多級數(shù)據(jù)庫安全管理系統(tǒng)

1、1 第 六 章多級安全數(shù)據(jù)庫2 安全數(shù)據(jù)庫標(biāo)準(zhǔn) 多級安全數(shù)據(jù)庫關(guān)鍵問題多級安全數(shù)據(jù)庫設(shè)計(jì)準(zhǔn)則6.4 多級關(guān)系數(shù)據(jù)模型6.5 多實(shí)例6.6 隱蔽通道分析36.1 安全數(shù)據(jù)庫標(biāo)準(zhǔn)為降低進(jìn)而消除對系統(tǒng)的安全攻擊，各國引用或制定了一系列安全標(biāo)準(zhǔn) TCSEC (桔皮書) TDI (紫皮書)41985年美國國防部（DoD）正式頒布 DoD可信計(jì)算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)簡稱TCSEC或DoD85，TCSEC又稱桔皮書TCSEC標(biāo)準(zhǔn)的目的提供一種標(biāo)準(zhǔn)，使用戶可以對其計(jì)算機(jī)系統(tǒng)內(nèi)敏感信息安全操作的可信程度做評估。給計(jì)算機(jī)行業(yè)的制造商提供一種可循的指導(dǎo)規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應(yīng)用的安全需求。5TCB可信計(jì)算基：是

2、Trusted Computing Base的簡稱，指的是計(jì)算機(jī)內(nèi)保護(hù)裝置的總體，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)行安全策略管理員的組合體。它建立了一個(gè)基本的保護(hù)環(huán)境并提供一個(gè)可信計(jì)算機(jī)系統(tǒng)所要求的附加用戶服務(wù)。 61991年4月美國NCSC（國家計(jì)算機(jī)安全中心）頒布了可信計(jì)算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)關(guān)于可信數(shù)據(jù)庫系統(tǒng)的解釋簡稱TDI，又稱紫皮書它將TCSEC擴(kuò)展到數(shù)據(jù)庫管理系統(tǒng)定義了數(shù)據(jù)庫管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)中需滿足和用以進(jìn)行安全性級別評估的標(biāo)準(zhǔn)7TDI/TCSEC標(biāo)準(zhǔn)的基本內(nèi)容vTDI與TCSEC一樣，從四個(gè)方面來描述安全性級別劃分的指標(biāo)安全策略責(zé)任保證文檔8TCSEC/TDI安全級別劃分四組七個(gè)等級按

3、系統(tǒng)可靠或可信程度逐漸增高各安全級別之間具有一種偏序向下兼容的關(guān)系，即較高安全性級別提供的安全保護(hù)要包含較低級別的所有保護(hù)要求，同時(shí)提供更多或更完善的保護(hù)能力。安安 全全 級級 別別 定定 義義A1驗(yàn)證設(shè)計(jì)（驗(yàn)證設(shè)計(jì)（Verified Design） B3安全域（安全域（Security Domains） B2結(jié)構(gòu)化保護(hù)（結(jié)構(gòu)化保護(hù)（Structural Protection） B1標(biāo)記安全保護(hù)（標(biāo)記安全保護(hù)（Labeled Security Protection） C2受控的存取保護(hù)受控的存取保護(hù)（Controlled Access Protection） C1自主安全保護(hù)自主安全保護(hù)（Di

4、scretionary Security Protection） D最小保護(hù)（最小保護(hù)（Minimal Protection）9等級說明：D，C1D級（最小保護(hù)級）將一切不符合更高標(biāo)準(zhǔn)的系統(tǒng)均歸于D組典型例子：DOS是安全標(biāo)準(zhǔn)為D的操作系統(tǒng) DOS在安全性方面幾乎沒有什么專門的 機(jī)制來保障無身份認(rèn)證與訪問控制。C1級（自主安全保護(hù)級）非常初級的自主安全保護(hù)能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的分離，進(jìn)行自主存取控制（DAC），保護(hù)或限制用戶權(quán)限的傳播。早期的UNIX系統(tǒng)屬于這一類。這類系統(tǒng)適合于多個(gè)協(xié)作用戶在同一個(gè)安全級上處理數(shù)據(jù)的工作環(huán)境。 10等級說明：C2C2級（受控的存取保護(hù)級） C2級達(dá)到企業(yè)級安全

5、要求?？勺鳛樽畹蛙娪冒踩墑e提供受控的自主存取保護(hù)，將C1級的DAC進(jìn)一步細(xì)化，以個(gè)人身份注冊負(fù)責(zé)，并實(shí)施審計(jì)（審計(jì)粒度要能夠跟蹤每個(gè)主體對每個(gè)客體的每一次訪問。對審計(jì)記錄應(yīng)該提供保護(hù)，防止非法修改。）和資源隔離，客體重用，記錄安全性事件達(dá)到C2級的產(chǎn)品在其名稱中往往不突出“安全”(Security)這一特色典型例子 操作系統(tǒng)：Microsoft的Windows NT 3.5，數(shù)字設(shè)備公司的Open VMS VAX 6.0和6.1，linux系統(tǒng)的某些執(zhí)行方法符合C2級別。 11等級說明：B1B1級（標(biāo)簽安全保護(hù)級）標(biāo)記安全保護(hù)?！鞍踩?Security)或“可信的”(Trusted)產(chǎn)品。

6、對系統(tǒng)的數(shù)據(jù)加以標(biāo)記，對標(biāo)記的主體和客體實(shí)施強(qiáng)制存取控制（MAC）、對安全策略進(jìn)行非形式化描述，加強(qiáng)了隱通道分析，審計(jì)等安全機(jī)制典型例子 操作系統(tǒng)：數(shù)字設(shè)備公司的SEVMS VAX Version 6.0，惠普公司的HP-UX BLS release 9.0.9+ 。12等級說明：B2B2級（結(jié)構(gòu)化保護(hù)級）建立形式化的安全策略模型并對系統(tǒng)內(nèi)的所有主體和客體實(shí)施DAC和MAC，從主體到客體擴(kuò)大到I/O設(shè)備等所有資源。要求開發(fā)者對隱蔽信道進(jìn)行徹底地搜索。TCB劃分保護(hù)與非保護(hù)部分，存放于固定區(qū)內(nèi)。經(jīng)過認(rèn)證的B2級以上的安全系統(tǒng)非常稀少典型例子 操作系統(tǒng)：只有Trusted Information

7、Systems公司的Trusted XENIX一種產(chǎn)品 數(shù)據(jù)庫：北京人大金倉信息技術(shù)股份有限公司的 KingbaseES V7產(chǎn)品13等級說明：B3，A1B3級（安全區(qū)域保護(hù)級）該級的TCB必須滿足訪問監(jiān)控器的要求，安全內(nèi)核，審計(jì)跟蹤能力更強(qiáng)，并提供系統(tǒng)恢復(fù)過程。即使計(jì)算機(jī)崩潰,也不會泄露系統(tǒng)信息。A1級（驗(yàn)證設(shè)計(jì)級）驗(yàn)證設(shè)計(jì)，即提供B3級保護(hù)的同時(shí)給出系統(tǒng)的形式化設(shè)計(jì)說明和驗(yàn)證以確信各安全保護(hù)真正實(shí)現(xiàn)。這個(gè)級別要求嚴(yán)格的數(shù)學(xué)證明。 14說明vB2以上的系統(tǒng)還處于理論研究階段應(yīng)用多限于一些特殊的部門如軍隊(duì)等美國正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領(lǐng)域應(yīng)用的B2安全級別下放到商業(yè)應(yīng)用中來，

8、并逐步成為新的商業(yè)標(biāo)準(zhǔn)。15多級安全數(shù)據(jù)庫關(guān)鍵問題包括：多級安全數(shù)據(jù)庫體系結(jié)構(gòu)多級安全數(shù)據(jù)模型多實(shí)例元數(shù)據(jù)管理并發(fā)事務(wù)處理推理分析和隱蔽通道分析16多級安全數(shù)據(jù)庫設(shè)計(jì)準(zhǔn)則如下：提供多級密級粒度確保一致性和完整性實(shí)施推理控制防止敏感聚合進(jìn)行隱蔽通道分析支持多實(shí)例執(zhí)行并發(fā)控制17傳統(tǒng)關(guān)系模型兩個(gè)重要的完整性：實(shí)體完整性、引用完整性（參照完整性）。多級關(guān)系數(shù)據(jù)模型三要素：多級關(guān)系、多級關(guān)系完整性約束及多級關(guān)系操作。多級安全模型需作的改進(jìn)：多級安全模型：在傳統(tǒng)關(guān)系模型基礎(chǔ)上各種邏輯數(shù)據(jù)對象強(qiáng)制賦予安全屬性標(biāo)簽。修改傳統(tǒng)關(guān)系模型中關(guān)系的完整性及關(guān)系上的操作。18安全標(biāo)簽粒度：是標(biāo)識安全等級的最小邏輯對象

9、單位。安全標(biāo)簽粒度級別：關(guān)系級、元組級及屬性級。安全粒度控制按照不同的安全需求和實(shí)體類型，決定安全控制的程度。例如，對數(shù)據(jù)的存取，可以是關(guān)系級、元組級及屬性級。粒度越細(xì)，控制越靈活，但所對應(yīng)的操作越困難和復(fù)雜。19一、多級關(guān)系傳統(tǒng)的關(guān)系模式：R(A1,A2, An)多級關(guān)系模式： R(A1,C1,A2,C2,An,Cn,TC)元組的安全級別:TC元組表示：t(a1,c1,a2,c2,an,cn,tc)元組t的安全標(biāo)簽：ttc.屬性ai的安全標(biāo)簽：tci.例 Weapon多級關(guān)系表示。20表表1 1 原始原始WeaponWeapon多級關(guān)系多級關(guān)系表表2 Weapon U 2 Weapon U

10、級實(shí)例級實(shí)例21表表1 1 原始原始WeaponWeapon多級關(guān)系多級關(guān)系表表3 3 原始原始Weapon SWeapon S級實(shí)例級實(shí)例22表表4 Weapon TS4 Weapon TS級實(shí)例級實(shí)例23多級關(guān)系完整性多級關(guān)系完整性：實(shí)體完整性空值完整性多級外碼完整性與參照完整性實(shí)例間完整性多實(shí)例完整性24一、實(shí)體完整性 設(shè)AK是定義在關(guān)系模式R上的外觀主碼，一個(gè)多級關(guān)系滿足實(shí)體完整性，當(dāng)且僅當(dāng)對R的所有實(shí)例Rc與tRc,有：AiAK = tAinull/ 主碼屬性不能為空Ai , AjAK = tCitCj/主鍵各屬性安全等級一致，保證在任何級別上主鍵都是完整的。Ai AK = tCi

11、= tCAK/非碼屬性安全等級支配鍵值，保證關(guān)系可見的任何級別上，主鍵不可能為空。25二、空值完整性在多級關(guān)系中，空值有兩種解釋:一種確實(shí)為空。另一種是實(shí)例的等級低于屬性的等級使此屬性不可見，從而顯示為空?？罩低暾允褂昧藲w類關(guān)系，歸類關(guān)系如下：如果兩元組t和s，如果屬性Ai滿足下列條件，元組t包含元組s。對于兩元組t和s, 如果任何一個(gè)屬性 tAi ,Ci sAi ,Ci;tAinull且 sAinull，則稱元組t包含元組s 或 t歸類于s。26一個(gè)多級關(guān)系R滿足空值完整性，當(dāng)且僅當(dāng)對R的每個(gè)實(shí)例Rc均滿足下列兩個(gè)條件：空值的安全級別與主鍵相同。 即對于所有的tRc, tAinull =

12、tcitCAK /空值對所有級別用戶可見Rc不含有兩個(gè)有包含關(guān)系的不同元組。 /不出現(xiàn)因?yàn)榭罩刀鴮?dǎo)致的冗余元組27 例1 多級關(guān)系違反了空值完整性 多級關(guān)系違反了空值完整性多級關(guān)系違反了空值完整性28三、多級外碼完整性與參照完整性多級外碼完整性： 假設(shè)FK是參照關(guān)系R的外碼，多級關(guān)系R的一個(gè)實(shí)例Rc滿足外碼完整性，當(dāng)且僅當(dāng)對所有的tRc滿足： 或者（所有AiFK） tAi = null， 或者（所有AiFK） tAinull /外碼屬性全空或全非空 Ai , AjFK = tCitCj。 /外碼的每個(gè)屬性具有相同的安全級別29多級參照完整性：假設(shè)參照關(guān)系R1具有外觀主碼AK1，外碼FK1，被參

13、照關(guān)系R2具有外觀主碼AK2，多級關(guān)系R1的一個(gè)實(shí)例 r1 和多級關(guān)系R2的一個(gè)實(shí)例 r2滿足參照完整性，當(dāng)且僅當(dāng) 所有t11r1 , t11FK1 null , E t21r2 ,t11FK1 = t21AK2 t11TC= t21TC t11CFK1 t21CAK2。 外鍵的訪問等級必須支配引用元組中主鍵的訪問等級。30四、實(shí)例間完整性多級關(guān)系Rc滿足實(shí)例間完整性，當(dāng)且僅當(dāng)對所有 cc，Rc=( Rc，c)，其中過濾函數(shù)按以下方法從Rc產(chǎn)生安全等級為c的實(shí)例Rc：所有 tRc, tCAKc, tRc， 滿足tAK,CAK= tAK,CAK./主碼保留所有Ai AK有 tAi,Ci=tAi,

14、Ci if tCi c tAi,Ci= otherwiseE E 消除消除RcRc的歸類元組的歸類元組31表表1.1.多級關(guān)系多級關(guān)系“衛(wèi)星衛(wèi)星” S S級實(shí)例級實(shí)例實(shí)例間完整性舉例：例實(shí)例間完整性舉例：例1 1U U級用戶對表級用戶對表1 1過濾后得到表過濾后得到表2 2表表2.2.多級關(guān)系多級關(guān)系“衛(wèi)星衛(wèi)星”過濾后過濾后U U級實(shí)例級實(shí)例32表表4.4.多級關(guān)系多級關(guān)系“衛(wèi)星衛(wèi)星”S S級實(shí)例級實(shí)例表表5.5.多級關(guān)系多級關(guān)系“衛(wèi)星衛(wèi)星”過濾后過濾后S S級實(shí)例級實(shí)例實(shí)例間完整性舉例：例實(shí)例間完整性舉例：例2 2表表3.3.多級關(guān)系多級關(guān)系“衛(wèi)星衛(wèi)星” U U級實(shí)例級實(shí)例33五、多實(shí)例完整

15、性假設(shè)多級關(guān)系R的外觀主碼集合為AK，主碼等級為CAK 。多實(shí)例完整性要求由AK、CAK以及第i個(gè)屬性的等級Ci便可確定第i個(gè)屬性值A(chǔ)i 。一個(gè)多級關(guān)系滿足多實(shí)例完整性，當(dāng)且僅當(dāng)Rc中的每個(gè)屬性Ai ,滿足AK,CAK,Ci Ai 即Ai函數(shù)依賴于AK,CAK,Ci 。同一級別的元組之間不存在多實(shí)例。 34多級關(guān)系Weapon(滿足多實(shí)例完整性) 多級關(guān)系多級關(guān)系Weapon(Weapon(不滿足多實(shí)例完整性不滿足多實(shí)例完整性) )（元組級別相同主鍵重復(fù)）（元組級別相同主鍵重復(fù)）35一、 插入操作形式：INSERT INTO Rc(Ai ,Aj) VALUES (ai ,aj)當(dāng)插入元組t（新

16、插入）與主鍵值相同的元組t時(shí)：1）若tTC tTC,拒絕t的插入。2）若tTC t TC,允許或拒絕t的插入均可 以。/多級關(guān)系操作盡量減少額外元組36例1 S級別主體插入操作 1）主碼值不同，正常插入 INSERT INTO Weapon VALUES “Cannonl,10,200”插入后WeaponWeapon多級關(guān)系的多級關(guān)系的S S級插入級插入372）主碼值、級別相同，系統(tǒng)不允許插入。 INSERT INTO Weapon VALUES “Cannonl,10,200”/S級插入WeaponWeapon多級關(guān)系的多級關(guān)系的S S級插入級插入383）主碼值相同，但插入元組級別低，允許插

17、入， 防止隱通道，產(chǎn)生多實(shí)例。 INSERT INTO Weapon VALUES “Missile2,250,30”/ S級插入插入前WeaponWeapon多級關(guān)系的多級關(guān)系的S S級插入級插入39插入后產(chǎn)生多實(shí)例WeaponWeapon多級關(guān)系的多級關(guān)系的S S級插入級插入40二、更新操作形式：UPDATE Rc SET AiSi ,AjSj WHERE pp是謂詞條件針對關(guān)系間完整性的約束，更新操作對不同等級的關(guān)系實(shí)例的影響有以下三點(diǎn)：對同等級關(guān)系實(shí)例的影響與傳統(tǒng)的UPDADE語句一樣。對更低等級關(guān)系實(shí)例無影響。對更高等級用戶，為避免隱蔽通道可能引入多實(shí)例。41例1密級為U的用戶要求對

18、Weapon關(guān)系的 U級實(shí)例作更新操作。/直接修改 UPDATE Weapon SET Quantity=3000 WHERE Wname=“Gun1”/ U級用戶WeaponWeapon關(guān)系的關(guān)系的 U U 級實(shí)例級實(shí)例42WeaponWeapon關(guān)系的關(guān)系的 U U 級實(shí)例級實(shí)例更新前更新前WeaponWeapon關(guān)系的關(guān)系的 U U 級實(shí)例級實(shí)例更新后更新后43例2密級為U的用戶要求對Weapon關(guān)系的 S級實(shí)例作更新操作。 UPDATE Weapon SET Quantity=3000 WHERE Wname=“Gun1”/ U級用戶WeaponWeapon關(guān)系的關(guān)系的 S S 級實(shí)例

19、級實(shí)例44WeaponWeapon關(guān)系的關(guān)系的 S S 級實(shí)例級實(shí)例更新前更新前WeaponWeapon關(guān)系的關(guān)系的 S S 級實(shí)例級實(shí)例更新后產(chǎn)生多實(shí)例更新后產(chǎn)生多實(shí)例45例3密級為S的用戶要求對Weapon關(guān)系的 S級實(shí)例執(zhí)行如下更新操作。 UPDATE Weapon SET Range=2 WHERE Wname=“Gun1”AND Quantity=5000WeaponWeapon關(guān)系的關(guān)系的 S S 級實(shí)例級實(shí)例46WeaponWeapon關(guān)系的關(guān)系的 S S 級實(shí)例級實(shí)例更新后更新后WeaponWeapon關(guān)系的關(guān)系的 S S 級實(shí)例級實(shí)例更新前更新前47例4密級為S的用戶要求對W

20、eapon關(guān)系的 S級實(shí)例執(zhí)行如下更新操作。 UPDATE Weapon SET Range=2 WHERE Wname=“Gun1”/ S級用戶 WeaponWeapon關(guān)系的關(guān)系的 S S 級實(shí)例級實(shí)例48WeaponWeapon關(guān)系的關(guān)系的 S S 級實(shí)例級實(shí)例更新后更新后WeaponWeapon關(guān)系的關(guān)系的 S S 級實(shí)例級實(shí)例更新前更新前49三、刪除操作形式：DELETE FROM Rc WHERE pp是謂詞條件四、查詢操作形式：SELECT A1,A2FROM R1 ,R2 WHERE pAT c1,c2,p是謂詞條件50多實(shí)例：是指在多級安全數(shù)據(jù)庫管理系統(tǒng)中，同時(shí)存在多個(gè)具有相

21、同主碼值的實(shí)體。多實(shí)例元組：關(guān)系包含多個(gè)具有相同主碼的元組，但相同主碼的安全等級可以不 相同，這些元組的安全等級不同。多實(shí)例屬性：關(guān)系包含多個(gè)具有相同主碼的元組，但相同主碼的安全等級相同，但具有不同安全級的屬性，這些元組的安全等級不同。51例：兩種多實(shí)例的情況。多實(shí)例屬性的多級關(guān)系多實(shí)例屬性的多級關(guān)系多實(shí)例元組的多級關(guān)系多實(shí)例元組的多級關(guān)系52可見多實(shí)例：當(dāng)高訪問等級的用戶想在數(shù)據(jù)庫的一個(gè)域上插入數(shù)據(jù)，而在這個(gè)域上已經(jīng)存在低安全等級的數(shù)據(jù)時(shí)發(fā)生。不可見多實(shí)例：當(dāng)?shù)驮L問等級的用戶想在數(shù)據(jù)庫的一個(gè)已經(jīng)有高安全等級的域上插入一個(gè)新數(shù)據(jù)時(shí)發(fā)生。53可見多實(shí)例U U級用戶將級用戶將RangeRange更

22、新為更新為1 1S S級用戶將級用戶將RangeRange更新為更新為2 2最初的多級關(guān)系最初的多級關(guān)系54不可見多實(shí)例最初的最初的S S級用戶級用戶實(shí)例實(shí)例上例中上例中U U級用戶將級用戶將RangeRange更新為更新為1 1后，后，U U級實(shí)例如下：級實(shí)例如下：U U級用戶將級用戶將RangeRange更新為更新為1 1后，后，S S級實(shí)例如下：級實(shí)例如下：55 多實(shí)例雖可防止隱蔽通道，但引起一些相關(guān)問題：數(shù)據(jù)機(jī)密性與完整性沖突增加了數(shù)據(jù)庫的管理難度增加了對同一現(xiàn)實(shí)世界中不同模型理解的困惑。不清楚那個(gè)實(shí)例的信息是正確、可信的。56使所有的主碼可見，主碼以關(guān)系內(nèi)可見的最低安全等級標(biāo)識根據(jù)主

23、碼可能的各種安全等級，劃分主碼的域。限制對多級關(guān)系的插入。要求所有的插入由系統(tǒng)最高安全等級的用戶實(shí)施向下寫完成。57隱蔽通道：是指給定一個(gè)強(qiáng)制安全策略模型M和它在一個(gè)操作系統(tǒng)中的解釋I(M),I(M)中兩個(gè)主體I(Si)和I(Sj)之間的任何潛在通信都是隱蔽的,當(dāng)且僅當(dāng)模型M中的相應(yīng)主體Si和Sj之間的任何通信在M中都是非法的。（系統(tǒng)中不受安全策略控制的，違反安全策略的信息泄露路徑）系統(tǒng)實(shí)際使用中，攻擊者制造一組表面上合法的操作序列，將高級數(shù)據(jù)傳送到低級用戶。這種隱蔽的非法通道叫隱蔽通道。58隱通道通過不是用于數(shù)據(jù)傳遞的系統(tǒng)設(shè)施來發(fā)送信息 ，并且這種通信方式往往不被系統(tǒng)的存取控制機(jī)制所檢測和控

24、制。隱蔽通道的分類存儲隱蔽通道和時(shí)序隱蔽通道存儲隱蔽通道:如果一個(gè)隱通道是一個(gè)主體直接或間接地修改一存儲變量，而被另一主體通過直接或間接地讀取同一個(gè)變量獲得信息，這個(gè)隱通道是存儲隱通道。 59例1:進(jìn)程號隱通道.進(jìn)程號（PID）是系統(tǒng)中標(biāo)志進(jìn)程的唯一符號，在許多操作系統(tǒng)中采用連續(xù)遞增的方法來管理進(jìn)程號，即新建的進(jìn)程的進(jìn)程號在上一個(gè)進(jìn)程的進(jìn)程號的基礎(chǔ)上加1，利用系統(tǒng)的這一管理機(jī)制也可產(chǎn)生隱通道，其操作過程如下：60操作過程：接收方建立一個(gè)子進(jìn)程并立即結(jié)束它，記錄下它的進(jìn)程號；發(fā)送方若發(fā)“0”，則什么也不做，若發(fā)“1”則建一個(gè)子進(jìn)程并立即結(jié)束它；接收方再建一個(gè)子進(jìn)程并立即結(jié)束它，記錄下它的進(jìn)程號，

25、如果新的進(jìn)程號與上一次得到的進(jìn)程號相差1，則確認(rèn)接收到“0”，如果新的進(jìn)程號與上一次得的進(jìn)程號相差2，則確認(rèn)接收到“1”；做好同步工作，轉(zhuǎn)入2，傳送下一比特。例：例： 收收 發(fā)發(fā) 收收 發(fā)發(fā) 收收 發(fā)發(fā) 收收 發(fā)發(fā) p1 p2 p3 p4 p5 p6 傳送信息傳送信息 1 0 1 061時(shí)序隱蔽通道：時(shí)序隱通道的發(fā)送者通過對使用資源時(shí)間的影響來發(fā)送信息，接收者通過觀察響應(yīng)時(shí)間的變化來接收信息，這個(gè)隱通道是時(shí)序隱通道。 例2：時(shí)序隱蔽通道。CPU是一種可以利用的系統(tǒng)資源，可由多個(gè)用戶共享，假設(shè)有H和L兩個(gè)進(jìn)程，H的安全級高于L，H企圖將信息傳遞給L。它們約定一系列間隔均勻的時(shí)間點(diǎn)t1，t1，t1，（間隔時(shí)間至少允許兩次CPU調(diào)度）。L在每個(gè)時(shí)間點(diǎn)都請求使用CPU，而H在每個(gè)時(shí)間點(diǎn)，若要發(fā)送