CN102244682B - 一种云计算环境下的隐蔽通信方法 - Google Patents

Abstract

本发明公开了一种云计算环境下的隐蔽通信方法，包括1)发送方与接收方约定机密信息的编解码方法，即将机密信息编码为正常数据传输中的间隔时间；2)发送方建立环形共享内存数据结构，将授权引用发送给接收方，双方以内核模块的形式将环形共享内存控制驱动加载到客户虚拟机内核中；3)接收方将共享内存映射到发送方的内存地址空间；4)发送方和接收方以生产者/消费者模式向共享内存写入和读取包含机密信息的正常数据；5)接收方获得代表机密信息的间隔时间序列，将其解码为机密信息；6)接收方解除共享内存映射；发送方回收授权引用。通过本发明的方法，能够突破虚拟机系统现有的完整性及其相关的安全机制，实现跨虚拟机的信息隐蔽传输。

Description

一种云计算环境下的隐蔽通信方法

技术领域

本发明属于信息安全技术领域，尤其涉及一种云计算环境下的隐蔽通信方法，实现了机密信息的隐蔽传输。 

背景技术

云计算是一种全新的互联网服务模式，为云客户提供安全可靠、可动态调整的计算资源服务。典型的云架构分为基础设施层、平台层和应用层，虚拟化技术为其提供了计算资源的可伸缩性、可用性和基于数据隔离保障的安全性。数据保护是云计算面临的首要安全问题。如何保障客户数据不被泄漏，是云计算以及虚拟化技术的关键。虚拟化技术固有的隔离性为客户数据提供了一定程度的保护；同时安全研究人员也提出多种安全策略技术以实现更高强度的访问控制保障。例如，在Xen(Paul Barham，Boris Dragovic，Keir Fraser，Steven Hand，Tim Harris，Alex Ho，Rolf Neugebauer，Ian Pratt，Andrew Warfield.Xen and the art of virtualization.SOSP’03，Bolton Landing，New York，USA.2003：164-177.)虚拟平台中，sHype实现了Chinese Wall和Type Enforcement等强制访问控制策略来保证数据的机密性；Lares、HyperSentry、HyperSafe等机制实现了基于虚拟机监控器的完整性保护。在安全策略的保障下，同一硬件平台上的多个虚拟机之间可以通过共享硬件资源进行授权通信。然而，机密信息能够以授权通信为载体，实现隐蔽传输，在无法察觉的情况下，实现对系统的安全审计和电子取证。 

2009年，Thomas等研究人员(Thomas Ristenpart，Eran Tromer，Hovav Shacham，Stefan Savage.Hey，you，get off of my cloud：exploring information leakage in third-party compute clouds.CCS’09，Chicago，Illinois，USA.2009：199-212.)指出云计算环境下不同虚拟机之间的进程只要存在硬件资源共享就可能导致隐蔽通信。可能被利用的共享资源包括网络接口、CPU分支预测表、指令Cache、内存总线、CPU调度器、CPU时间片、硬盘接口等。Thomas等人在Amazon EC2平台上实现了基于内存总线和硬盘访问冲突的隐蔽通信方式。对于入侵者来说，通过隐蔽通信方式能够判定多个虚拟机客户系统是否运行在同一硬件平台上，从而为下一步的攻击做准备。对于系统管理者来说，隐蔽通信能够用作安全审计和电子取证。 

2010年，Okamura和Oyama(Keisuke Okamura，Yoshihiro Oyama.Load-based covert channels between Xen virtual machines.SAC’10.Sierre，Switzerland.2010：173-180.)深入研究 了Thomas等人提到的基于CPU负载的隐蔽通信方式。入侵者用不同的操作响应时间表示不同的信息，通过控制CPU负载影响进程执行操作的响应时间，从而实现机密信息的隐蔽传输。他们的研究侧重于定量地分析该传输方式的威胁，当云计算平台存在一个或多个物理CPU时，虚拟CPU对操作的分配会影响信息传输的准确率；以及在存在干扰的情况下，隐蔽通信的效果会降低。 

2011年，(Yinqian Zhang，Ari Juels，Alina Oprea，Michael K.Reiter.HomeAlone：Co-Residency Detection in the Cloud via Side-Channel Analysis.IEEE S&P 2011.Oakland，USA.2011：313-328.)等人深入分析了基于Cache缓存的隐蔽通信方式，类似于基于CPU负载的信息传输方式，通过分析Cache缓存的响应时间能够判断同一硬件平台上是否有其他的虚拟机存在。对于在云计算平台存储关键业务数据的云客户，如果其系统部署方案被同一硬件平台的竞争客户发现，后果将会非常严重。 

云计算平台不同于传统的操作系统、网络系统和服务器平台，云客户数据部署和存储在客户不具有完全控制权力的动态平台中，安全问题成为限制云计算发展和普及的关键问题。虽然通过部署安全策略，配置私有云、公有云、混合云可以创建灵活实用的云平台，但是只要存在硬件资源共享，就不可避免地产生隐蔽通信。隐蔽通信是一柄双刃剑，入侵者能够利用它实现针对云计算虚拟化平台的攻击；系统管理者能够利用它进行安全审计和电子取证。因此，云环境下的隐蔽通信方法对于全面保护系统具有举足轻重的作用。 

发明内容

本发明的目的在于针对现有云计算虚拟化平台，提出一种难以察觉的隐蔽通信方法。使用这种新的通信方法，可以实现同一硬件平台上，不同虚拟机之间的机密信息传输。该方法可用于云计算平台安全审计和电子取证，从而保障云计算平台安全。 

云计算虚拟化平台的隐蔽通信包括以下两个方面。 

1)云计算环境下虚拟化平台的隐蔽通信 

云计算虚拟化平台涉及到虚拟机监控器、虚拟机、以及虚拟机中独立的操作系统，其安全特征主要表现为虚拟机的隔离性。隐蔽通信打破虚拟机系统的隔离性，实现了跨虚拟机的机密信息传输。 

针对虚拟机的隐蔽通信本质上属于信息流传输，因此需要首先定义虚拟机的信息流模型和隔离属性。参考Denning信息流的定义方法，云计算虚拟机(以Xen为例)信息流模型定义为： 

XFM＝<N，P，VM，Θ，→> 

其中，N＝{a，b，…}是包含用于隐蔽通信的共享逻辑资源的集合；σ_a＝{a₁，a₂，…}表示共享资源对象a的状态值集合。在云计算平台的基于CPU负载和Cache缓存的隐蔽通信途径中，逻辑资源集合N中的元素分别表示vCPU、Cache缓存等共享资源。 

在XFM＝<N，P，VM，Θ，→>中，P是进程的集合，表示为P＝{P₁，P₂，…}，Dom(P_i)，Dom(P_j)∈VM，其中VM＝{VM₁，VM₂，…}表示进程所在的虚拟机系统；P_i和P_j处在同一个虚拟机，表示为Dom(P_i)，Dom(P_j)∈VM_k，i、j、k分别表示进程序号和虚拟机序号。 

二元操作符Θ表示进程P_i能够修改/访问逻辑对象a，且修改后其值仍满足其值域，即P_iΘa∈σ_a。二元关系操作符→表示信息流自左向右流动，P_iΘa→P_jΘb表示进程P_i通过操作逻辑对象a发送信息，P_j通过操作逻辑对象b接收信息。 

通过对虚拟机系统信息流模型的描述，可定义虚拟机的隔离属性，其形式化模型为： 

$\&ForAll;a\&Element;N,P_i\mathrm{\&Theta;a}=P_j\mathrm{\&Theta;}\left(P_i\mathrm{\&Theta;a}\right)$

该模型表示对于任意的逻辑对象a，共享资源操作进程P_j无法通过共享资源a的属性或状态推测进程P_i的任何操作，即没有信息流从P_i到P_j，表示为 

在云计算环境中，隐蔽通信方法违反了系统的隔离性。因此，云计算虚拟机的隐蔽通信模型定义为： 

$\&Exists;a\&Element;N,P_i\mathrm{\&Theta;a}\stackrel{\mathrm{Sec}}{\text{\&RightArrow;}}{P}_j\mathrm{\&Theta;b}$

其中 

表示云计算虚拟机系统中部署了安全策略，在该策略下P_i和P_j相互隔离 

操作对象a和b逻辑独立(在实际系统中，可以是相同的物理资源，例如CPU资源)。P_i和P_j通过修改和访问逻辑对象a和b的值实现违反隔离性的信息通信，P_i和P_j之间的通信方式即称为隐蔽通信。 

2)信息泄露的发送方和接收方所处的位置 

虚拟化技术允许在同一硬件平台上创建多个独立虚拟域，分别向用户提供服务。云计算以虚拟化技术为基础，管理同一硬件平台和跨硬件平台的虚拟机逻辑资源。隐蔽通信的潜在途径包括域内隐蔽通信(CC1)、跨平台隐蔽通信(CC2)和域间隐蔽通信(CC3)，隐蔽通信 的信息流示意图如图1所示。 

域内隐蔽通信CC1属于进程级通信方式。进程P_i和P_j处在同一虚拟域(DomU)中，由于虚拟机提供的强隔离性机制，通信的范围局限在该虚拟域内。DomU中运行独立的操作系统，P_i和P_j是处于不同安全级的操作进程，机密信息从高等级进程P_i泄漏到低等级进程P_j，从而实现进程间的隐蔽通信。 

跨平台的隐蔽通信CC2属于网络级通信方式。恶意进程P_k在虚拟机平台DomU中，P_c是其他硬件平台上虚拟机或者独立操作系统中的进程。进程P_k和P_x只能通过网络连接通信，因此CC2被视为基于网络的隐蔽通信。 

域间信息隐蔽通信CC3属于系统级通信方式。收发双方进程分处同一硬件平台上不同的虚拟域(DomU)中，机密信息伴随着操作系统级的授权操作进行传输。CC3类型的隐蔽通信是云计算环境中特有的新类型，由硬件资源共享导致，如基于CPU负载和Cache缓存的隐蔽通信方式。 

本发明的一种云计算环境下的隐蔽通信方法，其技术方案如下。 

典型的信息通信过程包括发送方和接收方的同步阶段、传输阶段和信息传输反馈阶段。在同步阶段发送方通知接收端同步传输时的相关信息，包括传输周期、编码方式等；在传输阶段，发送方按照约定的编码方式将信息有序发送；在接收方反馈之后，发送方开启一个新的传输周期；收发双方循环执行，直到所有的信息发送完毕。 

因此，一种云计算环境下的隐蔽通信方法包括如下步骤，如图2所示： 

1)隐蔽通信的收发双方约定机密信息发送编码及同步机制。信息发送方进程P_i与信息接收方进程P_j约定机密信息的编解码方法，该方法将机密信息编码为正常数据传输中的间隔时间特征； 

2)P_i建立环形共享内存数据结构并在授权表(Xen系统的共享内存机制建立在Domain之间的授权机制上，即对共享内存的访问需要预先通过授权，这种授权机制称为授权表机制)中添加授权项，将授权引用发送给信息接收方进程P_j，双方以内核模块的形式将环形共享内存控制驱动加载到客户虚拟机内核中； 

3)P_j将共享内存映射到自己的内存地址空间； 

4)收发双方以生产者/消费者模式在共享内存中写入和读取包含机密信息的正常数据；发送方写入数据，而接收方读取数据。 

5)接收方P_j根据读取的正常数据获得代表机密信息的间隔时间序列，将其解码为机密信息； 

6)P_j解除共享内存映射；P_i回收授权引用。 

所述机密信息的约定编解码方法为： 

A)发送方P_i将机密信息编码为二进制字符串； 

B)用间隔时间T₀和T₁表示二进制编码中的符号0和1； 

C)发送方P_i发送正常数据时，按照机密信息的二进制字符串顺序用间隔时间T₀和T₁控制数据的发送时间； 

D)接收方P_j将发送间隔时间逆向解析为二进制字符串； 

E)接收方P_j将二进制字符串解码为机密信息。 

上述步骤1)约定了收发双方的信息泄露编解码及同步机制，该机制采用了传输过程中的时间特征。时间间隔按照长短划分为两种类型，分别表示二进制的编码中的符号0和1。在更复杂的信息传输，收发双方可以采用基于密码表的多元编码机制，将要传输的机密信息编码成多元字符串。 

进一步的，发送方P_i通过前端驱动向共享内存发送操作请求，接收方P_j通过后端驱动向共享内存发送操作请求形成环形共享内存结构。 

所述发送方P_i将前端驱动以动态加载模块的方式加载到发送方客户操作系统内核中；接收方P_j将后端驱动以动态加载模块的方式加载到接收方客户操作系统内核中。 

上述步骤3)接收方将共享内存映射到内核空间。发送方对于共享内存的操作，相当于在接收方的内核空间直接操作。 

收发双方以生产者/消费者模式共享系统内存的方法为： 

3a)发送方判断有信息需要写入到共享内存中； 

3b)发送方按照发送队列和时间向共享内存中写入数据； 

3c)接收方读取共享内存数据，发送读取响应； 

3d)发送方处理接收方发送过来的读取响应。 

接收方在每个硬件中断周期(中断是指计算机在执行程序的过程中，当出现异常情况或特殊请求时，计算机停止现行程序的运行，转向对这些异常情况或特殊请求的处理，处理结束后再返回现行程序的间断处，继续执行原程序。)读取共享内存信息，发送读取响应； 

发送方向共享内存写入数据时需要与步骤4)相配合，将机密信息编码成二进制字符串后，在发送过程中，根据相应的发送队列和时间间隔向内存中写入数据。 

上述步骤5)中根据正常数据的发送时间获得间隔时间特征的方法为： 

接收方读取正常数据写入内存的时间戳； 

接收方计算两次写入的时间间隔； 

按发送时间顺序形成时间间隔序列，该序列作为解码源。 

计算发送方向内存写入的时间戳，计算两次写入之间的时间间隔，并保存作为解码源。 

所述发送方P_j和接收方P_j位于同一云计算虚拟化硬件平台的不同虚拟机中。 

所述机密信息包含有双方约定好的起始和截止标志。 

上述步骤6)接收方接收完所有的信息之后。对于得到的所有的时间间隔，接收方根据事先约定好的起始和截止标志，截取表示机密信息内容编码的时间间隔序列进行解码。 

起始和截止标志内的时间间隔序列按照T₀/T₁和符号0/1的对应性，还原成用0/1表示的二进制字符串，从而进一步转换成发送方发送的机密信息字符。 

上述步骤7)接收方解除共享内存映射，发送方传输数据结束后，回收授权引用。表示经过前面六个步骤，整个隐蔽通信过程结束。 

本发明中设计的隐蔽通信方法就是利用CC3类型的信息流传输方式在同一硬件平台上不同虚拟机之间的传输信息。 

本发明针对基于云计算虚拟化平台，以Xen虚拟机架构为例，提出一种隐蔽通信方法。该方法以虚拟机共享内存机制为基础，最终能实现信息的隐蔽传输。该方法中的信息传输双方处在同一硬件平台的不同虚拟机之间，在信息传输起始阶段，首先约定隐蔽传输的相关信息，包括机密信息的编解码机制等；然后信息发送方创建环形内存数据结构并向接收方发送授权引用，允许接收方使用该共享内存；接收方将该共享内存映射到自己的内核空间；发送方按照机密信息编码后的时间序列控制发送正常数据的时间，接收方接受数据并 记录内存写入时间，收发双方以生产者/消费者模式生产和消费共享内存的请求和响应；当所有的正常数据发送完成之后，接收方解除映射，发送方回收授权；发送方按照事先的同步约定获取代表机密信息二进制编码的时间间隔序列，并解码成相应的机密信息字符串。在整个信息传输过程中，机密信息在没有修改内存数据和无法察觉的情况下从一个虚拟机传输到另一个虚拟机中。使用该隐蔽传输方法，能够突破虚拟机系统现有的完整性及其相关的安全机制，实现跨虚拟机的信息隐蔽传输，可以用于安全审计和电子取证，对于全面保护云计算平台具有举足轻重的作用。 

附图说明

图1是云计算环境中典型的隐蔽通信途径图； 

图2是本发明的云计算环境下的隐蔽通信方法的流程示意图； 

图3是基于生产者/消费者的共享系统内存模式的方法流程图； 

图4是基于共享内存的隐蔽通信的示例图。 

具体实施方式

下面结合附图，通过实施例对本发明作进一步说明，但不以任何方式限制本发明的范围。 

本发明是一种针对云计算虚拟化平台的隐蔽通信方法，总体流程如图2所示，以对Xen虚拟机的攻击为例，具体包括：

1)发送方P_i和接收方P_j约定机密信息传输的编码机制和同步机制。约定信息包括机密信息发送起始/终止标识符S_start和S_end，以及机密信息的二进制编码方式，并用T₀和T₁分别表示二进制符号0和1且T₀＜T₁，如图4所示。在本示例中，S_start和S_end分别用‘11110000’表示，即当首次出现‘11110000’时，传输过程开始，再次出现‘11110000’时，传输过程结束。 

2)P_i建立环形共享内存数据结构并在授权表中添加授权项，将授权引用发送给信息接收方进程P_j。如下代码中，1-12行分别定义了请求和响应的数据结构，第14行将该数据结构封装成请求环和响应环，15-21行定义了页面信息页，其中包括授权符gref和环形共享内存ring，发送方P_i可向内写入数据。在Xen的共享内存机制中，发送方将共享内存驱动加载到内核中并将授权符传递给接收方，等待接收方响应。 

1.struct as_request{ 

2.     unsigned int id；           /*private guest value，echoed in resp*/ 

3.     unsigned int status； 

4.     unsigned int operation； 

5.     char data； 

6.}； 

7.struct as_response{ 

8.     unsigned int id；           /*copied from request*/ 

9.     unsigned int status； 

10.    unsigned int operation；    /*copied from request*/ 

11.    char data； 

12.}； 

13.//The following makes the as_sring，as_back_ring，as_back_ring″types″ 

14.DEFINE_RING_TYPES(as，struct as_request，struct as_response)； 

15.struct info_t{ 

16.     int irq； 

17.     int gref； 

18.     int remoteDomain； 

19.     int evtchn； 

20.     struct as_back_ring ring； 

21.}info； 

3)接收方将共享内存驱动加载到内核中，并将共享内存映射到自己的内存地址空间。如下代码中1-14行创建环形内存数据结构，15-20行中创建内存信息页，其中gref为页面授权引用取值由发送方指定，第16行的ring结构为环形共享内存，接收方P_j可以读取共享内存中的数据。收发双方以生产者/消费者模式操作共享系统内存。 

1.struct as_request{ 

2.     unsigned int id；          /*private guest value，echoed in resp*/ 

3.     unsigned int status； 

4.     unsigned int operation； 

5.     char data； 

6.}； 

7.struct as_response{ 

8.     unsigned int id；           /*copied from request*/ 

9.     unsigned int status； 

10.    unsigned int operation；    /*copied from request*/ 

11.    char data； 

12.}； 

13.//The following makes the as_sring，as_back_ring，as_back_ring″types″ 

14.DEFINE_RING_TYPES(as，struct as_request，struct as_response)； 

15.struct info_t{ 

16.    struct as_front_ring  ring； 

17.    grant_ref_t gref； 

18.    int irq； 

19.    int port； 

20.}info； 

4)发送方P_i将机密信息编码成二进制字符串表示，然后根据得到的发送时间间隔序列填充共享内存，发送正常数据。本示例中，假设待发送的信息内容为“sensitive message”，首先对其进行二进制编码，编码后的结果表示如下‘0111001101100101011011100111001101101001011101000110100101110110011001010010000001101101011001010111001101110011011000010110011101100101’，对应的时间序列为‘T₀T₁T₁T₁T₀T₀T₁T₁T₀T₁T₁T₀T₀T₁T₀T₁T₀T₁T₁T₀T₁T₁T₁T₀T₀T₁T₁T₁T₀T₀T₁T₁T₀T₁T₁T₀T₁T₀T₀T₁T₀T₁T₁T₁T₀T₁T₀T₀T₀T₁T₁T₀T₁T₀T₀T₁T₀T₁T₁T₁T₀T₁T₁T₀T₀T₁T₁T₀T₀T₁T₀T₁T₀T₀T₁T₀T₀T₀T₀T₀T₀T ₁T₁T₀T₁T₁T₀T₁T₀T₁T₁T₀T₀T₁T₀T₁T₀T₁T₁T₁T₀T₀T₁T₁T₀T₁T₁T₁T₀T₀T₁T₁T₀T₁T₁T₀T₀T₀T₀T₁T₀T₁T₁T₀T₀T₁T₁T₁T₀T₁T₁T₀T₀T₁T₀T₁’。每次P_i向共享内存写入数据时，根据该时间序列，停顿T₁或者T₀时间，从而控制发送时间间隔。 

5)在每个中断周期，P_j处理发送方请求，得到原始数据及其到达时间信息，并计算相应的时间间隔序列。 

6)当所有的机密信息发送完后，P_i继续发送正常数据直到所有数据发送过程完成。 

7)P_j得到所有的原始信息，将时间间隔序列逆向解析为二进制字符串，然后将其解码成P_i发送的机密信息。P_j计算S_atart和S_end之间的所有的时间间隔，并其转换成‘T₀T₁T₁T₁T₀T₀T₁T₁T₀T₁T₁T₀T₀T₁T₀T₁T₀T₁T₁T₀T₁T₁T₁T₀T₀T₁T₁T₁T₀T₀T₁T₁T₀T₁T₁T₀T₁T₀T₀T₁T₀T₁T₁T₁T₀T₁T₀T₀T₀T₁T₁T₀T₁T₀T₀T₁T₀T₁T₁T₁T₀T₁T₁T₀T₀T₁T₁T₀T₀T₁T₀T₁T₀T₀T₁T₀T₀T₀T₀T₀T₀T ₁T₁T₀T₁T₁T₀T₁T₀T₁T₁T₀T₀T₁T₀T₁T₀T₁T₁T₁T₀T₀T₁T₁T₀T₁T₁T₁T₀T₀T₁T₁T₀T₁T₁T₀T₀T₀T₀T₁T₀T₁T₁T₀T₀T₁T₁T₁T₀T₁T₁T₀T₀T₁T₀T₁’，由于T₀和T₁表示符号0和1，因此该时间序列可转换成二进制‘0111001101100101011011100111001101101001011101000110100101110110011001010010000001101101011001010111001101110011011000010110011101100101’，最终该二进制串可以解码成发送方传递的机密信息“sensitive message”。 

在通信周期完成之后，接收方P_j解除共享内存映射。 

8)发送方P_i回收授权引用。 

9)整个通信过程结束，信息“sensitive message”附带在正常的共享内存操作中从发送方虚拟机传输到接收方虚拟机。信息泄漏过程中没有修改共享内存的正常数据，只对时间做了相应的控制，因此难以察觉。 

在上述传输过程中，为了度量信道容量，定义ΔT＝T₁-T₀为时间间隔差，根据ΔT的不同取值，隐蔽通信的速度也发生相应的变化，如表1所示。同时由于Xen中存在其他的共享操作，导致解码过程中会存在一定的错误，但是错误程度仍在可以接受的范围内。 

表1.信息传输速度与解码错误率 

。

Claims (10)

1.一种云计算环境下的隐蔽通信方法，包括如下步骤：

1）用域间信息隐蔽通信CC3类型的信息流传输方式在同一硬件平台上不同虚拟机之间传输信息，基于云计算平台建立发送方和接收方进程，通过对虚拟机系统信息流模型的描述，定义虚拟机的隔离属性，其形式化模型为：

$\&ForAll;a\&Element;N,P_i\mathrm{\&Theta;a}=P_j\mathrm{\&Theta;}\left(P_i\mathrm{\&Theta;a}\right)$

该模型表示对于任意的逻辑对象a，共享资源操作进程信息接收方进程P_j无法通过共享资源a的属性或状态推测进程发送方进程P_i的任何操作，即没有信息流从P_i到P_j，表示为

定义所述虚拟机的隔离属性为：

$\&Exists;a\&Element;N,P_i\mathrm{\&Theta;a}\stackrel{\mathrm{Sec}}{\&RightArrow;}{P}_j\mathrm{\&Theta;b}$

其中表示云计算虚拟机系统中部署了安全策略，在该策略下P_i和P_j相互隔离，没有信息流从P_i到P_j；P_i和P_j通过修改和访问逻辑对象a和b的值实现违反隔离性的信息通信；P_i和P_j之间的通信方式即称为隐蔽通信；

所述隐蔽通信的发送方进程P_i和信息接收方进程P_j约定机密信息传输的编解码机制和同步机制，约定机密信息包括机密信息发送起始标识符S_start和机密信息发送终止标识符S_end，以及机密信息的二进制编解码方式，并用间隔时间T₀和间隔时间T₁分别表示二进制符号0和1且T₀＜T₁；

2）发送方P_i建立环形共享内存数据结构并在授权表中添加授权项允许接收方使用该共享内存，将授权引用发送给信息接收方进程P_j；

3）接收方将共享内存驱动加载到内核中，并将共享内存映射到自己的内存地址空间；发送方按照机密信息编码后的时间序列控制发送正常数据的时间，接收方接受数据并记录内存写入时间；收发双方以生产者/消费者模式在共享内存中写入和读取数据：所述收发双方进程分处同一硬件平台上不同的虚拟域中，机密信息伴随操作系统级的授权操作进行传输；当所有的正常数据发送完成之后，接收方解除映射，发送方回收授权；发送方按照事先的同步约定获取代表机密信息二进制编码的时间间隔序列，并解码成相应的机密信息字符串；

3-1）发送方进程P_i将机密信息编码成二进制字符串表示，然后根据得到的发送时间间隔序列填充共享系统内存，发送正常数据；

3-2）在每个中断周期，P_j处理发送方请求，得到原始数据及其到达时间信息，并计算相应的时间间隔序列；

3-3）当所有的机密信息发送完后，P_i继续发送正常数据直到所有数据发送过程完成；

3-4）P_j得到所有的原始信息，将时间间隔序列逆向解析为二进制字符串，然后将其解码成发送方进程P_i发送的机密信息，所述发送方进程P_i计算S_start和S_end之间的所有的时间间隔，并将其转换成时间间隔序列，将所述时间间隔序列转换成二进制字符串后该二进制字符串解码成发送方传递的机密信息；

3-5）发送方P_i回收授权引用，所述机密信息附带在正常的共享内存操作中从发送方虚拟机传输到接收方虚拟机，完成隐蔽通信。

2.根据权利要求1所述的云计算环境下的隐蔽通信方法，其特征在于，所述机密信息的约定编解码方法为：

A)发送方P_i将机密信息编码为二进制字符串;

B）用间隔时间T₀和T₁表示二进制编码中的符号0和1；

C)发送方P_i发送正常数据时，按照机密信息的二进制字符串顺序用间隔时间T₀和T₁控制数据的发送时间；

D)接收方P_j接收正常数据后，将正常数据的发送间隔时间逆向解析为二进制字符串；

E）接收方P_j将二进制字符串解码为机密信息。

3.根据权利要求1所述的云计算环境下的隐蔽通信方法，其特征在于，发送方P_i通过前端驱动向共享内存发送操作请求，接收方P_j通过后端驱动向共享内存发送操作请求形成环形共享内存数据结构。

4.根据权利要求1所述的云计算环境下的隐蔽通信方法，其特征在于，发送方P_i将前端驱动以动态加载模块的方式加载到发送方客户操作系统内核中；接收方P_j将后端驱动以动态加载模块的方式加载到接收方客户操作系统内核中。

5.根据权利要求1所述的云计算环境下的隐蔽通信方法，其特征在于，收发双方以生产者/消费者模式在共享内存中写入和读取数据的方法为：

a）发送方判断有信息需要写入到共享内存中；

b）发送方按照发送队列和时间向共享内存中写入数据；

c）接收方读取共享内存数据，发送读取响应；

d）发送方处理接收方发送过来的读取响应。

6.根据权利要求5所述的云计算环境下的隐蔽通信方法，其特征在于，接收方在每个硬件中断周期读取共享内存信息，发送读取响应。

7.根据权利要求1所述的云计算环境下的隐蔽通信方法，其特征在于，所述时间间隔序列的获得方法为：

a）接收方读取正常数据写入内存的时间戳；

b）接收方计算两次写入的时间间隔；

c）按发送时间顺序形成时间间隔序列。

8.根据权利要求1-7任一项所述的云计算环境下的隐蔽通信方法，其特征在于，所述机密信息中包含发送方和接收方约定的起始和截止标志。

9.根据权利要求8所述的云计算环境下的隐蔽通信方法，其特征在于，接收方P_j截取起始和截止标志内的时间间隔序列进行解码。

10.根据权利要求1所述的云计算环境下的隐蔽通信方法，其特征在于，所述发送方P_i和接收方P_j位于同一云计算虚拟化硬件平台的不同虚拟机中。

Images