安全数据库隐蔽通道的标识技术与实例分析

LogicSQL数据库是自主研制基于Linux的高安全级别安全数据库。重点对安全数据库的隐蔽通道标识技术进行研究,为寻求更好的隐蔽通道标识方法,对共享资源矩阵、信息流公式法、无干扰法等标识方法从理论上进行分析,以Log-icSQL安全数据库的隐蔽通道进行实例分析。改进的共享资源矩阵是目前相对比较成功的隐蔽通道标识方法,无干扰法的实际应用可作以后的隐蔽通道标识方法研究重点。     

安全数据库隐蔽通道的标识技术与实例分析

LogicSQL数据库是自主研制基于Linux的高安全级别安全数据库。重点对安全数据库的隐蔽通道标识技术进行研究，为寻求更好的隐蔽通道标识方法，对共享资源矩阵、信息流公式法、无干扰法等标识方法从理论上进行分析，以LogicSQL安全数据库的隐蔽通道进行实例分析。改进的共享资源矩阵是目前相对比较成功的隐蔽通道标识方法，无干扰法的实际应用可作以后的隐蔽通道标识方法研究重点。     

高安全级别安全数据库的隐蔽通道分析

LogicSQL数据库是自主研制的基于Linux的高安全级别安全数据库.对高安全级别安全数据库的隐蔽通道的分析,是从隐蔽通道的标识、带宽的计算、隐蔽通道的处理等方面进行的,并以LogicSQL安全数据库的隐蔽通道进行分析与处理.最后展望了下一步LogicSQL安全数据库的研究方向.     

安胜安全操作系统的隐蔽通道分析

安胜安全操作系统是自主研制的基于Linux的高安全等级安全操作系统,包括安全内核,安全架构与安全模型.总结了对该系统进行的隐蔽通道分析方法,首次报道基于Linux内核开发的安全操作系统的隐蔽通道分析结果.应用新型的"回溯方法"发现了某些新的隐蔽通道.对被标识的隐蔽通道,准确地计算了它们的带宽,并进行了适当的隐蔽通道处理.     

图灵四级安全操作系统隐蔽通道分析研究

对图灵四级安全操作系统隐蔽通道进行了分析研究，提出了新的隐蔽通道分析方法——增强改进型语义信息流法。该方法具有工作量小、源代码级分析、能排除伪结果、帮助对隐蔽通道进行后续处理等优点。采用该方法对图灵四级安全操作系统隐蔽通道进行了标识，对隐蔽通道带宽进行了计算，并根据不同的安全策略对隐蔽通道进行了适当的处理。其分析结果达到了相关国家标准中第4级安全操作系统的规定。     

数据库系统隐蔽通道分析的设计

从隐蔽通道概念入手，阐述了隐蔽通道分析在Oracle中的设计思想，讨论了隐蔽通道分析的内容与层次、隐蔽通道的标识方法、隐蔽通道带宽的计算与测量、隐蔽通道的处理，就如何提高Oracle 9i安全性能提供了一种途径。     

基于DNS协议的隐蔽通道原理及性能分析

基于网络协议的隐蔽通道技术对网络信息系统的安全构成严重威胁,掌握基于DNS协议隐蔽通道的工作原理,对于制定针对性的网络安全防范措施,保护网络系统安全具有重要意义。为此,提出一种基于DNS协议的隐蔽通道技术。DNS系统作为网络关键基础设施的核心地位,有效保证通道的穿透能力和隐蔽性。介绍DNS系统的结构和工作原理,研究基于DNS协议隐蔽通道的基本方法及其实用化的数据编码、躲避检测、可靠通信、速率控制等关键技术。分析结果表明,该技术具有可靠性好、隐蔽性强、通信效率高等特点。     

基于信息流分析的隐蔽通道分类与标志*

基于安全操作系统SLinux的设计开发实践,采用信息流序列来描述信息流和隐蔽通道,阐述了基于信息流分析的隐蔽通道的分类,刻画了隐蔽通道信息流分类特性,探讨了隐蔽通道完备性处理方法。在此基础上,提出了基于信息流分析的隐蔽通道通用检查框架,设计了隐蔽通道信息流标志优化规则,通过实例验证分析,说明该方法能够有效地限制隐蔽通道信息流组合扩散、减少误报伪非法流,能有效简化隐蔽通道的分析过程。     

隐通道传递信息机理的研究

可信计算机系统中一些隐蔽数据流避开了安全机制的监控，造成信息的泄漏。本文通过对这种隐蔽流泄漏信息的机理进行分析和抽象，提出了一个通道元模型。将每一类通道元看成一个有限状态机，以Plotkin的结构化操作语义等为基础，计算出状态机的状态变化序列。通过对不满足隐通道定义的状态变迁序列的归纳，得到了抽象机中安全状态转移的约束条件，找出两个通道元通过共享客体泄露信息的工作机理，从而开发出一种基于操作语义的隐通道标识方法。对电梯调度算法模型进行实验，可有效地标识出存在的隐通道。     

科研信息系统：加强风险评估 应对安全威胁

安全风险评估与安全威胁分析是信息系统安全工程的重要组成部分。本文对科研领域信息系统安全风险评估的关键要素、实施流程和评估准则进行了阐述,分析了安全威胁的主要来源、典型类别及发展趋势,并结合实际风险评估工作给出了科研领域不同类型信息系统安全威胁分析的重点内容和经验性策略,最后着重对计算机病毒、木马等恶意程序的威胁程度评估及威胁等级划分问题进行了探讨。     

信息流安全性的隐通道分析与研究

隐通道是信息流安全性研究的关键问题，国内外学者通过分析隐通道对信息安全问题进行了研究。通过分析隐通道产生条件，对两种重要的隐通道的分析方法进行了比较，提出了较为科学的改进思路。     

网络隐通道的构建方法研究

针对网络隐通道能绕过防火墙或其他形式的安全防护系统的问题,从网络隐通道的构建原理方面讨论各种常见的构建隐通道的方法,提出2种新的隐通道构建方法：基于数据包长度特征编码的构建方法及基于数据包到达顺序编码的构建方法,讨论了构建网络隐通道时的关键问题。     

基于IPv6 报头的隐蔽通道分析与防范

研究IPv6基本报头,从网络安全的角度出发,对其中可被用于隐蔽通道载体的字段及其隐蔽通道构建方法进行分析和探讨,在此基础上提出2类构建方法。探讨基于Hop-Limit字段的比特变换隐蔽通道构建方法,分别给出每种方法的通信容量等关键性能指标。对基于IPv6报头的隐蔽通道的防范措施进行讨论。     

Whispers in the cloud storage: A novel cross-user deduplication-based covert channel design

To efficiently provide cloud storage services, most providers implement data deduplication schemes so as to reduce storage and network bandwidth consumption. Due to its broad application, many security issues about data deduplication have been investigated, such as data security, user privacy, etc. Nevertheless, we note that the threat of establishing covert channel over cloud storage has not been fully investigated. In particular, existing studies only demonstrate the potential of a single-bit channel, in which a sender can upload one of the two predefined files for a receiver to infer the information of “0” and “1”. In this paper, we design a more powerful deduplication-based covert channel that can be used to transmit a complete message. Specifically, the key features of our design include: (1) a synchronization scheme that can establish a covert channel between a sender and a receiver, and (2) a novel coding scheme that allows each file to represent multiple bits in the message. To evaluate the proposed design, we implement the covert channel and conduct extensive experiments in different cloud storage systems. Our work highlights a more severe security threat in cloud storage services.     

针对实时数据库中隐蔽通道问题采取的安全策略

实时数据库的根本目标就是使满足截止时间的事务数为最大,因而,管理和支持优先考虑时间的事务处理是非常重要的。然而,随着实时计算的迅速发展,安全成了实时应用另一个必须考虑的问题。因此,在实时数据库系统中,提出一种结合实时性和安全性的方法是非常必要的。本文针对隐蔽通道讨论了安全问题。通过定义的CCF、DCCF变量对实时数据库中的并发控制算法进行扩展使其既满足时间限制条件又满足安全需求。陈述了消除隐蔽通道的非干预性原则,并对同时维持实时和安全需求的可行性进行了探讨。     

网络隐蔽信道关键技术研究综述

网络隐蔽信道是在网络环境下违反通信限制规则进行隐蔽信息传输的信息通道,为网络信息安全带来了新的挑战,也为数据传输的安全性和隐私性带来了新的研究方向.首先介绍了网络隐蔽信道的定义、分类、能力维度等基本概念;进而从码元设计、信息编码和信道优化这3个方面归纳分析了存储型和时间型两类网络隐蔽信道的构建技术,从隐蔽性、鲁棒性和传输效率这3个方面总结了网络隐蔽信道评估方法,从消除、限制、检测这3个方面梳理了网络隐蔽信道的对抗技术;最后,对未来的研究方向进行了展望.     

隐通道识别技术研究

一、引言计算机的广泛应用,在促进了社会的进步,为人类创造了巨大的财富的同时,也带来了计算机系统的安全性问题。目前,这个问题已越来越成为关系国计民生的重要问题,也引起了人们的广泛关注。根据TC-SEC,开发具有B2级及以上的操作系统或数据库管理系统必须进行隐通道分析。隐通道分析的关键在于隐通道的识别,只有在隐通道标识出来后才能估算隐通道的带宽,并采取一些策略消除隐通道、限制隐通道的带宽或对隐通道审计。在一安全的计算机系统中,采用了自主存取控制和强制存取控制来限制信息只通过合法的通讯通道(如文件、共享内存和进程信号等)流     

SSL协议隐蔽通道的研究与实现

为提升隐蔽通道的网络穿透能力及抗分析性能,提出了一种基于SSL安全协议的新型隐蔽通道。通过SSL握手报文的随机数字段建立隐蔽域,利用SSL握手协商构建消息通道,采用一包一密进行流量变形伪装,通过访问HTTPS服务实现网络隐蔽通道传输。在多种不同HTTPS环境下的实验验证了该方法的可行性,测试结果表明,相比传统存储型隐蔽通道,该隐蔽信道的容量有大幅度提高,单个报文可携带28 Byte信息,且具有更高的抗隐蔽域估计及抗统计画像能力。