安全多执行机制无干扰性研究.docVIP

安全多执行机制无干扰性研究 　　摘要：无干扰是安全信息流的一个重要需求，安全多执行（SME）是实施无干扰的一种重要方式。本文通过实例指出了反应系统中SME模型在并发调度下可能违背运行无干扰特性，分析了导致这种情况的原因，提出了相应的解决方案。 　　关键词：无干扰；安全多执行；反应系统 　　中图分类号：TP311.1 　　文献标识码：A 　　DOI：10.3969/jissti.1003-6970.2015.06.015 　　本文著录格式：马文辉，郭云川，张会兵，等，安全多执行机制的无干扰性研究[J].软件，2015，36（6）：83-87 　　ResearchonFacial-IightingNormalizationMethods 　　MAWen-hui1，GUOYun_chuan2，ZHANGHui-bing3 　　[Abstract]：SecureMulti-Execution（SME）isanimportantapproachforenforcingnon-interference，whichisacriticalrequirementinthefieldofsecureinformationflow.Inthispaper，RS-SMEsupportingasynchronousI/O，isanalyzed.TheresultshowsthatRS-SMEviolatesnon-interferencewhenexecutedinaconcurrentenvironment.Thereasonanditscorrespondingsolutionareproposed. 　　[Keywords]：Non-interference；Securemulti-execution；Reactivesystem 　　0引言 　　信息流（InformationFlow）控制通过规定系统中不同客体间的信息流动关系来保证信息的合法流动，同传统方法相比，信息流控制不仅可以约束信息的显式流动，而且可以控制信息的隐式流动（实际上信息流中显式流动为隐式流动的一个实例），从而防止相互影响而带来的非法信息流，在信息安全领域中信息流控制是一种较为基础的方法。信息流控制的目标为：防止攻击者通过分析观测某种（些）操作而导致的系统上下文环境改变来推断信息，其核心技术手段是增加不确定性。如攻击者Bob希望获取Alice的信息，但受访问策略等的约束，Bob不能直接读取Alice的信息，在这种情况下Bob可通过观测Alice的操作对上下文环境的改变来推断Alice相关信息，其防护方法是增加Alice操作的不确定性。 　　无干扰是保障信息流安全的基本方式，目前有三种基本机制：限制计算[1]、缓解（Mitigation）[2]及安全多执行（SecureMulti-Execution，SME）机制[3]。限制计算是通过对计算进行某种方式的约束（如约束程序语言中的条件及循环语句），从而避免泄露信息；与限制方式不同，缓解方式的基本假设是现实系统中完全避免信息泄露是不可能的，只要信息泄露量（或泄露带宽）在容许范围内即可。在这两种机制中，限制计算提供了无干扰性质，但由于对计算进行了约束，因此其表达能力受到限制；虽然缓解方式未约束计算行为，但其允许信息泄漏，因此，不是真正意义上无干扰。针对这两种方式的不足，2010年研究者提出了一种全新的保障无干扰机制SME[3]，其核心思想是每个安全级主体均调度执行程序，不同安全级执行时保证只能接收同等或低安全级的输入，并在同等安全级输出。该方式的主要优点是任意程序（包括不满足无干扰的程序）均能以无干扰方式执行，同时不改变无干扰程序的行为。 　　由于SME的内在优点使得研究者围绕SME在安全策略、安全语言及安全实施等方面展开了众多研究，代表性的工作包括：在安全策略方面，针对[3]的全序执行策略，[4]指出该策略只能保障可比较级上的弱无干扰，对于不可比较级不能保障任何无干扰，并提出了格模式执行策略，该策略能够保障可比较标签上的强无干扰及不可比较级上的弱无干扰。在安全语言方面，[5]借鉴SME在动态信息流环境中针对JavaScript引入方面值（FacetedValue），利用单进程模拟高低安全级的多执行，该方法保证最小开销，同时不依赖以前动态方式的阻塞执行，以此获得无干扰性质。在安全实施方面，[6]首次设计了针对Haskell语言的SME库核。[8，9]扩展了概率.时间进程代数，设计时间.概率无干扰的一致性建模方法，并以此为基础给出了度量方法[10，11]给出了面向机密性和完整性的融合模型。 　　特别地，[7]在轻量级Firefox浏览器中实施了基于反应系统（ReactiveSystem，RS）的SME（称之