基于操作语义磁臂隐通道分析.docVIP

基于操作语义磁臂隐通道分析 　　摘要：深入分析磁臂隐通道的产生及产生的原因，发现目前基于系统顶级描述和基于系统源代码搜索方法难以找出这类隐通道，提出一种基于操作语义的方法来研究磁臂隐通道，将磁臂调度过程中的进程看做一个抽象机，以Plotkin的结构化操作语义给出电梯调度算法的推导规则；根据推导规则得到进程抽象机所有状态以及进程抽象机状态的动态变化历史，这样就构成完整的信息传导操作语义模型。研究与分析两个高低安全级进程抽象机状态变迁及状态变迁序列，从而找到其中存在的磁臂隐通道。 　　关键词：隐通道； 磁臂隐通道； 信息传导； 结构化操作语义 　　中图分类号：TP309.2文献标志码：A 　　文章编号：1001-3695(2007)11-0157-04 　　 　　隐通道是指系统的一个用户在安全模型的监控下，通过违反系统安全策略的方式传送信息给另一用户的机制。它一般通过系统原本不用于数据传送的资源来传送信息，并且这种通信方式往往难以被系统的安全机制所检测和控制。所以隐通道能在安全系统中长期潜伏工作，危害巨大[1]。?? 　　自隐通道问题被提出以来，各国的信息安全专家以及计算机、数学、通信等方面的相关学者对隐通道分析进行了广泛的研究，主要工作集中在隐通道的定义、搜索、审计和消除四个方面。其中搜索是隐通道分析中最为关键也是最为困难的一环[2]。已发表的隐通道搜索方法大致可以分为两类：a)基于系统顶级描述的搜索方法，如隐蔽流树法[3]、无干扰分析法[4] 和信息流分析法[5]；b)基于系统源代码的搜索方法，如共享资源矩阵法[6]和源代码分析法[7]。 与顶级描述方法相比，源代码搜索复杂、难懂，但它却真实地体现了系统实现的细节，并且精度也高于基于顶级描述的搜索方法。可是这些算法只是从某个侧面反映了隐通道的特性，它们都需要辅之以手工操作。显然对于较大规模的TCB来说，使用这类分析法不大可行，并且很容易出错。而且这类方法属系统实现后的分析，不便于重新设计系统或者修改部分设计以消除或限制隐通道。?? 　　目前，国际上对隐通道传导信息工作机理的认识尚在探索之中，仍缺乏严谨的隐通道形式语义模型。从已报道的隐通道研究成果来看，进行隐通道分析的方法均是基于系统的程序结构描述之上，尚未发现有基于操作语义[8]的隐通道分析算法。?? 　　本文将磁盘读写过程中由于磁臂运动而产生的隐通道称为磁臂隐通道。在分析磁臂隐通道时，由于磁臂优化算法（如电梯调度算法）的应用，发现磁臂隐通道问题产生的根本原因在于，低安全级进程可通过自己的运行状态和周围环境来感知高安全级进程的某个信息。而这个感知过程通过分析软件系统结构或源程序结构的方法是无从发现的。本文可证明隐通道的发生正是在不同的语境下操作语义的歧义性所导致的[9]，所以应该基于操作语义上来研究隐通道。 　　 　　1磁臂调度问题?? 　　 　　文献[10]中提到：系统中假设有一个低安全级的进程L和一个高安全级的进程H。进程L发出一个读磁盘柱面55的请 　　求L??1′，然后立即放弃CPU，并等待请求得到服务；接着高安全级进程H占有CPU,它发出定位于柱面53的请求H??1或柱面57的请求H??1′，此后立即放弃CPU，并等待请求得到服务。当读柱面55的请求L??1得到服务后，低安全级进程立即同时发出两个异步定位请求，即定位于柱面52的请求L??2和柱面58的请求L??2′。按照电梯算法，若高安全级进程请求的是定位于柱面53的请求H??1，则请求服务的次序为图1所示的路径1，请求L??2比请求L??2′先得到服务；反之，若高安全级进程请求的是定位于柱面57的请求H??1′，则请求服务的次序为路径2，请求L??2′比请求L??2先得到服务。?? 　　 　　5结束语?? 　　 　　磁臂隐通道是一个典型的隐通道问题，用分析软件系统结构或源程序结构的方法是难以发现的。本文可证明磁臂隐通道的发生正是在不同的语境下操作语义的歧义性所导致的。本文提出了一种基于操作语义的方法来研究磁臂隐通道并从中发现存在的磁臂隐通道。下一步的工作就是如何采取相应的方法来消除这类隐通道。 　　 　　参考文献： 　　[1]SHEN Jian－jun, QING Si－han, SHEN Qing－ni, et al. Covert channel identification founded on information flow analysis[C]//Proc of International Conference on Computataional Inteligence and Security. 2005:381-387. 　　[2]OH Y H, BAE H Y. Enhancing spatial