03.05.2015 Views

云计算环境下的隐蔽信道分析 - OWASP中国

云计算环境下的隐蔽信道分析 - OWASP中国

云计算环境下的隐蔽信道分析 - OWASP中国

SHOW MORE
SHOW LESS

Create successful ePaper yourself

Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.

云 计 算 环 境 下 的 隐 蔽 信 道 分 析<br />

丁 丽 萍<br />

中 国 科 学 院 软 件 研 究 所 基 础 软 件 国 家 工 程 研 究 中 心


提 纲<br />

• 隐 蔽 信 道 概 述<br />

概 念 分 类<br />

研 究 现 状<br />

• 云 计 算 环 境 下 的 安 全 威 胁 与 隐 蔽 信 道<br />

云 计 算 的 安 全 威 胁<br />

云 计 算 安 全 威 胁 分 析<br />

• 我 们 的 工 作<br />

基 于 XCP 的 隐 蔽 信 道<br />

基 于 XCP 的 隐 蔽 信 道 的 实 例<br />

基 于 XCP 的 隐 蔽 信 道 的 分 类<br />

基 于 XCP 的 隐 蔽 信 道 分 析 技 术


隐 蔽 信 道 的 概 念<br />

• 隐 蔽 信 道 定 义<br />

隐 蔽 信 道 是 指 恶 意 进 程 通 过 合 谋 信 息 系 统 共 享 资 源 而 实<br />

现 的 一 种 信 息 泄 漏 方 式 。<br />

• 隐 蔽 信 道 分 析<br />

隐 蔽 信 道 分 析 是 国 内 外 安 全 标 准 对 脆 弱 性 分 析 的 强 制 性<br />

要 求 。<br />

具 体 分 析 工 作 包 括 信 道 的 识 别 、 度 量 和 处 置 。<br />

隐 蔽 通 道 分 析 是 信 息 安 全 研 究 领 域 的 一 个 重 要 难 题 , 其<br />

原 因 在 于 : 以 强 制 访 问 控 制 研 究 为 基 础 ; 海 量 代 码 分 析<br />

复 杂 ; 技 术 壁 垒 导 致 参 考 资 料 非 常 少 。


隐 蔽 信 道 分 析<br />

• 信 道 识 别 是 对 系 统 的 静 态 分 析 , 强 调 对 设 计 和 代 码<br />

进 行 分 析 以 发 现 所 有 潜 在 的 隐 蔽 信 道 。<br />

• 信 道 度 量 是 对 信 道 传 输 能 力 和 威 胁 程 度 的 评 价 。<br />

• 信 道 处 置 措 施 包 括 信 道 消 除 、 限 制 和 审 计 :<br />

隐 蔽 信 道 消 除 措 施 包 括 修 改 系 统 、 排 除 产 生 隐 蔽 信 道 的<br />

源 头 、 破 坏 信 道 的 存 在 条 件 。<br />

限 制 措 施 要 求 将 信 道 危 害 降 低 到 系 统 能 够 容 忍 的 范 围 内 。<br />

隐 蔽 信 道 审 计 则 强 调 对 潜 在 隐 蔽 信 道 的 相 关 操 作 进 行 监<br />

测 和 记 录 , 通 过 分 析 记 录 , 检 测 出 入 侵 者 对 信 道 的 实 际<br />

使 用 操 作 。


隐 蔽 信 道 关 键 技 术


隐 蔽 信 道 关 键 技 术<br />

• 隐 蔽 信 道 本 质 上 是 信 息 传 输 通 道 , 传 输 机 制 的 研 究<br />

重 点 集 中 在 对 传 输 介 质 的 研 究 。 根 据 共 享 资 源 属 性<br />

的 不 同 , 传 输 介 质 分 为 存 储 类 型 和 时 间 类 型 , 由 此<br />

衍 生 出 存 储 隐 蔽 信 道 和 时 间 隐 蔽 信 道 的 分 类 。<br />

在 操 作 系 统 、 数 据 库 、 网 络 系 统 中 都 存 在 存 储 隐 蔽 信 道<br />

和 时 间 隐 蔽 信 道 。<br />

在 操 作 系 统 、 数 据 库 或 者 网 络 中 发 现 一 种 共 享 资 源 作 为<br />

隐 蔽 信 道 的 传 输 介 质 , 是 隐 蔽 信 道 传 输 机 制 的 核 心 , 而<br />

好 的 传 输 介 质 的 选 择 , 能 够 提 高 信 道 的 容 量 和 隐 匿 性 。


隐 蔽 信 道 关 键 技 术<br />

• 提 高 隐 蔽 信 道 的 传 输 准 确 率 和 隐 匿 性 的 另 一 种 方 式<br />

是 改 进 信 道 的 编 解 码 机 制 。<br />

利 用 字 母 的 频 率 特 征 , 编 码 期 望 长 度 较 大 。 如 果 在 编 码<br />

过 程 中 考 虑 频 率 特 征 , 则 会 降 低 期 望 长 度 、 减 少 隐 蔽 信<br />

道 中 传 输 的 数 据 量 。<br />

多 元 编 码 机 制 虽 然 增 加 了 收 发 双 方 的 编 解 码 工 作 量 , 但<br />

整 体 上 压 缩 了 传 输 数 据 量 、 提 高 了 信 道 容 量 。 同 时 多 元<br />

编 码 分 散 了 共 享 资 源 属 性 特 征 出 现 频 率 , 提 高 了 隐 匿 性 。<br />

如 果 配 合 纠 错 协 议 , 能 够 大 幅 降 低 编 码 错 误 率 。


操 作 系 统 隐 蔽 信 道<br />

• 操 作 系 统 隐 蔽 信 道 研 究 重 点 在 于 防 患 于 未 然 , 侧 重<br />

于 信 道 标 识 、 场 景 构 建 和 容 量 度 量 。<br />

Kemmerer 认 为 隐 蔽 信 道 是 使 用 不 是 正 常 数 据 客 体 的 项<br />

从 一 个 主 体 向 另 一 个 主 体 传 递 信 息 的 信 道 , 并 由 该 定 义<br />

设 计 出 共 享 资 源 矩 阵 法 。 该 方 法 构 建 共 享 资 源 矩 阵 工 作<br />

量 巨 大 , 容 易 产 生 状 态 爆 炸 。<br />

Tsai 等 人 认 为 隐 蔽 信 道 是 违 反 强 制 安 全 策 略 模 型 的 两 个<br />

主 体 间 的 非 法 通 信 。 提 出 语 义 信 息 流 方 法 , 分 析 编 程 语<br />

言 的 语 义 、 内 核 代 码 中 的 数 据 结 构 , 发 现 其 中 变 量 的 可<br />

修 改 性 / 可 见 性 ; 然 后 利 用 信 息 流 分 析 方 法 来 判 断 内 核 变<br />

量 的 间 接 可 见 性 , 以 此 发 现 潜 在 的 隐 蔽 信 道 。 该 方 法 工<br />

作 量 大 、 缺 少 自 动 化 工 具 的 缺 点 。


操 作 系 统 隐 蔽 信 道<br />

• Denning 对 信 息 流 模 型 进 行 了 形 式 化 描 述 , 为 从 每 个<br />

语 句 中 抽 象 出 信 息 流 语 义 包 含 “ 明 流 ” 和 “ 暗 流 ”, 将 信<br />

息 流 策 略 应 用 于 系 统 的 顶 层 规 范 或 者 代 码 上 , 生 成 信<br />

息 流 公 式 , 最 后 利 用 定 理 证 明 器 证 明 。<br />

• 卿 斯 汉 延 续 了 语 义 信 息 流 的 思 想 , 设 计 了 一 种 代 码 层<br />

次 的 标 识 方 法 回 溯 搜 索 法 , 该 方 法 引 入 “ 剪 枝 规 则 ”,<br />

在 标 识 过 程 中 立 即 删 除 不 能 构 成 隐 蔽 信 道 的 共 享 变 量 ,<br />

显 著 地 减 少 了 分 析 的 工 作 量 。<br />

• Goguen 认 为 , 在 安 全 系 统 中 一 个 用 户 不 能 意 识 到 任 何<br />

不 由 它 所 支 配 的 用 户 的 任 何 操 作 , 称 为 无 干 扰 模 型 。<br />

如 果 不 存 在 隐 蔽 信 道 , 则 任 何 一 个 用 户 都 应 该 与 其 支<br />

配 的 任 何 用 户 之 间 满 足 无 干 扰 关 系 。


数 据 库 系 统 隐 蔽 信 道<br />

• 在 数 据 库 系 统 中 存 在 大 量 的 共 享 资 源 , 导 致 隐 蔽 信 道<br />

的 存 在 。 数 据 库 系 统 隐 蔽 信 道 研 究 主 要 集 中 在 信 道 检<br />

测 、 威 胁 度 量 和 限 制 技 术 中 。<br />

• 数 据 库 存 储 资 源 引 入 的 信 道 。 该 信 道 利 用 数 据 库 中 的<br />

共 享 资 源 , 如 数 据 、 数 据 字 典 等 。 发 送 者 修 改 数 据 / 数<br />

据 字 典 , 接 收 者 则 通 过 完 整 性 约 束 等 方 式 间 接 感 知 数<br />

据 / 数 据 字 典 的 修 改 , 以 此 来 传 输 机 密 信 息 。<br />

• 数 据 库 管 理 资 源 引 入 的 信 道 。 数 据 库 系 统 中 的 另 一 类<br />

共 享 资 源 包 括 系 统 变 量 、 游 标 、 临 时 数 据 区 等 。 通 过<br />

耗 尽 有 限 的 共 享 资 源 , 收 发 双 方 传 输 机 密 信 息 。<br />

• 事 务 并 发 控 制 引 起 的 隐 蔽 信 道 。 入 侵 者 可 以 利 用 不 同<br />

安 全 级 事 务 间 的 并 发 冲 突 构 造 隐 蔽 信 道 , 称 作 数 据 冲<br />

突 隐 蔽 信 道 。


网 络 系 统 隐 蔽 信 道<br />

• 网 络 隐 蔽 信 道 将 信 息 泄 漏 威 胁 从 系 统 内 部 转 移 到 系 统<br />

之 间<br />

网 络 存 储 隐 蔽 信 道 将 信 息 附 加 在 不 常 用 的 数 据 段 中 , 包 括 未<br />

用 的 IP 头 字 段 (ToS 字 段 、DF 和 URG 位 )、IP 头 的 扩 展 和 填 充<br />

段 、IP 标 识 和 碎 片 偏 移 等 。<br />

网 络 时 间 隐 蔽 信 道 将 隐 蔽 信 息 编 码 成 数 据 包 的 发 送 / 到 达 时 刻 ,<br />

时 间 间 隔 等 序 列 , 更 加 难 以 检 测 和 处 置 。<br />

2004 年 美 国 Purdue 大 学 的 Cabuk 提 出 一 种 IP 时 间 隐 蔽 信 道 ,<br />

称 作 IPCTC。<br />

2009 年 Purdue 大 学 的 Sellke[73] 中 提 出 了 一 种 基 于 编 码 表 的<br />

网 络 时 间 隐 蔽 信 道 , 称 为 $L-bits-to-n-Packets$ 信 道 。<br />

现 有 的 网 络 时 间 隐 蔽 信 道 研 究 成 果 可 以 发 现 , 改 进 信 道 的 编<br />

解 码 过 程 能 够 提 高 信 道 容 量 。


提 纲<br />

• 隐 蔽 信 道 概 述<br />

概 念 分 类<br />

研 究 现 状<br />

• 云 计 算 环 境 下 的 安 全 威 胁 与 隐 蔽 信 道<br />

云 计 算 的 安 全 威 胁<br />

云 计 算 安 全 威 胁 分 析<br />

• 我 们 的 工 作<br />

基 于 XCP 的 隐 蔽 信 道<br />

基 于 XCP 的 隐 蔽 信 道 的 实 例<br />

基 于 XCP 的 隐 蔽 信 道 的 分 类<br />

基 于 XCP 的 隐 蔽 信 道 分 析 技 术


云 计 算 安 全 威 胁<br />

云 计 算 将 基 础 设 施 、 平 台 及 应 用 部 署 到 云 端 ,<br />

无 论 是 从 观 念 上 还 是 技 术 上 都 给 信 息 安 全 带 来 极 大<br />

的 挑 战 。<br />

• 入 侵 者 : 云 计 算 平 台 为 其 提 供 了 一 个 廉 价 、 高 效 、<br />

稳 定 的 入 侵 平 台 。<br />

• 用 户 : 担 心 将 应 用 程 序 与 服 务 部 署 在 不 可 控 的 环 境<br />

中 的 安 全 性 。<br />

• 服 务 商 : 由 于 隐 私 保 护 和 商 业 规 则 , 云 服 务 商 无 法<br />

记 录 和 监 控 客 户 执 行 的 操 作 , 导 致 信 息 泄 漏 等 攻 击<br />

方 式 难 以 记 录 和 发 现 。


云 计 算 安 全 威 胁 分 析<br />

虚 拟 化 技 术 是 云 计 算 平 台 的 核 心 。 虚 拟 化 技 术 提 供 了 大 量 的 共 享<br />

资 源 , 成 为 隐 蔽 信 道 发 生 的 源 泉 。 我 们 以 一 个 虚 拟 机 的 生 命 周 期 为 例<br />

来 分 析 云 计 算 面 临 的 威 胁 。


云 计 算 安 全 威 胁 分 析<br />

虚 拟 机 运 行 阶 段 (A1,A2)<br />

• A1 表 示 虚 拟 机 之 间 基 于 共 享 资 源 的 隐 蔽 信 道<br />

<br />

例 如 , 基 于 CPU 负 载 和 Cache 缓 存 的 隐 蔽 信 道 。 在 云 计 算 平 台 中 , 虽 然 VMM 为 每 个 虚 拟 机<br />

分 配 了 虚 拟 CPU, 但 是 最 终 的 任 务 仍 然 要 顺 序 地 在 物 理 CPU 上 执 行 , 通 过 观 察 物 理 CPU 的<br />

负 载 状 况 , 能 够 推 测 同 一 物 理 平 台 上 其 他 虚 拟 机 内 的 机 密 信 息 ; 基 于 Cache 缓 存 的 隐 蔽 信<br />

道 类 似 于 CPU 负 载 信 道 , 通 过 使 用 Cache 的 延 迟 时 间 , 泄 漏 虚 拟 机 的 机 密 信 息 。<br />

• A2 表 示 虚 拟 机 内 部 的 隐 蔽 信 道<br />

<br />

例 如 , 针 对 Linux 操 作 系 统 的 事 件 标 识 型 隐 蔽 信 道 , 该 信 道 的 收 发 双 方 通 过 改 变 和 观 察 特<br />

定 事 件 的 状 态 , 合 谋 传 递 机 密 信 息 。<br />

• A1 和 A2 分 别 表 示 了 虚 拟 机 外 部 和 内 部 的 两 种 信 息 泄 漏 方 式 , 这 两 种 方 式 在 虚<br />

拟 机 和 操 作 系 统 层 都 是 不 可 避 免 的 , 即 使 部 署 了 强 制 访 问 控 制 策 略 , 仍 然 无 法<br />

彻 底 清 除 隐 蔽 信 道 。


云 计 算 安 全 威 胁 分 析<br />

• 启 动 与 停 止 阶 段 (A3,A4)<br />

云 计 算 的 易 用 性 允 许 恶 意 用 户 在 短 时 间 内 启 动 和 部 署 大 量 的 计 算 机 节<br />

点 , 用 于 恶 意 攻 击 , 例 如 用 于 DDoS、Botnet 或 者 对 于 机 密 信 息 的 暴<br />

力 破 解 。<br />

• A3 表 示 篡 改 启 动 镜 像 类 型 的 攻 击<br />

恶 意 用 户 篡 改 替 换 VM 启 动 的 镜 像 文 件 , 导 致 客 户 在 云 服 务 的 启 动 阶<br />

段 就 已 经 被 植 入 恶 意 程 序 , 成 为 入 侵 者 的 攻 击 对 象 。<br />

• A4 表 示 篡 改 持 久 化 数 据 的 虚 拟 机 攻 击 方 式<br />

当 虚 拟 机 将 客 户 数 据 写 入 到 持 久 化 设 备 中 时 , 将 客 户 信 息 泄 露 给 攻 击<br />

者 , 或 者 造 成 客 户 数 据 的 故 意 丢 失 。<br />

• A3 和 A4 两 种 攻 击 类 型 都 是 针 对 云 平 台 的 新 的 攻 击 方 式 , 可<br />

以 采 用 完 整 性 策 略 对 系 统 进 行 安 全 防 范 。


云 计 算 安 全 威 胁 分 析<br />

• 应 用 程 序 运 行 阶 段 (A5,A6)<br />

<br />

对 终 端 用 户 而 言 , 云 计 算 的 服 务 最 终 由 应 用 程 序 提 供 , 恶 意 软 件 和 风 险 程 序 是<br />

其 重 要 威 胁 。<br />

• A5 表 示 木 马 或 者 病 毒 攻 击 方 式<br />

当 执 行 内 核 的 系 统 调 用 时 , 木 马 程 序 劫 持 调 用 并 执 行 恶 意 操 作 破 坏 系 统 。<br />

• A6 表 示 返 回 值 篡 改 攻 击<br />

木 马 劫 持 程 序 并 返 回 错 误 的 结 果 从 而 破 坏 系 统 安 全 , 例 如 缓 冲 区 溢 出 攻 击 等 。<br />

• 在 网 络 环 境 中 ,A5 和 A6 表 示 中 间 人 攻 击 方 式 和 其 他 的 网 络 攻 击 方 式 ,<br />

劫 持 网 络 会 话 执 行 恶 意 操 作 。 在 云 计 算 环 境 下 , 基 于 Web2.0 的 攻 击 方<br />

式 和 基 于 浏 览 器 的 信 息 泄 漏 方 式 , 都 对 系 统 造 成 重 要 威 胁 。 应 用 层 攻 击<br />

处 在 虚 拟 机 内 部 , 并 不 是 云 计 算 的 新 型 产 物 , 涵 盖 了 传 统 的 攻 击 方 式 。


云 计 算 安 全 威 胁 总 结<br />

• 这 三 种 类 型 的 安 全 威 胁 覆 盖 了 云 服 务 的 完 整 的 生 命 周<br />

期 。 按 照 由 低 向 高 的 层 次 , 可 视 为 针 对 VMM、VM 和 应<br />

用 程 序 的 攻 击 。<br />

• 前 两 种 攻 击 方 式 利 用 了 云 计 算 平 台 动 态 易 用 、 资 源 共<br />

享 的 特 点 , 是 安 全 研 究 领 域 的 新 问 题 。 基 于 应 用 程 序<br />

的 攻 击 虽 然 是 传 统 的 研 究 领 域 , 但 是 随 着 计 算 机 技 术<br />

的 飞 速 发 展 , 攻 击 方 式 和 攻 击 手 段 不 断 创 新 , 消 除 和<br />

防 范 技 术 愈 发 复 杂 。<br />

• 通 过 安 全 策 略 , 配 置 私 有 云 、 公 有 云 、 混 合 云 可 以 创<br />

建 相 对 安 全 的 、 灵 活 实 用 的 云 平 台 。 然 而 , 即 使 部 署<br />

了 安 全 策 略 , 只 要 存 在 资 源 共 享 , 就 不 可 避 免 地 产 生<br />

隐 蔽 信 道 导 致 信 息 泄 漏 。 因 此 隐 蔽 信 道 问 题 是 云 计 算<br />

安 全 研 究 的 关 键 问 题 。


提 纲<br />

• 隐 蔽 信 道 概 述<br />

概 念 分 类<br />

研 究 现 状<br />

• 云 计 算 环 境 下 的 安 全 威 胁 与 隐 蔽 信 道<br />

云 计 算 的 安 全 威 胁<br />

云 计 算 安 全 威 胁 分 析<br />

• 我 们 的 工 作<br />

基 于 XCP 的 隐 蔽 信 道<br />

基 于 XCP 的 隐 蔽 信 道 的 实 例<br />

基 于 XCP 的 隐 蔽 信 道 的 分 类<br />

基 于 XCP 的 隐 蔽 信 道 分 析 技 术


Xen 的 体 系 结 构<br />

精 简 的 Dom0<br />

(TCB 暂 包 含 驱 动 、 相 关 守 护 进 程 如<br />

Xend,Xenconsoled,Xenstored、 虚 拟 机 管 理<br />

库 、 安 全 策 略 和 安 全 机 制 管 理 进 程 等 )<br />

Virtual Machine<br />

DomainU<br />

Virtual Machine<br />

DomainU<br />

CASVisor<br />

CASMotion<br />

CASMonitor<br />

CASArmor<br />

HyperAudit<br />

XSM<br />

Hardware


基 于 XCP 的 隐 蔽 信 道 分 析<br />

• 云 计 算 平 台 以 虚 拟 机 为 基 础 设 施 , 提 供 了 高 度 的 隔<br />

离 性 , 支 持 不 同 操 作 系 统 和 应 用 程 序 同 时 运 行 。 然<br />

而 由 于 存 在 大 量 的 共 享 资 源 , 隐 蔽 信 道 问 题 是 不 可<br />

避 免 的 。<br />

为 了 完 成 虚 拟 机 域 间 的 通 信 与 协 作 ,Xen 提 供 了 两 类 共<br />

享 资 源 , 即 超 级 调 用 和 事 件 通 道 。 事 件 通 道 是 Xen 用 于<br />

Domain 和 VMM 之 间 、Domain 和 Domain 之 间 的 异 步 事<br />

件 通 知 机 制 。<br />

事 件 通 道 机 制 与 超 级 调 用 机 制 一 起 完 成 VMM 和 Domain<br />

之 间 的 控 制 和 交 互 : 使 用 超 级 调 用 产 生 从 Domain 到<br />

VMM 的 同 步 调 用 ; 使 用 异 步 事 件 机 制 完 成 从 VMM 到<br />

Domain 的 通 知 传 递 。


基 于 XCP 的 隐 蔽 信 道 实 例<br />

• 基 于 共 享 内 存 的 隐 蔽 信 道<br />

为 了 实 现 虚 拟 机 Domain 之 间 的 共 享 内 存 ,Xen 提 供 了 基 于 超<br />

级 调 用 和 事 件 通 道 的 授 权 表 机 制 。<br />

每 个 Domain 都 拥 有 自 己 的 授 权 表 ,DomA 创 建 一 个 环 形 数 据<br />

结 构 并 赋 给 其 他 虚 拟 域 如 DomB 访 问 权 限 , 以 此 构 成 共 享 内<br />

存 。<br />

当 DomA 向 共 享 内 存 中 填 充 数 据 后 , 会 通 过 异 步 通 知 机 制 通<br />

知 DomB 来 访 问 数 据 ,DomB 申 请 中 断 获 取 共 享 内 存 中 的 数<br />

据 。<br />

在 传 输 过 程 中 , 如 果 DomA 控 制 共 享 内 存 填 充 时 间 ,DomB<br />

观 察 获 取 数 据 的 时 间 , 能 够 根 据 时 间 的 不 确 定 性 特 征 , 构 成<br />

基 于 共 享 内 存 的 时 间 隐 蔽 信 道 (Sharing Memory Covert<br />

Timing Channel)。


基 于 XCP 的 隐 蔽 信 道 实 例<br />

• 基 于 Cache/CPU 负 载 的 隐 蔽 信 道<br />

2009 年 ,Thomas 等 研 究 人 员 指 出 处 在 不 同 虚 拟 机 之 间<br />

的 进 程 如 果 存 在 硬 件 资 源 共 享 就 可 能 产 生 隐 蔽 信 道 。<br />

基 于 物 理 Cache 缓 存 的 隐 蔽 信 道 : 在 该 信 道 中 , 信 道 发<br />

送 端 用 不 执 行 操 作 和 执 行 大 量 内 存 访 问 操 作 来 表 示 信 息 0<br />

和 1; 接 收 端 访 问 内 存 并 观 察 访 问 延 迟 时 间 。 如 果 延 迟 相<br />

对 较 大 , 说 明 接 收 端 的 内 存 访 问 需 要 先 清 除 接 收 端 的<br />

Cache 缓 存 , 这 意 味 着 发 送 端 执 行 了 大 量 内 存 访 问 且 正<br />

在 传 输 信 息 1; 如 果 延 迟 相 对 较 低 , 则 表 示 发 送 端 保 持 沉<br />

默 , 发 送 信 息 0。<br />

基 于 CPU 负 载 的 隐 蔽 信 道 : 类 似 于 基 于 Cache 缓 存 的 隐<br />

蔽 信 道 ,CPU 负 载 信 道 也 是 观 测 进 程 执 行 操 作 的 响 应 时<br />

间 , 用 不 同 的 时 间 表 示 不 同 的 信 息 。


基 于 XCP 的 隐 蔽 信 道 分 类<br />

• 隐 蔽 信 道 为 , 变 量 V 可 以 表 示 系 统<br />

中 共 享 资 源 的 不 同 属 性 。<br />

当 V 表 示 存 储 属 性 时 , 隐 蔽 信 道 为 存 储 隐 蔽 信 道 。 当 V 表<br />

示 CPU 时 间 或 者 其 他 与 时 间 相 关 联 的 属 性 时 , 隐 蔽 信 道<br />

为 时 间 隐 蔽 信 道 。<br />

隐 蔽 信 道 本 质 上 是 信 息 的 通 信 信 道 , 因 此 可 以 分 为 噪 音<br />

信 道 和 无 噪 信 道 。<br />

• 现 有 的 研 究 对 隐 蔽 信 道 的 分 类 基 本 上 都 是 出 于 对 工<br />

程 实 践 的 考 虑 。 这 些 分 类 方 式 并 没 有 体 现 出 隐 蔽 信<br />

道 在 云 计 算 环 境 中 的 特 点 , 所 以 需 要 新 的 分 类 方 式<br />

以 更 准 确 地 刻 画 隐 蔽 信 道 的 外 延 和 内 涵 。


基 于 XCP 的 隐 蔽 信 道 分 类


域 内 隐 蔽 信 道<br />

• 域 内 隐 蔽 信 道 CC1, 进 程 级 泄 漏 方 式<br />

恶 意 进 程 P i 和 P j 处 在 同 一 虚 拟 域 (DomU) 中 , 由 于 虚 拟 机<br />

提 供 的 强 隔 离 性 机 制 , 隐 蔽 信 道 影 响 的 范 围 局 限 在 该 虚<br />

拟 域 内 。DomU 中 运 行 独 立 的 操 作 系 统 ,P i 和 P j 是 处 于<br />

不 同 安 全 级 的 操 作 进 程 , 隐 蔽 信 息 从 高 等 级 进 程 泄 漏 到<br />

低 等 级 进 程 , 从 而 实 现 隐 蔽 信 道 通 信 。<br />

CC1 类 型 的 隐 蔽 信 道 是 操 作 系 统 中 的 进 程 级 机 密 信 息 泄<br />

漏 方 式 , 对 其 的 标 识 、 度 量 、 消 除 、 限 制 、 审 计 和 检 测<br />

等 方 法 可 以 参 考 操 作 系 统 隐 蔽 信 道 的 分 析 方 法 。


跨 平 台 隐 蔽 信 道<br />

• 跨 平 台 隐 蔽 信 道 CC2, 网 络 级 隐 蔽 信 道<br />

恶 意 进 程 P k 在 虚 拟 机 平 台 DomU 中 ,P x 是 其 他 硬 件 平 台<br />

上 虚 拟 机 或 者 独 立 操 作 系 统 中 的 进 程 。 进 程 P k 和 P x 只 能<br />

通 过 网 络 连 接 通 信 , 因 此 CC2 信 道 可 抽 象 为 网 络 隐 蔽 信<br />

道 。<br />

对 CC2 类 型 信 道 的 研 究 可 以 参 考 传 统 的 网 络 隐 蔽 信 道 研<br />

究 方 法 。


域 间 隐 蔽 信 道<br />

• 域 间 隐 蔽 信 道 CC3, 系 统 级 泄 漏 方 式<br />

收 发 双 方 恶 意 进 程 分 处 同 一 硬 件 平 台 上 不 同 的 虚 拟 域<br />

(DomU) 中 , 机 密 信 息 经 过 操 作 系 统 级 的 传 输 , 泄 漏 给<br />

恶 意 用 户 。<br />

CC3 类 型 的 隐 蔽 信 道 是 云 计 算 环 境 中 特 有 的 隐 蔽 信 道 类<br />

型 , 是 由 硬 件 资 源 共 享 导 致 的 信 道 , 如 基 于 共 享 内 存 、<br />

Cache 和 CPU 负 载 的 信 道 。CC3 信 道 对 于 云 计 算 客 户 的<br />

数 据 安 全 至 关 重 要 , 如 果 具 有 业 务 竞 争 关 系 的 客 户 处 在<br />

同 一 物 理 平 台 上 ,CC3 类 型 的 信 息 泄 漏 将 带 来 沉 重 的 经<br />

济 代 价 。


分 析 过 程<br />

• 云 计 算 环 境 下 的 隐 蔽 信 道 分 析 需 要 重 点 对 CC3 类 型 的<br />

信 道 做 分 析 ,CC1 和 CC2 类 型 的 信 道 可 以 直 接 采 用 以<br />

前 的 分 析 结 果 。 对 CC3 类 型 信 道 分 析 的 过 程 如 下 :<br />

安 装 配 置 LLVM 编 译 系 统 ;<br />

修 改 系 统 源 代 码 的 Makefile 文 件 , 使 之 调 用 LLVM 进 行 编 译<br />

;<br />

使 用 编 写 的 中 间 代 码 分 析 工 具 和 信 息 流 图 构 建 工 具 , 查 找 潜<br />

在 隐 蔽 信 道 ;<br />

在 系 统 中 部 署 检 查 到 的 潜 在 隐 蔽 信 道 , 验 证 其 是 否 能 在 真 实<br />

场 景 下 实 现 ;<br />

通 过 实 验 计 算 其 容 量 ;<br />

设 计 相 应 的 隐 蔽 信 道 处 置 措 施 。


采 用 的 分 析 方 法<br />

• 基 于 源 代 码 的 有 向 信 息 流 图 标 识 方 法<br />

按 照 高 内 聚 、 低 耦 合 的 规 则 将 规 模 庞 大 的 系 统 划 分 为 相<br />

对 独 立 的 多 个 子 系 统 ;<br />

采 用 LLVM 编 译 技 术 , 将 分 析 对 象 编 译 成 等 价 的 更 具 结<br />

构 性 的 中 间 代 码 ;<br />

针 对 中 间 代 码 设 计 查 找 算 法 , 分 析 模 块 中 共 享 资 源 和 操<br />

作 进 程 ;<br />

结 合 信 息 流 分 析 技 术 , 为 查 找 到 的 共 享 资 源 和 操 作 进 程<br />

创 建 有 向 信 息 流 图 ;<br />

设 计 有 向 图 搜 索 和 剪 枝 算 法 , 查 找 满 足 隐 蔽 信 道 定 义 的<br />

共 享 资 源 , 即 为 潜 在 的 隐 蔽 信 道 。


专 利 之 一 : 一 种 隐 蔽 信 道 标 识 方 法<br />

本 发 明 公 开 了 一 种 基 于 有 向 信 息 流 图 的 隐 蔽 信 道 标 识<br />

方 法 , 以 系 统 源 代 码 为 分 析 对 象 , 提 出 了 一 种 标 识 隐 蔽 信<br />

道 的 新 方 法 。 该 方 法 首 先 形 式 化 描 述 了 安 全 信 息 系 统 中 的<br />

隐 蔽 信 道 , 该 表 述 指 明 隐 蔽 信 道 不 可 或 缺<br />

的 基 本 要 素 ; 然 后 将 待 分 析 的 完 整 系 统 划 分 成 相 对 独 立 的<br />

子 系 统 ; 在 每 个 子 系 统 中 以 共 享 变 量 为 基 本 单 元 搜 索 相 关<br />

的 函 数 调 用 分 支 , 进 而 根 据 信 息 流 关 系 构 建 有 向 信 息 流 图<br />

; 并 根 据 隐 蔽 信 道 的 形 式 化 描 述 对 每 个 信 息 流 图 进 行 剪 枝<br />

, 消 除 代 码 中 的 无 效 流 分 支 和 变 量 别 名 ; 最 后 得 到 的 所 有<br />

的 信 息 流 图 中 的 变 量 节 点 和 函 数 调 用 分 支 即 为 潜 在 的 隐 蔽<br />

信 道 组 成 因 素 。 本 发 明 适 用 于 高 安 全 等 级 的 操 作 系 统 , 数<br />

据 库 , 网 络 等 信 息 系 统 的 源 代 码 , 具 有 广 泛 的 应 用 范 围 、<br />

较 高 的 执 行 效 率 、 较 低 的 误 报 率 和 漏 报 率 , 能 标 识 系 统 中<br />

的 潜 在 隐 蔽 信 道 , 满 足 安 全 标 准 对 隐 蔽 信 道 分 析 的 要 求 。


32<br />

2010 年 发 表 论 文 列 表 (17 篇 )<br />

• Jingzheng Wu, Yongji Wang, Liping Ding, Xiaofeng Liao. Improving Performance of Network Covert Timing Channel through Huffman Coding. The 2010 FTRA<br />

International Symposium on Advances in Cryptography, Security and Applications for Future Computing (ACSA 2010). Gwangju, Korea. Dec 9-11, 2010.<br />

• Jingzheng Wu, Yongji Wang, Liping Ding, Yanping Zhang. Constructing Scenario of Event-Flag Covert Channel in Secure Operating System. 2nd International<br />

Conference on Information and Multimedia Technology (ICIMT 2010). Hongkong. Dec 28-30, 2010.<br />

• Li Shang-Jie, He Ye-Ping. A Privacy-Preserving Integrity Measurement Architecture. Proceeding of Third International Symposium on Electronic Commerce and<br />

Security, 2010, Guangzhou, China, pp242-246.<br />

• Li Shang-Jie, He Ye-Ping. On Property-based Attestation. The IASTED International Conference on Communication and Information Security, 2010,Marina Del<br />

Rey, USA.<br />

• Li Shangjie, He Yeping. Trusted Subjects Configuration based on TE model in MLS Systems. 2nd International Conference of Trusted Systems(INTRUST 2010),<br />

2010, Beijing, China.<br />

• Tian Shuo, He Yeping, Ding Liping. A Countermeasure against Stack-smashing Attack Based on Canary Obtained through Nonlinear Transformation.<br />

Proceedings of 2010 2nd International Conference on Information and Multimedia Technology (ICIMT 2010), Hong Kong 12.28-12.30.2010<br />

• Zhang Qian, He Yeping, Meng Ce. Towards Remote Attestation of Security Policies . In Proceedings of International Conference on Networks Security, Wireless<br />

Communications and Trusted Computing(NSWCTC2010), P475-478. Wuhan, China.<br />

• Zhang Qian, He Yeping, Meng Ce. Semantic Remote Attestation for Security Policy. In Proceedings of International Conference on Information Science and<br />

Applications(ICISA 2010), P407-414. Seoul, Korea.<br />

• 王 永 吉 , 吴 敬 征 , 曾 海 涛 , 丁 丽 萍 , 廖 晓 锋 . 隐 蔽 信 道 研 究 . 软 件 学 报 , 2010,21(9):2262-2288. http://www.jos.org.cn/1000-9825/3880.htm<br />

• Xiaofeng Liao; Yongji Wang, Liping Ding. A Novel Duplicate Images Detection Method Based on PLSA Model. 2010 3rd International Conference on Machine<br />

Vision (ICMV 2010). Hongkong. 2010.<br />

• Xiaofeng Liao, Yongji Wang, Liping Ding. Discovering Temporal Patterns from Images using Extended PLSA. International Conference on Multimedia<br />

Technology. Ningbo, China; IEEE. 2010.<br />

• Liping Ding, Gujian, Yongji Wang, Jingzheng Wu. Analysis of Telephone Call Detail Records Based on Fuzzy Decision Tree. Proceedings of ICST Conference on<br />

Forensics Applications and Techniques in Telecommunications , Information and Multimedia. Shanghai, 2010, China.<br />

• [13] Yasen Aizezi, Liping Ding, Dilixiati Maimaiti, Qiong Wan . Research on the Helper of EnCase for Digital Evidences in Uyghur-Kazak-Kyrgyz. Analysis of<br />

Telephone Call Detail Records Based on Fuzzy Decision Tree. Proceedings of ICST Conference on Forensics Applications and Techniques in<br />

Telecommunications , Information and Multimedia. Shanghai, 2010, China.<br />

• 蒋 建 春 , 文 伟 平 . “ 云 ” 计 算 环 境 的 信 息 安 全 问 题 .《 信 息 网 络 安 全 》. 2010 年 2 期 .<br />

• Jianchun Jiang, Weifeng Chen, Liping Ding. "On Estimating Cyber Adversaries' Capabilities - A Bayesian Model Approach". (Poster) Proceedings of the 13th<br />

International Symposium on Recent Advances in Intrusion Detection (RAID 2010), Ottawa, Canada, September 15-17, 2010.<br />

• 陈 超 , 蒋 建 春 , 丁 治 明 . 基 于 时 序 片 段 评 价 的 数 据 分 配 算 法 。 计 算 机 研 究 与 发 展 。 第 47 卷 , 增 刊 ,2010 年 10 月 。<br />

• Weifeng Chen, Jianchun Jiang, and Nancy Skocik. "On the Privacy Protection in Publish/Subscribe Systems". Proceedings of IEEE International Conference on<br />

Wireless Communications, Networking and Information Security (WCNIS2010), Beijing, China, June 25-27, 2010.


33<br />

2011 年 阶 段 性 成 果<br />

• Liping Ding, Yifei Guo, Jian Gu and Jingzheng Wu. DRMIBT: a New DRM Implementation<br />

Based on Virtual Machine. 2011 International Conference on Information and Industrial<br />

Electronics (ICIIE 2011). Chengdu. Jan 14-15, 2011.<br />

• Jingzheng Wu, Yongji Wang, Liping Ding, Wei Han. A Practical Covert Channel Identification<br />

Approach in Source Code based on Directed Information Flow Graph. The Fifth Annual<br />

International Conference on Secure Software Integration and Reliability Improvement (SSIRI<br />

2011). Jeju Island, Korea. Jun 27-29, 2011: (Accepted).<br />

• Xiaofeng Liao, Liping Ding,Yongji Wang. Secure Machine Learning, A Brief Overview. The<br />

Fifth Annual International Conference on Secure Software Integration and Reliability<br />

Improvement (SSIRI 2011). Jeju Island, Korea. Jun 27-29, 2011: (Accepted).<br />

• Wei Han, Yeping He, Liping Ding. Verifying the Safety of Xen Security Modules. The Fifth<br />

Annual International Conference on Secure Software Integration and Reliability Improvement<br />

(SSIRI 2011). Jeju Island, Korea. Jun 27-29, 2011: (Accepted).<br />

• Ennan Zhaiy, Liping Dingy, Sihan Qingy;z. Towards a Reliable Spam-Proof Tagging System.<br />

The Fifth Annual International Conference on Secure Software Integration and Reliability<br />

Improvement (SSIRI 2011). Jeju Island, Korea. Jun 27-29, 2011: (Accepted).<br />

• Jingzheng Wu, Yongji Wang, Liping Ding, Wei Han. Identification and Evaluation of Sharing<br />

Memory Covert Timing Channel in Xen Virtual Machines. IEEE 4th International Conference<br />

on Cloud Computing (CLOUD 2011). Washington DC, USA. July 4-9, 2011:(Accepted).<br />

• Ming Li, Liping Ding, Shuo Tian. Analysis and Research on Security Defense Strategies of<br />

Cloud Security. ICETC 2011, July 15 - 16, 2011, Changchun, China: (Accepted).


云 计 算 隐 蔽 信 道 分 析 的 工 业 价 值<br />

• 云 计 算 掀 起 了 当 今 IT 业 的 又 一 次 研 究 热 潮 , 产 业 界<br />

对 云 计 算 能 够 带 来 的 实 际 效 益 更 加 注 重 。 然 而 , 云<br />

安 全 是 制 约 云 计 算 发 展 的 瓶 颈 。 如 何 隔 离 用 户 数 据 ,<br />

保 证 数 据 的 机 密 性 、 完 整 性 以 及 可 用 性 将 会 是 今 后<br />

工 业 界 的 研 究 重 点 , 也 是 解 决 云 安 全 问 题 的 关 键 。


谢 谢 大 家 , 请 批 评 指 正 !<br />

35

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!