CN102045158A - 一种隐蔽信道标识方法 - Google Patents

Abstract

本发明公开了一种隐蔽信道标识方法，以系统原代码为分析对象，首先将安全信息系统中的隐蔽信道形式化描述为<V，PA_h，PV_l，P>；然后将待分析系统划分成相对独立的子系统；在每个子系统中以共享变量为基本单元搜索相关的函数调用分支，进而根据信息流关系构建有向信息流图；并根据隐蔽信道的形式化描述对每个信息流图进行剪枝，消除代码中的无效流分支和变量别名；最后得到的所有的信息流图中的变量节点和函数调用分支即为潜在的隐蔽信道组成因素。本发明适用于高安全等级的操作系统、数据库、网络等信息系统的源代码，具有广泛的应用范围、较高的执行效率、较低的误报率和漏报率，能标识系统中的潜在隐蔽信道，满足安全标准对隐蔽信道分析的要求。

Description

一种隐蔽信道标识方法

技术领域

本发明涉及高安全等级信息系统的隐蔽信道分析技术，特别涉及隐蔽信道的标识方法，提出了一种实用的基于有向信息流图的代码层隐蔽信道标识方法。

背景技术

隐蔽信道是指允许进程以危害系统安全策略的方式传输信息的通信信道，国内外安全标准都要求高等级的安全信息系统必须进行隐蔽信道分析。隐蔽信道标识是隐蔽信道分析的核心技术，其目的是查找系统中所有潜在的隐蔽信道，是信道度量和处置的前提。目前存在的隐蔽信道标识方法包括信息流分析法，共享资源矩阵法，无干扰分析法等。但是这些方法都存在着状态爆炸、实施复杂度高、标识结果不够全面、不能在实际系统中通用等问题(王永吉，吴敬征，曾海涛，丁丽萍，廖晓锋.隐蔽信道研究.软件学报，2010，21(9)：2262-2288.http://www.jos.org.cn/1000-9825/3880.htm)。

Denning提出一种基于信息流的隐蔽信道标识方法，该方法首先对信息流模型进行了形式化描述，然后从每个语句中抽象出信息流语义，并根据信息流策略生成信息流公式，最后利用定理证明器证明信息流公式的正确性(Denning DE.A lattice model of secureinformation flow.Communications of the ACM，1976，19(5)：236-243.)。该方法搜索相对彻底，支持源代码增量分析。但是该方法可能会标识出大量伪非法流，增加了人工分析的负担，不能直接获得隐蔽信道代码的位置。

Tsai等人改进了Denning的方法，加入语义理解，提出语义信息流方法(Tsai CR，GligorVD，Chandersekaran CS.On the identification of covert storage channels in secure systems.IEEETrans.on Software Engineering，1990，16(6)：569-580.)。该方法首先分析编程语言的语义、解析变量别名，发现其中变量的可修改性和可见性，利用信息流分析方法来判断内核变量的间接可见性。语义信息流方法可以排除大量伪非法流，确定隐蔽信道代码位置，但是该方法仍然存在着工作量大、缺少自动化工具的缺点。

Kemmerer提出共享资源矩阵法(Kemmerer RA.Shared resource matrix methodology：anapproach to identifying storage and timing channels.ACM Trans.Comput Syst，1983，1(3)：256-277.)。该方法首先分析系统所有的操作原语，并根据原语的读写属性构建共享资源矩阵。然后对该矩阵进行传递闭包操作，发现间接读写操作，最后根据读写进程的安全级支配关系判断是否存在隐蔽信道。共享资源矩阵法不需要事先设置安全级别，因此避免了出现伪非法流。但是从源代码层次构建共享资源矩阵可能会引起状态爆炸，同时该方法不能增量分析新的原语。

发明内容

本发明的目的在于针对现有技术存在的问题，提供一种能够全面准确标识隐蔽信道，降低复杂度，能够针对系统源代码进行分析的通用方法。

本发明的隐蔽信道标识方法，以系统源代码为分析对象，其技术方案如下。

一种隐蔽信道标识方法，包括以下步骤：

1)将隐蔽信道形式化表述为<V，PA_h，PV_l，P>，其中V代表共享资源，PA_h代表能够修改共享资源V的高安全级主体，PV_l代表能够观测V值发生变化的低安全级主体，P代表安全信息系统的非自主访问控制策略，并且PA_h的安全级支配PV_l的安全级，表示为PA_h＞_pPV_l。对应的，在系统源代码中，共享资源V表示系统共享变量；PA_h和PV_l表示不同的用户进程，它们对共享资源V的修改始终满足V的值域，即

在安全策略P的保障下，不允许信息流从PA_h流向PV_l。隐蔽信道标识就是发现系统中所有违反安全策略P，导致信息流从PA_h流向PV_l的潜在隐蔽信道。

2)以高内聚低耦合为划分原则，将待分析系统划分成若干个相对独立的子系统。

3)在每个子系统中以共享变量为基本单元搜索相关的信息流分支，对于同时存在读和写信息流分支的共享变量，根据信息流关系创建有向信息流图，而对于不同时存在读和写信息流分支的共享变量不再分析。

共享变量V的读调用函数F_r，以及函数之间的调用关系可表示为V→F_r1→F_r2，F_r2→…→F_rn；共享变量V的写调用函数F_w，以及函数之间的调用关系表示为V←F_w1←F_w2，F_w2←…←F_wn。共享变量V的读信息流分支以及读信息流分支集合分别表示为B_r(V)＝F_rn→…→F_r2→F_r1→V和set(B_r(V))＝{F_rn→…→F_r2→F_r1→V，F_rk→F_ri→V，…}，写信息流分支以及写信息流分支集合分别表示为B_w(V)＝F_wn→…→F_w2→F_w1→V和set(B_w(V))＝{F_wm→…→F_w2→F_w1→V，F_wj→F_wi→V，…}，其中i、j、k和n均代表正整数，i＝j-1，j＝k-1，k≤n。

4)对每个有向信息流图进行剪枝，即先删除用户界面不可见的流分支，然后判断该有向信息流图是否还同时具有读和写信息流分支，是则保留该有向信息流图，否则删除该图。即对于任意变量V，信息流分支需要满足top(B_r(V))，top(B_w(V))∈set(syscalls)。

5)将剪枝后剩下的有向信息流图作为标识结果输出，信息流图中的共享变量、读信息流分支和写信息流分支分别对应于隐蔽信道形式化表述<V，PA_h，PV_l，P>中的V、PA_h和PV_l。

上述步骤1)形式化描述了安全信息系统中的隐蔽信道<V，PA_h，PV_l，P>，该表述指明了隐蔽信道不可或缺的基本要素。

上述步骤2)将待分析的完整系统划分成相对独立的子系统，以便进行模块化分析，降低分析规模和复杂度。在这一步骤，把每个子系统的共享变量存在共享变量列表中，并且还可以将跨子系统的共享变量合并，以这些共享变量作为下一步分析的数据。

上述步骤3)是针对每个子系统中的共享变量进行分析，创建有向信息流图，可根据如下步骤进行：

3a)判断共享变量列表中所有的共享变量是否都已经分析过，是则转到步骤3f)，否则转到步骤3b)对一未分析过的共享变量进行分析；

3b)在当前子系统中查找该共享变量的信息流分支，并判断是否同时存在读和写的信息流分支，是则转到入步骤3c)，否则转到步骤3d)；

3c)创建该共享变量的有向信息流图，并保存相应的共享变量和信息流分支信息，转到步骤3a)；

3d)如果存在下一个子系统则转到步骤3b)，否则转到步骤3e)；

3e)该共享变量不同时存在读和写的信息流分支，剪枝掉该共享变量，不再分析，转到步骤3a)；

3f)所有的共享变量都已经分析过，结束有向信息流图创建过程。

上述步骤3b)对每个共享变量搜索其信息流分支的具体方法可如下：对共享变量的每一个直接调用函数递归搜索该函数的调用函数，同时记录函数之间的读写关系，直至遍历该共享变量所有的直接调用函数。对每个共享变量搜索之后的输出结果是具有读写信息的变量与函数、函数与函数关系的信息流分支。

上述步骤4)对有向信息流图执行剪枝操作，具体步骤可如下：

4a)针对一有向信息流图，判断其共享变量V_i与其他共享变量V_j之间是否存在V_i→V_j的关系(即信息从V_i流向V_j)，是则转到步骤4b)，否则转到步骤4c)；

4b)合并V_i和V_j，并合并相应的流分支，得到合并后的有向信息流图，进入步骤4c)；

4c)取当前有向信息流图中的未分析过的流分支，判断该流分支是否是用户界面可见的，即流分支最顶层的函数是否是系统调用的，是则转到步骤4e)，否则转到步骤4d)；

4d)剪枝该信息流分支，即删除该流分支，转到步骤4e)；

4e)判断该有向信息流图中是否还存在未分析过的流分支，存在则转到步骤4c)，否则转到步骤4f)；

4f)判断该有向信息流图是否同时具有读和写信息流分支，是则转到步骤4h)，否则转到步骤4g)；

4g)剪枝整个有向信息流图，即删掉该图，转到步骤4h)；

4h)判断是否所有的有向信息流图已经被分析过，是则结束有向信息流图剪枝过程，否则转到步骤4a)。

有向信息流图剪枝过程是隐蔽信道标识过程中的最后一个步骤，剪枝后仍然剩下的有向信息流图都是潜在的隐蔽信道。有向信息流图中的共享变量是潜在隐蔽信道的中间变量，用形式化表述<V，PA_h，PV_l，P>中的V表示，读写分支分别是修改或者观察共享变量的用户界面信息流分支，用PA_h和PV_l表示。在所有潜在隐蔽信道中排除不能真实利用的隐蔽信道，需要考虑安全策略P，如果在安全策略P下PA_h的优先级支配PV_l的优先级

则为真实的隐蔽信道。

本发明采用了模块化分析的处理方法，将待分析的完整系统划分成相对独立的子系统，能有效降低分析规模，降低系统分析复杂度；在每个子系统中以共享变量为基本单元搜索相关的信息流分支，进而根据信息流关系创建有向信息流图，将分析单元进一步缩小，降低分析的复杂度；接着根据隐蔽信道的形式化描述为每个有向信息流图实施剪枝，删除不可能成为潜在隐蔽信道的信息流分支，在分析过程中删除了无用分支，避免发生状态爆炸；最后得到的所有的有向信息流图中的共享变量和信息流分支即为潜在的隐蔽信道组成因素。本发明克服了现有方法的缺点，实现了通用的隐蔽信道标识方法，适用于高安全等级的操作系统、数据库、网络等信息系统的源代码，具有广泛的应用范围、较高的执行效率、较低的误报率和漏报率，能标识系统中的潜在隐蔽信道，满足安全标准对隐蔽信道分析的要求。

附图说明

图1是本发明基于有向信息流图的隐蔽信道标识方法流程示意图；

图2是创建有向信息流图的流程图；

图3是查找共享变量的调用分支的流程图；

图4是对有向信息流图剪枝的流程图。

具体实施方式

下面结合附图，通过实施例对本发明作进一步的说明，但不以任何方式限制本发明的范围。

本发明基于有向信息流图的代码层隐蔽信道标识方法的总体流程如图1所示，以对Linux系统的隐蔽信道标识为例，具体包括：

1)首先按照低内聚高耦合的原则将Linux系统划分为相对独立的子模块(即子系统)，所述子模块包括{kernel，mm，ipc，fs，net，init，block，……}，将每个子模块作为独立的部分分别进行分析。

2)取其中的独立子模块fs为分析对象。其共享变量包括{i_hash_mask，last_type，s_free_inodes_count，s_free_blocks_count，nr_files，last_ino，inodes_stat.nr_inodes，inotify_mnt，dentry_unused，……}。以共享变量为基本单元搜索信息流分支，搜索共享变量信息流分支的流程如图3所示，取该共享变量的一个直接调用函数递归搜索该函数的调用函数，同时记录函数之间的读写关系，即得到该直接调用函数的调用分支(即信息流分支)结果并加以保存，如此循环操作直至遍历该共享变量所有的直接调用函数。例如，对于共享变量i_hash_mask，其读信息流分支集合为：

set(B_r(i_hask_mask))＝{blkdev_open→bd_acquire→bdget→iget5_locked→i_hask_mask，

                open_bdev_excl→do_open→bdget→iget5_locked→i_hask_mask，

                blkdev_get→do_open→bdget→iget5_locked→i_hask_mask，

                do_open→bdget→iget5_locked→i_hask_mask，…}

写信息流分支集合为：

set(B_w(i_hask_mask))＝{vfs_caches_init_early←inode_init_early←i_hask_mask，

                inode_init_early←i_hask_mask，

                vfs_caches_init←inode_init←i_hask_mask，

                inode_init←i_hask_mask，…}

根据该信息流分支可以创建有向信息流图，i_hask_mask为图中的节点，其读写信息流分支分别构成有向信息流图的边。有向信息流图的创建流程如图2所示。

3)剪枝有向信息流图。

由于共享变量i_hask_mask所有的信息流分支在用户界面层都不可见，即所有的读写信息流分支都不被系统调用所调用，因此剪掉其有向信息流图。

而对于其他的共享变量，如last_type，由于其读写信息流分支都能够在用户界面可见(如表1所示)，因此构成潜在隐蔽信道。

表1.last_type读写信息流分支

对于存在V_i→V_j关系的共享变量，合并它们的信息流分支后在对合并后的有向信息流图进行剪枝操作。对有向信息流图剪枝的流程如图4所示。

4)对所有子模块中的所有共享变量创建有向信息流图和剪枝之后，剩余的所有共享变量及相应的信息流分支构成潜在隐蔽信道集合。

Claims (5)

1.一种隐蔽信道标识方法，以系统源代码为分析对象，包括以下步骤：

1)将隐蔽信道形式化表述为<V，PA_h，PV_l，P>，其中：V代表共享资源，PA_h代表能够修改共享资源V的高安全级主体，PV_l代表能够观测V值发生变化的低安全级主体，P代表安全信息系统的非自主访问控制策略，并且PA_h的安全级支配PV_l的安全级，表示为PA_h＞_pPV_l；对应的，在系统源代码中，V表示系统共享变量；PA_h和PV_l表示不同的用户进程，它们对V的修改始终满足V的值域，即

2)以高内聚低耦合为划分原则，将待分析系统划分成多个相对独立的子系统；

3)在每个子系统中以共享变量为基本单元搜索信息流分支，仅针对同时存在读和写信息流分支的共享变量，根据信息流关系创建有向信息流图；

4)对每个有向信息流图进行剪枝，即先删除用户界面不可见的流分支，然后判断该有向信息流图是否还同时具有读和写信息流分支，是则保留该有向信息流图，否则删除该图；

5)输出剪枝后剩下的有向信息流图，信息流图中的共享变量、读信息流分支和写信息流分支分别对应于隐蔽信道形式化表述<V，PA_h，PV_l，P>中的V、PA_h和PV_l。

2.如权利要求1所述的隐蔽信道标识方法，其特征在于，在所述步骤2)中将每个子系统的共享变量存在共享变量列表中，并且合并跨子系统的共享变量。

3.如权利要求2所述的隐蔽信道标识方法，其特征在于，所述步骤3)根据如下步骤创建有向信息流图：

3a)判断共享变量列表中所有的共享变量是否都已经分析过，是则转到步骤3f)，否则转到步骤3b)对一未分析过的共享变量进行分析；

3b)在当前子系统中查找该共享变量的信息流分支，并判断是否同时存在读和写的信息流分支，是则转到入步骤3c)，否则转到步骤3d)；

3c)创建该共享变量的有向信息流图，并保存相应的共享变量和信息流分支信息，转到步骤3a)；

3d)如果存在下一个子系统则转到步骤3b)，否则转到步骤3e)；

3e)该共享变量不同时存在读和写的信息流分支，剪枝掉该共享变量，不再分析，转到步骤3a)；

3f)所有的共享变量都已经分析过，结束有向信息流图创建过程。

4.如权利要求3所述的隐蔽信道标识方法，其特征在于，所述步骤3b)中查找共享变量的信息流分支的方法是：对共享变量的每一个直接调用函数递归搜索该函数的调用函数，同时记录函数之间的读写关系，直至遍历该共享变量所有的直接调用函数。

5.如权利要求1所述的隐蔽信道标识方法，其特征在于，所述步骤4)对有向信息流图进行剪枝的步骤是：

4a)针对一有向信息流图，判断其共享变量V_i与其他共享变量V_j之间是否存在V_i→V_j的关系，是则转到步骤4b)，否则转到步骤4c)；

4b)合并V_i和V_j，并合并相应的流分支，得到合并后的有向信息流图，进入步骤4c)；

4c)取当前有向信息流图中的一未分析过的流分支，判断该流分支是否是用户界面可见的，是则转到步骤4e)，否则转到步骤4d)；

4d)删除该信息流分支，转到步骤4e)；

4e)判断该有向信息流图中是否还存在未分析过的流分支，存在则转到步骤4c)，否则转到步骤4f)；

4f)判断该有向信息流图是否同时具有读和写信息流分支，是则转到步骤4h)，否则转到步骤4g)；

4g)删掉该有向信息流图，转到步骤4h)；

4h)判断是否所有的有向信息流图已经被分析过，是则结束有向信息流图剪枝过程，否则转到步骤4a)。

Images