安全数据库隐蔽通道的标识技术与实例分析

LogicSQL数据库是自主研制基于Linux的高安全级别安全数据库。重点对安全数据库的隐蔽通道标识技术进行研究，为寻求更好的隐蔽通道标识方法，对共享资源矩阵、信息流公式法、无干扰法等标识方法从理论上进行分析，以LogicSQL安全数据库的隐蔽通道进行实例分析。改进的共享资源矩阵是目前相对比较成功的隐蔽通道标识方法，无干扰法的实际应用可作以后的隐蔽通道标识方法研究重点。     

高安全级别安全数据库的隐蔽通道分析

LogicSQL数据库是自主研制的基于Linux的高安全级别安全数据库.对高安全级别安全数据库的隐蔽通道的分析,是从隐蔽通道的标识、带宽的计算、隐蔽通道的处理等方面进行的,并以LogicSQL安全数据库的隐蔽通道进行分析与处理.最后展望了下一步LogicSQL安全数据库的研究方向.     

图灵四级安全操作系统隐蔽通道分析研究

对图灵四级安全操作系统隐蔽通道进行了分析研究，提出了新的隐蔽通道分析方法——增强改进型语义信息流法。该方法具有工作量小、源代码级分析、能排除伪结果、帮助对隐蔽通道进行后续处理等优点。采用该方法对图灵四级安全操作系统隐蔽通道进行了标识，对隐蔽通道带宽进行了计算，并根据不同的安全策略对隐蔽通道进行了适当的处理。其分析结果达到了相关国家标准中第4级安全操作系统的规定。     

隐蔽通道标识与处理

标识与处理隐蔽通道是美国橘皮书TCSEC对B2及以上级别安全产品的关键评估要求，也是国际标准CC评估EAL5及以上系统的关键指标。目前，隐蔽通道分析是阻碍我国开发高安全等级信息系统的主要瓶颈。该文介绍了迄今为止国际上标识与处理隐蔽通道的主流方法，探讨了使用这些方法对安全信息系统进行隐蔽通道分析的可行性。     

基于双十字链表存储的共享资源矩阵方法特性研究

针对共享资源矩阵法在系统隐蔽通道检测过程中存在的算法时间复杂度高的问题,提出了一种基于双十字链表存储的改进算法。首先,针对共享资源矩阵方法中的核心操作——传递闭包操作,将传统的数组存储改进为双十字链表存储;其次,针对共享资源矩阵方法建立了概率模型;最后,在该概率模型下,分析了改进算法的时间复杂度和共享资源矩阵方法的特性。理论分析和实验仿真表明:当共享资源矩阵为稀疏矩阵时,采用基于双十字链表存储的改进算法能够使共享资源矩阵法的时间效率相比传统的数组存储提高67%;当共享资源矩阵的规模较大时,传递闭包操作会使得共享资源矩阵中的元素快速填充,从而导致基于双十字链表存储改进算法相比传统数组存储的时间效率优势下降,并在概率模型下通过理论推导验证了传递闭包操作的这一特性。     

安胜安全操作系统的隐蔽通道分析

安胜安全操作系统是自主研制的基于Linux的高安全等级安全操作系统,包括安全内核,安全架构与安全模型.总结了对该系统进行的隐蔽通道分析方法,首次报道基于Linux内核开发的安全操作系统的隐蔽通道分析结果.应用新型的"回溯方法"发现了某些新的隐蔽通道.对被标识的隐蔽通道,准确地计算了它们的带宽,并进行了适当的隐蔽通道处理.     

隐通道及其搜索方法

根据TCSEC规定，开发B2及以上安全系统时必须进行隐通道分析，该文简要介绍了隐通道的概念及分类，并在比较现有隐通道搜索方法优缺点的基础上，详细给出了共享资源矩阵法的隐通道分析操作步骤。     

隐蔽信道新型分类方法与威胁限制策略

隐蔽信道是指恶意通信双方通过修改共享资源的数值、特性或状态等属性,来编码和传递信息的信道.共享资源的选取,由隐蔽信道的类型与具体通信场景所决定.早期,存储隐蔽信道和时间隐蔽信道主要存在于传统操作系统、网络和数据库等信息系统中.近年来,研究重点逐渐拓展到了3类新型隐蔽信道,分别为混合隐蔽信道、行为隐蔽信道和气隙隐蔽信道.对近年来国内外隐蔽信道研究工作进行了系统的梳理、分析和总结.首先,阐述隐蔽信道的相关定义、发展历史、关键要素和分析工作.然后,根据隐蔽信道共享资源的类型以及信道特征,提出新的隐蔽信道分类体系.首次从发送方、接收方、共享资源、编码机制、同步机制、评价指标和限制方法这7个方面,对近年来新型隐蔽信道攻击技术进行系统的分析和归纳,旨在为后续隐蔽信道分析和限制等研究工作提供有益的参考.进而,讨论了面向隐蔽信道类型的威胁限制技术,为设计面向一类隐蔽信道的限制策略提供研究思路.最后,总结了隐蔽信道中存在的问题和挑战.     

数据库系统隐蔽通道分析的设计

从隐蔽通道概念入手，阐述了隐蔽通道分析在Oracle中的设计思想，讨论了隐蔽通道分析的内容与层次、隐蔽通道的标识方法、隐蔽通道带宽的计算与测量、隐蔽通道的处理，就如何提高Oracle 9i安全性能提供了一种途径。     

元数据相关推理研究

在多级安全数据库中,推理通道的存在会对信息的安全造成威胁。在推理问题中,与元数据相关的推理是其中的一个重要方面,对该问题的研究有助于数据库的安全增强。将与元数据相关的推理问题进一步划分为不同类别描述,对不同类别的推理问题,分别探讨了如何进行控制,并给出了解决的方法。为了消除推理通道,需要修改属性的安全级别标识信息;提出了一个标识修改的模型MTL,用于通过修改属性安全标识来消除推理通道。     

基于LogicSQL的多级安全数据库的研究与设计

数据库安全是当前信息安全研究的一个基础和难点,文章结合数据库的用户身份认证与自主访问控制研究,设计了LogicSQL多级安全模型。该模型把安全级分为分层密级和非分层的范围组成的二元组形式;主要从安全标签、强制访问控制和可信体系结构方面进行讨论。鉴于多级安全模型在高安全数据库系统中的重要作用,在自行开发的具有自主版权的数据库管理系统LogicSQL上实现了该模型,使其至少达到B1级别安全并在企业搜索与公安系统中得到应用。     

LogicSQL多级安全数据库的研究与实现

结合数据库的用户身份认证与自主访问控制研究,设计了LogicSQL多级安全模型。该模型把安全级分为分层密级和非分层的范围组成的二元组形式,主要从安全标签、强制访问控制和审计方面进行讨论。该模型在企业搜索与公安系统中得到应用。     

云计算环境中的虚拟机同驻安全问题综述

在云计算环境中,为了实现资源共享,不同租户的虚拟机可能运行在同一台物理机器上,即虚拟机同驻,这将带来新的安全问题。为此,文章重点讨论同驻虚拟机所面临的一些新的安全威胁,包括资源干扰、隐蔽通道/侧信道、拒绝服务与虚拟机负载监听等,介绍现有虚拟机同驻探测方法,总结针对虚拟机同驻威胁的四种防御思路,并分析未来的研究趋势。     

网络隐蔽信道实现机制及检测技术研究

网络隐蔽信道利用正常网络协议传递隐蔽信息,能够为木马、间谍软件等恶意通信规避安全检测提供载体。针对现有隐蔽信道数量众多、特征繁杂、检测不便等问题,在分析其通信模型及应用模式的基础上,提出了一种基于实现机制的分类方法,从协议和字段的根本特点出发研究了隐蔽信道的异常特征,分析了现有检测方法及其缺陷,给出了下一步的研究方向。     

网络隐蔽信道关键技术研究综述

网络隐蔽信道是在网络环境下违反通信限制规则进行隐蔽信息传输的信息通道,为网络信息安全带来了新的挑战,也为数据传输的安全性和隐私性带来了新的研究方向.首先介绍了网络隐蔽信道的定义、分类、能力维度等基本概念;进而从码元设计、信息编码和信道优化这3个方面归纳分析了存储型和时间型两类网络隐蔽信道的构建技术,从隐蔽性、鲁棒性和传输效率这3个方面总结了网络隐蔽信道评估方法,从消除、限制、检测这3个方面梳理了网络隐蔽信道的对抗技术;最后,对未来的研究方向进行了展望.     

信息流安全性的隐通道分析与研究

隐通道是信息流安全性研究的关键问题，国内外学者通过分析隐通道对信息安全问题进行了研究。通过分析隐通道产生条件，对两种重要的隐通道的分析方法进行了比较，提出了较为科学的改进思路。     

面向云覆盖聚合网中节点资源有限的移动数据库研究

移动数据库随着移动技术发展,共享其自身资源及周围资源成为热门研究.目前其在移动环境中节点资源受限和远距离资源共享问题研究不足,成为移动数据库技术难点.针对节点资源受限问题采取增强移动端连通性让移动数据库节点聚合传输,本文提出CCAN算法.并研究如何让节点资源有限的移动数据库解决信息远距离高效传输,准确及时与云共享资源.基于云覆盖聚合网的移动数据库依赖于现有各移动节点之间聚合,选择最优路径传输数据和信息交互,对远距离传输基于CCAN采取资源快速稳定分配(C-RFSD算法).算法验证,对比分析提出方法较现有方法提高约百分之十.     

An Experience Using Two Covert Channel Analysis Techniques on a Real System Design

This paper examines the application of two covert channel analysis techniques to a high level design for a real system, the Honeywell Secure Ada® Target (SAT). The techniques used were a version of the noninterference model of multilevel security due to Goguen and Meseguer and the shared resource matrix method of Kemmerer. Both techniques were applied to the Gypsy Abstract Model of the SAT. The paper discusses the application of the techniques and the nature of the covert channels discovered. The relative strengths and weaknesses of the two methods are discussed and criteria for an ideal covert channel tool are developed.     

基于HTTP协议的跳频隐蔽通道技术研究

针对目前HTTP隐蔽通道带宽小和容易被检测的弱点,提出一种基于HTTP协议的跳频隐蔽通道(FHCC_HTTP)技术。介绍了多种基于HTTP协议的隐蔽通道构建方法,在此基础上提出了基于跳频原理的HTTP隐蔽通道技术的设计和实现。最后对文件隐秘性、文件传输时间进行了分析和仿真测试,结果表明采用FHCC_HTTP隐蔽通道的网络流量更贴近正常用户浏览网页时的网络流量,可有效地避开IDS的检测,隐秘性好。同时由于FHCC_HTTP切换多种隐蔽通道构建方法,文件传输时间和隐蔽通道带宽较RwwwShell有明显改善。