一種基于系統(tǒng)操作指南的隱通道搜索方法技術(shù)方案

本發(fā)明專利技術(shù)公開了一種基于系統(tǒng)操作指南的隱通道搜索方法，首先標(biāo)識(shí)出系統(tǒng)中所有被多個(gè)用戶共享的對象；對每個(gè)對象標(biāo)識(shí)出該對象擁有的所有屬性；將屬性分成布爾型、數(shù)值型、字符型三種類型；對每種類型，依據(jù)系統(tǒng)操作指南將引起屬性相同變化的高安全級(jí)用戶的操作序列歸結(jié)為一類，將引起屬性相同變化的低安全級(jí)用戶的操作序列歸結(jié)為一類；在高低安全級(jí)用戶的每一類操作序列中分別隨機(jī)選取一個(gè)操作序列，將兩個(gè)操作序列按照組合規(guī)則組成一個(gè)新操作序列集；運(yùn)行所有新操作序列并記錄結(jié)果；如果某個(gè)新操作序列的執(zhí)行結(jié)果與運(yùn)行低安全級(jí)用戶選取的操作序列得到的結(jié)果不一致，則新操作序列可用來產(chǎn)生隱通道。適用于面向用戶的多級(jí)安全系統(tǒng)中的隱通道搜索。

【技術(shù)實(shí)現(xiàn)步驟摘要】

本專利技術(shù)屬于信息安全
，涉及一種基于系統(tǒng)操作指南的對多級(jí)安全系統(tǒng)進(jìn) 行隱通道搜索的方案。
技術(shù)介紹
多級(jí)安全系統(tǒng)因?yàn)椴淮嬖诿荑€管理、以及對用戶透明等優(yōu)點(diǎn)，所以在軍方、企業(yè)的 內(nèi)部網(wǎng)絡(luò)中得到了廣泛應(yīng)用。但多級(jí)安全系統(tǒng)中存在著一個(gè)重要的安全隱患，即隱通道問 題。由于隱通道在導(dǎo)致機(jī)密性信息泄漏方面所起的作用，美國國防部率先在其發(fā)布 的可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則(TCSEC)中，將隱通道明確列入評估的指標(biāo)，規(guī)定在B2級(jí)及 以上高安全等級(jí)系統(tǒng)設(shè)計(jì)和開發(fā)中，必須進(jìn)行隱通道分析。其后，多個(gè)國家都在相應(yīng)的標(biāo) 準(zhǔn)中對隱通道分析作了硬性規(guī)定。我國《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB 17859-1999)中也規(guī)定對于第四級(jí)(結(jié)構(gòu)化保護(hù)級(jí))和第五級(jí)(訪問驗(yàn)證保護(hù)級(jí))的安全系 統(tǒng)，系統(tǒng)開發(fā)者應(yīng)徹底搜索隱通道，并根據(jù)實(shí)際測量或工程估算確定每一個(gè)被標(biāo)識(shí)信道的 最大帶寬。徹底搜索隱通道，即標(biāo)識(shí)隱通道的工作是隱通道分析中最為困難的一環(huán)。其困難 性體現(xiàn)在理論和工程實(shí)踐兩個(gè)方面第一理論上仍然不夠成熟，沒有嚴(yán)謹(jǐn)且行之有效的方 法；第二實(shí)際工作量龐大，手工分析容易出錯(cuò)，缺乏行之有效的自動(dòng)工具。目前存在的隱通 道搜索方法主要有下面四種。共享資源矩陣法共享資源矩陣法由Kemmerer于1983年提出，是迄今為止最為成功的一種隱蔽通 道標(biāo)識(shí)方法。該方法的分析步驟是1、分析所有的可信計(jì)算基TCB原語操作，確定通過TCB接口用戶可見/可修改的 共享資源屬性；2、構(gòu)造共享資源矩陣，該矩陣的各行對應(yīng)于用戶可見的TCB原語，各列對應(yīng)于用 戶可見/可修改的共享資源屬性。如果一個(gè)原語可以讀一個(gè)變量，則將該矩陣項(xiàng)(TCB原語， 變量)標(biāo)記為R。類似地，如果一個(gè)原語可以修改一個(gè)變量，則將該矩陣項(xiàng)(TCB原語，變量) 標(biāo)記為M。最后，將既不能讀又不能寫的變量合并，分析時(shí)將它們視為一個(gè)變量。3、對共享資源矩陣完成傳遞閉包操作，具體步驟如下在矩陣中搜索包含標(biāo)記R 的每一項(xiàng)，如果該項(xiàng)所在的行中出現(xiàn)M標(biāo)記，則檢查包含該M項(xiàng)的所在列。如果在該列的任 意一個(gè)行中出現(xiàn)R標(biāo)記，且該行與原始R項(xiàng)所在列的對應(yīng)行中沒有R標(biāo)記，則在該矩陣項(xiàng)中 增加間接讀標(biāo)記r。重復(fù)以上操作，直到矩陣中無法再增加r項(xiàng)時(shí)為止。注意，這里區(qū)分r 與R僅表明，r為間接讀，R為直接讀。在今后的分析中，將r等同地視為R。4、分析每個(gè)矩陣行，找出同時(shí)包含R和M的行，并刪去其他矩陣行。當(dāng)一個(gè)進(jìn)程可 以讀一個(gè)變量且另一個(gè)進(jìn)程可以寫該變量時(shí)，如果寫進(jìn)程的安全級(jí)支配讀進(jìn)程的安全級(jí)， 就可能產(chǎn)生潛在的隱蔽通道。通過對矩陣項(xiàng)的分析，可以得到以下4種不同類型的通道(I)該通道為合法通道，將它標(biāo)記為“L”；(2)從該通道無法獲得有用的信息，將它標(biāo)記為“N” ；(3)發(fā)送進(jìn)程與接收進(jìn)程是同一個(gè)進(jìn)程，將它標(biāo)記為“S” ；(4)該通道為潛在的隱蔽通道，將它標(biāo)記為“P”。5、分析矩陣所有的項(xiàng)，構(gòu)造潛在隱蔽通道的實(shí)際應(yīng)用場景。可以構(gòu)造出實(shí)際應(yīng)用場景的潛在隱蔽通道，即為真實(shí)隱蔽通道。語法彳目息流方法語法信息流方法的分析步驟是，(I)將信息流語義附加在每個(gè)語句之后。例如，當(dāng) b不為常數(shù)時(shí)，賦值語句a: = b產(chǎn)生由b到a的信息流，用a — b表示，并稱之為“明流”。類似地，條件語句產(chǎn)生暗流。例如，if X = a then y: = b else z: = c產(chǎn)生的暗流是y — x 和z —x。這時(shí)，同時(shí)存在明流y — b和z — c。(2)定義安全信息流策略，例如“如果信息從變量b流向變量a，則a的安全級(jí)必須支配變量b的安全級(jí)”。(3)將流策略應(yīng)用于形式化頂層規(guī)范或源代碼，生成信息流公式。例如，a: = b的流公式為SL(a) ^ SL(b)，其中 SL(X)表示變量X的安全級(jí)。(4)證明流公式的正確性。如果無法證明某個(gè)流公式的正確性，則需要進(jìn)一步對語句進(jìn)行語義分析，并判斷該信息流(a)是非法流還是偽非法流；(b) 是否能夠產(chǎn)生真實(shí)隱蔽通道，而不只是潛在隱蔽通道。語義信息流方法語義信息流方法的分析步驟是，(I)選擇用于隱蔽通道分析的內(nèi)核原語；(2)確定內(nèi)核變量的可見性/可修改性(i)通過語義分析，確定內(nèi)核變量的直接可見性/可修改性；(ii)對每個(gè)原語生成一個(gè)“函數(shù)調(diào)用依賴關(guān)系”集合F⑶；(iii)通過信息流分析，確定內(nèi)核變量的間接可見性；(iv)在每個(gè)原語中解決變量別名問題；(V)標(biāo)識(shí)在原語間共享的用戶進(jìn)程可見/可修改的變量，消除局部變量；(3)分析共享變量，并標(biāo)識(shí)隱蔽存儲(chǔ)通道。無干擾方法無干擾方法的本質(zhì)是一個(gè)用戶不應(yīng)當(dāng)知道他不支配的其他任何用戶的任何動(dòng)作。 他們將可信計(jì)算基TCB視為一個(gè)狀態(tài)機(jī)，并定義了兩個(gè)用戶進(jìn)程之間的無干擾概念。假設(shè)狀態(tài)機(jī)有一個(gè)初始狀態(tài)，稱一個(gè)用戶進(jìn)程與另一個(gè)用戶進(jìn)程是無干擾的，如果從初始狀態(tài)開始，刪除第I個(gè)進(jìn)程所有的輸入(等價(jià)于從來沒有這些輸入)，第2個(gè)進(jìn)程的輸出沒有任何變化。可以證明，進(jìn)程之間無干擾具有以下性質(zhì)如果一個(gè)進(jìn)程的輸入不能影響另一個(gè)進(jìn)程的輸出，則不可能從第I個(gè)進(jìn)程向第2個(gè)進(jìn)程傳輸信息。依據(jù)上述搜索方法所分析的對象不同可將它們分成基于系統(tǒng)頂級(jí)描述和基于系統(tǒng)源代碼的搜索方法。這意味著上述兩類方法需要系統(tǒng)的開發(fā)者提供詳盡的系統(tǒng)頂級(jí)描述和源代碼，然而在實(shí)際的軟件開發(fā)過程中開發(fā)者為了保護(hù)自己的利益不愿意把頂級(jí)描述和源代碼提供給用戶`，從而`導(dǎo)致用戶無法使用目前存在的方法對系統(tǒng)進(jìn)行隱通道搜索，進(jìn)而無法發(fā)現(xiàn)系統(tǒng)中存在的機(jī)密信息泄露途徑。但是用戶為了保證機(jī)密信息不被泄露，必須對系統(tǒng)進(jìn)行隱通道搜索，從而堵住信息泄露的途徑。因此現(xiàn)有技術(shù)缺少面向用戶具有普遍適用性的隱通道搜索方法。
技術(shù)實(shí)現(xiàn)思路
為了解決以上技術(shù)問題，本專利技術(shù)提出一種面向用戶的基于系統(tǒng)操作指南的隱通道搜索方法。系統(tǒng)操作指南是開發(fā)者必須提供給用戶的文檔，該方法基于系統(tǒng)操作指南進(jìn)行搜索，使得分析者在無法獲得系統(tǒng)頂級(jí)描述和源代碼的情況下也可以搜索隱通道，發(fā)現(xiàn)系統(tǒng)中存在的信息泄露途徑。具體技術(shù)方案如下。，其特征在于包括以下步驟步驟一，依據(jù)系統(tǒng)操作指南標(biāo)識(shí)出系統(tǒng)中所有被多個(gè)用戶共享的對象，記為 Object1, Object2,…，Objectn ；步驟二,依據(jù)系統(tǒng)操作指南對每個(gè)對象Objecti (I ≤ i ≤ η)標(biāo)識(shí)出該對象的屬性 Propertyi, η …，Propertyiilll ；步驟三,對每個(gè)屬性PropertyiJd≤i≤η, I≤j≤m),依據(jù)屬性的類型是布爾類型，數(shù)值類型，還是字符類型，計(jì)算相應(yīng)的操作序列集Seq(PropertyiJ)；步驟四，將所有屬性Property^· (I≤i≤η, I≤j≤m)對應(yīng)的序列集 seq (Propertyi； j)合并為集合Com,對Com中的每一個(gè)元素a ,運(yùn)行操作序列a并記錄得到的結(jié)果，運(yùn)行由a中低級(jí)用戶的操作組成的序列并記錄得到的結(jié)果，如果兩個(gè)結(jié)果不一致， 則斷言操作序列a會(huì)導(dǎo)致隱通道。對于布爾類型的屬性，所述操作序列集的計(jì)算方法包括以下步驟步驟A,對于低級(jí)用戶L,在系統(tǒng)操作指南中隨機(jī)選擇一個(gè)使得Propertyi,」的值從 O變?yōu)镮的操作序列，記為Oper1 = on, . . . , Ole ;隨機(jī)選擇一個(gè)使得Propertyi,」的值從I變?yōu)镺的操作序列，記為oper2 = O21本文檔來自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】
一種基于系統(tǒng)操作指南的隱通道搜索方法，其特征在于包括以下步驟：步驟一，依據(jù)系統(tǒng)操作指南標(biāo)識(shí)出系統(tǒng)中所有被多個(gè)用戶共享的對象，記為Object1,Object2,…,Objectn；步驟二，依據(jù)系統(tǒng)操作指南對每個(gè)對象Objecti（1≤i≤n）標(biāo)識(shí)出該對象的屬性Propertyi,1,…,Propertyi,m；步驟三，對每個(gè)屬性Propertyi,j（1≤i≤n，1≤j≤m），依據(jù)屬性的類型是布爾類型，數(shù)值類型，還是字符類型，計(jì)算相應(yīng)的操作序列集seq(Propertyi,j)；步驟四，將所有屬性Propertyi,j（1≤i≤n，1≤j≤m）對應(yīng)的序列集seq(Propertyi,j)合并為集合Com,對Com中的每一個(gè)元素a，運(yùn)行操作序列a并記錄得到的結(jié)果，運(yùn)行由a中低級(jí)用戶的操作組成的序列并記錄得到的結(jié)果，如果兩個(gè)結(jié)果不一致，則斷言操作序列a會(huì)導(dǎo)致隱通道。

【技術(shù)特征摘要】
1.ー種基于系統(tǒng)操作指南的隱通道捜索方法，其特征在于包括以下步驟 步驟一，依據(jù)系統(tǒng)操作指南標(biāo)識(shí)出系統(tǒng)中所有被多個(gè)用戶共享的對象，記為Object1, Object2,…，Objectn ； 步驟ニ，依據(jù)系統(tǒng)操作指南對姆個(gè)對象Objecti (I < i < n)標(biāo)識(shí)出該對象的屬性Propertyij 1；…，PropertyiJ ； 步驟三,對姆個(gè)屬性Property^ (1: 1: n,1: j彡m),依據(jù)屬性的類型是布爾類型，數(shù)值類型，還是字符類型，計(jì)算相應(yīng)的操作序列集Seq(PropertyiJ)； 步驟四，將所有屬性PropertyiJd彡i <n, I彡j彡m)對應(yīng)的序列集seq (Propertyi,」)合并為集合Com，對Com中的每ー個(gè)元素a，運(yùn)行操作序列a并記錄得到的結(jié)果，運(yùn)行由a中低級(jí)用戶的操作組成的序列并記錄得到的結(jié)果，如果兩個(gè)結(jié)果不一致，則斷言操作序列a會(huì)導(dǎo)致隱通道。2.如權(quán)利要求1所述的ー種基于系統(tǒng)操作指南的隱通道捜索方法，其特征在于對于布爾類型的屬性，所述操作序列集的計(jì)算方法包括以下步驟 步驟A,對于低級(jí)用戶L,在系統(tǒng)操作指南中隨機(jī)選擇ー個(gè)使得PropertyiJ的值從0變?yōu)镮的操作序列，記為Oper1 = O11, . . . , Ole ;隨機(jī)選擇ー個(gè)使得Property^的值從I變?yōu)?的操作序列，記為oper2 = O21, . . . , O2r ;隨機(jī)選擇ー個(gè)使得PropertyiJ的值保持為0的操作序列，記為oper3 = O31, . . .，O3t ;隨機(jī)選擇ー個(gè)使得PropertyiJ的值保持為I的操作序列，記為 Oper4 = O41, . . . , O4y ； 步驟B,對于高級(jí)用戶H,在系統(tǒng)操作指南中隨機(jī)選擇ー個(gè)使得PropertyiJ的值從0變?yōu)镮的操作序列，記為Seq1=S11, S12, . . . , Slq ;隨機(jī)選擇ー個(gè)使得Propertyi, j的值從I變?yōu)?的操作序列，記為seq2=s21，. . , S2w ； 步驟C,將Oper1與seq2組合成集合Seqoper1J,具體組合過程為序列sequence G Seqoper12當(dāng)且僅當(dāng)sequence的長度為e+w, sequence中的最后一個(gè)元素為Oper1中的最后ー個(gè)元素ole, sequence在集合Set (Oper1) (Set(Oper1)表示由Oper1中的操作構(gòu)成的集合)上的投影等于Oper1, sequence在集合Set(Seq2) (Set(Seq2)表示由Seq2中的操作構(gòu)成的集合)上的投影等于seq2 ； 步驟D,將Oper2與Seq1組合成集合Seqopei^1,具體組合過程為序列sequence G seqoper2；1當(dāng)且僅當(dāng)sequence的長度為r+q, sequence中的最后一個(gè)元素為Oper2中的最后ー個(gè)元素o2r, sequence在集合Set(Oper2)上的投影等于oper2, sequence在集合Set (Seq1)上的投影等于Seq1 ； 步驟E,將Oper3與Seq1組合成集合Seqopei^1,具體組合過程為序列sequence G seqoper3；1當(dāng)且僅當(dāng)sequence的長度為t+q, sequence中的最后一個(gè)元素為Oper3中的最后ー個(gè)元素o3t, sequence在集合Set(Oper3)上的投影等于oper3, sequence在集合Set (Seq1)上的投影等于Seq1 ； 步驟F,將Oper4與seq2組合成集合seqoper4，2,具體組合過程為序列sequence G seqoper4，2當(dāng)且僅當(dāng)sequence的長度為y+w, sequence中的最后一個(gè)元素為Oper4中的最后ー個(gè)元素o4y, sequence在集合Set(Oper4)上的投影等于oper4, sequence在集合Set(Seq2)上的投影等于Seq2 ； 步驟 G,合并所有的序列集 Ceq(PropertyiJ) = Seqoper12 U seqoper2；1 U seqoper3；1 Useqoper4，2 o3.如權(quán)利要求1所述的ー種基于系統(tǒng)操作指南的隱通道捜索方法，其特征在于對于數(shù)值類型的屬性，所述操作序列集的計(jì)算方法包括以下步驟 步驟A,對于低級(jí)用戶L,在系統(tǒng)操作指南中隨機(jī)選擇ー個(gè)使得PropertyiJ的值變大的操作序列，記為Oper1 = O11, . . . , Ole ;隨機(jī)選擇ー個(gè)使得Property^的值變小的操作序列，記為oper2 = O21, . . . , O2r ;隨機(jī)選擇ー個(gè)使得Propertyi,j的值保持不變的操作序列，記為Oper3 =O31， ，o3t ; 步驟B,對于高級(jí)用戶H,在系統(tǒng)操作指南中隨機(jī)選擇ー個(gè)使得PropertyiJ的值變大的操作序列，記為Seq1=S11, S12, . . . , Slq ;隨機(jī)選擇ー個(gè)使得Property^的值變小的操作序列，...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：周從華，
申請(專利權(quán))人：江蘇大學(xué)，
類型：發(fā)明
國別省市：