概率时间安全进程代数及其无干扰性分析.docxVIP

概率时间安全进程代数及其无干扰性分析 在多级安全系统中，访问控制策略，并确定不同安全级之间的通信行为。它可以有效地控制隐性非法信息流，防止低级安全级和高级安全级之间的直接非法通信。然而，恶意特洛伊木马程序和事件可以通过系统中可能存在的隐藏通道（中间通道）间接传输信息，并接收高安全级实体的机密信息。 显式和隐式的信息通信,都可看作是不同安全级进程间信息的流动,而且信息流分析对所有的信息流动进行分析和控制.因此,信息流分析能更好地刻画和控制不同安全级主体间信息的传递.在信息流分析的研究中,文献提出了无干扰(non-interference)的概念.无干扰可理解为低安全级主体不能通过观察高安全级主体的动作推导出任何信息.它为分析隐蔽通道提供了有效的手段.大量文献基于无干扰性分析了系统的安全性,进而提出了若干基于无干扰的信息流安全属性.但是,它们无法捕获通过控制动作执行的概率或特定动作执行的时间来构造的隐蔽通道.因此在文献和文献中分别引入了时间配置和概率配置,对原有理论进行了扩展,使其具备描述时间信息和概率信息,分析时间隐蔽通道和概率隐蔽通道的能力.但是,攻击者可以同时利用概率和时间信息来构造更复杂的隐蔽通道以逃避检测,这样的隐蔽通道称为概率时间隐蔽通道.仅考虑概率信息或时间信息的信息流安全属性无法对这样的隐蔽通道进行捕获.一个系统经过概率信息流分析或时间信息流动分析没有发现隐蔽通道,并不意味着是安全的.孤立地从概率信息或时间信息上分析,无法捕获概率时间隐蔽通道.因此须有一个统一的框架,同时考虑概率和时间信息,对概率时间信息流进行分析. 安全进程代数(security process algebra,SPA)是进行信息流安全性分析最经典的方法之一,它能分析多级安全系统中信息流安全属性,但是它仅针对非确定性行为,无法描述动作的概率信息和时间信息.因此文献在概率配置下对其进行了扩展,提出了概率安全进程代数PSPA,使其具备描述概率行为的能力.但是在概率环境下安全的系统,若考虑了时间因素,则仍可能出现安全问题.因此有必要同时考虑系统的概率和时间因素.为研究概率时间配置下的系统行为,本文在此基础上进行扩展,提出概率时间安全进程代数ptSPA(probabilistic time SPA),使其能够同时描述概率信息和时间信息.基于ptSPA,描述系统的概率、时间行为,分析概率时间信息流的安全属性. 文本的主要贡献包括: 1) 定义了概率时间系统下的安全进程代数ptSPA; 2) 扩展了在概率时间系统下信息流相关的无干扰属性; 3) 证明了概率时间系统中的属性与概率系统中的属性、时间系统中的属性的关系; 4) 为基于进程代数分析时间概率系统提供了一种理论基础. 1 ppsq 在文献中,Focardi和Gorrieri以CCS为基础,引入CSP中的隐藏算子和限制算子,提出了安全进程代数SPA,文献利用SPA对非确定系统建模,并对其信息流安全属性进行分析.随后在文献中,Aldini以SPA为基础,基于生成反应转移系统(generative-reactive transition systems,GRTS),提出了概率安全进程代数PSPA,并对信息流的若干概率安全属性进行了分析.本节以PSPA为基础,提出概率时间安全进程代数ptSPA. 本节首先简要介绍GRTS模型,然后在GRTS模型下给出ptSPA的语法及操作语义,而后在ptSPA中引入概率时间互拟等价的概念,并证明相关命题.本节的主要工作为后续章节提供理论基础. 1.1 生成反应转移系统 本文选用GRTS作为概率模型.该模型可同时表达概率信息和外部环境的非确定性特征.GRTS可以看作标签转移系统的一个扩展,它的标签由输入动作、输出动作和概率组成.在GRTS中输出动作为生成动作,由于其行为是主动的,因此它基于概率分布自动地生成要执行的动作.输入动作为反应动作,由于其行为是根据外部环境被动地按概率分布作出的反应,依赖于外部环境,因此它的动作选择是非确定的,所以反应动作是不完全动作,它必须要和其他系统组件的生成动作进行同步才能构成封闭系统. 可被P执行的生成动作的转移概率之和,以进行归一化处理.在P‖pSQ中可被P执行的生成动作集合为GS,Q={a∈AΤype|a?S∨(a∈S∧Qa*→)},其中S?ATpey-{τ},Q∈ξ.P和Q若能在a*上或a与a*上同步,则它们同步的时间为这2个动作时延时间的较大者,时延小的动作阻塞地等待时延大的动作执行. P/pL表示以p的概率隐藏进程P在动作集L中的动作.隐藏算子P/pa将类型为a的生成动作和反应动作转换为内部动作τ,并根据如下规则修改概率分布: 1) 若P既能执行生成动作a,也能执行反应动作a*,则P/pa按概率p选择由反应动作a*转换而得的τ,以1-p