多时间无干扰性验证方法

安全关键嵌入式软件的运行时行为通常具有严格时间约束,对安全属性的执行提出额外要求.针对嵌入式软件的信息流安全保护要求,以及现有安全性验证方法面向单一属性且存在假阳性等问题,首先从现实场景的安全需求出发,提出一种新的时间无干扰属性timed SIR-NNI;然后提出一种兼容多种时间无干扰属性(timed BNNI,timed BSNNI及timed SIR-NNI)统一验证的信息流安全验证方法,该验证方法依据不同的时间无干扰性要求,从待验证时间自动机自动构造测试自动机和精化自动机,通过UPPAAL的可达性分析实现精化关系检查和安全性验证.实现的验证工具TINIVER从SysML顺序图模型或C++源码提取时间自动机实施验证流程.使用TINIVER对现有时间自动机模型和安全属性的验证说明方法的可用性,对无人机飞行控制系统ArduPilot和PX4的典型飞行模式切换模型的安全验证说明方法的实用性和可扩展性.此外,方法能避免现有典型验证方法的假阳性缺陷.     

一种接口自动机的组合精化检验方法

接口自动机是一个用来描述软构件接口的时态行为的形式模型,传统的简单组合精化检验规则由于没有考虑到环境时子任务的影响而使其实际应用受到较大限制。本文提出了一种对该规则的改进方法,以弥补上述缺陷。     

计算机安全中的无干扰模型

与基于访问控制的形式安全模型相比,基于信息流的安全模型对于定义什么是安全来说更为本质,自提出信息流的无干扰概念以来,信息流模型成为安全研完的中心之一,并提出了多种无干扰信息流模型。本文基于进程代数框架研完这些模型,并给出了一些新的结果和证明。     

非传递无干扰下IP安全与TA安全关系研究

IP安全适用于非传递策略的无干扰模型。但是;满足IP安全的系统中仍然存在类似于动作先后顺序这样的信息;因此;提出了新的无干扰模型TA安全。对非传递无干扰下IP安全和TA安全进行比较分析;给出函数[ipurge]与函数[ta]的差别条件;函数[ta]隐藏了动作序列中部分动作的先后顺序;这些动作的先后顺序对于安全域是一种额外的信息。然后;使用该差别条件;提出当系统满足IP安全时;使系统满足TA安全所需要的条件并进行形式化推导。     

接口自动机的良构性检测算法及其实现

针对构件式系统中任一构件的非良构性会导致系统不能正常运行的问题,提出一种基于接口自动机（IA）来分析和检测构件良构性（well-formedness）的算法,并据此实现了一个构件良构性检测原型系统。该算法首先构造与接口自动机同构的可达图;其次,基于可达图通过深度优先遍历生成一条覆盖所有迁移的有序集;最后,根据该有序集检测在外界环境满足其输入假设的情况下,每个属于方法的活动到其对应返回活动的路径的自治无异常可达性,从而实现接口自动机的良构性检测。根据所提算法在Eclipse平台设计并实现了构件良构性检测原型系统T-CWFC,该系统通过JFLAP建立构件的接口自动机模型并构造其可达图,进而对接口自动机作良构性检测并输出相关检测信息。最后通过对一组构件的良构性检测实验验证了算法的有效性。     

一种基于构件演算的主动构件精化方法

现代构件系统通常包含多个并发执行的主动构件,这使得验证构件系统的正确性变得十分困难.通过对构件演算进行扩展,提出了一种主动构件的精化方法.在构件接口层引入契约.契约使用卫式设计描述公共方法和主动活动的功能规约.通过一对发散、失败集合定义契约的动态行为,并利用发散、失败集合之间的包含关系定义契约间的精化关系.证明了应用仿真技术确认契约精化关系的定理.定义构件的语义为其需求接口契约到其服务接口契约的函数,以此为基础,可以通过契约的精化来证明构件的精化.给出了构件的组装规则.在构件系统自底向上的构造过程中,应用构件的精化方法和组装规则可以保证最终系统的正确性.     

多级安全系统中数据聚合的无干扰属性

基于信息流的安全模型较访问控制模型优势在于更本质的描述了什么是安全,自提出信息流的无干扰概念以来信息流模型就成为安全研究的中心之一,并提出了很多种无干扰模型.针对现存几种安全模型存在建模工具与分析工具不一致、不支持多级安全系统等问题.在广义无干扰模型以及聚合属性的基础上提出一种支持多级安全系统、多等级信息流策略状态转换且包含聚合属性的信息流安全模型,并给出了信息流策略的正式语义.     

一种基于无干扰的软件动态行为可信性分析方法

软件动态行为度量是可信计算必须要解决的核心问题之一。解决这个问题有两个关键步骤:第一,对软件动态行为进行行为建模;第二,对建模后的软件动态行为进行行为可信性分析。针对第二步,即建模完成后的行为可信性分析问题进行了研究,提出一种基于无干扰的软件动态行为可信性分析方法,并从理论上给出了行为可信性判定定理。     

基于自动机监控的二维降密策略

降密策略静态实施机制具有限制性过强的缺陷:它将降密策略语义条件判定为安全的程序排斥在外。为了建立更加宽容的实施机制,基于自动机理论,建立了二维降密策略的动态监控机制。程序执行中的命令事件被抽象为自动机的输入,自动机根据这些输入信息跟踪程序执行过程中的信息流,禁止违反降密策略的程序命令的执行。最后,证明了自动机监控机制的可靠性。     

遥操作系统力觉接口的无源性设计

力觉接口是指人和遥操作机械手之间的接口,用来给操作人员提供操作时的一种虚拟环境．无源性是这种接口系统设计的主要要求,但是前人得出的无源性条件过于保守．本文从采样控制系统的频率特性出发推导了一个没有保守性的接口系统无源性的条件．文中并指出无源性只是接口的一个属性,要正确设计还需考虑到伺服设计的一些基本要求,诸如系统的带宽、阻尼等．文中还结合例子给出了接口系统无源性设计的步骤．     

基于场景规约的构件式系统设计分析与验证

使用接口自动机及接口自动机网络来描述构件式系统的行为设计模型,使用UML顺序图表示基于场景的需求规约,对系统设计阶段的构件交互行为的动态兼容性进行形式化分析和检验.通过对接口自动机网络状态空间的分析,给出了一系列算法以检验系统行为的存在一致性以及几种不同形式的强制一致性性质,包括前向强制一致性、逆向强制一致性以及双向强制一致性等.     

T-CBESD:一个构件化嵌入式软件设计模型验证工具

现代复杂嵌入式软件系统的高可靠性需要有效的基于模型的设计与分析技术.传统的嵌入式软件可靠性保障技术主要关注于系统开发后期.本文在Eclipse平台上设计并实现了一个基于接口自动机模型的构件化嵌入式软件设计的形式化验证原型工具T-CBESD(Tool for Component-Based Embedded Software Designs).工具直接使用UML顺序图模型作为系统规约,可以检验系统设计模型与场景式规约之间多种行为一致性问题;并使用消息事件的时间约束不等式,检验实时接口自动机网络与带时间约束的顺序图模型之间的实时行为一致性问题.工具设计与实现内容包括:输入输出接口、顺序图模型的预处理转换、状态空间数据结构设计、抽象验证算法的实现以及通信构件组合系统的实例应用分析.     

A Classification of Time and/or Probability Dependent Security Properties

In multilevel systems it is important to avoid unwanted indirect information flow from higher levels to lower levels, namely the so called covert channels. Initial studies of information flow analysis were performed by abstracting away from time and probability. It is already known that systems that are considered to be secure may turn out to be insecure when time or probability are considered. Recently, work has been done in order to consider also aspects either of time or of probability, but not both. In this paper we propose a general framework, based on Probabilistic Timed Automata, where both probabilistic and timing covert channels can be studied. We define a Non-Interference security property that allows one to express information flow in a timed and probabilistic setting, and we compare the property with analogous properties defined in settings where either time or probability or none of them are taken into account. This allows to classify properties depending on their discerning power.     

基于场景构件式实时软件设计的一致性检验

在复杂的实时软件系统中使用构件式设计方法,已成为目前软件工程中的研究热点.如何有效地验证实时软件的设计是否满足给定的时间规约,是实时计算领域中的主要挑战之一.通过在接口自动机模型中添加时间区间标记,来扩展其对实时系统接口行为的表达能力;使用实时接口自动机网络来描述实时软件系统的构件式设计模型;使用带布尔不等式时间约束的UML顺序图表示基于场景的需求规约,对系统设计阶段实时软件构件的动态行为进行形式化分析与检验.通过对实时接口自动机网络状态空间的分析,构造了其可兼容的整型状态等价类空间的可达图,并在此基础上给出了验证算法,以检验构件式实时软件系统的设计与带时间约束的场景式规约之间的一致性.     

基于信息格的降密策略

降密策略是信息流安全研究的重要挑战之一.目前的研究主要集中在不同维度的定性分析上,缺乏对机密信息降密数量的精确控制,从而导致降密策略的限制性与程序安全需求之间的关系难以精确控制.为此,提出基于信息格的量化度量方法,通过阈值的控制,从定量的角度对健壮性降密策略的限制性进行放松,实现富有弹性的健壮性降密策略.     

包含协议和语义的构件一致性验证方法

在基于构件的系统设计中,需要对构件的一致性进行验证。构件的一致性包括语义一致性和协议一致性,已有的一致性验证方法仅支持构件的协议一致性验证。而在实际应用中除了要进行构件的协议一致性验证外,还需要进行其语义一致性验证。为此提出了一种包含协议和语义的构件一致性验证方法。所提方法将方法语义与基于场景的需求规约相结合,使用语义扩展接口自动机模型(SIA)来建模构件的语义和协议信息,使用带有语义约束的UML交互概观图来表示基于场景的需求规约。通过对SIA和带语义约束的UML交互概观图的行为的理论分析,进一步形成了一种一致性验证算法,并用实例来说明其过程。该算法不仅能够检验系统中构件的协议一致性,而且能够检验其语义一致性。该算法中的方法语义包括了该方法参数的类型和详细语义信息,更符合实际应用情形。     

综合电子信息系统面向构件的软件开发与集成技术研究

结合综合电子信息系统的需求、特点,利用面向构件开发和构件集成技术,通过建立软件构件模型、构件开发规范、基础框架以及中间件软件,构建综合电子信息系统的面向构件的软件开发和集成架构。该架构可支持网络化综合电子信息系统的高效地、简单化地和可重用地开发和集成,又满足电子信息系统较高的性能要求,对综合电子信息系统的设计和开发具有...     

信息安全模型研究

首先介绍了安全系统的形式化开发方法，分析和比较了各种安全模型的安全特征。并针对分布式环境对安全模型的通用性和可结合性的要求，着重分析了无干扰模型和非推理模型。并以此为基础提出了改进的无干扰模型和非推理模型。