解讀云計(jì)算環(huán)境下的隱蔽信道分析


時(shí)間:2012-06-12





  以“互聯(lián)網(wǎng)安全新思維”為主題的OWASP2011亞洲峰會(huì)在11月8日-9日成功舉辦。本屆大會(huì)從“網(wǎng)絡(luò)安全產(chǎn)品測(cè)評(píng)”、“OWASP應(yīng)用安全技術(shù)”“業(yè)務(wù)安全發(fā)展新思路”“云安全”等多個(gè)角度展開(kāi)深入的討論。來(lái)自中國(guó)科學(xué)院軟件研究所基礎(chǔ)軟件國(guó)家工程研究中心系統(tǒng)安全與可信計(jì)算研究室負(fù)責(zé)人丁麗萍女士為大家分享《云計(jì)算環(huán)境下的隱蔽信道分析》。她從隱蔽信道、云計(jì)算環(huán)境下安全威脅和隱蔽信道以及她們所做的工作三個(gè)方面進(jìn)行了詳細(xì)了介紹。

  隱蔽信道

  隱蔽信道在操作系統(tǒng)層面的概念是指惡意進(jìn)程通過(guò)合謀信息系統(tǒng)共享資源的實(shí)現(xiàn)信息泄漏的方式,隱蔽信道分析是國(guó)內(nèi)外安全標(biāo)準(zhǔn)對(duì)脆弱性分析的強(qiáng)制性的要求,要求你在提交產(chǎn)品的同時(shí)提交隱蔽信道分析的報(bào)告,構(gòu)建場(chǎng)景進(jìn)行度量,并提出消除措施。具體分析工作有:識(shí)別、度量和處置。隱蔽信道分析是信息安全領(lǐng)域的重要難題,研究起來(lái)難度很大。原因在于以強(qiáng)制訪問(wèn)控制研究作為基礎(chǔ),海量代碼基于源碼拿出來(lái)在靜態(tài)的分析比較復(fù)雜,像內(nèi)核源碼好幾百萬(wàn)行,各個(gè)產(chǎn)品都有一些技術(shù)壁壘,導(dǎo)致參考資料非常少。

  信道的分析分三塊:識(shí)別、度量、處置:

  ? 識(shí)別是對(duì)系統(tǒng)靜態(tài)分析,對(duì)源代碼的分析,強(qiáng)調(diào)對(duì)設(shè)計(jì)和代碼進(jìn)行分析,發(fā)現(xiàn)所有潛在的隱蔽信道;

  ? 度量是對(duì)信道傳輸能力和威脅程度的評(píng)價(jià),隱蔽信道到底它的傳輸能力帶寬多大,對(duì)系統(tǒng)整個(gè)威脅多大,做出評(píng)價(jià);

  ? 處置是包括信號(hào)的審計(jì)、消除、限制。信道的處置包括消除措施破壞信道存在條件,限制包括把信道降低到系統(tǒng)能夠容忍的范圍內(nèi),把它的帶寬減少。信道的審計(jì)強(qiáng)調(diào)對(duì)潛在信道的相關(guān)操作進(jìn)行監(jiān)測(cè)和記錄,這就是隱蔽信道的傳輸機(jī)理。

  隱秘信道本質(zhì)上是信息傳輸?shù)耐ǖ?,重點(diǎn)集中在傳輸介質(zhì)的研究,根據(jù)共享資源屬性不同分為存儲(chǔ)和時(shí)間類(lèi)型,四級(jí)操作系統(tǒng)要求對(duì)存儲(chǔ)類(lèi)隱蔽信道進(jìn)行傳輸分析,五級(jí)對(duì)時(shí)間和存儲(chǔ)都要進(jìn)行分析,由此延伸出存儲(chǔ)和時(shí)間信道兩種。在操作系統(tǒng)、數(shù)據(jù)庫(kù)或者網(wǎng)絡(luò)中發(fā)現(xiàn)一種共享資源作為隱蔽信道的傳輸,是隱蔽傳輸機(jī)制的核心;傳輸介質(zhì)的選擇,是能夠提高信道的容量和隱匿性的根源。

  提高隱蔽信道的傳輸準(zhǔn)確率和隱匿性的另一種方式是改進(jìn)信道的編碼機(jī)制。利用字母頻率特征、編碼期望長(zhǎng)度較大或者多元編碼機(jī)制。

  操作系統(tǒng)隱蔽信道研究重點(diǎn)在于防患于未然。對(duì)于開(kāi)發(fā)出來(lái)某一個(gè)版本里面的隱蔽信道做一些分析,對(duì)它進(jìn)行消除采取一些措施,側(cè)重于它的標(biāo)識(shí)、場(chǎng)景構(gòu)建、容量度量等方面。這是我們列出相關(guān)的研究。Kemmerer為認(rèn)為隱蔽信道是使用不是正常數(shù)據(jù)客體的項(xiàng)從一個(gè)主體向另一個(gè)主體傳遞信息的信道,并由該定義設(shè)計(jì)出共享資源矩陣法。Tsai等人認(rèn)為隱蔽信道是違反強(qiáng)制安全策略模型的兩個(gè)主體間的非法通信。提出語(yǔ)義信息流方法判斷內(nèi)核變量間的可見(jiàn)性,以此發(fā)現(xiàn)可見(jiàn)隱蔽信道,缺乏分析工具。咱們國(guó)家的卿斯?jié)h延續(xù)了語(yǔ)義信息流的思想,設(shè)計(jì)了一種代碼層次的標(biāo)識(shí)方法回溯搜索法,該方法引入“剪枝規(guī)則”,在標(biāo)識(shí)過(guò)程中刪除不能構(gòu)成隱蔽信道的共享變量。數(shù)據(jù)庫(kù)隱蔽信道研究的人更少了,數(shù)據(jù)庫(kù)系統(tǒng)中存在著大量共享資源,這個(gè)領(lǐng)域的研究值得涉足了。網(wǎng)絡(luò)隱蔽信道集中正面的研究,利用傳輸信道傳輸隱秘信息,比如數(shù)據(jù)段增加一些東西來(lái)隱匿傳輸信息到另外一個(gè)節(jié)點(diǎn)去。網(wǎng)絡(luò)隱蔽信道將信息泄漏威脅從系統(tǒng)內(nèi)部轉(zhuǎn)移到系統(tǒng)中間,研究比較多是Purdue University普渡大學(xué)提出了一種IP時(shí)間隱蔽信道,稱(chēng)作IPCTC。

  云計(jì)算環(huán)境下安全威脅和隱蔽信道

  云計(jì)算環(huán)境下的安全威脅與隱蔽信道關(guān)系。云計(jì)算將基礎(chǔ)設(shè)施、平臺(tái)及應(yīng)用部署到云端,無(wú)論從觀念上還是技術(shù)都給信息安全帶來(lái)極大的挑戰(zhàn),好多專(zhuān)家說(shuō)云計(jì)算帶來(lái)威脅非常之大。

  ? 入侵者:云計(jì)算平臺(tái)為其提供了一個(gè)廉價(jià)、高效、穩(wěn)定的入侵平臺(tái)。

  ? 用戶(hù):擔(dān)心將應(yīng)用程序與服務(wù)部署在不可控的環(huán)境中的安全性。

  ? 服務(wù)商:由于隱私保護(hù)和商業(yè)規(guī)則,云服務(wù)商無(wú)法記錄和監(jiān)控客戶(hù)執(zhí)行的操作,導(dǎo)致信息泄漏等攻擊方式難易記錄和發(fā)現(xiàn)。

  從三個(gè)層面來(lái)說(shuō),云安全還是非常大的問(wèn)題,很難解決。

  虛擬化技術(shù)是云計(jì)算平臺(tái)的核心。虛擬化技術(shù)提供了大量的共享資源,成為隱蔽信息的發(fā)生的源泉。我們以一個(gè)虛擬機(jī)的生命周期為例來(lái)分析云計(jì)算面臨的威脅。隱蔽信道依賴(lài)于共享資源存在的,共享資源越多隱蔽信道越多。

  一個(gè)虛擬機(jī)有創(chuàng)建、啟動(dòng)、運(yùn)行、停止、銷(xiāo)毀生命周期。在生命周期中,都會(huì)面臨到很多威脅。它的運(yùn)行階段時(shí)間最長(zhǎng),啟動(dòng)起來(lái)一直在運(yùn)行,運(yùn)行階段我們認(rèn)為用A1和A2表示,A1表示虛擬機(jī)之間基于共享子資源的隱蔽信道。比如由于CPU負(fù)載和Cache緩存的隱蔽信道,在云計(jì)算平臺(tái)中,雖然VMM為每個(gè)虛擬機(jī)分配了虛擬的CPU,但是最終的任務(wù)仍然要順序地在物理CPU上執(zhí)行,通過(guò)觀察物理CPU的負(fù)載狀況,能夠推測(cè)同一物理平臺(tái)上其他虛擬機(jī)內(nèi)的機(jī)密信息,基于Cache為緩存的隱蔽信道類(lèi)似于CPU負(fù)載信道,通過(guò)使用Cache的延遲時(shí)間,泄漏虛擬機(jī)的機(jī)密信息。

  A2表示虛擬機(jī)的內(nèi)部的隱蔽信道。例如Linux操作系統(tǒng)的事件標(biāo)識(shí)型隱蔽信道,該信道的收發(fā)雙方通過(guò)改變和觀察特定的事件的狀態(tài)合謀傳遞機(jī)密信息。A1和A2分別表示了虛擬機(jī)外部和內(nèi)部的兩種信息泄漏方式。

  啟動(dòng)和停止階段,我們用A3和A4表示。

  A3表示篡改啟動(dòng)鏡像類(lèi)型的攻擊。惡意用戶(hù)篡改替換VM啟動(dòng)的鏡像文件,導(dǎo)致客戶(hù)在云服務(wù)的啟動(dòng)階段就已經(jīng)被植入惡意程序成為入侵者的攻擊對(duì)象。A4表示篡改持久化數(shù)據(jù)的虛擬機(jī)攻擊方式。當(dāng)虛擬機(jī)將客戶(hù)數(shù)據(jù)寫(xiě)入持續(xù)久設(shè)備中時(shí),將客戶(hù)信息泄漏給攻擊者或者造成客戶(hù)數(shù)據(jù)的故意丟失。A3和A4可以采取安全保護(hù)策略對(duì)系統(tǒng)采取防范。

  A5、A6是傳統(tǒng)的攻擊方式,A5表示木馬或者病毒攻擊方式。A6表示返回時(shí)篡改攻擊。網(wǎng)絡(luò)環(huán)境下,A5和A6表示中間人攻擊方式或其他的網(wǎng)絡(luò)攻擊方式,劫持網(wǎng)絡(luò)會(huì)話(huà)執(zhí)行惡意操作。

  這三種類(lèi)型的安全威脅覆蓋了云服務(wù)的完整的生命周期。按照由低向高的層次,可視為針對(duì)VMM、VM和應(yīng)用程序攻擊。

  前兩種攻擊方式利用云計(jì)算平臺(tái)動(dòng)態(tài)易用、資源共享的特點(diǎn),是安全研究領(lǐng)域的新問(wèn)題。通過(guò)安全策略,配置私有云、共有云、混合云可以創(chuàng)建相對(duì)安全的、靈活實(shí)用的平臺(tái)。然而即使部署了安全策略,只要存在資源共享,因此隱蔽信道是云計(jì)算研究下的關(guān)鍵問(wèn)題。

  目前的工作

  丁麗萍介紹到:“我們做的工作基于的Xen的虛擬機(jī),這是我們改進(jìn)的CASVisor,我們?cè)诶锩孀隽税踩珯C(jī)制在VMM層做的防護(hù),啟動(dòng)的時(shí)候前啟動(dòng)CASVisor,然后生成Dom0,在系統(tǒng)中可以運(yùn)行的WindowsXP等等不同操作系統(tǒng),操作系統(tǒng)上面可以放置不同的應(yīng)用。這是它的架構(gòu)?!?/p>

  基于XCP隱蔽信道分析,我們做了一些工作,基于共享內(nèi)存,在這個(gè)平臺(tái)下,我們對(duì)Xen做了分析,為了完成虛擬機(jī)域間的通信與協(xié)作,Xen提供了兩類(lèi)共享資源,即超級(jí)條用和事件通道。就是域和域之間的通知機(jī)制。事件通道機(jī)制與超級(jí)調(diào)用機(jī)制一起完成了VMM和Domain之間的控制和交互使用超級(jí)調(diào)用機(jī)制。

  基于共享內(nèi)存的隱蔽信道,為了實(shí)現(xiàn)虛擬機(jī)Domani之間的共享內(nèi)存,Xen提供了基于超級(jí)調(diào)用和事件通道的授權(quán)表機(jī)制每個(gè)Domain都擁有自己的授權(quán)表,Doma創(chuàng)建一個(gè)環(huán)形數(shù)據(jù)結(jié)構(gòu)并賦給虛擬域如Domb訪問(wèn)權(quán)限,以此構(gòu)成共享內(nèi)存。

  我們認(rèn)為現(xiàn)有的研究對(duì)隱蔽信道的分類(lèi)基本上出于對(duì)于工程時(shí)間的考慮,分析方式并沒(méi)有體現(xiàn)出隱蔽信道在云計(jì)算環(huán)境下的特點(diǎn),需要重新分類(lèi),我們對(duì)隱蔽信道分了三大類(lèi),CC1、CC2、CC3三類(lèi)。CC1是進(jìn)程級(jí)泄漏方式,CC1操作系統(tǒng)內(nèi)部的,是進(jìn)程級(jí)的跟傳統(tǒng)操作系統(tǒng)類(lèi)似的。CC2是網(wǎng)絡(luò)級(jí)隱蔽信道,惡意進(jìn)程Pk在虛擬機(jī)平臺(tái)DomU中,PX是其他硬件平臺(tái)虛擬機(jī)或者獨(dú)立操作系統(tǒng)中的進(jìn)程。進(jìn)程PK和PX只能通過(guò)網(wǎng)絡(luò)連接通信,因此CC2通信可抽象為網(wǎng)絡(luò)隱蔽信道。CC3系統(tǒng)級(jí)隱蔽系統(tǒng),收發(fā)雙方惡意進(jìn)程分別處于同一硬件平臺(tái)上不同虛擬域中,機(jī)密信息經(jīng)過(guò)操作系統(tǒng)級(jí)的傳輸,泄漏給惡意用戶(hù)。CC3類(lèi)型的隱蔽信道是云計(jì)算環(huán)境中的特有的隱蔽信道類(lèi)型,是由硬件資源共享導(dǎo)致的信道,如基于共享內(nèi)存、Cache和CPU負(fù)載的信道。CC3信道對(duì)于云計(jì)算客戶(hù)的數(shù)據(jù)安全至關(guān)重要,如果具有業(yè)務(wù)競(jìng)爭(zhēng)關(guān)系的客戶(hù)處在同一物理平臺(tái)上,CC3類(lèi)型的信息泄漏將給帶來(lái)沉重的經(jīng)濟(jì)代價(jià)。

  分析的過(guò)程,我們采用的這樣的方法,在云計(jì)算環(huán)境下的隱蔽信道重點(diǎn)對(duì)CC3類(lèi)型的信道進(jìn)行分析。CC1和CC2類(lèi)型的信息可以直接采用以前的分析結(jié)果。對(duì)CC類(lèi)信道分析的通過(guò)安裝配置LLVM變異系統(tǒng),修改Makefile為文件,使之調(diào)用LLVM進(jìn)行變異,使用編寫(xiě)中間代碼分析共聚合信息流圖構(gòu)建工具,查找潛在隱蔽信道,系統(tǒng)中部署檢查到潛在隱蔽信道,驗(yàn)證其是否能在真實(shí)場(chǎng)景下實(shí)現(xiàn)。通過(guò)實(shí)驗(yàn)計(jì)算其容量,設(shè)計(jì)相應(yīng)的隱蔽信道處置措施。

  基于源代碼有向信息流圖標(biāo)識(shí)方法是我們的專(zhuān)利,這是我們?cè)谶@個(gè)領(lǐng)域中發(fā)表的17篇文章,在國(guó)內(nèi)外得到了認(rèn)可,我們提出了云計(jì)算環(huán)境下的隱蔽信道的分析方法,在云計(jì)算頂級(jí)會(huì)議上被錄用了,而且派了一個(gè)博士生宣讀了論文。

  云計(jì)算掀起了當(dāng)今IT業(yè)又一次研究熱潮,產(chǎn)業(yè)界對(duì)云計(jì)算帶來(lái)了實(shí)際效益更加然而,云安全是制約云計(jì)算法的瓶頸。如果安全問(wèn)題解決不了,云計(jì)算我們認(rèn)為很難發(fā)展,如何隔離用戶(hù)數(shù)據(jù),保證數(shù)據(jù)的機(jī)密性、完整性可用性,將是今后工業(yè)界研究重點(diǎn),也是解決云安全的關(guān)鍵。

  我們隱蔽信道分析是靜態(tài)分析,不是運(yùn)行中系統(tǒng)的分析,是針對(duì)源代碼的分析,分析源代碼看看共享變量和資源是什么?通過(guò)對(duì)共享資源主客體之間的關(guān)系分析潛在信道構(gòu)建場(chǎng)景對(duì)它進(jìn)行消除。

來(lái)源:比特網(wǎng)



  版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來(lái)源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056。

延伸閱讀

熱點(diǎn)視頻

第六屆中國(guó)報(bào)業(yè)黨建工作座談會(huì)(1) 第六屆中國(guó)報(bào)業(yè)黨建工作座談會(huì)(1)

熱點(diǎn)新聞

熱點(diǎn)輿情

特色小鎮(zhèn)

版權(quán)所有:中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)京ICP備11041399號(hào)-2京公網(wǎng)安備11010502003583