以“互聯(lián)網(wǎng)安全新思維”為主題的OWASP2011亞洲峰會在11月8日-9日成功舉辦�。本屆大會從“網(wǎng)絡(luò)安全產(chǎn)品測評”、“OWASP應(yīng)用安全技術(shù)”“業(yè)務(wù)安全發(fā)展新思路”“云安全”等多個角度展開深入的討論���。來自中國科學(xué)院軟件研究所基礎(chǔ)軟件國家工程研究中心系統(tǒng)安全與可信計算研究室負(fù)責(zé)人丁麗萍女士為大家分享《云計算環(huán)境下的隱蔽信道分析》�����。她從隱蔽信道�����、云計算環(huán)境下安全威脅和隱蔽信道以及她們所做的工作三個方面進行了詳細(xì)了介紹�。
隱蔽信道
隱蔽信道在操作系統(tǒng)層面的概念是指惡意進程通過合謀信息系統(tǒng)共享資源的實現(xiàn)信息泄漏的方式��,隱蔽信道分析是國內(nèi)外安全標(biāo)準(zhǔn)對脆弱性分析的強制性的要求���,要求你在提交產(chǎn)品的同時提交隱蔽信道分析的報告�����,構(gòu)建場景進行度量����,并提出消除措施���。具體分析工作有:識別����、度量和處置��。隱蔽信道分析是信息安全領(lǐng)域的重要難題�����,研究起來難度很大���。原因在于以強制訪問控制研究作為基礎(chǔ)�����,海量代碼基于源碼拿出來在靜態(tài)的分析比較復(fù)雜�,像內(nèi)核源碼好幾百萬行,各個產(chǎn)品都有一些技術(shù)壁壘��,導(dǎo)致參考資料非常少��。
信道的分析分三塊:識別���、度量����、處置:
? 識別是對系統(tǒng)靜態(tài)分析�����,對源代碼的分析�����,強調(diào)對設(shè)計和代碼進行分析,發(fā)現(xiàn)所有潛在的隱蔽信道;
? 度量是對信道傳輸能力和威脅程度的評價����,隱蔽信道到底它的傳輸能力帶寬多大,對系統(tǒng)整個威脅多大����,做出評價;
? 處置是包括信號的審計���、消除���、限制。信道的處置包括消除措施破壞信道存在條件����,限制包括把信道降低到系統(tǒng)能夠容忍的范圍內(nèi),把它的帶寬減少�����。信道的審計強調(diào)對潛在信道的相關(guān)操作進行監(jiān)測和記錄�,這就是隱蔽信道的傳輸機理。
隱秘信道本質(zhì)上是信息傳輸?shù)耐ǖ?,重點集中在傳輸介質(zhì)的研究,根據(jù)共享資源屬性不同分為存儲和時間類型���,四級操作系統(tǒng)要求對存儲類隱蔽信道進行傳輸分析����,五級對時間和存儲都要進行分析,由此延伸出存儲和時間信道兩種�。在操作系統(tǒng)、數(shù)據(jù)庫或者網(wǎng)絡(luò)中發(fā)現(xiàn)一種共享資源作為隱蔽信道的傳輸��,是隱蔽傳輸機制的核心;傳輸介質(zhì)的選擇����,是能夠提高信道的容量和隱匿性的根源。
提高隱蔽信道的傳輸準(zhǔn)確率和隱匿性的另一種方式是改進信道的編碼機制�����。利用字母頻率特征�、編碼期望長度較大或者多元編碼機制。
操作系統(tǒng)隱蔽信道研究重點在于防患于未然����。對于開發(fā)出來某一個版本里面的隱蔽信道做一些分析,對它進行消除采取一些措施��,側(cè)重于它的標(biāo)識、場景構(gòu)建�、容量度量等方面。這是我們列出相關(guān)的研究�。Kemmerer為認(rèn)為隱蔽信道是使用不是正常數(shù)據(jù)客體的項從一個主體向另一個主體傳遞信息的信道,并由該定義設(shè)計出共享資源矩陣法��。Tsai等人認(rèn)為隱蔽信道是違反強制安全策略模型的兩個主體間的非法通信���。提出語義信息流方法判斷內(nèi)核變量間的可見性,以此發(fā)現(xiàn)可見隱蔽信道�,缺乏分析工具。咱們國家的卿斯?jié)h延續(xù)了語義信息流的思想��,設(shè)計了一種代碼層次的標(biāo)識方法回溯搜索法��,該方法引入“剪枝規(guī)則”�,在標(biāo)識過程中刪除不能構(gòu)成隱蔽信道的共享變量。數(shù)據(jù)庫隱蔽信道研究的人更少了�,數(shù)據(jù)庫系統(tǒng)中存在著大量共享資源,這個領(lǐng)域的研究值得涉足了�。網(wǎng)絡(luò)隱蔽信道集中正面的研究,利用傳輸信道傳輸隱秘信息���,比如數(shù)據(jù)段增加一些東西來隱匿傳輸信息到另外一個節(jié)點去��。網(wǎng)絡(luò)隱蔽信道將信息泄漏威脅從系統(tǒng)內(nèi)部轉(zhuǎn)移到系統(tǒng)中間���,研究比較多是Purdue University普渡大學(xué)提出了一種IP時間隱蔽信道�,稱作IPCTC�。
云計算環(huán)境下安全威脅和隱蔽信道
云計算環(huán)境下的安全威脅與隱蔽信道關(guān)系。云計算將基礎(chǔ)設(shè)施����、平臺及應(yīng)用部署到云端,無論從觀念上還是技術(shù)都給信息安全帶來極大的挑戰(zhàn)���,好多專家說云計算帶來威脅非常之大�。
? 入侵者:云計算平臺為其提供了一個廉價���、高效����、穩(wěn)定的入侵平臺����。
? 用戶:擔(dān)心將應(yīng)用程序與服務(wù)部署在不可控的環(huán)境中的安全性。
? 服務(wù)商:由于隱私保護和商業(yè)規(guī)則���,云服務(wù)商無法記錄和監(jiān)控客戶執(zhí)行的操作����,導(dǎo)致信息泄漏等攻擊方式難易記錄和發(fā)現(xiàn)。
從三個層面來說�,云安全還是非常大的問題,很難解決����。
虛擬化技術(shù)是云計算平臺的核心。虛擬化技術(shù)提供了大量的共享資源���,成為隱蔽信息的發(fā)生的源泉。我們以一個虛擬機的生命周期為例來分析云計算面臨的威脅��。隱蔽信道依賴于共享資源存在的�,共享資源越多隱蔽信道越多。
一個虛擬機有創(chuàng)建���、啟動����、運行��、停止、銷毀生命周期����。在生命周期中,都會面臨到很多威脅��。它的運行階段時間最長��,啟動起來一直在運行���,運行階段我們認(rèn)為用A1和A2表示���,A1表示虛擬機之間基于共享子資源的隱蔽信道。比如由于CPU負(fù)載和Cache緩存的隱蔽信道�,在云計算平臺中,雖然VMM為每個虛擬機分配了虛擬的CPU�,但是最終的任務(wù)仍然要順序地在物理CPU上執(zhí)行,通過觀察物理CPU的負(fù)載狀況�,能夠推測同一物理平臺上其他虛擬機內(nèi)的機密信息,基于Cache為緩存的隱蔽信道類似于CPU負(fù)載信道�,通過使用Cache的延遲時間,泄漏虛擬機的機密信息��。
A2表示虛擬機的內(nèi)部的隱蔽信道���。例如Linux操作系統(tǒng)的事件標(biāo)識型隱蔽信道��,該信道的收發(fā)雙方通過改變和觀察特定的事件的狀態(tài)合謀傳遞機密信息����。A1和A2分別表示了虛擬機外部和內(nèi)部的兩種信息泄漏方式。
啟動和停止階段�,我們用A3和A4表示。
A3表示篡改啟動鏡像類型的攻擊��。惡意用戶篡改替換VM啟動的鏡像文件�����,導(dǎo)致客戶在云服務(wù)的啟動階段就已經(jīng)被植入惡意程序成為入侵者的攻擊對象���。A4表示篡改持久化數(shù)據(jù)的虛擬機攻擊方式。當(dāng)虛擬機將客戶數(shù)據(jù)寫入持續(xù)久設(shè)備中時�����,將客戶信息泄漏給攻擊者或者造成客戶數(shù)據(jù)的故意丟失�����。A3和A4可以采取安全保護策略對系統(tǒng)采取防范。
A5�����、A6是傳統(tǒng)的攻擊方式��,A5表示木馬或者病毒攻擊方式�。A6表示返回時篡改攻擊。網(wǎng)絡(luò)環(huán)境下����,A5和A6表示中間人攻擊方式或其他的網(wǎng)絡(luò)攻擊方式,劫持網(wǎng)絡(luò)會話執(zhí)行惡意操作��。
這三種類型的安全威脅覆蓋了云服務(wù)的完整的生命周期�。按照由低向高的層次,可視為針對VMM�、VM和應(yīng)用程序攻擊。
前兩種攻擊方式利用云計算平臺動態(tài)易用�、資源共享的特點,是安全研究領(lǐng)域的新問題���。通過安全策略��,配置私有云����、共有云、混合云可以創(chuàng)建相對安全的��、靈活實用的平臺�����。然而即使部署了安全策略�,只要存在資源共享,因此隱蔽信道是云計算研究下的關(guān)鍵問題��。
目前的工作
丁麗萍介紹到:“我們做的工作基于的Xen的虛擬機�,這是我們改進的CASVisor,我們在里面做了安全機制在VMM層做的防護���,啟動的時候前啟動CASVisor����,然后生成Dom0�,在系統(tǒng)中可以運行的WindowsXP等等不同操作系統(tǒng)��,操作系統(tǒng)上面可以放置不同的應(yīng)用����。這是它的架構(gòu)����?!?/p>
基于XCP隱蔽信道分析,我們做了一些工作����,基于共享內(nèi)存,在這個平臺下�,我們對Xen做了分析,為了完成虛擬機域間的通信與協(xié)作����,Xen提供了兩類共享資源,即超級條用和事件通道��。就是域和域之間的通知機制�����。事件通道機制與超級調(diào)用機制一起完成了VMM和Domain之間的控制和交互使用超級調(diào)用機制�����。
基于共享內(nèi)存的隱蔽信道,為了實現(xiàn)虛擬機Domani之間的共享內(nèi)存��,Xen提供了基于超級調(diào)用和事件通道的授權(quán)表機制每個Domain都擁有自己的授權(quán)表����,Doma創(chuàng)建一個環(huán)形數(shù)據(jù)結(jié)構(gòu)并賦給虛擬域如Domb訪問權(quán)限,以此構(gòu)成共享內(nèi)存�。
我們認(rèn)為現(xiàn)有的研究對隱蔽信道的分類基本上出于對于工程時間的考慮,分析方式并沒有體現(xiàn)出隱蔽信道在云計算環(huán)境下的特點���,需要重新分類����,我們對隱蔽信道分了三大類�,CC1、CC2��、CC3三類��。CC1是進程級泄漏方式���,CC1操作系統(tǒng)內(nèi)部的�,是進程級的跟傳統(tǒng)操作系統(tǒng)類似的。CC2是網(wǎng)絡(luò)級隱蔽信道��,惡意進程Pk在虛擬機平臺DomU中�����,PX是其他硬件平臺虛擬機或者獨立操作系統(tǒng)中的進程�。進程PK和PX只能通過網(wǎng)絡(luò)連接通信��,因此CC2通信可抽象為網(wǎng)絡(luò)隱蔽信道���。CC3系統(tǒng)級隱蔽系統(tǒng)�,收發(fā)雙方惡意進程分別處于同一硬件平臺上不同虛擬域中����,機密信息經(jīng)過操作系統(tǒng)級的傳輸,泄漏給惡意用戶�����。CC3類型的隱蔽信道是云計算環(huán)境中的特有的隱蔽信道類型���,是由硬件資源共享導(dǎo)致的信道���,如基于共享內(nèi)存�、Cache和CPU負(fù)載的信道�����。CC3信道對于云計算客戶的數(shù)據(jù)安全至關(guān)重要�,如果具有業(yè)務(wù)競爭關(guān)系的客戶處在同一物理平臺上,CC3類型的信息泄漏將給帶來沉重的經(jīng)濟代價����。
分析的過程,我們采用的這樣的方法�,在云計算環(huán)境下的隱蔽信道重點對CC3類型的信道進行分析。CC1和CC2類型的信息可以直接采用以前的分析結(jié)果�����。對CC類信道分析的通過安裝配置LLVM變異系統(tǒng)�����,修改Makefile為文件�����,使之調(diào)用LLVM進行變異,使用編寫中間代碼分析共聚合信息流圖構(gòu)建工具����,查找潛在隱蔽信道,系統(tǒng)中部署檢查到潛在隱蔽信道���,驗證其是否能在真實場景下實現(xiàn)。通過實驗計算其容量��,設(shè)計相應(yīng)的隱蔽信道處置措施�����。
基于源代碼有向信息流圖標(biāo)識方法是我們的專利���,這是我們在這個領(lǐng)域中發(fā)表的17篇文章��,在國內(nèi)外得到了認(rèn)可�,我們提出了云計算環(huán)境下的隱蔽信道的分析方法�����,在云計算頂級會議上被錄用了�����,而且派了一個博士生宣讀了論文。
云計算掀起了當(dāng)今IT業(yè)又一次研究熱潮�,產(chǎn)業(yè)界對云計算帶來了實際效益更加然而,云安全是制約云計算法的瓶頸�����。如果安全問題解決不了�����,云計算我們認(rèn)為很難發(fā)展�,如何隔離用戶數(shù)據(jù),保證數(shù)據(jù)的機密性��、完整性可用性�����,將是今后工業(yè)界研究重點����,也是解決云安全的關(guān)鍵。
我們隱蔽信道分析是靜態(tài)分析���,不是運行中系統(tǒng)的分析�,是針對源代碼的分析,分析源代碼看看共享變量和資源是什么?通過對共享資源主客體之間的關(guān)系分析潛在信道構(gòu)建場景對它進行消除��。
來源:比特網(wǎng)
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品����,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力�����。凡轉(zhuǎn)載文章�����,不代表本網(wǎng)觀點和立場����。版權(quán)事宜請聯(lián)系:010-65363056���。
延伸閱讀
