第六章多級數(shù)據(jù)庫安全管理系統(tǒng)詳解課件

第六章多級安全數(shù)據(jù)庫管理系統(tǒng)1本章概要

6.1安全數(shù)據(jù)庫標準6.2多級安全數(shù)據(jù)庫關鍵問題6.3多級安全數(shù)據(jù)庫設計準則6.4多級關系數(shù)據(jù)模型6.5多實例6.6隱蔽通道分析26.1安全數(shù)據(jù)庫標準

6.1.1可信計算機系統(tǒng)評測標準

為降低進而消除對系統(tǒng)的安全攻擊，各國引用或制定了一系列安全標準TCSEC(桔皮書)TDI(紫皮書)31985年美國國防部（DoD）正式頒布《DoD可信計算機系統(tǒng)評估標準》簡稱TCSEC或DoD85，TCSEC又稱桔皮書TCSEC標準的目的提供一種標準，使用戶可以對其計算機系統(tǒng)內(nèi)敏感信息安全操作的可信程度做評估。給計算機行業(yè)的制造商提供一種可循的指導規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應用的安全需求。4

TCB可信計算基：是TrustedComputingBase的簡稱，指的是計算機內(nèi)保護裝置的總體，包括硬件、固件、軟件和負責執(zhí)行安全策略管理員的組合體。它建立了一個基本的保護環(huán)境并提供一個可信計算機系統(tǒng)所要求的附加用戶服務。51991年4月美國NCSC（國家計算機安全中心）頒布了《可信計算機系統(tǒng)評估標準關于可信數(shù)據(jù)庫系統(tǒng)的解釋》簡稱TDI，又稱紫皮書它將TCSEC擴展到數(shù)據(jù)庫管理系統(tǒng)定義了數(shù)據(jù)庫管理系統(tǒng)的設計與實現(xiàn)中需滿足和用以進行安全性級別評估的標準6TDI/TCSEC標準的基本內(nèi)容TDI與TCSEC一樣，從四個方面來描述安全性級別劃分的指標安全策略責任保證文檔7TCSEC/TDI安全級別劃分安全級別定義A1驗證設計（VerifiedDesign）B3安全域（SecurityDomains）

B2結(jié)構(gòu)化保護（StructuralProtection）

B1標記安全保護（LabeledSecurityProtection）

C2受控的存取保護（ControlledAccessProtection）

C1自主安全保護（DiscretionarySecurityProtection）

D最小保護（MinimalProtection）四組七個等級按系統(tǒng)可靠或可信程度逐漸增高各安全級別之間具有一種偏序向下兼容的關系，即較高安全性級別提供的安全保護要包含較低級別的所有保護要求，同時提供更多或更完善的保護能力。8等級說明：D，C1D級（最小保護級）將一切不符合更高標準的系統(tǒng)均歸于D組典型例子：DOS是安全標準為D的操作系統(tǒng)DOS在安全性方面幾乎沒有什么專門的機制來保障無身份認證與訪問控制。C1級（自主安全保護級）非常初級的自主安全保護能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的分離，進行自主存取控制（DAC），保護或限制用戶權限的傳播。早期的UNIX系統(tǒng)屬于這一類。這類系統(tǒng)適合于多個協(xié)作用戶在同一個安全級上處理數(shù)據(jù)的工作環(huán)境。9等級說明：C2C2級（受控的存取保護級）

C2級達到企業(yè)級安全要求?？勺鳛樽畹蛙娪冒踩墑e提供受控的自主存取保護，將C1級的DAC進一步細化，以個人身份注冊負責，并實施審計（審計粒度要能夠跟蹤每個主體對每個客體的每一次訪問。對審計記錄應該提供保護，防止非法修改。）和資源隔離，客體重用，記錄安全性事件達到C2級的產(chǎn)品在其名稱中往往不突出“安全”(Security)這一特色典型例子

操作系統(tǒng)：Microsoft的WindowsNT3.5，數(shù)字設備公司的OpenVMSVAX6.0和6.1，linux系統(tǒng)的某些執(zhí)行方法符合C2級別。數(shù)據(jù)庫：Oracle公司的Oracle7，Sybase公司的SQLServer11.0.610等級說明：B1B1級（標簽安全保護級）標記安全保護?！鞍踩?Security)或“可信的”(Trusted)產(chǎn)品。對系統(tǒng)的數(shù)據(jù)加以標記，對標記的主體和客體實施強制存取控制（MAC）、對安全策略進行非形式化描述，加強了隱通道分析，審計等安全機制典型例子

操作系統(tǒng)：數(shù)字設備公司的SEVMSVAXVersion6.0，惠普公司的HP-UXBLSrelease9.0.9+數(shù)據(jù)庫：Oracle公司的TrustedOracle7，Sybase公司的SecureSQLServerversion11.0.6，Informix公司的IncorporatedINFORMIX-OnLine/Secure5.011等級說明：B2B2級（結(jié)構(gòu)化保護級）建立形式化的安全策略模型并對系統(tǒng)內(nèi)的所有主體和客體實施DAC和MAC，從主體到客體擴大到I/O設備等所有資源。要求開發(fā)者對隱蔽信道進行徹底地搜索。TCB劃分保護與非保護部分，存放于固定區(qū)內(nèi)。經(jīng)過認證的B2級以上的安全系統(tǒng)非常稀少典型例子

操作系統(tǒng)：只有TrustedInformationSystems公司的TrustedXENIX一種產(chǎn)品標準的網(wǎng)絡產(chǎn)品：只有CryptekSecureCommunications公司的LLCVSLAN一種產(chǎn)品數(shù)據(jù)庫：沒有符合B2標準的產(chǎn)品12等級說明：B3，A1B3級（安全區(qū)域保護級）該級的TCB必須滿足訪問監(jiān)控器的要求，安全內(nèi)核，審計跟蹤能力更強，并提供系統(tǒng)恢復過程。即使計算機崩潰,也不會泄露系統(tǒng)信息。A1級（驗證設計級）驗證設計，即提供B3級保護的同時給出系統(tǒng)的形式化設計說明和驗證以確信各安全保護真正實現(xiàn)。這個級別要求嚴格的數(shù)學證明。13說明B2以上的系統(tǒng)還處于理論研究階段應用多限于一些特殊的部門如軍隊等美國正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領域應用的B2安全級別下放到商業(yè)應用中來，并逐步成為新的商業(yè)標準。14我國的信息系統(tǒng)安全評估工作是隨著對信息安全問題的認識的逐步深化不斷發(fā)展的。早期的信息安全工作中心是信息保密，通過保密檢查來發(fā)現(xiàn)問題，改進提高。80年代后，隨著計算機的推廣應用，隨即提出了計算機安全的問題，開展了計算機安全檢查工作。6.1.2我國信息安全評估標準15我國信息安全評測標準我國國家質(zhì)量技術監(jiān)督局于1999年10月頒布了“計算機信息系統(tǒng)安全保護等級劃分準則”，編號為GB17859-1999在2001年，發(fā)表了國家標準GB/T18336-2001《信息安全技術數(shù)據(jù)庫管理系統(tǒng)安全技術要求》正在報批。16GB17859-1999將信息系統(tǒng)劃分為五個安全等級：用戶自主保護級系統(tǒng)審計保護級安全標簽保護級結(jié)構(gòu)化保護級訪問驗證保護級基本上與TCSEC的C1、C2、B1、B2、B3級相對應。176.2多級安全數(shù)據(jù)庫關鍵問題多級安全數(shù)據(jù)庫關鍵問題包括：多級安全數(shù)據(jù)庫體系結(jié)構(gòu)多級安全數(shù)據(jù)模型多實例元數(shù)據(jù)管理并發(fā)事務處理推理分析和隱蔽通道分析186.3多級安全數(shù)據(jù)庫設計準則多級安全數(shù)據(jù)庫設計準則如下：提供多級密級粒度確保一致性和完整性實施推理控制防止敏感聚合進行隱蔽通道分析支持多實例執(zhí)行并發(fā)控制196.4多級關系數(shù)據(jù)模型6.4.1安全的特征傳統(tǒng)關系模型兩個重要的完整性：實體完整性、引用完整性（參照完整性）。多級關系數(shù)據(jù)模型三要素：多級關系、多級關系完整性約束及多級關系操作。多級安全模型需作的改進：多級安全模型：在傳統(tǒng)關系模型基礎上各種邏輯數(shù)據(jù)對象強制賦予安全屬性標簽。修改傳統(tǒng)關系模型中關系的完整性及關系上的操作。20安全標簽粒度：是標識安全等級的最小邏輯對象單位。安全標簽粒度級別：關系級、元組級及屬性級。安全粒度控制按照不同的安全需求和實體類型，決定安全控制的程度。例如，對數(shù)據(jù)的存取，可以是關系級、元組級及屬性級。粒度越細，控制越靈活，但所對應的操作越困難和復雜。21一、多級關系傳統(tǒng)的關系模式：R(A1,A2,……,An)多級關系模式：R(A1,C1,A2,C2,……,An,Cn,TC)元組的安全級別:TC元組表示：t(a1,c1,a2,c2,……,an,cn,tc)元組t的安全標簽：t[tc].屬性ai的安全標簽：t[ci].[例]Weapon多級關系表示。6.4.2多級關系22wnameC1RangeC2QuantityC3TCGun1U1U5000UUGun2U2U1000SSMissile1S100S300TSTSMissile2TS150TS50TSTS表1原始Weapon多級關系wnameC1RangeC2QuantityC3TCGun1U1U5000UUGun2U2UnullUU表2WeaponU級實例23wnameC1RangeC2QuantityC3TCGun1U1U5000UUGun2U2U1000SSMissile1S100S300TSTSMissile2TS150TS50TSTS表1原始Weapon多級關系表3原始WeaponS級實例wnameC1RangeC2QuantityC3TCGun1U1U5000UUGun2U2U1000SSMissile1S100SnullSS24wnameC1RangeC2QuantityC3TCGun1U1U5000UUGun2U2U1000SSMissile1S100S300TSTSMissile2TS150TS50TSTS表4WeaponTS級實例25多級關系完整性：實體完整性空值完整性多級外碼完整性與參照完整性實例間完整性多實例完整性6.4.3多級關系完整性26一、實體完整性設AK是定義在關系模式R上的外觀主碼，一個多級關系滿足實體完整性，當且僅當對R的所有實例Rc與t∈Rc,有：Ai∈AK=>t[Ai]≠null//主碼屬性不能為空Ai,Aj∈AK=>t[Ci]＝t[Cj]//主鍵各屬性安全等級一致，保證在任何級別上主鍵都是完整的。AiAK=>t[Ci]>=t[CAK]//非碼屬性安全等級支配鍵值，保證關系可見的任何級別上，主鍵不可能為空?！?7二、空值完整性在多級關系中，空值有兩種解釋:一種確實為空。另一種是實例的等級低于屬性的等級使此屬性不可見，從而顯示為空?？罩低暾允褂昧藲w類關系，歸類關系如下：如果兩元組t和s，如果屬性Ai滿足下列條件之一，元組t包含元組s。對于兩元組t和s,如果任何一個屬性t[Ai,Ci]＝s[Ai,Ci];t[Ai]≠null且s[Ai]＝null，則稱元組t包含元組s。28一個多級關系R滿足空值完整性，當且僅當對R的每個實例Rc均滿足下列兩個條件：空值的安全級別與主鍵相同。即對于所有的t∈Rc,t[Ai]＝null=>t[ci]＝t[CAK]Rc不含有兩個有包含關系的不同元組。29

[例1]多級關系違反了空值完整性wnameC1RangeC2QuantityC3TCGun2U2UnullUUGun2U2U3000SS

多級關系違反了空值完整性30三、多級外碼完整性與參照完整性多級外碼完整性：

假設FK是參照關系R的外碼，多級關系R的一個實例Rc滿足外碼完整性，當且僅當對所有的t∈Rc滿足：或者（所有Ai∈FK）t[Ai]=null，或者（所有Ai∈FK）t[Ai]≠null

//外碼屬性全空或全非空Ai,Aj∈FK=>t[Ci]＝t[Cj]。

//外碼的每個屬性具有相同的安全級別31多級參照完整性：假設FK1是具有外觀主碼AK1參照關系R1的外碼，R2具有外觀主碼AK2的被參照關系，多級關系R1的一個實例r1和多級關系R2的一個實例r2滿足參照完整性，當且僅當

所有t11∈r1,t11[FK1]≠null,

E

t21∈r2,t11[FK1]=t21[AK2]Λt11[TC]=t21[TC]Λt11[CFK1]≥t21[CAK2]。外鍵的訪問等級必須支配引用元組中主鍵的訪問等級。32四、實例間完整性多級關系Rc滿足實例間完整性，當且僅當對所有c‘≤c，Rc′=σ(Rc，c′)，其中過濾函數(shù)σ按以下方法從Rc產(chǎn)生安全等級為c′的實例Rc′：所有t∈Rc,t[CAK]≤c′,t′∈Rc′，滿足t′[AK,CAK]=t[AK,CAK].//主碼保留所有AiAK有t′[Ai,Ci]=t[Ai,Ci]ift[Ci]≤c′t′[Ai,Ci]=<null,t[CAK]>otherwiseE

∈消除Rc’的歸類元組33衛(wèi)星名C1任務C2目標C3TC探索者U科技探測SA火山US表1.多級關系“衛(wèi)星”S級實例實例間完整性舉例：例1衛(wèi)星名C1任務C2目標C3TC探索者UNULLUA火山UU表2.多級關系“衛(wèi)星”過濾后U級實例34衛(wèi)星名C1任務C2目標C3TC探索者UNULLUA火山UU探索者U科技探測SA火山US表4.多級關系“衛(wèi)星”S級實例衛(wèi)星名C1任務C2目標C3TC探索者U科技探測SA火山US表5.多級關系“衛(wèi)星”過濾后S級實例實例間完整性舉例：例2衛(wèi)星名C1任務C2目標C3TC探索者UNULLUA火山UU表3.多級關系“衛(wèi)星”U級實例35五、多實例完整性假設多級關系R的外觀主碼集合為AK，主碼等級為CAK。多實例完整性要求由AK、CAK以及第i個屬性的等級Ci便可確定第i個屬性值Ai。一個多級關系滿足多實例完整性，當且僅當每個Rc中的每個屬性Ai,滿足AK,CAK,Ci→Ai即Ai函數(shù)依賴于AK,CAK,Ci。同一級別的元組之間不存在多實例。

36多級關系Weapon(滿足多實例完整性)

wnameC1RangeC2QuantityC3TCGun2U2U2000SSGun2U2S3000SS

多級關系Weapon(不滿足多實例完整性)（元組級別相同主鍵重復）wnameC1RangeC2QuantityC3TCGun1U1U5000UUGun2U2S2000SSGun2U2U3000UU376.4.4多級關系操作一、插入操作形式：INSERTINTORc(Ai[,Aj]…)VALUES(ai[,aj]…)當插入元組t（新插入）與主鍵值相同的元組t′時：1）若t[TC]＝tˊ[TC],拒絕t的插入。//滿足多實例完整性約束2）若t[TC]<tˊ[TC],允許t的插入，以防止隱通道。3）若t[TC]>tˊ

[TC],允許或拒絕t的插入均可以。//多級關系操作盡量減少額外元組38[例1]S級別主體插入操作

1）主碼值不同，正常插入INSERTINTOWeaponVALUES“Cannonl,10,200”插入后Weapon多級關系的S級插入wnameC1RangeC2QuantityC3TCGun1U1U5000UUGun2U2U1000SSMissile1S100SnullSSCannonlS10S200SS392）主碼值、級別相同，系統(tǒng)不允許插入。INSERTINTOWeaponVALUES“Cannonl,10,200”//S級插入Weapon多級關系的S級插入wnameC1RangeC2QuantityC3TCGun1U1U5000UUGun2U2U1000SSMissile1S100SnullSSCannonlS10S200SS403）主碼值相同，但插入元組級別低，允許插入，防止隱通道，產(chǎn)生多實例。

INSERTINTOWeaponVALUES“Missile2,250,30”//

S級插入插入前Weapon多級關系的S級插入wnameC1RangeC2QuantityC3TCGun1U1U5000UUGun2U2U1000SSMissile1S100SnullSSMissile2TS100TSnullTSTS41插入后產(chǎn)生多實例Weapon多級關系的S級插入wnameC1RangeC2QuantityC3TCGun1U1U5000UUGun2U2U1000SSMissile1S100S300SSMissile2TS150TS50TSTSMissile2S250S30SS42二、更新操作形式：UPDATERcSETAi＝Si[,Aj＝Sj]…[WHEREp]p是謂詞條件針對關系間完整性的約束，更新操作對不同等級的關系實例的影響有以下三點：對同等級關系實例的影響與傳統(tǒng)的UPDADE語句一樣。對更低等級關系實例無影響。對更高等級用戶，為避免隱蔽通道可能引入多實例。43[例1]密級為U的用戶要求對Weapon關系的U級實例作更新操作。//直接修改UPDATEWeaponSETQuantity=3000WHEREWname=“Gun1”//U級用戶Weapon關系的U級實例wnameC1RangeC2QuantityC3TCGun1U1UnullUU44Weapon關系的U級實例wnameC1RangeC2QuantityC3TCGun1U1UnullUU更新前Weapon關系的U級實例wnameC1RangeC2QuantityC3TCGun1U1U3000UU更新后45[例2]密級為U的用戶要求對Weapon關系的S級實例作更新操作。UPDATEWeaponSETQuantity=3000WHEREWname=“Gun1”//U級用戶Weapon關系的S級實例wnameC1RangeC2QuantityC3TCGun1U1U5000SS46Weapon關系的S級實例wnameC1RangeC2QuantityC3TCGun1U1U5000SS更新前Weapon關系的S級實例wnameC1RangeC2QuantityC3TCGun1U1U3000UUGun1U1U5000SS更新后產(chǎn)生多實例47[例3]密級為S的用戶要求對Weapon關系的S級實例執(zhí)行如下更新操作。

UPDATEWeaponSETRange=2WHEREWname=“Gun1”ANDQuantity=5000Weapon關系的S級實例wnameC1RangeC2QuantityC3TCGun1U1U3000UUGun1U1U5000SS48Weapon關系的S級實例wnameC1RangeC2QuantityC3TCGun1U1U3000UUGun1U2S5000SS更新后Weapon關系的S級實例wnameC1RangeC2QuantityC3TCGun1U1U3000UUGun1U1U5000SS更新前49[例4]密級為S的用戶要求對Weapon關系的S級實例執(zhí)行如下更新操作。UPDATEWeaponSETRange=2WHEREWname=“Gun1”//S級用戶

Weapon關系的S級實例wnameC1RangeC2QuantityC3TCGun1U1U3000UUGun1U1U5000SS50Weapon關系的S級實例wnameC1RangeC2QuantityC3TCGun1U1U3000UUGun1U2S3000USGun1U2S5000SS更新后Weapon關系的S級實例wnameC1RangeC2QuantityC3TCGun1U1U3000UUGun1U1U5000SS更新前51三、刪除操作形式：DELETEFROMRc[WHEREp]p是謂詞條件四、查詢操作形式：SELECTA1[,A2]…FROMR1[,R2]…[WHEREp][ATc1[,c2]…],p是謂詞條件526.5多實例多實例：是指在多級安全數(shù)據(jù)庫管理系統(tǒng)中，同時存在多個具有相同主碼值的實體。多實例元組：關系包含多個具有相同主碼的元組，但相同主碼的安全等級可以不相同，這些元組的安全等級不同。多實例屬性：關系包含多個具有相同主碼的元組，但相同主碼的安全等級相同，這些元組的安全等級不同。53例：兩種多實例的情況。多實例屬性的多級關系wnameC1RangeC2QuantityC3TCGun1UNULLU3000UUGun1U2S5000SS多實例元組的多級關系wnameC1RangeC2QuantityC3TCGun1UNULLU3000UUGun1S2S5000SS546.5.1多實例的發(fā)生可見多實例：當高訪問等級的用戶想在數(shù)據(jù)庫的一個域上插入數(shù)據(jù)，而在這個域上已經(jīng)存在低安全等級的數(shù)據(jù)時發(fā)生。不可見多實例：當?shù)驮L問等級的用戶想在數(shù)據(jù)庫的一個已經(jīng)有高安全等級的域上插入一個新數(shù)據(jù)時發(fā)生。55可見多實例wnameC1RangeC2QuantityC3TCGun3UnullUnullUUU級用戶將Range更新為1wnameC1RangeC2QuantityC3TCGun3U1UnullUUS級用戶將Range更新為2wnameC1RangeC2QuantityC3TCGun3U1UnullUUGun3U2SnullUS最初的多級關系56不可見多實例最初的S級用戶實例wnameC1RangeC2QuantityC3TCGun3U2SnullUSU級用戶將Range更新為1后，U級實例如下：wnameC1RangeC2QuantityC3TCGun3U1UnullUUwnameC1RangeC2QuantityC3TCGun3U1UnullUUGun3U2SnullUSU級用戶將Range更新為2后，S級實例如下：576.5.2多實例引起的問題多實例雖可防止隱蔽通道，但引起一些相關問題：數(shù)據(jù)機密性與完整性沖突增加了數(shù)據(jù)庫的管理難度增加了對同一現(xiàn)實世界中不同模型理解的困惑。不清楚那個實例的信息是正確、可信的。586.5.3多實例問題的處理對多實例的處理采取下面的方法或其組合使所有的主碼可見，主碼以關系內(nèi)可見的最低安全等級標識根據(jù)主碼可能的各種安全等級，劃分主碼的域。限制對多級關系的插入。要求所有的插入由系統(tǒng)最高安全等級的用戶實施向下寫完成。596.6隱蔽通道分析6.6.1隱蔽通道及其分類隱蔽通道：是指給定一個強制安全策略模型M和它在一個操作系統(tǒng)中的解釋I(M),I(M)中兩個主體I(Si)和I(Sj)之間的任何潛在通信都是隱蔽的,當且僅當模型M中的相應主體Si和Sj之間的任何通信在M中都是非法的。（系統(tǒng)中不受安全策略控制的，違反安全策略的信息泄露路徑）系統(tǒng)實際使用中，攻擊者制造一組表面上合法的操作序列，將高級數(shù)據(jù)傳送到低級用戶。這種隱蔽的非法通道叫隱蔽通道。60隱通道通過不是用于數(shù)據(jù)傳遞的系統(tǒng)設施來發(fā)送信息，并且這種通信方式往往不被系統(tǒng)的存取控制機制所檢測和控制。隱蔽通道的分類存儲隱蔽通道和時序隱蔽通道雙向同步隱蔽通道和單項同步隱蔽通道無噪聲隱蔽通道和有噪聲隱蔽通道聚集隱蔽通道和非聚集隱蔽通道存儲隱蔽通道:如果一個隱通道是一個主體直接或間接地修改一存儲變量，而被另一主體通過直接或間接地讀取同一個變量獲得信息，這個隱通道是存儲隱通道。61例1:進程號隱通道.進程號（PID）是系統(tǒng)中標志進程的唯一符號，在許多操作系統(tǒng)中采用連續(xù)遞增的方法來管理進程號，即新建的進程的進程號在上一個進程的進程號的基礎上加1，利用系統(tǒng)的這一管理機制也可產(chǎn)生隱通道，其操作過程如下：

62操作過程： ①接收方建立一個子進程并立即結(jié)束它，記錄下它的進程號； ②發(fā)送方若發(fā)“0”，則什么也不做，若發(fā)“1”則建一個子進程并立即結(jié)束它； ③接收方再建一個子進程并立即結(jié)束它，記錄下它的進程號，如果新的進程號與上一次得到的進程號相差1，則確認接收到“0”，如果新的進程號與上一次得的進程號相差2，則確認接收到“1”； ④做好同步工作，轉(zhuǎn)入2，傳送下一比特。例：收發(fā)收發(fā)收發(fā)收發(fā)p1p2p3p4p5p6

傳送信息1010

63時序隱蔽通道：時序隱通道的發(fā)送者通過對使用資源時間的影響來發(fā)送信息，接收者通過觀察響應時間的變化來接收信息，這個隱通道是時序隱通道。例2：時序隱蔽通道。CPU是一種可以利用的系統(tǒng)資源，可由多個用戶共享，假設有H和L兩個進程，H的安全級高于L，H企圖將信息傳遞給L。它們約定一系列間隔均勻的時間點t1，t1，t1，…（間隔時間至少允許兩次CPU調(diào)度）。L在每個時間點都請求使用CPU，而H在每個時間點，若要發(fā)送0，則不請求使用CPU；若要發(fā)送1，則請求使用CPU（假設H的優(yōu)先級高于L）。于是，在每個時間點，L若能立即獲得CPU的使用權，則確認收到0，若要等待，則確認收到1，這個隱通道被稱時