2014年第O6期 曩doi:1O 3969/j issn 1671—1122 2014 06.009 一种单向安全隔离与信息交换机制 陈达,马威,李晓勇 (北京交通大学计算机与信息技术学院,北京100044) 摘要:随着互联网的高速发展,敏感信息泄漏事件频繁发生,不同安全级网络之间安全隔离与信 息交换问题已经成为国内外信息安全方面的研究热点。通过分析现有隔离技术的优势与不足,文章提出 一种单向安全隔离与交换机制,克服了单向物理隔离条件下信息交换不可靠问题,并且对潜在的隐蔽通 道进行严格控制,协调了不同安全级网络之间隔离与信息交换之间的矛盾。该机制具备物理级安全隔离, 信息可靠传输,易于扩展等优点,可应用于多级安全网络隔离与信息交换场合。 关键词:单向隔离;可靠通信;隐通道控制 中图分类号:TP309 文献标识码:A 文章编号:1671—1122(2014)06—0048—05 One-way Communication Mechanism for Network Security Isolation and Information Exchange CHEN Da.MA Wei.LI Xiao—yong (SchoolofComputerandInformationTechnology,BeijingJiaotongUniversity,Beijing100044,China) Abstract:With he rapitd development of he Itnternet,information leakage occurred frequently.Today,network security isolation and information exchange technology has become a research focus in information security. Analyzing the advantages nd adisadvantages ofthe existing isolation techniques,this paper proposed a mechanism for secufity isolation nd ianformation exchange,which overcomes unreliability issue in one—way communication with the potential cove ̄channels under controlled.It coordinates the contradiction between securiy tisolation and information exchange among diferent security level networks.In addition,the mechanism also has advantages,such as security isolation in physical level,reliable communication and good expansibiliy.Itt is well suited for multi—level security isolmion nd ainformation exchange occasions. Key words:unidirectional isolation;reliable communication;cove ̄channel control 0引言 随着信息网络的快速发展,很多企业、单位及政府机关纷纷构建自己的内部网络系统,并通过各种方式接入到互联网 来获取数据。然而,不同敏感级网络间通信常常带来敏感数据泄漏风险,尤其像政府、银行等较高安全级网络,如果内 部敏感数据遭到泄漏,后果不堪设想。 1973年Bell和LaPadula提出BLP安全保密模型 ],这是一种模拟军事安全策略的多级安全模型,目前被广泛用于 解决计算机系统的安全问题。基于BLP的“单向通信机制”是一种有效的安全防御机制,可有效满足政府机关、国防军工、 电信、金融、证券、能源企业等网络对信息保密的安全需求,并且在实现网络物理隔离、促进不同安全级网之间信息交换 中发挥一定的作用 。最常规的单向通信机制是SAFPp(Store and Forward Protoco1),它只允许高安全级网中的确认信息ACK) 流向低安全级网,保证了通信的可靠,但是当SAFP缓存被填满时,高安全级网络的入侵者可以通过控制发送ACK时问 的方式向低安全级网发送信号,即时间隐通道安全问题 。David Gold提出的Upwards Channel机制 对不同安全级网 络进行物理隔离,消除了隐蔽通道,但却以信息不可靠传输为代价。M.Kang等人设计出的Pump『91,在保证信息传输可靠 ● 收稿日期:2013—08—23 基金项目:教育部创新团队发展计划[1RT201206]、高等学校博士学科点专项科研基金[2O1200O9110007] 作者简介:陈达(1991一),男,河北,硕士研究生,主要研究方向:信息安全;马威(1985一),男,河南,博士研究生,主要研究方向:信息安全、 无干扰模型;李晓勇(1968-),男,湖北,讲师,博士,主要研究方向:信息安全和计算机安全体系结构。 同时,利用历史平均速率动态调整,虽然在一定程度上减 小隐通道带宽,但是分析比较困难,也不可能彻底消除隐 通道威胁。 为实现不同安全级网络问可靠通信,同时消除潜在的 隐通道安全威胁,本文研究 J 种新的单向隔离与信息交 换机制。它采用物理级安全隔离,满足了较高的安全需求, 并通过可信降级部件实现了单向信息的可靠传输,最后利 用虚拟机隔离技术消除了潜在的隐通道安全威胁,实现不 同安全级网络问安全可靠通信。 1研究背景 针对不同安全级网络之间安全隔离与信息交换问题, 出现了各种不同的安全隔离技术,它们按照隔离层次可分 为物理隔离和逻辑隔离两类。 1.1物理隔离 物理隔离是指两个独立系统之间不存在任何相互通信 的物理连接。所以,物理隔离技术从物理上断开了一切具 有潜在攻击可能的连接,使“攻击者”无法入侵,实现了 真正的安全。早期的物理隔离主要通过人工拷盘方式实现 信息交换,目前常见的还有基于“轮渡”原理和物理单向 传输。此外,物理隔离也为内部网划定了明确的安全边界, 使得网络的可控性增强,便于内部管理 。 1-2逻辑隔离 逻辑隔离技术并没有从物理层上将两个网络隔离。被 隔离的两端仍然可以存在物理通道,但通过一定的技术或 手段控制被隔离的两端之间的数据通道,一般使用数据过 滤、数据流控制和协议转换的方式,在两个逻辑隔离区域 中传输数据。常见的逻辑隔离技术有防火墙、虚拟专用网 VPN、虚拟局域网VLAN等。特别值得注意的是,近年来 由于虚拟化技术的兴起,出现了基于虚拟机的隔离的安全技 术_1”,具有比较好的隔离l生 1.3物理隔离与逻辑隔离对比 】 1)逻辑隔离技术。对应用的限制较小,网络效率相对 较高,并且在一定程度上解决了很多安全问题,提高了系 统的安全性,因此被广泛使用。但是由于这些技术本身处 于系统的较高层面,这些技术作用的发挥依赖于底层的设 备和软件,因此仅仅依靠这些技术仍然存在一些安全隐患: 硬件问题、操作系统漏洞、TCWIP协议漏洞、软件设计漏洞、 2014年第06期 人员误操作等。所以对安全性较高的单位应该适当采用物 理隔离技术。 2)物理隔离技术。由于在较低的物理层隔离,不存在 太多的安全隐患,能够满足更加高的安全方面的要求。但 是,物理层隔离带来了信息交换的困难,可用性不高。 2一种新的单向隔离与信息交换机制 借助第1节中介绍的隔离技术,本节以BLP安全模型 为指导,分别对该机制在实现物理安全隔离,信息可靠传 输和隐通道安全控制方面进行详细讨论。 2.1物理安全隔离 为满足较高安全需求,图1借鉴Upwards Channel嘲设 计思想,实现高、低安全级网络之间物理隔离。 I二== 黜 @ 一, B@ 图1物理级安全隔离 在图1中,云状图形分别表示低安全级网络和高安全 级网络,它们经过防火墙分别与物理机A和B相连,A和 B之间仅通过一条单向的物理链路,连接,由—对单向的收 发卡实现。由于,只允许信息单方向传输,所以低安全级 网络中的信息可以直接流入高安全级网络,而高安全级网 络的任何信息无法流入低安全级网络。该物理单向隔离机 制严格符合BLP模型的安全策略,实现了高、低安全级之 间安全隔离。 2.2信息可靠传输 虽然上述物理隔离机制实现了安全隔离,但是当低安 全级网向高安全级网传递信息时,低安全级网络的发送主 机无法收到高安全级网接收主机的确认信息,这种无反馈 的单向信息传输在理论上不可能达到完全的可靠 ,对 于很多应用来说,是不可容忍的。为满足信息传输时可靠 性要求,引入了可信降级部件downgrader实现的重传机 制,它的正常工作模式如图2所示。假设A要向B发送数 据DATA,A首先计算DATA的哈希值H(DATA),然后 将DATA和H(DATA)封装后一起通过,发送出去,并向 downgrader发送一个SEND信号,A需要暂存DATA和H (DATA)。当B接收完数据后,先拆分出原始数据和哈希值, 49-I一 2014-'年第O6期 授权访问的Domain,以及授权的共享内存信息等。通过 授权表,Domain A可以将内存页映射到Domain B的地址 空间,实现内存页在Domain之间所有权的转让。在页面 传递操作完成后,内存页在Domain A地址空间中的映射 将被撤销,从而实现数据从Domain A到Domain B的转移。 由于采用了基于内存的通信方式,所以虚拟机间数据传输 相对高效。 廷旱阿仔贝 图7使用授权表和共享内存页的方法实现数据共享 图7简单描述了使用共享内存的方法实现Domain A 和Domain B之间的数据共享。Domain A拥有授权表A, 而Domain则拥有授权表B。Domain A有一部分数据想 要共享给Domain B,因此就在授权表A中添加一个表 项,将需要共享的数据所在的内存页地址、Domain B的 相关信息以及对该内存页的读取权限写入表项,从而为 Domain B赋予了对该段内存页的读取能力,也就是在一 定程度上转让了该内存页的所有权。同样,Domain B也 能使用这样的方式使得Domain A可以读取其内存页中的 数据。通过内存页所有权的转让,使得不同的Domain可 以访问同一个页内的数据。实际上,每个Domain有它自 己的授权表,并与Xen Hypervisor共享,在这个表中的条 目由授权引用所标识,而授权引用在Domain间传递,且 所引用的共享页由授权表指出。Domain也会设置一个共 享环结构用于在domain间进行有效的数据共享。授权表 机制为分离的块设备驱动提供了有效支撑,它使得运行在 完全虚拟化的内存中的虚拟机有了正确共享内存数据的 能力。由于数据通信过程受Xen Hypervisor的控制,因此 在Hypervisor未被攻破的前提下,隐通道问题也可以得到 适当的控制。 5结束语 针对不同安全级网络间安全隔离与信息交换问题,本 文提出一种单向隔离与交换机制,确保了高安全级网络可 靠地从低安全网络提取数据,而且有效防范来自低安全级 网络的攻击。该机制可以被应用到对安全性要求较高的多 级安全网络间隔离与信息交换场合。 (责编吴晶) 参考文献 【1]Bell D E,LaPadula L J.Secure computer systems:Mathematical foundations[R].MITRE CORP BEDFORD MA,1973. [2]丁慧丽,陈麟,李霞.基于BLP模型的单向传输系统安全性分析U]. 计算机安全,2010,(6):8-10. [3]Ogumov N,O'Malley S,Spatscheck O,et a1.Experimental results of covert channel hmitation in one—way communication systems[C]// Network and Distributed System Security,Symposium on.IEEE Computer Society,1997:2-2. [4]Moskowitz I S,Miller A R.Simple tinting channels[C]//Research in SecuriW and Privacy,1994.Proceedings.,1994 IEEE Computer Society Symposium on.IEEE,1994:56—64. 【5]Moskowitz I S,Kang M H.Covert channels—here to stay?[c]// Computer Assurance,1994.COMPASS’94 Safety,Reliability,.Fault Tolerance,Concurrency and Real Time,Securit ̄.Proceedings of the Ninth Annual Conference on.IEEE,1994:235—243. 【6]Millen J K.Fimte—State Noisdess Covert Channds[q//CSFW 1989, 89:81-86. [7]w ̄ayj C.An analysis ofcovert itming channds U】.Journal ofComputer Securicy,1992,1(3):219—232. [8]GoldscMag D M.Several secure store and forward devices[C】// Proceedings of the 3rd ACM Conference on Computer and Communications Security ACM,1996:129—137 【9]Kang M H,Moskowitz I s,Chincheck S.The pump:A decade of covert fun[C]//Computer Security Applications Conference,21 st Annual IEEE,2005:7 PP.一360. 【10]王新云.基于安全隔离的网络信息交换系统的研究与实现ID].北 京:北京工业大学,2006. [11]赖英旭,胡少龙,杨震.基于虚拟机的安全技术研究U Jl中国科 学技术大学学报,2011,41(10):907—914. [12]基于安全隔离的不同信任域网络数据库交换[D].上海:上海交 通大学,2004. [13】曹震,孙德刚,史林港,等.单向信道的信息可靠传输机制研究[『】 l计算机工程与应用,201 1,47(24):88-92. 【14】李小庆,赵晓东,曾庆凯.基于硬件虚拟化的单向隔离执行模型 Ⅱ】l Journal ofSoftware,2012,23(8). 【15】唐伟.架构软件级别的无反馈单向传输系统U】.信息网络安全, 2011,(9):072. [16 1朱团结,艾丽蓉.基于共享内存的Xen虚拟机间通信的研究卟 计算机技术与发展,2011,21(7):5-8. 【17】瞿鑫.Xen硬件虚拟化域间通信优化的研究【D1.湖南:湖南大学, 2n11