王永吉 等:隐蔽信道研究
2267
附加一层隐蔽通信.由于更贴近于日常应用,并且涉及更广泛的安全环境和安全策略,目前第 2 种网络信道的研
究逐渐占据了主流地位.
1987 年,Girling 发现了 3 种局域网上的隐蔽信道,开启了对普通网络中隐蔽信道的研究
[19]
.1996 年,Handel
对 OSI 网络模型进行了深入分析,提出了许多理论上的潜在隐蔽信道.同年,Rowland 在 TCP/IP 协议部分找到了
许多隐蔽信道实例
[20,21]
.之后,网络信道的威胁得到了广泛的认识.网络隐蔽信道的识别、度量和处置也逐渐成
为隐蔽信道研究领域的热点之一
[22−25]
.
网络隐蔽信道也包括存储隐蔽信道和时间隐蔽信道两种类型.网络存储隐蔽信道主要是在各种协议的数
据包中加载信息.为了实现隐蔽传输,一般将信息附加在不常用的数据段中,包括未用的 IP 头字段(TOS 字段、
DF 和 URG 位)、IP 头的扩展和填充段、IP 标识和碎片偏移等
[19−21]
.也有的网络存储隐蔽信道将信息隐藏在应
用层编码中
[26]
.网络时间隐蔽信道则一般利用网络中传输数据包的时间特性来表示信息,这些时间特性包括数
据包的发送/到达时刻、间隔时间等
[27−29]
.
1.3.4 推理信道
推理信道一般存在数据库系统中,是指恶意用户利用历史访问记录查询信息,实现对敏感信息间接访问
[30]
.
在部分研究成果中,推理信道被归属于隐蔽信道领域.不过,这种信道与 TCSEC 标准中的隐蔽信道概念存在一
些差距:
(1) 推理信道所针对的系统不只局限于多级安全系统,执行其他安全策略的系统中同样存在推理信道威
胁.恶意用户可以利用推理信道以未授权的方式获取敏感信息;
(2) 推理信道中发送者并非是必须的,恶意用户可以独立构造查询来完成信息盗取.因此,推理信道并不
需要植入木马.
2 隐蔽信道分析技术
隐蔽信道分析技术主要可以分为 4 个领域,其分别关注于隐蔽信道的建模、识别、度量和处置
[31]
.其中,后
三者被 TCSEC 标准规定为针对具体信道需要执行的工作
[1,7]
.
信道建模关注于隐蔽信道产生原因的研究和信道的形式化模型表示,主要包括信息流模型
[32]
和无干扰模
型
[33]
.
信道识别(search/identify)强调对系统设计和代码进行分析,寻找可能被用来构建信道、进行隐蔽通信的共
享资源、原语等设施,即搜索〈variable,PA
h
,PV
i
〉中的 variable 变量和 PA
h
,PV
i
原语.对系统执行信道识别操作,可
以确定系统中是否存在隐蔽信道隐患.针对信道建模模型描述的隐蔽信道产生原因,分别形成了一系列隐蔽信
道的识别方法,包括信息流分析方法
[34−36]
、无干扰分析方法
[37,38]
、共享资源矩阵方法
[10]
及其改进
[39]
、隐蔽流
树方法
[40]
、Tsai 等人提出的代码级分析技术
[41,42]
、回溯搜索法
[18]
、逆向共享资源矩阵
[43]
等方法.
在识别出隐蔽信道之后,系统的安全保障人员就可以对信道的传输能力及危害程度进行度量,并采取处置
措施来保障系统的安全性.对隐蔽信道威胁的度量结果可以用来评价信道对系统安全性的威胁程度,并指导对
其采取适当的限制措施,以有限的代价来保障系统的安全服务.
TCSEC标准中规定,使用信道容量作为信道威胁评价的指标.信道容量度量方法主要分为两种类型,分别是
Millen 提出的形式化方法
[34]
和 Tsai 与 Gligor 提出的非形式化方法
[44]
.除了通过精确计算或实验来获得信道的
容量数值以外,实际应用中也可能只需要通过数学分析获得信道容量值的取值范围
[45−47]
.除了信道容量之外,用
来对信道威胁度量的指标还包括短消息指标
[48,49]
、隐蔽信道因素
[50]
、相对容量
[51]
等.
信道的处置措施包括 3 类,分别是信道消除、限制、审计和检测.对隐蔽信道危害的消除措施包括修改系
统、排除产生隐蔽信道的源头或者破坏信道的存在条件.但是信道消除的方法一般代价较高,不易实现.早在信
息安全标准 TCSEC 中就已经承认了隐蔽信道难以消除的可能性,并认为,当安全系统对隐蔽信道施加有效干扰
后能够限制信道传输能力,从而确保恶意用户即使通过信道盗取了机密信息,也会因为信息的准确度有限或者
数据已经过时而无法对系统安全构成威胁.因此,TCSEC标准允许系统放弃完全消除信道,而选择限制信道能力