《安全需求与安全策略课件.ppt》由会员分享,可在线阅读,更多相关《安全需求与安全策略课件.ppt(75页珍藏版)》请在三一办公上搜索。
1、安全需求与安全策略,在项目启动阶段进行安全设计,而不是在实现或维护阶段后来加上的服务包和补丁会带来新的漏洞容易陷入补丁、修复、再补丁的恶性循环启动阶段目标:定义系统的需求确定系统的用户起草一份针对系统的安全策略这是这一阶段必不可少的部分,是构建一个可信系统的基础安全需求安全策略,内容提要,安全需求安全策略安全策略的分类访问控制策略访问支持策略DTE策略,1 安全需求1.1 安全需求的定义,所谓安全需求,就是在设计一个安全系统时期望得到的安全保障。不同的用户、不同的行业、不同的地点以及不同的社会制度有不同的安全需求个人隐私、商业机密、军事安全、防假冒、防篡改、可审计等,举例:电子交易中的安全需求
2、,目的:保证电子交易的安全安全需求保证交易双方身份的确定性需求电子交易的双方,可能素昧平生、相隔千里要能确认对方的身份客户端是否是一个骗子?商店是否黑店?因此,电子交易的前提是能方便而可靠地确认对方身份信息的完整性需求输入时可能会发生意外差错,或者故意欺诈传输时可能会发生信息丢失、重复或者发生次序差异因此,电子交易的基础是保持交易双方的信息完整性,信息的不可伪造性需求电子交易中,交易双方的文件必须是不可伪造的,否则将损害某一方的利益这也是不可抵赖性的前提信息的不可抵赖性需求交易一旦达成,是不能被抵赖的,否则也将损害某一方的利益交易过程中,各个环节都必须是不可抵赖的,一般化的安全需求,机密性需求
3、,防止信息被泄漏给未授权的用户自主安全策略、强制安全策略;需知原则完整性需求,防止未授权用户对信息的修改维护系统资源在一个有效的、预期的状态,防止资源被不正确、不适当的修改;维护系统不同部分的一致性;防止在涉及记账或审计的事件中“舞弊”行为的发生。可记账性需求,防止用户对访问过某信息或执行过某一操作以否认可用性需求,保证授权用户对系统信息的可访问性“授权用户的任何正确的输入,系统会有相应的正确的输出”,3.2 安全策略,安全策略:针对面临的威胁决定采用何种对策的方法安全策略为针对威胁而选择和实行对策提供了框架,安全,不安全,3.1.1 定义“安全系统”定义,在计算机安全领域内,一个系统是“安全
4、系统”是指该系统达到了当初设计时所制定的安全策略的要求。在有限状态自动机下,安全策略:是“这样一种状态,它将系统状态分为已授权/安全状态和未授权/非安全的状态”一个“安全系统”:是“一个如果起始状态为授权状态,其后也不会进入未授权状态的系统”,策略语言,策略语言:用来表达安全性或完整性策略的语言策略与实现无关,它描述对系统中实体或行为的约束高级策略语言使用抽象的方法表达对于实体的约束精确低级策略语言根据输入或者调用选项来表达对系统中的程序约束,高级策略语言,设:系统连接到Internet上。Web浏览器从远程站点下载程序并在本地执行。Pandey和Hashii:针对Java程序的策略约束语言(
5、Policy constraint language)实体:类或方法类:一些被实施特定的访问约束的对象的集合方法:调用一个操作的方法的集合实例化:主体s创建了某个类c的一个实例,“s -| c”调用:主体s1执行了另一个主体s2,“s1 | s2”,访问约束deny(s op x) when bop为“-|”或“| ”;x为另一个主体或类 条件b为真时,主体s不能对x执行操作op省略x,表示禁止s对所有实体进行操作,继承:用来将各个访问约束关联起来。例:deny(s -| c1.f) when b1deny(s -| c2.f) when b2若c1是c2的子类,则正确的约束为:deny(s
6、-| c1.f) when b1b2,例,策略规定下载的程序不能访问Unix的password文件。程序中访问本地文件的类和方法如下:class File public file(String name); public String getfilename(); public char read(); 则约束规则如下:deny(|file.read) when (file.getfilename()=“/etc/passwd”),例:类Socket定义为网络套接字,方法Network.numconns定义为当前活动的网络连接数下面的访问约束禁止在达到100个连接数后再建立任何新的连接deny
7、(|Socket) when (Network.numconns =100)这种策略语言忽略了策略的具体实现,因此是高级策略语言,DTEL语言,Domain Type Enforcement LanguageBoebert和Kain将类型限制为两种:数据和指令根据语言的类型,在实现一级上进行构造来表达约束成为防火墙系统以及其他安全系统的组成要素该语言将低级语言和高级语言的元素结合起来,抽象地对配置加以描述,因此也属于高级策略语言,DTEL将每个客体与一个type关联,而每个主体与一个domain相关连限制domain成员对某type的客体所能执行的操作DTEL将Unix系统分为4个相互隔离的主
8、体域user_d:普通用户域admin_d:管理员用户域login_d:兼容DTE认证过程的域daemon_d:系统后台守护进程的域,系统从daemon_d域开始运行(init进程)当用户试图登录系统,init进程就创建一个login_d域的login进程login进程控制user_d和admin_dDTE提出了如下5个客体型sysbin_t:可执行文件readable_t:可读文件writeable_t:可写文件dte_t:DTE数据generic_t:由用户进程产生的数据,当init进程开始时,首先在daemon_d域中启动对writeable_t中的任何客体,能创建c、读取r、写入w和搜
9、索d对sysbin_t中的任何客体,能够读取r、搜索d和执行x对generic_t,readable_t,dte_t中的任何客体,能够读取和搜索当init进程调用登录程序时,登录程序自动转换到login_d域中表示为:domain daemon_d = (/sbin/init), (crwd-writable_t), (rxd- sysbin_t), (rd-generic_t, dte_t, readable_t), (auto-login_d);,与写权限分离,若一个daemon_d的主体被攻破?,另外:domain admin_d = (/usr/bin/sh, /usr/bin/csh
10、, /usr/bin/ksh), (crwxd-generic_t), (crwxd-readable_t, writable_t, dte_t, sysbin_t), (sigtstp-daemon_d);还有domain user_d = (/usr/bin/sh, /usr/bin/csh, /usr/bin/ksh), (crwxd-generic_t), (rxd-sysbin_t), (crwd-writable_t), (rd-readable_t, dte_t);,若用户进程试图改变系统二进制文件?,注意:用户进程不能跳出用户域。,以及domain login_d = (/us
11、r/bin/login), (crwd-writable_t), (rd-readable_t, generic_t, dte_t), setauth, (exec-user_d, admin_d);,起初,系统始于daemon_d域initial_domain = daemon_d;用一系列的assign语句来设置客体的初始型,如assign r generic_t /;assign r writable_t /usr/var, /dev, /tmp;assign r readable_t /etc;assign r -s dte_t /dte;assign r -s sysbin_t /s
12、bin, /bin, /usr/bin, /usr/sbin,-r,表示该型被递归的应用-s,表示该型与名称绑定。(删除后重建,同名同型),有序,添加对用户更改系统日志的限制,为日志文件定义一个新的型log_t,只有daemon_d的主体和新加的log_d的主体才能更改系统日志domain daemon_d = (/sbin/init), (crwd-writable_t), (rxd-readable_t), (rd-generic_t, dte_t, sysbin_t), (auto-login_d, log_d);domain log_d = (/usr/sbin/syslogd), (
13、crwd-log_t), (rwd-writable_t), (rd-generic_t, readable_t);assign -r log_t /usr/var/log;assign writable_t /usr/var/log/wtmp, /usr/var/log/utmp;,syslogd是否能访问系统的可执行文件?,若用户试图操作日志客体?,低级策略语言,低级策略语言只是一系列命令的输入或参数设置,用来设置或检查系统中的约束例如:基于UNIX的窗口系统X11为控制台访问提供一种语言。该语言由一条命令xhost和指导此命令的语法组成,可以根据主机名(IP地址)控制访问。以下命令 xh
14、ost +groucho chico对系统进行设定,允许主机groucho连接控制台,但禁止来自主机chico的连接,又如:文件系统的扫描程序采用规定的策略检查文件系统的一致性。该策略由按需要设定的数据库构成。每个扫描程序使用自己的小型语言来描述需要的设定。扫描程序tripwire假设了一种一致性策略。它记录初始状态。在以后运行时,将报告设置发生改变的文件。策略由两个文件:tw.config和database组成。前者包括待检查属性的描述;后者为上次运行时属性的值。数据库可读,但难以编辑。,安全策略的分类,基于应用场合的分类军事安全策略/政府安全策略以提供信息机密性为主要目的也涉及完整性、可记
15、账性以及可用性商业安全策略以提供完整性为主要目的面向事务也要涉及机密性、可记账性以及可用性,Lipner指出了商业安全策略中需注意的五个方面用户不能写自己的程序程序员可以在非产品的系统中开发和测试程序必须要有一个特殊处理上述特殊处理必须被控制和审计管理员和审计员能访问系统状态和系统日志体现了职责分离、功能分离、审计三个原则,基于安全策略内涵的分类,内涵如下:信息的机密性、完整性、可用性谁可以以何种方式去访问什么样的信息根据什么来制定访问策略:用户ID或其他最大化共享 or 最小特权任务分离?集中管理 or 分散管理等等,访问控制策略:针对前两个方面分类反映系统的机密性和完整性要求确立相应的访问
16、规则以控制对系统资源的访问访问支持策略:针对后两个方面分类反映系统的可记账性要求和可用性要求支持访问控制策略,3.3 访问控制策略,访问控制属性主体:系统内行为的发起者。通常是用户发起的进程普通用户:一个获得授权可以访问系统资源的自然人。授权包括:对信息的读/写/删除/追加/执行以及授予/撤销另外一个用户对信息的访问权限等等。信息的拥有者:该用户拥有对此信息的完全处理权限(如上),除非,该信息被系统另外加以访问控制。系统管理员:为使系统能正常云展,而对系统的运行进行管理的用户,客体:系统内所有主体行为的直接承担者。一般客体:在系统内以客观、具体的形式存在的信息实体,如文件、目录等设备客体:指系
17、统内的设备,如软盘、打印机等特殊客体:某些主体,系统必须选择下列三类相关属性进行访问控制策略。主体属性客体属性系统环境(上下文)具体而言,涉及如下五个主要方面:,1)用户特征,即主体属性。,这是系统用来决定访问控制的最常用的因素。一个用户的任何属性均可作为访问控制的决策点,如年龄、性别、居住地、出生日期等。常用的有:用户ID/组ID;例如用于Unix按位的访问控制、常规自主访问控制用户访问许可级别;例如用于强制访问控制。“需知”原则;角色;权能表,2)客体特征,即客体属性,也是访问控制策略的很重要的一部分。一般涉及如下几个方面:敏感性标签;(用于强制访问控制)TCSEC中将信息的安全等级分为:
18、 Unclassified(无等级信息) Confidential(机密信息) Secret(秘密信息) Top secret(绝密信息)还模拟人力资源系统的分类,形成如下范畴: 如参谋部;作战部;后勤部。因此,一个敏感性标签由2部分组成: 信息的敏感性级别和范畴,访问控制表 (用于自主访问控制)表示系统中哪些用户可以对此信息进行何种访问。由信息的拥有者加以管理。,3)外部状态,某些策略是基于系统主客体属性之外的某些状态来制定的,例如地点,时间,状态另外,前述大多属性为静态信息,也有些访问策略可能是基于动态信息的地点:例如来自总经理办公室的人员才能被允许看某些文件时间:对系统内信息的访问可能会
19、随着时间的变化而变化。例如,某报社内第二天将要出版的新闻稿:在第二天早上9点前后的敏感性就不一样状态:例如问一个人问题,他高兴与否,结果可能不一样,4)数据内容/上下文属性某些可能基于数据的值。例如Sunny可能不被允许看到月薪超过15K¥的员工的文件。某些可能基于上下文。这种访问机制具有较大的动态性,适用于数据库之类的应用5)其他属性,自主访问控制策略,“自主”:允许系统中信息的拥有者按照自己的意愿去指定谁可以以何种访问模式去访问该客体。自主访问控制策略通常基于系统内用户(如用户ID),加上对用户的访问授权(如权能表),或者客体的访问属性(如访问控制表ACL)来决定该用户是否有某权限访问该客
20、体或者基于要访问信息的内容或者基于用户当时所处的角色等等,自主访问控制机制:通常在系统中实现。典型方式是标明计算机系统内的用户和由此用户发起的进程对系统内给定信息的访问许可。例如:基于位掩码的保护方式,Unix基于访问控制表ACL的保护方式基于文件密码的保护方式,对于访问申请,“引用监视器”根据系统自主访问控制策略来检查主体、客体及其相应的属性,或被用来实现自主访问控制的其他属性访问属性 VS 授权:允许 or 不允许,自主访问控制的优点:访问模式设定灵活。读;写;执行;“每隔一周的周五可以读”;“读完文件x后才能读此文件”等等具有较好的适应性,常用与商用OS和应用中缺点:不能防范木马和某些形
21、式的恶意代码。思考:一个用户的经典程序中隐藏了木马,将会如何?,自主访问控制,往往需要和强制访问控制结合起来,强制访问控制策略,经典场景:军事机密及其管理。无密级;保密;机密;绝密。强制访问控制,基于上述原型而来。主体/客体:贴上标签引用监视器:比较标签,决定是否许可效果:保证完整性和机密性,强制访问控制的访问模式比较简单:读 写在不同的需求下,访问控制策略的形式可能不同例如,在机密性要求下:低读;高写;而在完整性要求下:高读,最显著的特征:全局性和永久性无论何时何地,主体和客体的标签是不会改变的。全局性:对特定的信息,从任何地方访问,它的敏感级别相同永久性:对特定的信息,在任何时间访问,它的
22、敏感级别相同上述特征在多级安全体系中称为“宁静性原则”(tranquility)一旦不满足该原则,则无法从根本上防备木马和恶意代码,偏序关系,对于一个具体的访问控制策略,若具有全局性和永久性,则其标签集合在数学上必会形成“偏序关系”(partial order)支配关系:“”满足偏序关系的两个元素x和y,只可能存在3种关系xy;或者yx;或者无关:即x和y不可比偏序关系的特征反自身性:x x反对称性:若x y 并且 y x,则xy传递性:若x y并且y z,则x z,为保持全局性和永久性,标签的选择不能随便。举例,设主/客体的访问标签:敏感 or 公开且,除周末外,系统内“公开”的主体可能访问
23、“公开”的客体。破坏了自反性;永久性。又如,允许“公开”的主体可以在周末访问“敏感”的客体。则“敏感”在周末前支配“公开”,而周末则反过来了。但由于“敏感”不等于“公开”,因此违反了反对称性,破坏了永久性。再如,引入“私有”标签。如果“私有”主体可以访问“敏感”客体,同时“敏感”主体可以访问“公开”客体,但若系统内存在某些“公开”客体,不能被“私有”主体访问,则违反了传递性,从而破坏了全局性。,因此,主客体访问标签不满足偏序关系的访问控制策略,不能称为强制访问控制策略,只能称之为自主访问控制策略。即,要么“强制”,要么“自主”,没有相交的部分两者最大的区别在于,是否能够防备木马和恶意程序的攻击
24、若一个系统内有2个或以上的强制访问控制策略,则每个都必须分别满足偏序关系。例如机密性标签;完整性标签。,3.4 访问支持策略,访问支持策略,为保障访问控制策略的正确实施提供可靠的“支持”将系统中的用户与访问控制策略中的主体关联起来,即身份的合法性认证在用户进入系统后,执行与其身份不相称的操作或非法访问了它无权访问的文件,应“记录在案”等等,TCSEC中,将访问支持策略分为6类Identification & authentication,标识与鉴别Accountability,可记账性Assurance,确切保证Continuous protection,连续保护Object reuse,客体
25、重用Covert channels,隐通道处理,标识与鉴别策略,要求以一个身份来标识用户,并且此身份必须经过系统的认证与鉴别。在用户执行任何由系统TCB提供的操作前由用户登录系统完成TCB将保留用户的认证信息,并以此来验证用户的身份身份认证信息用户所知道的:最常见的实现机制:口令用户所拥有的用户是谁,可记账性策略,任何影响系统安全性的行为都要被跟踪并记录下来TCB必须拥有将用户ID与它被跟踪、审计下来的行为联系起来的能力审计信息必须有选择性的保留下来,并受到适当的保护一个可信系统必须能够将系统内发生的所有与安全相关的事件记录在审计日志文件中,并且所有的审计数据必须防止受到未授权的侵入、修改或者
26、损坏,以作为日后对事件的调查的依据,TCSEC规定,审计系统应能够记录以下事件与标识与鉴别机制相关的事件将客体导入用户地址空间的操作,如文件的打开操作,程序的启动等对客体的删除由系统管理员和/或系统安全管理员所执行的操作以及其他与安全相关的事件事件的审计记录项,一般应至少包含事件发生的日期和时间用户ID事件的类型事件的成功/失败信息对不同的需求,审计记录项可能还有其他信息,确切保证,TCSEC中,确切保证是指系统事先制定的安全策略能够得到正确地执行并且系统保护相关的元素能够真正精确可靠的实施安全策略的意图。作为扩展,确切保证必须确保系统的TCB严格按照事先设计的方式来运行TCSEC规定了两种类
27、型的确切保证生命周期保证:涉及系统设计、开发和维护各个环节操作保证,生命周期保证,安全系统开发企业要从系统的设计、开发和分发、安装、维护各个环节所制定的措施、目标以及执行的步骤加以保证必须进行严格的测试和评估任何改变,都要重新评估包括:安全性测试设计规范验证在B2级以上,还包括配置管理在A级,还要求可信分发,操作保证,是指用来保证系统在操作过程中安全策略不会被歪曲的功能特征和系统架构TCSEC要求的操作保证包括系统架构系统的完整性B2以上,还包括隐通道分析,可信实施管理以及可信恢复,连续保护,TCSEC的连续保护策略要求可信机制的实施必须连续不断地保护系统免遭篡改和非授权的改变连续保护机制必须
28、在计算机系统整个生命周期内起作用,客体重用,TCSEC,C2及以上开始重新分配给某些主体的介质(例如内存的页框、磁盘的簇、磁带)包含有一个或多个客体,为达到安全的重新分配这些资源的目的,这些资源在重新分配给新的主体时,不能包含任何残留信息即防止在系统中的存储介质在被重新分配时,确保曾经在介质中存放过的信息不会泄露给新的主体包括加密形式存在的信息,隐通道,TCSEC关于隐通道的定义:可以被进程利用来以违反系统安全策略的方式进行非法传输信息的通信通道存储隐通道时间隐通道使用带宽来衡量低带宽的威胁小(100bps)但降低带宽,会影响合法用户的使用性能TCSEC从B2级开始要求分析隐通道,并估算其带宽
29、,从而决定如何处理容忍存在、消除或审计,3.5 DTE策略,DTE,Domain & type enforcementR. OBrien, C. Rogers, Developing applications on LOCK, 14th NIST-NCSC National Computer Security Conference, pp. 147-156, 1991. DTE是TE的一种扩展根据安全策略来限制进程的访问。,域:与每个进程相关联类型:与每个对象相关联。访问时,DTE Unix首先进行DTE检查,然后进行标准的Unix检查访问模式:读r;写w;执行x;目录查找d;类型创建c每个i
30、node包含3个指针:etype:一个目录或文件的型(always)rtype:目录下(递归)所有文件或子目录的型,包括这个目录utype:目录下(递归)所有文件或子目录的型,但不包括这个目录(always),以下规则决定文件的类型如果存在一条规则将etype赋给一个文件,则使用该规则;若不存在,但存在一条规则将rtype赋值给这个文件的etype,则使用该规则;若还不存在,则继承父目录的utype得到etype如果存在一条规则将utype赋给一个文件,则使用该规则;若不存在,但存在一条规则将rtype赋值给这个文件的utype,则使用该规则;若还不存在,则继承父目录的utype得到utype
31、如果存在一条规则将rtype赋给一个晚间,则使用该规则;若不存在,则rtype为空,域的转化,自动转化:每当执行execve系统调用时,必须检查被执行文件是否为当前域能自动访问的目标域的入口点,如果是就进行域转化自愿转化:若被执行的文件是当前域能exec访问的目标域的入口点,而进程有要求进行这个域转化,那么域转化发生空的域转化:域没有发生变化,DTE策略文件,由4个部分组成列举出所有的域和型给出所有域的详细定义对于每个域,说明它的名字、入口点文件、可允许的访问、可允许的域转化、可允许发送给其他域的进程的信号指定文件系统根及其的缺省类型,并指定一个初始域列出型分配规则DTE的语言:DTEL在引导
32、装入程序时,从文件/dte/dte.conf中读出DTE策略DTE的管理就是对这个文件进行编辑。系统必须重新引导,更改才能生效。,3.5.1 域的划分,DTE策略把所有的进程分为如下7个域守护进程域 daemon_d(/sbin/init):init进程;init进程创建的其他进程都在daemon_d域中(auto-login_d, trusted_d):直到某个进程调用login_d域的入口程序login,或者调用trusted_d域的入口程序fsck,syslogd等(rxd- sysbin_t):不能修改系统二进制文件没有wx组合:不能够生成一个随后可执行的程序(rd-base_t, c
33、onf_t)base_t缺省的赋给根(递归)conf_t赋给/etc及其下所有文件,可信域 trusted_d入口文件:/sbin/fsck, mount_mfs;/usr/sbin/syslogdtrusted_d不再转化到其他域能rwd型syslog_t和disk_tsyslog_t赋给系统审计日志文件/usr/var/log, /usr/var/run/syslog.pid, utmpdisk_t赋给磁盘设备特殊文件/dev/rsd0a, rsd0b, rsd0g, rsd0h, sd0a, sd0b, sd0g, sd0h只有trusted_d和admin_d才能写访问这两个类型只能(
34、rd-base_t, conf_t),注册域 login_d入口文件 /usr/bin/dtelogin在daemon_d、user_d、system_d、admin_d调用dtelogin的时候,都会自动转入login_d域中只有通过login_d域,才能按要求转入user_d、system_d、admin_d中,这是不可绕过的只有dtelogin能运行在login_t中,但不能调用其他任意二进制文件,除非是转入其他域的人口文件,rd-base_t, conf_t, secpolicy_t, syslog_t, secpolicy_log_t, ciper_t其中,secpolicy_t赋给
35、/dte及其下所有文件ciper_t赋给目录/etc下的master.passwd, spwd.db, pwd.db, passwd和其他与认证相关的文件可以写访问usr_log_t的文件,即/usr/var/log下的wtmp和lastlog其他域均不能访问usr_log_tDTE对login的扩展和增强:注册时,用户提出角色和域要求。认证后按要求进行域转换常规认证和角色认证库分别是conf_t和secpolicy_t,DTE策略严格控制这两个类型的文件,以免未授权的修改,用户域 user_d入口文件,各种shell程序,/bin/ash, bash, csh, sh, tcsh转入user
36、_d的方式:Login时,用户提出普通角色要求,并认证通过admin_d时,提出转化要求能转入network_appli_d和login_d能rd所有类型的文件能x类型sysbin_t, base_t, user_tuser_t: /home及其下的所有文件等等,系统操作用户域 system_d入口文件,各种shell程序5中管理员角色都进入这个域系统管理员安全管理员审计管理员网络管理员可以进入network_apli_d、login_d、daemon_d可以rd所有类型的文件系统操作用户域中的操作员,不能做一些重要的系统修改,但能使这些更改生效能发送信号sigtstp到daemon_d使系统
37、重启,管理域 admin_d入口文件,各种shell五种角色都可以进入这个域能进入network_apli_d、login_d、trusted_drwd所有类型的文件system_d能使上述更改生效能执行sysbin_t,网络应用域 network_appli_d入口文件,与网络应用有关的可执行文件,mosaic、netscape、ftp、telnet、http等可以从user_d、system_d、admin_d进入本域不能进入其他域限制修改重要文件创建的文件,为network_t/usr/home/ken/可以执行sysbin_t和network_t类型的文件只能写writeable_t和
38、network_t,型的划分,所有的文件和客体被分类到15种型base_t:基型sysbin_tconf_twritable_tuser_tsecpolicy_tsyslog_t,usr_log_tsyspolicy_log_tcipher_tnetwork_ttrusted_t:可信进程mem_t:内存设备特殊文件disk_t:磁盘设备特殊文件lp_t:打印设备文件,赋型规则,DTE策略共有21条赋型规则assign -r base_t /;assign -r secpolicy_t /dte;assign -r base_t /;,作业,操作系统的安全威胁有哪些?什么是自主访问控制;什么是强制访问控制?在信息系统内,和访问控制策略相关的因素有哪些?在系统中,主体通常表现为什么?客体有哪些?什么是访问控制策略;什么是访问支持策略?根据TCSEC,系统中可能存在那两类隐通道?什么是客体重用?,Thanks!,The end.,
