基于机器语言的移动代码安全研究-计算机软件与理论专业论文.docxVIP

户国科学技术大学博士学位论文 户国科学技术大学博士学位论文 摘 要 摘 要 随着全球因特网应用的日益普及，从网络上下载并运行不可信代码，已成为 我们日常性的事务：如WEB浏览器下载plug—in插件程序、操作系统装载用户定 义的安全策略和性能测量代码等。运行下载的代码可能是危险的，我们并不知道 这种代码是否安全?是否对主机系统造成某种破坏?我们有必要在代码执行前 对其进行必要的安全验证、在代码运行过程中对其行为实施必要的“监控”，从 而达到保护主机资源的目的。 为实现移动代码的安全检查，我们项目组提出了代码安全检查的三层体系结 构：解决代码一些基本安全(如控制流安全、内存安全、栈安全等)的低级代码 安全策略、解决指令级安全的中级代码安全策略、以及保护主机资源的高级代码 安全策略。 认证编译器是实现三层体系缩构中基于逻辑证明的低级代码安全策略的基 石。本文设计和实现的认证编译器是安全策略体系中代码发送方的核心组件，它 完成了编程语言c一种子集(Minj_C)到汇编语言(Intel x86／Linux)转换的编 泽过程，同时还生成了低级代码安全策略证明系统中所需的注解信息。 三层体系结构中的高级代码安全策略是用于保护主机系统资源的。我们描述 了一种通过限制程序行为的方案来保护主机系统资源，该方案是由平台无关的策 略描述语言和执行这些策略的组件构成。策略描述语言定义的安全策略经策略编 泽器编译生成策略支持库，采用库插入技术生成了原系统共享库的包装(即策略 执行库)。在策略支持库和策略执行库的支撑下，通过对动态连接器进行重新定 向，使应用程序中的所有对共享库的函数调用被截获，并对其进行给定的安全策 略验证。通过对文件系统和存储访问函数调用的截获测试表明，系统设计变得相 当简单，而且还可以获得较高的性能。 基于逻辑证明的低级安全策略对源语言具有很强的依赖性，并且对编译器的 lE确性也有一定的要求，因此本文从另外一种角度对代码的基本安全属性进行静 态分析(这种方法实际上也是一种低级代码安全策略)。该分析方法是～种直接 面向机器代码，并且这种机器代码不包含任何附加注解信息。这样做的好处在于 它允许代码提供方更加自由地使用和选择编程语言和相应的编译器。为实现这种 面向机器语言的安全检查，本文提出了类型化的机器语言的概念，给出了机器语 言的～些主要指令(如：栈操作、算术运算、转移等)操作语义和定型规则等。 通过文中所给出的类型检查算法静态分析机器代码是否类型安全。 关键词：逻辑框架，认证编译器，类型系统，类型化的机器语言，指令定型 规则，类型检查，系统资源，库插入。 r{J因科学技术人学博f‘学位论史Abstract r{J因科学技术人学博f‘学位论史 Abstract With the growth of the global ln Lcrnot．1roperti ng and execHti ng tint rtlSted foreign code has become all evet’yday nccurrence：Web browsel、s downl cad Pl ug—i ns and applets：ope r’ati ng sys LOIIl；J cud CUStomi zed po{i ci us and performance measurement code．Execut i ng code can be dangerous．We do [101 know whether Lhe downl oaded codes i s safe．and whether the host systcms nr(、destroyed by Lhe codes．We need st{I L i cal I Y safety—check for l hc downloaded code before the code’s runni ng、and dynamicallY fitonifor It s act ions in coBrse of i Ls running．so that the hos L system—resources(：nn be protected．Certifi cation of Lhe sailetY of the code i s cFUCiat i n theHc domaj ns． In order to imp]ement safety checki ng for the mobi 1e code．our groups i ntroduce a new s8fetY infrastEUCture．whi Ch i ncj udes thFee 1ayeFS：the l ow．mi ddle，and th