[发明专利]一种隐蔽信道标识方法

说明书

技术领域

本发明涉及高安全等级信息系统的隐蔽信道分析技术，特别涉及隐蔽信道的标识方法，提出了一种实用的基于有向信息流图的代码层隐蔽信道标识方法。

背景技术

隐蔽信道是指允许进程以危害系统安全策略的方式传输信息的通信信道，国内外安全标准都要求高等级的安全信息系统必须进行隐蔽信道分析。隐蔽信道标识是隐蔽信道分析的核心技术，其目的是查找系统中所有潜在的隐蔽信道，是信道度量和处置的前提。目前存在的隐蔽信道标识方法包括信息流分析法，共享资源矩阵法，无干扰分析法等。但是这些方法都存在着状态爆炸、实施复杂度高、标识结果不够全面、不能在实际系统中通用等问题(王永吉，吴敬征，曾海涛，丁丽萍，廖晓锋.隐蔽信道研究.软件学报，2010，21(9)：2262-2288.http://www.jos.org.cn/1000-9825/3880.htm)。

Denning提出一种基于信息流的隐蔽信道标识方法，该方法首先对信息流模型进行了形式化描述，然后从每个语句中抽象出信息流语义，并根据信息流策略生成信息流公式，最后利用定理证明器证明信息流公式的正确性(Denning DE.A lattice model of secureinformation flow.Communications of the ACM，1976，19(5)：236-243.)。该方法搜索相对彻底，支持源代码增量分析。但是该方法可能会标识出大量伪非法流，增加了人工分析的负担，不能直接获得隐蔽信道代码的位置。

Tsai等人改进了Denning的方法，加入语义理解，提出语义信息流方法(Tsai CR，GligorVD，Chandersekaran CS.On the identification of covert storage channels in secure systems.IEEETrans.on Software Engineering，1990，16(6)：569-580.)。该方法首先分析编程语言的语义、解析变量别名，发现其中变量的可修改性和可见性，利用信息流分析方法来判断内核变量的间接可见性。语义信息流方法可以排除大量伪非法流，确定隐蔽信道代码位置，但是该方法仍然存在着工作量大、缺少自动化工具的缺点。

Kemmerer提出共享资源矩阵法(Kemmerer RA.Shared resource matrix methodology：anapproach to identifying storage and timing channels.ACM Trans.Comput Syst，1983，1(3)：256-277.)。该方法首先分析系统所有的操作原语，并根据原语的读写属性构建共享资源矩阵。然后对该矩阵进行传递闭包操作，发现间接读写操作，最后根据读写进程的安全级支配关系判断是否存在隐蔽信道。共享资源矩阵法不需要事先设置安全级别，因此避免了出现伪非法流。但是从源代码层次构建共享资源矩阵可能会引起状态爆炸，同时该方法不能增量分析新的原语。

发明内容

本发明的目的在于针对现有技术存在的问题，提供一种能够全面准确标识隐蔽信道，降低复杂度，能够针对系统源代码进行分析的通用方法。

本发明的隐蔽信道标识方法，以系统源代码为分析对象，其技术方案如下。

一种隐蔽信道标识方法，包括以下步骤：

1)将隐蔽信道形式化表述为<V，PA_h，PV_l，P>，其中V代表共享资源，PA_h代表能够修改共享资源V的高安全级主体，PV_l代表能够观测V值发生变化的低安全级主体，P代表安全信息系统的非自主访问控制策略，并且PA_h的安全级支配PV_l的安全级，表示为PA_h＞_pPV_l。对应的，在系统源代码中，共享资源V表示系统共享变量；PA_h和PV_l表示不同的用户进程，它们对共享资源V的修改始终满足V的值域，即在安全策略P的保障下，不允许信息流从PA_h流向PV_l。隐蔽信道标识就是发现系统中所有违反安全策略P，导致信息流从PA_h流向PV_l的潜在隐蔽信道。

2)以高内聚低耦合为划分原则，将待分析系统划分成若干个相对独立的子系统。