基于加权下推系统优化可达性分析的Java安全信息流研究

信息流安全的形式化以无干扰性为标准属性.针对目前字节码级的信息流安全分析均未基于对程序无干扰性的语义表示,提出了一种基于语义的无干扰性自动验证方法.为适应语言特性和应用环境的限制,将基本自合成扩展为低安全级记录自合成,以支持对标错状态的可达性分析,保证标错状态不可达时对应字节码程序满足无干扰性.在此基础上为提高实际验证效率提出了3种模型优化方法.实验说明方法的可用性、效率、可扩展性及模型优化的实际效果.     

基于污点标记的访问控制模型及其安卓实现

为保护移动操作系统平台中存储的用户隐私数据,提出一个基于污点标记的访问控制(TBAC)模型,并设计了一个基于污点跟踪的信息流控制框架(TIFC)。为数据添加污点标记,控制力度细化到数据;引入主体能力保证最小特权原则;主体能力独立于数据污染与可信去污防止污点积累。该模型与BLP模型相比更加可用、灵活与细粒度。该框架能细粒度地、灵活地、准确地实时跟踪并控制隐私信息的流向,并解决了程序执行中因控制流产生的隐蔽通道问题。     

基于污点标记的访问控制模型及其安卓实现

为保护移动操作系统平台中存储的用户隐私数据,提出一个基于污点标记的访问控制(TBAC)模型,并设计了一个基于污点跟踪的信息流控制框架(TIFC)。为数据添加污点标记,控制力度细化到数据;引入主体能力保证最小特权原则;主体能力独立于数据污染与可信去污防止污点积累。该模型与BLP模型相比更加可用、灵活与细粒度。该框架能细粒度地、灵活地、准确地实时跟踪并控制隐私信息的流向,并解决了程序执行中因控制流产生的隐蔽通道问题。     

基于CSP的OWL-S语义分析与建模

为了实现OWL-S过程模型正确性的自动化验证,提出了基于进程代数CSP的OWL-S过程模型的语义建模方法,建立了CSP的形式化语义模型,并利用该模型为OWL-S过程定义了形式化语义。最后以机票预订为例说明了采用CSP模型为OWL-S过程添加形式化语义的完整流程。由于该方法具备良好的数学基础,所以可以基于该方法开发出自动化验证OWL-S过程模型的工具,提高系统的安全性。     

动态多级安全级模型及其应用

针对采用传统MLS模型实现的系统可用性和灵活性较低的问题,提出了一种基于动态安全级的MLS模型Dynamic MLS。模型使用由流入信息最高安全级和流出信息最低安全级组成的动态安全级代替传统BLP模型中的当前安全级,并依此对主体访问客体的行为进行更灵活的控制。模型在BLP模型11条规则的基础上对其中的5条规则进行了改进,并通过形式化方法证明了改进模型的正确性。最后给出了模型在增加linux系统安全性方面的应用。     

基于BLP的安全操作系统信息安全模型

提出并设计了一个安全操作系统的信息安全模型。该模型消除了仅以用户作为主体存在的不安全隐患,除保密性指标外考虑了完整性指标,限制了隐蔽通道,限制了可信主体以满足最小权限原则,进行了域隔离,缩小了理论模型与实际应用的差距,并应用到自主开发的安全操作系统WXSSOS中。     

安胜安全操作系统的隐蔽通道分析

安胜安全操作系统是自主研制的基于Linux的高安全等级安全操作系统,包括安全内核,安全架构与安全模型.总结了对该系统进行的隐蔽通道分析方法,首次报道基于Linux内核开发的安全操作系统的隐蔽通道分析结果.应用新型的"回溯方法"发现了某些新的隐蔽通道.对被标识的隐蔽通道,准确地计算了它们的带宽,并进行了适当的隐蔽通道处理.     

软件系统的可信降密述评

无干扰模型是信息流控制中的基础性安全模型,能确保敏感信息的零泄露,但其安全条件的限制性过强。软件系统由于功能的需要不可避免地需要违反无干扰模型,释放合适的信息。为了防止攻击者利用信息释放的通道获取超额的信息,需要对释放的通道进行控制,建立信息可信降密的策略和实施机制。基于不同维度对现有的降密策略进行归类,大致归并为降密的内容、主体、地点和时间维度;并对现有降密策略的实施机制进行分类,大致可分为静态实施、动态实施和安全多次执行;对这些机制的特点和不足之处进行比较,并探讨了后续研究面临的挑战,展望了未来的研究方向。     

一种动态的隐通道消除算法

软件只有处于运行状态其中寄生的隐通道才能工作,并对系统形成实质性的安全威胁.应用软件的执行需要操作系统的支撑.在多安全级操作系统中,赋予主体的安全级是通过赋予用户和代表用户的进程实现的.本文提出一种基于进程调度的动态隐通道消除算法LTHC,其核心思想是在操作系统进程优先级调度算法的基础上增设安全级的约束,构造一个按安全级排列的进程运行阶梯,迫使信息只能单向地从低向较高的安全级流动.LTHC算法具有进程公平调度和处理死锁的机制,对存储隐通道和时间隐通道均有效.     

一种基于污点数据传播和无干扰理论的软件行为可信性分析模型

以无干扰理论为基础,提出了一种基于污点数据流的软件行为可信分析模型。该模型通过跟踪程序外部输入的污点数据,提取可能引发系统不可信的关键系统调用,并建立污点传播调用序列。利用完整性条件下的污点信息流无干扰模型来判定构成污点传播的系统调用序列执行时是否可信,并给出了调用序列可信性判定定理。     

An Experience Using Two Covert Channel Analysis Techniques on a Real System Design

This paper examines the application of two covert channel analysis techniques to a high level design for a real system, the Honeywell Secure Ada® Target (SAT). The techniques used were a version of the noninterference model of multilevel security due to Goguen and Meseguer and the shared resource matrix method of Kemmerer. Both techniques were applied to the Gypsy Abstract Model of the SAT. The paper discusses the application of the techniques and the nature of the covert channels discovered. The relative strengths and weaknesses of the two methods are discussed and criteria for an ideal covert channel tool are developed.     

Security invariants in discrete transition systems

The Shadow semantics is a qualitative model for noninterference security for sequential programs. In this paper, we first extend the Shadow semantics to Event-B, to reason about discrete transition systems with noninterference security properties. In particular, we investigate how these security properties can be specified and proved as machine invariants. Next we highlight the role of security invariants during refinement and identify some common patterns in specifying them. Finally, we propose a practical extension to the supporting Rodin platform of Event-B, with the possibility of having some properties to be invariants-by-construction.     

基于信息熵的隐通道能力分析*

给出了一种基于信息熵的隐通道能力分析方法。该方法首先利用无干扰分析法分析隐通道,得到系统状态转换分布特性,然后引入信息熵,进而推导出隐通道能力表达公式。该方法能较好地对隐通道能力进行定量分析,不仅可以对隐通道能力的大小进行计算,还可以分析隐通道能力的影响因素。最后,给出了存在于多级安全数据库中的一种隐通道,并用该方法分析计算了该隐通道的能力。     

基于自动机的Java信息流分析

面向Java的信息流分析工作需要修改编译器或实时执行环境,对已有系统兼容性差,且缺乏形式化分析与安全性证明。首先,提出了基于有限状态自动机的Java信息流分析方法,将整个程序变量污点取值空间抽象为自动机状态空间,并将Java字节码指令看做自动机状态转换动作;然后,给出了自动机转换的信息流安全规则,并证明了在该规则下程序执行的无干扰安全性;最后,采用静态污点跟踪指令插入和动态污点跟踪与控制的方法实现了原型系统IF-JVM,既不需要获得Java应用程序源码,也不需要修改Java编译器和实时执行环境,更独立于客户操作系统。实验结果表明,原型系统能正确实现对Java的细粒度地信息流跟踪与控制,性能开销为53.1%。     

面向Java EE程序的SQLIA漏洞分析和验证方法

SQLIA漏洞破坏Web后台数据库的完整性,一直是Web应用安全的主要威胁。提出一种检测和验证Java Web程序的SQLIA漏洞的解决方案,将静态分析与动态验证相结合,并且形式化定义指令级污点传播操作语义,能够有效跟踪跨文件和跨页面的污点传播。静态分析首先对Source进行预处理和分类得到真实可靠的Source集合,然后应用方法、请求、会话、方法调用等多重关系匹配潜在的Source和Sink对,使得分析过程可以过滤无关Source和Sink,最后结合静态污点分析和活跃变量分析排除不可能存在污点传播路径的Source和Sink。动态验证首先对程序插桩,然后在执行程序的同时进行动态污点传播并生成Trace,基于Trace验证静态分析结果的正确性,获得真实污点传播路径的漏洞集合。原型系统基于Soot框架实现,对若干开源程序的实验结果表明了方法的有效性。     

基于语义规则的污点传播分析优化方法

离线污点分析中的针对轨迹记录文件的污点传播分析的时间开销非常巨大,因此研究快速高效的污点传播分析具有重要意义。针对上述问题,提出了一种基于语义规则的污点传播分析优化方法。该方法定义了一种指令的语义描述规则,用于描述指令的污点传播语义,利用中间语言自动生成汇编指令的语义规则,再根据语义规则进行污点传播分析,避免了现有污点分析方法中指令重复执行导致的重复语义解析,提高了污点分析的效率。实验结果表明,所提方法能够有效降低污点传播分析的时间开销,仅占传统基于中间语言污点分析的14%左右,提高了分析效率。     

隐通道传递信息机理的研究

可信计算机系统中一些隐蔽数据流避开了安全机制的监控，造成信息的泄漏。本文通过对这种隐蔽流泄漏信息的机理进行分析和抽象，提出了一个通道元模型。将每一类通道元看成一个有限状态机，以Plotkin的结构化操作语义等为基础，计算出状态机的状态变化序列。通过对不满足隐通道定义的状态变迁序列的归纳，得到了抽象机中安全状态转移的约束条件，找出两个通道元通过共享客体泄露信息的工作机理，从而开发出一种基于操作语义的隐通道标识方法。对电梯调度算法模型进行实验，可有效地标识出存在的隐通道。     

Covert Channel Secure Hypercube Message Communication

The hypercube multiprocessor is a popular architecture in parallel computing environments. Recently, computer security and privacy issues have gained significance. This paper considers the security issues of a network of processors connected over a hypercube topology. We demonstrate that a covert channel can be established by exploiting the underlying message communication mechanism of the hypercube, even when the access-control denies such communication. This can occur because node-to-node communication in a hypercube may require multiple hops and two or more disjoint message communications may actually be transmitted along common links. Congestion (and the resulting delay) in such shared links can provide the basis for a covert channel. We introduce security considerations for a multiprocessor by focussing on the covert channel issue in hypercube message communication. A security model for the hypercube routing function is presented. Based on noninterference, we develop sufficient conditions for the routing mechanism to be free of covert channels. Two secure hypercube message routing approaches are proposed for store-and-forward communication strategy. The first approach (Virtual Channel) achieves security by fixed bandwidth partitioning of links, for which the price is paid in delay performance. The second approach (Bypass) prioritizes lower security class messages, for which delay of higher class messages is sacrificed. Performance (i.e., cost of security) of these two approaches are shown using simulation. Finally, a time-out feature is introduced to the Bypass approach, which disallows potential starvation of higher class messages at the expense of limited bandwidth covert channel. Maximum covert channel bandwidth (in terms of the time-out parameter) is analyzed.