息流方法的分析步驟是，(1)選擇用于隱蔽通道分析的內核原語；(2)確定內核變量的可見性/可修改性：(i)通過語義分析，確定內核變量的直接可見性/可修改性；(ii)對每個原語生成一個“函數調用依賴關系”集合FCD；(iii)通過信息流分析，確定內核變量的間接可見性；(iv)在每個原語中解決變量別名問題；(v)標識在原語間共享的用戶進程可見/可修改的變量，消除局部變量；(3)分析共享變量，并標識隱蔽存儲通道。

無干擾方法