×
托克塔姆,拉梅扎尼法尔卡尼;奥维,奥拉夫;Tokas、Shukun

一种用于分布式和面向对象系统的保密语言。 (英语) Zbl 1395.68198号

J.日志。阿尔盖布。方法计划。 99, 1-25 (2018).
摘要:在现代系统中,通常需要区分机密(低级)和非机密(高级)信息。应保护机密信息,不得与低级用户交流或共享。这个不干涉policy是一种信息流策略,它规定低级查看器不应该能够观察到具有相同低级输入的任何两个执行之间的差异。只有高级观众才能看到机密输出。当考虑涉及并发和通信的现代分布式系统时,这是一个非平凡的挑战。
本文通过选择既适用于分布式系统编程又允许模块化系统分析的语言机制来解决这一挑战。我们考虑分布式系统的通用并发模型,该模型基于通过异步方法通信的并发对象。该模型适用于现代面向服务系统的建模,并产生有效的交互,避免主动等待和低级同步原语,如显式信令和锁定操作。此并发模型具有简单的语义,允许我们在高抽象级别上关注信息流,并通过避免对机密和非机密数据之间的信息流的不必要限制,允许进行实际分析。
由于并发和分布式系统的非确定性,我们定义了交互不干涉为此设置定制的策略。我们提供了两种静态分析:保密型系统和跟踪分析系统,分别用于捕获对象间通信和网络级通信。我们证明,这些分析技术的结合满足了交互无干扰的要求。因此,通过观察网络通信模式可以发现由隐性信息泄漏导致的任何偏离策略的行为。本文的贡献在于定义了交互不干涉以及形式化的保密类型系统和静态跟踪分析,共同确保交互不受干扰。我们还提供了几个版本的主要示例(新闻订阅服务)来演示网络泄漏。

引用于2文件

MSC公司:

68问题85 并发和分布式计算的模型和方法(进程代数、互模拟、转换网等)
68号30 软件工程的数学方面(规范、验证、度量、需求等)

关键词:

并发对象;异步方法;不干涉;交互不干扰;信息流;保密

软件:

J流量;HLIO公司;甲酚;流量凸轮;哈斯克尔
PDF格式BibTeX公司 XML格式引用
\textit{T.Ramezanifarkhani}等人,J.Log。阿尔盖布。方法计划。99,1-25(2018;Zbl 1395.68198)
全文: 内政部 链接

参考文献:

[1] 海因策,N。;Riecke,J.G.,The slam calculation:programming with secretary and integrity,(POPL'98:第25届ACM SIGPLAN-SIGACT程序设计语言原理研讨会论文集,1998),365-377
[2] 赫丁,D。;Sabelfeld,A.,《信息流控制的观点》,(软件安全与保障——分析与验证工具,北约和平与安全科学丛书——D:信息与通信安全,第33卷,(2012年),IOS出版社),319-347
[3] 克拉克森,M.R。;Schneider,F.B.,Hyperproperties,J.计算。安全。,18, 6, 1157-1210, (2010)
[4] Goguen,J.A。;Meseguer,J.,解卷和推理控制(IEEE安全与隐私研讨会,(1984)),75
[5] 海因策,N。;Riecke,J.G.,The slam calculation:programming with secretary and integrity,(1998),美国计算机学会,365-377
[6] Askarov,A。;亨特,S。;Sabelfeld,A。;Sands,D.,《终端非敏感非干扰泄漏不止一点点》(第13届欧洲计算机安全研究研讨会论文集:计算机安全,ESORICS’08,(2008),柏林施普林格出版社,海德堡),333-348
[7] (2017),开放式web应用程序安全项目(owasp)2010年和2013年前10名
[8] S.Christey、J.E.Kenderdine等人,《常见弱点列举》(CWE版本2.9)(2015年)。;S.Christey、J.E.Kenderdine等人,《常见弱点列举》(CWE版本2.9)(2015年)。
[9] 约翰森,E.B。;Owe,O.,分布式并发对象的异步通信模型,Softw。系统。型号。,6, 1, 35-58, (2007)
[10] 约翰森,E.B。;布兰切特,J.C。;凯斯,M。;Owe,O.,对象内与对象间:creol,Electron中的并发和推理。理论注释。计算。科学。,243, 89-103, (2009)
[11] 多夫兰,J。;约翰森,E.B。;Owe,O。;Steffen,M.,Lazy behavior subtyping,(Cuellar,J.;Maibaum,T.,Proc.15th International Symposium on Formal Methods(FM'08),计算机科学讲义,第5014卷,(2008),Springer),52-67
[12] 郑,L。;Myers,A.C.,《动态安全标签和静态信息流控制》,《国际信息安全杂志》。,6, 2, 67-84, (2007)
[13] 霍尔,C.A.R.,《通信顺序过程》,计算机科学国际丛书,(1985年),普伦蒂斯·霍尔·Zbl 0637.68007号
[14] 布罗伊,M。;Stölen,K.,交互系统的规范和开发,计算机科学专著,(2001),施普林格·Zbl 0981.68115号
[15] Dahl,O.-J.,《可验证编程》,计算机科学国际丛书,(1992),普伦蒂斯·霍尔·Zbl 0790.68005号
[16] Dahl,O.-J.,面向对象规范,(面向对象编程研究方向,(1987),麻省理工学院出版社,马萨诸塞州剑桥,美国),561-576
[17] 约翰森,E.B。;Owe,O。;Yu,I.C.,Creol:分布式并发系统的类型安全面向对象模型,Theor。计算。科学。,365, 1-2, 23-66, (2006) ·Zbl 1118.68031号
[18] Erlingsson,U.,《安全政策执行的内联参考监控方法》,(2004),美国纽约州伊萨卡康奈尔大学,aAI3114521
[19] Kremenek,T。;Engler,D.,Z排名:使用统计分析对抗静态分析近似值的影响,(国际静态分析研讨会,(2003),Springer),295-315·Zbl 1067.68545号
[20] Owe,O。;Ramezanifarkhani,T.,并发面向对象系统中交互的机密性,(Garcia-Alfaro,J.;Navarro-Arribas,G.;Hartenstein,H.;Herrera-Joancomartí,J.,《数据隐私管理、加密货币和区块链技术》,(2017),施普林格国际出版商会),19-34
[21] 丁,C.C。;Owe,O.,一个完善的推理系统,用于与共享未来进行异步通信,J.Log。代数方法程序。,83, 5-6, 360-383, (2014) ·Zbl 1371.68190号
[22] Denning,D.E。;Denning,P.J.,安全信息流程序认证,Commun。美国医学会,20,7,504-513,(1977)·Zbl 0361.68033号
[23] Myers,A.C.,Jflow:实用的大部分静态信息流控制,(第26届美国计算机学会SIGPLAN-SIGCT编程语言原理研讨会论文集,(1999),美国计算机学会),228-241
[24] 沃尔帕诺,D。;史密斯,G。;Irvine,C.,《安全流量分析的声音类型系统》,J.Compute。安全。,4, 2-3, 167-187, (1996)
[25] V.Simonet,《流量凸轮系统》。软件版本,2003年7月,可在cristal.inria.fr/simonet/flowcaml上获得;V.Simonet,《流量凸轮系统》。软件版本,2003年7月,可在cristal.inria.fr/simonet/flowcaml上获得
[26] Venkatakrishnan,V.N。;徐伟(Xu,W.)。;杜瓦尼特区。;Sekar,R.,《显著纠正运行时对非干扰属性的强制执行》(信息和通信安全国际会议,(2006年),施普林格),332-351
[27] Leino,K.R.M。;Joshi,R.,《安全信息流的语义方法》,《计算机科学讲义》,第1422卷,第254-271页,(1998年)
[28] 阿拉巴马州达瓦斯。;Hähnle,R。;Sands,D.,《安全信息流分析的定理证明方法》(普适计算安全国际会议,(2005),Springer),193-209年
[29] 奥斯汀,T.H。;Flanagan,C.,高效纯动态信息流分析,ACM SIGPLAN Not。,44, 8, 20-31, (2009)
[30] Devriese,D。;Piessens,F.,《通过安全多执行实现不干扰》,(2010年IEEE安全与隐私研讨会,SP,(2010),IEEE),109-124
[31] 郑,L。;Myers,A.C.,《动态安全标签和不干涉》(Dynamic security labels and non-interference),(《安全与信任的形式方面》,2005年),施普林格出版社,第27-40页
[32] 谢,S。;Zdancewic,S.,信息流型系统中的运行时原则,ACM Trans。程序。语言系统。,30, 1, 6, (2007)
[33] Sabelfeld,A。;Russo,A.,《从动态到静态再到反向:乘坐信息流控制研究的过山车》,(Pnueli,A.;Virbitskaite,I.;Voronkov,A.,系统信息学观点,第5947卷,(2010),斯普林格-柏林,海德堡),352-365
[34] 鲁索,A。;Sabelfeld,A.,《动态与静态流敏感安全分析》,(第23届IEEE计算机安全基础研讨会论文集,CSF 2010,英国爱丁堡,2010年7月17日至19日,(2010),IEEE计算机学会),186-199
[35] Beringer,L.,端到端多级混合信息流控制,(亚洲编程语言与系统研讨会,(2012),Springer),50-65
[36] 别拉斯,P。;Vytiniotis,D.型。;Russo,A.,HLIO:Haskell中信息流控制的静态和动态混合类型,(Fisher,K.;Reppy,J.H.,《第20届ACM SIGPLAN国际功能编程会议论文集》,ICFP 2015,加拿大不列颠哥伦比亚省温哥华,2015年9月1-3日,(2015),ACM),289-301·Zbl 1360.68316号
[37] Sayed,B.,使用混合流敏感信息流监控防范恶意javascript,(2015),加拿大维多利亚大学电气与计算机工程系博士论文
[38] 刘杰。;M.乔治。;维克兰,K。;齐,X。;Waye,L。;Myers,A.,Fabric:一个用于安全分布式计算和存储的平台,(美国计算机学会SIGOPS第22届操作系统原理研讨会论文集,SOSP'09,美国计算机学会,纽约,纽约,美国,(2009)),321-334
[39] Guernic,G.L.,基于自动化的并发程序机密性监控,(IEEE计算机安全基础研讨会论文集,(2007)),218-232
[40] Miller,M.S.,《健壮组合:访问控制和并发控制的统一方法》,(2006年),约翰·霍普金斯大学博士论文
[41] 锤子,C。;Snelting,G.,基于程序依赖图的流敏感、上下文敏感和对象敏感信息流控制,国际期刊信息安全。,2009年8月6日,399-422
[42] Hammer,C.,基于PDG的IFC的经验,(工程安全软件和系统国际研讨会,(2010),Springer),44-60
[43] Fisher,K。;Launchbury,J。;Richards,R.,《HACMS程序:使用正式方法消除可利用的错误》,Phil.Trans。R.Soc.A,375,2104,(2017)
[44] 沃德尔特区。;米尔斯,R.F。;彼得森,G.L。;Oxley,M.E.,《通过对恶意代理交互进行形式验证建模来揭示和解决网络物理系统中的安全漏洞的方法》,Proc。计算。科学。,95, 24-31, (2016)
[45] Owe,O.,面向对象和分布式系统的可验证编程,(Petre,L.;Sekerinski,E.,《从行动系统到分布式系统——精炼方法》,(2016),Chapman和Hall/CRC),61-79
[46] Owe,O.,《关于面向对象并发系统中继承和无限制重用的推理》,(Al brahám,E.;Huisman,m.,《集成形式方法-会议记录》,第12届国际会议,2016年IFM,冰岛雷克雅未克,2016年6月1日至5日,计算机科学讲义,第9681卷,(2016),Springer),210-225
[47] Ramezanifarkhani,T。;Razzazi,M.,《数据流完整性原则:规范和实施》,J.Inf.Sci。工程师,31,2,529-546,(2015)
[48] Mantel,H。;Sudbrock,H.,《信息流分析中的类型与PDG》,(基于逻辑的程序合成与转换国际研讨会,(2012),Springer),106-121·Zbl 1394.68078号
[49] Din,C.C。;多夫兰,J。;约翰森,E.B。;Owe,O.,《分布式系统的可观察行为:并发对象的组件推理》,J.Log。代数程序。,81, 3, 227-256, (2012) ·Zbl 1247.68184号
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。