Phân tích định lượng luồng tin trong bảo mật chương trình đa luồng

Quá trình phân tích luồng tin về cơ bản có thể được thực hiện dựa trên một trong hai phương pháp, định tính hoặc định lượng.. Nếu như mục đích phân tích định tính nhằm xác định một hệ th

TRƯỜNG ĐẠI HỌC BÁCH KHOA



DƯƠNG TUẤN QUANG

PHÂN TÍCH ĐỊNH LƯỢNG LUỒNG TIN TRONG BẢO MẬT CHƯƠNG TRÌNH ĐA LUỒNG

Chuyên ngành : Kỹ thuật điện tử

Mã số : 60 52 02 03

TÓM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT

Đà Nẵng - Năm 2017

TRƯỜNG ĐẠI HỌC BÁCH KHOA

Người hướng dẫn khoa học: TS Ngô Minh Trí

Phản biện 1: TS Phan Trần Đăng Khoa

Phản biện 2: TS Ngô Văn Sỹ

Luận văn được bảo vệ trước Hội đồng chấm Luận văn tốt nghiệp thạc sĩ

Kỹ thuật điện tử họp tại Trường Đại học Bách khoa vào ngày 15 tháng

07 năm 2017

Có thể tìm hiểu luận văn tại:

 Trung tâm Học liệu, Đại học Đà Nẵng tại Trường Đại học Bách khoa

 Thư viện Khoa Điện tử-Viễn thông, Trường Đại học Bách khoa – ĐHĐN

MỞ ĐẦU

1 Tính cấp thiết của đề tài

Cùng với sự phát triển mạnh mẽ của công nghệ thông tin, ngày càng có nhiều dữ liệu được xử lý, lưu trữ và gửi đi trong mạng truyền thông Một thực trạng không thể tránh khỏi là người tham gia hệ thống

có khả năng truy cập được các dữ liệu này Vấn đề quan trọng trong

an toàn thông tin là phải đảm bảo được việc truy cập nằm trong phạm

vi cho phép Những thông tin bị truy cập bởi những đối tượng không được cấp quyền đều được xem là những thông tin bị rò rỉ Hậu quả của việc rò rỉ thông tin này ảnh hưởng nghiêm trọng đến những người sử dụng và khai thác hệ thống hợp pháp Có thể lấy một số ví dụ như các

vụ việc rò rỉ thông tin cá nhân nhạy cảm bao gồm mã số tài khoản ngân hàng, thẻ tín dụng hay sự tiết lộ các hồ sơ mang tính bí mật của công

ty, quốc gia trên các mạng công cộng gần đây Chính vì vậy, điều quan trọng nhất trong truyền thông là phải đảm bảo tính an toàn, bí mật của thông tin

Có ba phương pháp được sử dụng để bảo vệ thông tin [9] đó là: điều khiển truy cập, mật mã, và điều khiển luồng tin

Điều khiển truy cập, ví dụ như tường lửa, là phương pháp phổ biến nhất để bảo mật thông tin Chỉ có những đối tượng hợp pháp mới được cấp quyền truy cập vào dữ liệu Tuy nhiên, phương pháp này không đảm bảo được rằng các đối tượng hợp pháp sẽ không tiết lộ thông tin mật sau khi đã truy nhập được thông tin

Mật mã là kỹ thuật mã hóa dữ liệu trong quá trình truyền dẫn hoặc lưu trữ Phương pháp này có thể ngăn chăn các đối tượng không được cấp phép truy cập vào dữ liệu thông qua quá trình nghe lén hay can thiệp vào việc truyền tin trong hệ thống Cũng giống như phương pháp điều khiển truy cập, phương pháp này cũng không đảm bảo được việc người sử dụng hay chương trình phát tán dữ liệu sau khi giải mã dữ liệu Hơn nữa, nếu kỹ thuật mã hóa sử dụng không hiệu quả, nhiều khả

năng các đối tượng truy cập bất hợp pháp có thể giải mã dữ liệu một

cách dễ dàng Lúc này, chức năng mã hóa sẽ không còn ý nghĩa Một phương pháp bảo mật thông tin mạnh hơn đó là điều khiển luồng tin, nghĩa là giám sát thông tin di chuyển đến đâu và như thế nào trong hệ thống Một hệ thống được xem là không an toàn khi dữ liệu mật bằng một cách nào đó lại được lưu trữ ở những vị trí mà những

đối tượng không được cấp phép có thể truy cập được Phương pháp

điều khiển luồng tin có thể phát hiện điều này Đây là điểm khác biệt

cơ bản so với hai phương pháp nêu trên; phương pháp điều khiển luồng tin có thể đảm bảo thông tin không bị phát tán (Smith, 2007) [10] Phương pháp điều khiển luồng tin đảm bảo mục tiêu ngăn chặn sự rò

rỉ thông tin hiệu quả hơn hai phương pháp còn lại

Quá trình phân tích luồng tin về cơ bản có thể được thực hiện dựa trên một trong hai phương pháp, định tính hoặc định lượng Nếu như mục đích phân tích định tính nhằm xác định một hệ thống có an toàn không bằng cách trả lời câu hỏi rằng hệ thống có bị rò rỉ thông tin hay không, thì phân tích định lượng, ngoài việc xác định luồng di chuyển của thông tin, còn cho phép xác định hay ước lượng lượng tin mà người

tấn công có thể thu thập được khi hệ thống bị mất bảo mật Hay nói cách khác, phân tích định lượng cho phép xác định được có lượng thông tin đã bị tiết lộ ra bên ngoài trong trường hợp hệ thống rò rỉ thông tin Rõ ràng, phương pháp phân tích định lượng hiệu quả hơn ở khía cạnh bảo mật thông tin

Vì vậy, đây chính là lý do luận văn sẽ tập trung nghiên cứu phương pháp định lượng luồng tin, cụ thể áp dụng trong bảo mật chương trình

đa luồng Khái niệm đa luồng sử dụng ở đây để chỉ ra trong các hệ thống hay chương trình có nhiều tiến trình hoạt động song song đồng thời với nhau

2 Mục đích nghiên cứu

- Tìm hiểu cách thức phân tích định lượng luồng tin dựa trên lý thuyết thông tin [11], với một số tham số chính như: entropy, lượng tin tương hỗ, min-entropy

- Áp dụng phân tích định lượng luồng tin cho chương trình đa luồng

- Xây dựng chương trình tính toán mô phỏng định lượng luồng tin và kiểm thử trên một số trường hợp cụ thể

3 Đối tượng và phạm vi nghiên cứu

3.1 Đối tượng nghiên cứu

- Lý thuyết thông tin (Shannon, 1948) [11]

- Lý thuyết xác suất

- Lý thuyết định lượng luồng tin

- Chương trình đa luồng

4 Phương pháp nghiên cứu

Phương pháp luận của luận văn là kết hợp nghiên cứu lý thuyết và

mô phỏng để làm rõ nội dung đề tài Cụ thể như sau:

- Nghiên cứu phương pháp phân tích định lượng luồng tin dựa vào lý thuyết thông tin trên cơ sở khái niệm entropy

- Nghiên cứu mô hình chương trình đa luồng và ứng dụng thuật toán cho các chương trình này

- Sử dụng Matlab để thực hiện tính toán mô phỏng định lượng luồng tin, và áp dụng chương trình này để kiểm thử một số chương trình đa luồng đơn giản

- Đánh giá kết quả thực hiện

5 Ý nghĩa khoa học và thực tiễn của đề tài

Bên cạnh thuật toán mang ý nghĩa khoa học trong lĩnh vực bảo mật thông tin, đề tài còn đề xuất phương án xây dựng một chương trình mô phỏng, tính toán tự động giá trị thông tin bị rò rỉ, có khả năng áp dụng cho một số chương trình đơn giản trong thực tế

6 Cấu trúc của luận văn

Nội dung của luận văn gồm các 4 chương và có nội dung như sau:

Chương 1 – Cơ sở lý thuyết bảo mật thông tin, trình bày các vấn

đề về lý thuyết thông tin, xác suất, khái niệm lượng tin, khái niệm entropy làm cơ sở cho lý thuyết bảo mật thông tin

Chương 2 – Lượng tin rò rỉ của chương trình Giới thiệu hai khía

cảnh bảo mật thông tin, bao gồm định tính và định lượng luồng thông tin, chỉ ra một số phương pháp tính toán lượng tin rò rỉ của chương trình

Chương 3 – Lượng tin rò rỉ của chương trình đa luồng Định nghĩa

chương trình đa luồng, phương pháp tính toán lượng tin rò rỉ của chương trình đa luồng dựa trên mô hình chuyển trạng thái trong thực thi chương trình đa luồng có ảnh hưởng của bộ lập lịch

Chương 4 – Xây dựng chương trình mô phỏng phân tích định

lượng luồng tin Mô tả thuật toán, hoạt động của công cụ tự động định lượng luồng tin bằng cách tính toán lượng tin rò rỉ của chương trình đa luồng Áp dụng vào một số ví dụ để kiểm chứng tính chính xác của chương trình

CHƯƠNG 1 CƠ SỞ LÝ THUYẾT BẢO MẬT THÔNG TIN

1.1 Lý thuyết xác suất

Định nghĩa 1.1 [Biến ngẫu nhiên rời rạc] Một biến ngẫu nhiên rời

rạc X là một hàm ánh xạ các biến cố đến một tập các giá trị đếm được (ví dụ, số nguyên), với mỗi giá trị nằm trong miền giá trị có xác suất lớn hơn 0, được xác định như sau: 𝑋: 𝐷 → ℛ(𝐷), trong đó D là tập hữu hạn với phân bố xác suất xác định, và ℛ là miền giá trị hữu hạn của X

Định nghĩa 1.2 [Phân bố xác suất rời rạc] Gọi D là tập các giá trị

của biến ngẫu nhiên rời rạc X Khi đó, phân bố xác suất rời rạc trên D được xác định sao cho ∑𝑥∈𝐷𝑃(𝑋 = 𝑥)= 1

Định nghĩa 1.3 [Xác suất liên kết] Một cặp biến ngẫu nhiên (𝑥, 𝑦)

liên kết với một sự kiện tạo thành một biến ngẫu nhiên liên kết

Nếu x, y là rời rạc, sự phân bố xác suất liên kết này được định nghĩa

là 𝑝𝑖𝑗= 𝑃(𝑥 = 𝑥𝑖, 𝑦 = 𝑦𝑗)

Định nghĩa 1.4 [Xác suất có điều kiện] Xác suất của y trong điều

kiện đã biết x được gọi là xác suất có điều kiện và được định nghĩa là:

𝑝(𝑦 | 𝑥) =𝑝(𝑥, 𝑦)

𝑝(𝑥)

1.2 Lý thuyết thông tin

1.2.1 Khái niệm thông tin

Định nghĩa 1.5 [Thông tin] Ở đây giới thiệu một vài định nghĩa của

thông tin theo quan niệm thông thường chứ không hoàn toàn theo quan niệm kỹ thuật

1 Thông tin là sự cảm nhận và hiểu biết của con người về thế giới xung quanh (thông qua tiếp xúc với nó) Như vậy thông tin là hiểu biết của con người, càng tiếp xúc với môi trường xung quanh, con người càng hiểu biết và làm tăng lượng thông tin thu nhận được

2 Thông tin là một hệ thống những tin báo và mệnh lệnh giúp loại trừ sự không chắc chắn trong trạng thái của nơi nhận tin

3 Thông tin là một hiện tượng vật lý, nó thường tồn tại và được truyền đi dưới dạng vật chất nào đó, chẳng hạn như âm thanh, dòng điện, sóng điện từ, sóng ánh sáng… Những dạng vật chất hay những đại lượng vật lý dùng để mang thông tin được gọi là tín hiệu

Về bản chất, thông tin có tính chất ngẫu nhiên, có nghĩa là không biết trước Thật vậy, tin tức được thông báo chỉ có ý nghĩa khi người nhận chưa biết trước, còn nếu người nhận đã biết trước thì tin tức không còn ý nghĩa nữa Vì vậy, tín hiệu mang tin tức cũng là tín hiệu ngẫu nhiên và mô hình toán học của nó là các quá trình ngẫu nhiên Lý thuyết thông tin sẽ dựa trên tính ngẫu nhiên của tin tức, có nghĩa là xét đến tính bất ngờ (hay tính bất định) của tin tức đối với nơi nhận tin

1.2.2 Lượng tin

Định nghĩa 1.6 [Lượng tin] Lượng đo thông tin của một tin được

đo bằng logarithm của độ bất định của tin hay nghịch đảo xác suất xuất hiện của tin đó

𝐼(𝑥) = 𝑙𝑜𝑔2 1

𝑝(𝑥)= − 𝑙𝑜𝑔2𝑝(𝑥)

Đơn vị của lượng tin tuỳ thuộc vào cách chọn cơ số của logarithm Nếu cơ số là 2 thì đơn vị là bit (cho các ký số nhị phân); nếu cơ số là e thì đơn vị là nats (cho đơn vị tự nhiên); nếu cơ số là 10 thì đơn vị là hartley

Định nghĩa 1.6 [Lượng tin trung bình] Lượng tin trung bình của

một nguồn tin 𝑋 là lượng tin trung bình chứa trong một ký hiệu bất kỳ của nguồn tin Nó thường được ký hiệu là 𝐼(𝑋) và được tính bằng công thức sau:

𝐼(𝑋) = ∑ 𝑝(𝑥)𝐼(𝑥)

𝑥∈𝑋

= − ∑ 𝑝(𝑥) 𝑙𝑜𝑔2𝑝(𝑥)𝑥∈𝑋

1.3 Entropy

1.3.1 Shannon entropy

Định nghĩa 1.7 [Shannon entropy [10]] Gọi 𝑝(𝑥) là xác suất của

biến X nhận được tại giá trị x, khi đó entropy ℋ(𝑋) của biến ngẫu nhiên X được định nghĩa như sau:

ℋ(𝑋) = ∑ 𝑝(𝑥) log2 1

𝑝(𝑥)𝑥∈𝑋

Entropy có đơn vị tính bằng bit, và xác định độ bất định của một biến ngẫu nhiên Về cơ bản, entropy chính là lượng bit thông tin trung bình dung để mô tả một biến ngẫu nhiên

Định nghĩa 1.8 [Entropy liên kết [10]] Entropy liên kết ℋ(𝑋, 𝑌)

của hai biến ngẫu nhiên rời rạc (𝑋, 𝑌) với xác suất hợp 𝑝(𝑥, 𝑦) được định nghĩa như sau:

ℋ(𝑋, 𝑌) = ∑ ∑ 𝑝(𝑥, 𝑦) log2𝑝(𝑥, 𝑦)

𝑦∈𝑌 𝑥∈𝑋

Định nghĩa 1.9 [Entropy có điều kiện [10]] Giả sử (𝑋, 𝑌) tuân theo

phân bố xác suất hợp 𝑝(𝑥, 𝑦), xác suất có điều kiện ℋ(𝑌|𝑋) =

∑ 𝑝(𝑥)ℋ(𝑌|𝑋 = 𝑥)𝑥 được xác định như sau:

ℋ(𝑌|𝑋) = ∑ 𝑝(𝑥)ℋ(𝑌|𝑋 = 𝑥)

𝑥∈𝑋

= − ∑ 𝑝(𝑥) ∑ 𝑝(𝑦|𝑥) log2𝑝(𝑦|𝑥)

𝑦∈𝑌 𝑥∈𝑋

= − ∑ ∑ 𝑝(𝑥, 𝑦) log2𝑝(𝑦|𝑥)

𝑦∈𝑌 𝑥∈𝑋

Định nghĩa 1.10 [Lượng tin tương hỗ] Gọi 𝑝(𝑥, 𝑦) là phân bố xác

suất hợp của 𝑥 ∈ 𝑋 và 𝑦 ∈ 𝑌, khi đó lượng tin tương hỗ giữa X và Y, ℐ(𝑋; 𝑌), được cho bởi công thức sau:

ℐ(𝑋; 𝑌) = ∑ ∑ 𝑝(𝑥, 𝑦) log2 𝑝(𝑥, 𝑦)

𝑝(𝑥)𝑝(𝑦)𝑦∈𝑌

𝑥∈𝑋

= ℋ(𝑋) − ℋ(𝑋|𝑌) = ℋ(𝑌) − ℋ(𝑌|𝑋)

1.3.2 Min-entropy

Định nghĩa 1.11 [Min-entropy [5]] Gọi 𝑝(𝑥) là xác suất của biến

X nhận được tại giá trị x, khi đó min-entropy ℋ𝑅é𝑛𝑦𝑖(𝑋) của biến ngẫu nhiên X được định nghĩa như sau:

ℋ𝑅é𝑛𝑦𝑖(𝑋) = 𝑙𝑜𝑔2 1

𝑚𝑎𝑥𝑥∈𝑋 𝑝(𝑥)= − 𝑙𝑜𝑔2𝑚𝑎𝑥𝑥∈𝑋 𝑝(𝑥)

Định nghĩa 1.12 [entropy có điều kiện theo Smith [5]]

Min-entropy có điều kiện của một biến ngẫu nhiên X với biến ngẫu nhiên

Y cho trước được xác định theo công thức sau:

ℋ𝑆𝑚𝑖𝑡ℎ(𝑋|𝑌) = − 𝑙𝑜𝑔2∑ 𝑝(𝑌 = 𝑦) ∙ 𝑚𝑎𝑥

𝑥∈𝑋 𝑝(𝑋 = 𝑥|𝑌 = 𝑦)𝑦∈𝑌

Định nghĩa 1.13 [entropy có điều kiện theo Cachin [7]]

Min-entropy có điều kiện của một biến ngẫu nhiên X với biến ngẫu nhiên

Y cho trước được xác định theo công thức sau:

ℋ𝐶𝑎𝑐ℎ𝑖𝑛(𝑋|𝑌) = − ∑ 𝑝(𝑌 = 𝑦) ∙ 𝑙𝑜𝑔2𝑚𝑎𝑥

𝑥∈𝑋 𝑝(𝑋 = 𝑥|𝑌 = 𝑦)𝑦∈𝑌

1.4 Kết luận chương 1

Hai lý thuyết cơ bản sử dụng trong phân tích định lượng luồng tin

đó là lý thuyết xác suất và lý thuyết thông tin của Shannon Các khái niệm liên quan đến xác suất, thông tin, entropy đã được trình bày Đây

là các khái niệm và công thức sẽ được sử dụng xuyên suốt trong toàn luận văn

CHƯƠNG 2 LƯỢNG TIN RÒ RỈ CỦA CHƯƠNG TRÌNH

2.1 Bảo mật luồng thông tin

Phương pháp phân tích bảo mật luồng thông tin về cơ bản có thể được chia làm hai phương pháp chính: Phân tích định tính luồng thông tin và phương pháp phân tích định lượng luồng thông tin

2.1.1 Phân tích định tính luồng thông tin

Một phương pháp phân tích luồng tin là phương pháp phân tích định tính luồng thông tin Phương pháp này xác định thông tin bí mật

có bị tiết lộ thông qua các thông tin công cộng hay không Nếu có, hệ thống này sẽ bị xem là không bảo mật

2.1.2 Phân tích định lượng luồng thông tin

Nếu như mục đích phân tích định tính nhằm xác định một hệ thống

có an toàn không bằng cách trả lời câu hỏi rằng hệ thống có bị rò rỉ thông tin hay không, thì phân tích định lượng, ngoài việc xác định luồng di chuyển của thông tin, còn cho phép xác định hay ước lượng lượng tin mà người tấn công có thể thu thập được khi hệ thống bị mất bảo mật Hay nói cách khác, phân tích định lượng cho phép xác định được có lượng thông tin đã bị tiết lộ ra bên ngoài trong trường hợp hệ thống rò rỉ thông tin Rõ ràng, phương pháp phân tích định lượng hiệu quả hơn ở khía cạnh bảo mật thông tin Phương pháp phân tích luồng thông tin có yêu cầu xác định có bao nhiêu lượng thông tin bị tiết lộ

được gọi là phương pháp định lượng luồng thông tin (Quantitative

Information Flow)

2.2 Lượng tin rò rỉ

Giả sử chương trình P được mô hình như một ma trận kênh với S đầu vào và O đầu ra Lượng tin rò rỉ của P được định nghĩa bằng hiệu giữa độ bất định mà người tấn công biết về S trước khi thực thi chương trình và độ bất định sau khi quan sát O Gọi ℋ(𝑆) là độ bất định ban đầu, và ℋ(𝑆|𝑂) là độ bất định sau khi chương trình đã được thực thi

và các đầu ra đã được quan sát Lúc này, lượng tin rò rỉ của chương trình được cho bởi,

ℒ(𝐶) = ℋ(𝑆) − ℋ(𝑆|𝑂)

Trong đó ℒ(𝐶) là lượng tin rò rỉ của P ℋ sẽ được tính hoặc theo định nghĩa của Shannon hoặc định nghĩa của min-entropy Lượng tin

rò rỉ có đơn vị tính bằng bit

2.2.1 Lượng tin rò rỉ theo Shannon entropy

2.2.2 Lượng tin rò rỉ theo min-entropy

2.3 Kết luận chương 2

Để tiến hành phân tích định lượng luồng thông tin, ta sử dụng một tham số được gọi là lượng tin rò rỉ Đây là một đại lượng để đo lượng tin của biến bí mật bị thu được nhờ vào việc quan sát biến công cộng

Có hai phương pháp sử dụng để tính toán lượng tin này, bằng cách sử dụng Shannon entropy và min-entropy Như một số ví dụ đã nêu ở trên, việc áp dụng công thức nào tuỳ thuộc vào từng trường hợp phân tích

và chương trình cụ thể, và không thể chỉ ra một cách khái quát hoá được

CHƯƠNG 3 LƯỢNG TIN RÒ RỈ CỦA CHƯƠNG TRÌNH

ĐA LUỒNG

3.1 Bảo mật luồng thông tin trong chương trình đa luồng

3.1.1 Chương trình đa luồng

Có rất nhiều các hệ thống yêu cầu tính bảo mật cao hoạt động dựa trên cơ sở của đa luồng tin (multi-threading) Khái niệm đa luồng tin

sử dụng để chỉ ra trong các hệ thống này có nhiều tiến trình hoạt động song song đồng thời với nhau Một số ví dụ về các hệ thống này đó là dịch vụ hướng web (web-based services), cơ sở dữ liệu và hệ điều hành Cùng với sự phổ biến của các bộ vi xử lý đa nhân, hay các hệ thống song song như bộ xử lý đồ hoạ, đa luồng đang dần trở thành một tiêu chuẩn trong xử lý thông tin Tuy nhiên, để đảm bảo được vấn đề bảo mật trong chương trình đa luồng là một thách thức thực sự, do dữ liệu trong các chương trình này thường khó dự đoán được trong quá trình thực thi chương trình, và do đó rất khó để dự đoán được người tấn công đã quan sát được gì

3.1.2 Tính bảo mật của chương trình đa luồng

Như đã trình bày ở trên, tính chất không can nhiễu

(non-interference) là một tính chất bảo mật cơ bản thường được sử dụng

trong các chương trình tuần tự Tính chất không can nhiễu sẽ chỉ ra rằng chương trình được xem là bảo mật khi một tập các giá trị cuối cùng có thể có của các biến công cộng là độc lập với tập các giá trị ban