计算环境安全之操作系统安全机制中信道保护

(4)信道保护

对信息道路的保护涉及两个方面：一方面对显式信息道路的保护，防止非法或非授权信息经过显式道路；另一方面，要堵住隐蔽的信息通路，防止恶意用户通过隐蔽信道。

正常信道的保护机制：是由可信通路( Trusted Path)提供的。可信通路机制一般是以安全键( Secure Attention Key，SAK)为基础实现的。SAK是由终端驱动程序检测到的一个特殊组合。每当系统识别到用户在一个终端上键入的SAK，便终止对应到该终端的所有用户进程（包括特洛伊木马程序），启动可信的会话过程，以保证用户名和口令不被窃走。如Windows系统中，安全键是Ctrl+Alt+Del，用户同时按下这三个键后，Winclows系统会终止所有用户进程，重新激活登录界面，提示用户输入用户名和口令。

隐蔽信道的发现和处理：隐蔽信道是指系统中利用那些本来不是用于通信的系统资源绕过强制存取控制进行非法通信的一种机制。特洛伊木马攻击的一个关键标志是通过一个合法的信息信道进行非法的通信，这些信道一般是用于交互进程通信的，如文件、交互进程或者是共享内存。虽然强制访问控制机制能够防止利用这些信道进行非法通信，但是用户还可以利用计算机系统中本意不是用作通信的信道进行通信，这些信道就是隐蔽信道。对于隐蔽信道的定义，橘皮书中给出的是“隐蔽通道是允许进程危害系统安全策略的方式传递信息的信道”。

◇隐蔽信道的发现是相当困难的。Kemmeter在1983年总结了隐蔽信道的特征，给出了发现隐蔽信道存在的必要条件：

◇发送进程与接收进程都具有访问一个共享资源的同一属性’的权限； ◇发送进程可以修改一个共享资源的属性；

◇接收进程可以检测该共享资源属性的改变；

◇存在某种机制，能够启动发送进程与接收进程之间的通信，并正确调节通信事件的顺序。

对隐蔽信道的常见处理技术包括消除法、宽带限制法和威慑法等，这些内容超出了本书的范围，有兴趣的读者可以参考相关资料。