作为一项重要的评估指标,美国国防部的TCSEC准则和ISO的CC标准都对隐通道做出了明确地规定,即软件要获得B2或EAL5及以上级的安全认证,必须要通过不同强度的隐通道分析。隐通道分析由三部分工作组成:搜索、审计和消除。在经历了二十世纪八、九十年代的繁荣期后,近些年隐通道的研究进展趋缓。造成这种现象的一个重要原因是基础研究与应用研究脱节,由于一直没有完整的形式化描述体系作为理论基础、以及相应的数学工具作为研究手段,隐通道应用领域中的研究工作自然难以快速发展。给出隐通道的形式化定义,建立适用于隐通道计算的数学工具,并以此为基础推导隐通道的性质、研究隐通道分析中的各项工作,是本文的主要内容,也是隐通道基础研究的重要组成部分。本文的主要工作可以概括为两大部分:(1)隐通道可计算性的研究;(2)在隐通道可计算性研究基础上展开的应用研究。首先,本文通过研究可信系统的相关要素,分析隐通道的工作机理,给出了隐通道的一种形式化定义,并据此推导出了隐通道的一般属性、可计算属性、以及存在的最小条件等性质;进一步地,通过在隐通道集合的内部引入二元运算关系,建立了一个代数系统。根据隐通道空间拓扑结构的变化,通过使用这个代数系统,能够直接计算出可计算属性值的相应变化。其次,针对在实践中观察到的TCSEC准则关于隐通道审计标准的不足,通过综合使用带宽、势差、工作时间、敏感参数等多项可计算指标,研制了一个新的审计标准α-IA。新标准在兼容TCSEC相关标准的同时,能够根据用户的具体需求从不同角度去刻画隐通道的威胁。进一步地,在隐通道代数系统的基础上,我们对新审计标准的计算方法作了详细讨论。再次,根据在可计算性研究中已经证明出的隐通道存在的最小条件,对已知的静态隐通道搜索和消除方法进行了分类研究,总结了每种方法的基本思想和简要操作步骤,并讨论了它们各自的优点与不足。进一步地,针对静态方法的不足,提出了非静态的隐通道搜索和消除方法。与基于系统项级描述或源代码分析的静态方法不同,这类新方法要求在系统的运行状态下实行,现阶段它们既可以独立地使用,也可以作为静态方法的补充。一般地,非静态方法的总体成本低于相应的静态方法。搜索是隐通道审计和消除的工作依据,鉴于搜索环节的重要性,文中还对通用的全自动隐通道搜索问题进行了研究,并证明了这是一个不可判定问题,即不存在一个算法能在有限的时间里搜索出任意程序中含有的任何隐通道。这告诉我们不可能依赖单个程序,一劳永逸地解决所有的隐通道搜索问题。最后,根据在可计算性研究中建立的隐通道形式化定义,模拟隐通道的工作机理,开发了一个隐通道的仿真系统。通过设计使用不同的通信协议,比较全面地对隐通道进行了仿真,测试了隐通道的带宽、抗干扰等项指标。通过仿真试验还观察到了一些在静态分析中观察不到的隐通道性质,文中对这些性质的成因做了分析。在文章结尾处,我们提出隐通道的语义分析是未来隐通道研究的重要方向。本文的主要创新点是:(1)给出了隐通道的形式化定义,并在此基础上推导了隐通道的性质,建立了一个用于隐通道计算的代数系统。这为隐通道的形式化研究提供了理论基础和数学工具。早期的隐通道研究,多是依据实际问题提出特定的隐通道处理方法,因此这些方法看起来是彼此孤立的、且缺乏必要的理论基础。在这种情况下,隐通道的研究不仅无法从形式化的高度展开,而且只能依赖于试验和观察去发现新的隐通道性质并检验相关处理方法的正确性。(2)研制了一个新的隐通道审计标准。该标准在兼容TCSEC相关标准的基础上,能根据用户的需求,从多个角度去刻画隐通道的威胁。TCSEC使用纯粹的带宽指标来审计隐通道的威胁,带宽越高、威胁越大。这种方法的缺陷是没有综合考虑隐通道其它属性对系统安全造成的危害。例如有两个隐通道,它们的带宽都是200 bits/s,其中一个将保密信息从“绝密”级泄露到“公开”级,而另一个却只是将保密信息从“绝密”级泄露到“机密”级,显然两者对系统安全的威胁并不真正相同。类似的情况还有,如果其中一个仅工作了1秒钟,而另一个却工作了1小时,那又该如何评价它们的威胁?在TCSEC准则关于隐通道的审计标准中,没有回答这些问题。(3)提出了非静态的隐通道搜索和消除方法。静态的隐通道搜索与消除方法,是建立在系统顶级描述或源代码分析基础之上的方法,它们在使用的过程中容易找到一些在实际系统中并不存在的伪非法信息流,而消除这些伪非法信息流不仅会造成系统运行效率的不必要下降,而且会消耗有限的人力、物力资源。非静态的隐通道搜索与消除方法,是在系统动态运行的过程中,根据我们在可计算性研究中推导出的隐通道存在的最小条件去搜索或消除隐通道。因为这类方法是在系统的运行状态下操作的,所以与相应的静态方法相比,它不需要对系统中每种可能的信息流做出合法性判断,而只是分析系统中实际存在的信息流,这样就降低了分析工作的复杂程度,提高了效率。