多线程环境中的二维降密策略

降密策略的主要目的在于确保程序中敏感信息的安全释放。目前,降密策略的安全条件和实施机制的研究主要集中在顺序式程序设计语言,它们不能直接移植到多线程并发环境,原因在于攻击者能利用线程调度的某些性质推导出敏感信息。为此,基于多线程程序设计语言模型和线程调度模型,建立了支持多线程并发环境的二维降密策略,有效确保了在合适的程序点降密合适的信息;建立了多线程并发环境下该降密策略的动态监控机制,并证明了该实施机制的可靠性。     

基于自动机监控的二维降密策略

降密策略静态实施机制具有限制性过强的缺陷:它将降密策略语义条件判定为安全的程序排斥在外。为了建立更加宽容的实施机制,基于自动机理论,建立了二维降密策略的动态监控机制。程序执行中的命令事件被抽象为自动机的输入,自动机根据这些输入信息跟踪程序执行过程中的信息流,禁止违反降密策略的程序命令的执行。最后,证明了自动机监控机制的可靠性。     

基于抽象解释的函数内联过程间分析优化方法

分析实际程序时往往需要分析程序中函数的调用, 一般使用过程间分析来实现全程序分析.函数内联是一种最为精确、易于实现的过程间分析方法.通过函数内联, 可以使得已有过程内分析方法和工具支持包含函数调用的程序的分析.但是, 函数内联后代码的规模急剧增加, 同时将产生大量中间变量, 增加程序分析的变量维度, 导致程序分析过程时空开销大大增加.本文考虑基于抽象解释框架下函数内联过程间分析的一些不足, 并提出相应优化方法.基于抽象解释的程序分析关注自动推导程序变量之间的不变式约束关系, 因此程序变量构成的程序环境大小(即各程序点处须考虑的相关变量集合)对分析的时空开销具有重要影响.为了减少函数内联后程序分析的开销, 本文提出了面向内联函数块的程序环境降维优化方法.该方法针对内联函数后的程序代码, 分析确定不同程序点处需维护的程序环境(即相关变量集合), 而不是所有程序点共享同一全局程序环境, 从而实现程序状态的降维.详细描述了基于该方法所实现的工具DRIP (Dimension Reduction for analyzing function Inlined Program) 的架构、模块及算法细节.并在WCET Benchmarks测试集开展了分析实验, 实验结果表明: DRIP在变量消除上取得的效果良好, 甚至在某些测试集上能减少一半以上的变量, 并在一定程度上降低了分析过程的时空开销.     

软件系统的可信降密述评

无干扰模型是信息流控制中的基础性安全模型,能确保敏感信息的零泄露,但其安全条件的限制性过强。软件系统由于功能的需要不可避免地需要违反无干扰模型,释放合适的信息。为了防止攻击者利用信息释放的通道获取超额的信息,需要对释放的通道进行控制,建立信息可信降密的策略和实施机制。基于不同维度对现有的降密策略进行归类,大致归并为降密的内容、主体、地点和时间维度;并对现有降密策略的实施机制进行分类,大致可分为静态实施、动态实施和安全多次执行;对这些机制的特点和不足之处进行比较,并探讨了后续研究面临的挑战,展望了未来的研究方向。     

基于信息格的降密策略

降密策略是信息流安全研究的重要挑战之一.目前的研究主要集中在不同维度的定性分析上,缺乏对机密信息降密数量的精确控制,从而导致降密策略的限制性与程序安全需求之间的关系难以精确控制.为此,提出基于信息格的量化度量方法,通过阈值的控制,从定量的角度对健壮性降密策略的限制性进行放松,实现富有弹性的健壮性降密策略.     

网络安全综合监控平台中安全策略的研究

通过分析网络安全综合监控平台中安全策略的特点和要求,给出了安全策略的一般性定义和描述,研究了策略的完整性、正确性、一致性要求,以及策略冲突的处理原则.在基于规则的专家系统推理引擎基础上,为网络安全综合监控平台建立一种基于规则引擎的安全策略处理机制,描述了规则引擎的推理和使用步骤.该机制能够分离安全策略的管理决策逻辑和技术决策逻辑,具有较强的策略冲突解决能力.应用证明了该系统具有较强的鲁棒性和适应性.     

一种规则驱动的网络服务组装机制

提出了一种规则驱动的服务组装方法,实现了一个基于软件Agent的框架,在运行时刻监控和管理组装流程的执行．该方法给出一个算法将流程规约转化为等价的规则集合以用于指导Agent的行为,并允许用户通过定义一组可插拔(pluggable)的自适应策略,方便地扩展流程对变化的适应能力．框架实现基于反射式中间件平台PKUAS,该平台为网络服务和软件Agent提供运行支持,并基于其反射机制为Agent提供运行时刻的环境信息．     

一种内嵌式程序行为监控框架IPBMF

内嵌引用监视器是实现动态程序行为监控的重要途径。目前的监视器采用各自的方法实现监视器的自身保护和降低负载,结构不统一,增加了协同工作的难度和开发的代价。该文提出一个引用监视器的框架IPBMF,给出了通用的机制,实现了对监视器的保护和高效运行。提供了引用监视器的组合机制,有利于对程序行为的有效监控。     

安全空间数据库动态审计策略的研究与应用

提出了一种基于安全空间数据库管理系统的动态审计策略模型。该模型不仅能够充分表达基于时间和空间的审计策略,还可以根据约束机制对系统用户行为进行实时监控。通过引入复合属性表达式,表达细粒度的审计策略。最后在自主开发的安全空间数据库管理系统Sec_Vista中,内嵌了审计规则触发模块、约束规则触发模块和日志触发模块,实现了本审计策略。     

基于类型理论的面向对象多步证明系统

介绍基于扩展构造型演算的交互式多步证明系统。该系统中以函数式语言ML为开发环境，建立了ECC的项、规则证明策略和证明管哩机制的描述，并引入规约类型、类类型、类和对象的表示，为面向对象的程序规约和定理证明系统的结合进行了一些探索。     

基于下推系统可达性分析的程序机密消去机制

针对程序语言信息流安全领域的现有机密消去策略,提出了一种基于下推系统可达性分析的程序信息流安全验证机制.将存储-匹配操作内嵌于对抽象模型的紧凑自合成结果中,使得对抽象结果中标错状态的可达性分析可以作为不同机密消去策略下程序安全性的验证机制.实例研究说明,该方法比基于类型系统的方法具有更高的精确性,且比已有的自动验证方法更为高效.     

Extending the enforcement power of truncation monitors using static analysis

Runtime monitors are a widely used approach to enforcing security policies. Truncation monitors are based on the idea of truncating an execution before a violation occurs. Thus, the range of security policies they can enforce is limited to safety properties. The use of an a priori static analysis of the target program is a possible way of extending the range of monitorable properties. This paper presents an approach to producing an in-lined truncation monitor, which draws upon the above intuition. Based on an a priori knowledge of the program behavior, this approach allows, in some cases, to enforce more than safety properties and is more powerful than a classical truncation mechanism. We provide and prove a theorem stating that a truncation enforcement mechanism considering only the set of possible executions of a specific program is strictly more powerful than a mechanism considering all the executions over an alphabet of actions.     

基于内容和地点维度的机密信息降级策略

目前机密信息降级策略的研究主要集中在信息降级的内容、地点、时间等维度上,每个维度的策略都有一定的局限性,攻击者将会利用其他维度的漏洞,非法获取额外的机密信息。降级策略需要综合考虑多个维度来确保机密信息的可信降级。为此,利用攻击者知识模型,提出了一种基于内容和地点维度的降级策略。内容维度的关键思想是攻击者不允许通过滥用降级机制来获取额外的机密信息,而地点维度控制机密信息仅能通过特定的语句进行降级。此外,建立了该策略实施的类型规则,并证明了类型规则的可靠性。     

A transformation system for concurrent processes

Program transformation techniques have been extensively studied in the framework of functional and logic languages, where they were applied mainly to obtain more efficient and readable programs. All these works are based on the Unfold/Fold program transformation method developed by Burstall and Darlington in the context of their recursive equational language. The use of Unfold/Fold based transformations for concurrent languages is a relevant issue that has not yet received an adequate attention. In this paper we define a transformation methodology for CCS. We give a set of general rules which are a specialization of classical program transformation rules, such as Fold and Unfold. Moreover, we define the general form of other rules, “oriented” to the goal of a transformation strategy, and we give conditions for the correctness of these rules. We prove that a strategy using the general rules and a set of goal oriented rules is sound, i.e. it transforms CCS programs into equivalent ones. We show an example of application of our method. We define a strategy to transform, if possible, a full CCS program into an equivalent program whose semantics is a finite transition system. We show that, by means of our methodology, we are able to a find finite representations for a class of CCS programs which is larger than the ones handled by the other existing methods. Our transformational approach can be seen as unifying in a common framework a set of different techniques of program analysis. A further advantage of our approach is that it is based only on syntactic transformations, thus it does not requires any semantic information. Received: 24 April 1997 / 19 November 1997     

Rules and Strategies for Contextual Specialization of Constraint Logic Programs

We address the problem of specializing a constraint logic program w.r.t. a constrained atom which specifies the context of use of the program. We follow an approach based on transformation rules and strategies. We introduce a novel transformation rule, called contextual constraint replacement, to be combined with variants of the traditional unfolding and folding rules. We present a general Partial Evaluation Strategy for automating the application of these rules, and two additional strategies: the Context Propagation Strategy which is instrumental for the application of our contextual constraint replacement rule, and the Invariant Promotion Strategy for taking advantage of invariance properties of the computation. We show through some examples the power of our method and we compare it with existing methods for partial deduction of constraint logic programs based on extensions of Lloyd and Shepherdson's approach.     

Proving and applying program transformations expressed with second-order patterns

Summary We propose a program transformation method based on rewriting-rules composed of second-order schemas. A complete second-order matching algorithm is presented that allows effective use of these rules. We show how to formally prove the correctness of the rules using a denotational semantics for the programming language. We establish the correctness of the transformation method itself, and give techniques pertaining to its actual implementation. The paper is illustrated with recursion removal examples.A preliminary version of this paper appeared in the Proceedings of the International School of Theory and Application of Computers, ERICE (Sicily), May 1976     

程序转换规则的自动获取

本文给出了一个自动获取程序转换规则的方法。通过对用户提供的一个具体程序转换过程的分析，运用解释学习的方法，总结其一般性，得出反映这一过程的转的换规则，该规则可用于一类问题的转换，提高了系统的自动化程度。