×
安德烈·波佩斯库;彼得·拉姆米奇;侯萍

CoCon:正式验证文件机密性的会议管理系统。 (英语) Zbl 07356975号

J.汽车。推理 65,编号2,321-356(2021).
摘要:我们提供了一个实际系统正式验证安全性的案例研究:web应用程序功能内核CoCon会议管理系统的信息流安全性验证。我们使用Isabelle定理证明器来指定和验证细粒度的机密性属性,以及补充的安全性和“回溯”属性。这种发展在表达性方面提出的挑战导致了有界可导出安全性,这是一种新的安全模型和验证方法,通常适用于可描述为输入/输出自动机的系统。

MSC公司:

68伏15 定理证明(自动和交互式定理证明、演绎、解析等)

关键词:

信息流安全;保密;防松方法;定理证明;伊莎贝尔/HOL;会议管理系统

软件:

伊莎贝尔/HOL;蛋糕ML;Jif公司;存档正式证据;CAVA LTL模型检查器;ConfiChair公司;FlowFox公司;网址(Ur/Web);JRIF公司;seL4级;CoCon公司;CoSMed公司
PDF格式BibTeX公司 XML格式引用
\textit{A.Popescu}等人,J.Autom。推理65,No.2,321--356(2021;Zbl 07356975)
全文: 内政部

参考文献:

[1] Arapinis,M.、Bursuc,S.、Ryan,M.:隐私支持云计算:confichair,案例研究。摘自:《邮报》,第89-108页(2012年)
[2] Askarov,A.,Chong,S.:学习是知识的改变:基于知识的动态策略安全。收录于:CSF,第308-322页(2012年)
[3] Askarov,A。;Myers、AC、攻击者对机密性和完整性的控制和影响、日志。计算方法。科学。(2011) ·Zbl 1237.68055号 ·doi:10.2168/LMCS-7(3:17)2011年
[4] Askarov,A.,Sabelfeld,A.:逐步发布:统一解密、加密和密钥发布策略。摘自:IEEE安全与隐私研讨会,第207-221页(2007年)
[5] Askarov,A.,Sabelfeld,A.:严格执行动态语言的信息发布政策。收录于:CSF,第43-59页(2009年)
[6] Bauerieß,T.,Pesenti Gritti,A.,Popescu,A.,Raimondi,F.:CoSMeDis:具有正式验证的保密性保证的分布式社交媒体平台。摘自:IEEE安全与隐私研讨会,第729-748页(2017年)·Zbl 1451.68168号
[7] Bauerieß,T。;Pesenti Gritti,A。;Popescu,A。;Raimondi,F.,CoSMed:一个经过保密验证的社交媒体平台,J.Autom。原因。,61, 1-4, 113-139 (2018) ·Zbl 1451.68168号 ·doi:10.1007/s10817-017-9443-3
[8] Bell,E.D.,La Padula,J.L.:《安全计算机系统:统一阐述和多学科解释》,1975年。技术报告MTR-2997,MITRE,马萨诸塞州贝德福德
[9] Bichhawat,A.、Rajani,V.、Garg,D.、Hammer,C.:WebKit的JavaScript字节码中的信息流控制。收录于:邮政,第159-178页(2014年)
[10] Blanchet,B.,Abadi,M.,Fournet,C.:安全协议选定等效项的自动验证。收录于:LICS,第331-340页(2005年)·Zbl 1135.68007号
[11] JC布兰切特;Merz,S.,交互定理证明:第七届国际会议,ITP 2016,法国南希,2016年8月22日至25日,会议记录(2016),柏林:施普林格,柏林·Zbl 1343.68004号
[12] 布罗伯格,N。;van Delft,B。;Sands,D.,Paragon:信息流控制的实用编程,J.Comput。安全。,25, 4-5, 323-365 (2017) ·doi:10.3233/JCS-15791
[13] Chlipala,A.:Ur/Web:一个简单的网络编程模型。收录于:POPL,第153-165页(2015)
[14] Chugh,R.、Meister,J.A.、Jhala,R.和Lerner,S.:Javascript的分阶段信息流。收录于:PLDI,第50-62页(2009年)
[15] Clarkson,M.R.,Finkbeiner,B.,Koleini,M.,Micinski,K.K.,Rabe,M.N.,Sánchez,C.:超属性的时间逻辑。摘自:《邮报》,第265-284页(2014年)
[16] Cohen,E.S.:计算系统中的信息传输。收录于:SOSP,第133-139页(1977年)
[17] Dam,M.,Guanciale,R.,Khakpour,N.,Nemati,H.,Schwarz,O.:简单的基于ARM的分离内核的信息流安全性的形式验证。收录于:CCS,第223-234页(2013年)
[18] de Amorim,AA;柯林斯,N。;DeHon,A。;德曼热,D。;Hritcu,C。;Pichardie,D。;不列颠哥伦比亚省皮尔斯市;波拉克,R。;Tolmach,A.,《经验证的信息流体系结构》,J.Compute。安全。,24, 6, 689-734 (2016) ·doi:10.3233/JCS-15784
[19] de Nivelle,H.,《使用分析表和相关方法的自动推理——第24届国际会议》,Tableaux 2015,Wrocław,波兰,2015年9月21日至24日。《会议记录》(2015),柏林:施普林格,柏林·Zbl 1325.68016号
[20] Dimitrova,R.、Finkbeiner,B.、Kovács,M.、Rabe,M.N.、Seidl,H.:反应系统中的模型检查信息流。收录于:VMCAI,第169-185页(2012年)·Zbl 1326.68182号
[21] Esparza,J.、Lammich,P.、Neumann,R.、Nipkow,T.、Schimpf,A.、Smaus,J.:一个经过充分验证的可执行LTL模型检查器。收录于:CAV,第463-478页(2013年)
[22] Finkbeiner,B.,Rabe,M.N.,Sánchez,C.:模型检查超链接和超链接的算法。收录于:CAV,第30-48页·Zbl 1381.68161号
[23] Focardi,R.,Gorrieri,R.:安全属性的分类(第一部分:信息流)。收录于:FOSAD,第331-396页(2000年)·兹比尔1007.68508
[24] DB Giffin;利维,A。;斯特凡,D。;Terei博士。;Mazières,D。;米切尔,JC;Russo,A.,Hails:保护不受信任的web应用程序中的数据隐私,J.Compute。安全。,25, 4-5, 427-461 (2017) ·doi:10.3233/JCS-15801
[25] Goguen,J.A.,Meseguer,J.:安全政策和安全模型。摘自:IEEE安全与隐私研讨会,第11-20页(1982年)
[26] Goguen,J.A.,Meseguer,J.:展开和推理控制。摘自:IEEE安全与隐私研讨会,第75-87页(1984年)
[27] Gollmann,D.,《计算机安全》(2005),纽约:威利,纽约
[28] Greiner,S.,Grahl,D.:不干涉基于组件的系统中的what解密。收录于:CSF,第253-267页。IEEE计算机学会(2016)
[29] Groef,W.D.,Devriese,D.,Nikiforakis,N.,Piessens,F.:FlowFox:具有灵活和精确信息流控制的网络浏览器。收录于:CCS,第748-759页(2012年)
[30] Guttman,J.D.,Rowe,P.D.:信息流的切割原则。摘自:Fournet,C.,Hicks,M.W.,Viganó,L.(编辑)IEEE第28届计算机安全基础研讨会,2015年CSF,意大利维罗纳,2015年7月13日至17日,第107-121页。IEEE(2015)
[31] Haftmann,F.:从高阶逻辑中的规范生成代码。慕尼黑工业大学博士论文(2009年)
[32] 哈夫特曼,F。;Nipkow,T.,通过高阶重写系统生成代码,FLOPS,2010,103-117(2010)·Zbl 1284.68131号
[33] JY Halpern;KR O'Neill,《多智能体系统中的保密》,ACM Trans。信息系统。安全。,12, 1, 1-47 (2008) ·数字对象标识代码:10.1145/1410234.1410239
[34] Hardin,D.S.、Smith,E.W.、Young,W.D.:一个用于高度安全应用程序的健壮机器代码验证框架。收录:Manolios,P.,Wilding,M.(编辑)ACL2,第11-20页(2006年)
[35] Hawblitzel,C.,Howell,J.,Lorch,J.R.,Narayan,A.,Parno,B.,Zhang,D.,Zill,B.:铁甲应用:通过自动全系统验证实现端到端安全。收录于:USENIX,第165-181页(2014)
[36] Hou,P.、Lammich,P.和Popescu,A.:本论文的网站。http://andreipopescu.uk/papers/CoConExtended.html
[37] Jang,D.,Tatlock,Z.,Lerner,S.:通过正式的填充验证建立浏览器安全保障。收录于:USENIX Security,第113-128页(2012年)
[38] Jif:Java+信息流,2014年。网址:http://www.cs.cornell.edu/jif
[39] Kanav,S.、Lammich,P.、Popescu,A.:一个经过验证的文件机密性会议管理系统。收录于:CAV,第167-183页(2014年)
[40] 克莱因,G。;安德罗尼克,J。;埃尔芬斯通,K。;Heiser,G。;公鸡,D。;Derrin,P。;Elkaduwe,D。;Engelhardt,K。;科兰斯基,R。;诺里什,M。;苏厄尔,T。;Tuch,H。;Winwood,S.,seL4:操作系统内核的形式验证,Commun。ACM,53,6,107-115(2010)·doi:10.1145/1743546.1743574
[41] Kozyri,E.,Arden,O.,Myers,A.C.,Schneider,F.B.:JRIF:java的反应式信息流控制。摘自:《安全、协议和等式推理基础——献给凯瑟琳·梅多斯的分析》,第70-88页(2019年)·Zbl 07176723号
[42] Kumar,R.、Myreen,M.O.、Norrish,M.、Owens,S.:CakeML:ML的验证实施。收录:POPL,第179-192页(2014)·Zbl 1284.68405号
[43] Lampson,BW,保护,操作。系统。修订版,第8、1、18-24页(1974年)·doi:10.1145/775265.775268
[44] Leroy,X.,真实编译器的形式验证,Commun。ACM,52,7,107-115(2009)·doi:10.1145/1538788.1538814
[45] 刘杰。;俄勒冈州雅顿。;George,医学博士;Myers,AC,Fabric:通过构造安全地构建开放分布式系统,J.Compute。安全。,25, 4-5, 367-426 (2017) ·doi:10.3233/JCS-15805
[46] Lochbihler,A.:Java和Java内存模型——一种统一的、机器检查的形式化。收入:ESOP,第497-517页(2012年)·Zbl 1352.68034号
[47] Mantel,H.:信息流控制和应用——跨越鸿沟。In:FME,第153-172页(2001)·Zbl 0977.68681号
[48] Mantel,H.:信息流安全正式规范和验证的统一框架。萨尔布吕肯大学博士论文(2003)
[49] Mantel,H.:信息流和不干涉。收录于:《密码与安全百科全书》(第二版),第605-607页(2011年)
[50] McCullough,D.:多级安全和连接属性规范。摘自:IEEE安全与隐私研讨会(1987年)
[51] McLean,J.:选择性交错函数下闭合迹集合成的一般理论。摘自:IEEE安全与隐私研讨会论文集,第79-93页(1994年)
[52] McLean,J.:安全模型。收录:软件工程百科全书(1994)
[53] Mehta,A.、Elnikety,E.、Harvey,K.、Garg,D.、Druschel,P.:Qapla:数据库支持系统的政策合规性。收录于:USENIX Security,第1463-1479页(2017年)
[54] Milner,R.,《沟通与并发》(1989年),《上鞍河:上鞍河Prentice Hall》·Zbl 0683.68008号
[55] JS摩尔;林奇,TW;考夫曼,M.,amd(5{}_{\text{k}}86{}^{text{tm}})浮点除法程序的机械检验证明,IEEE Trans。计算。,47, 9, 913-926 (1998) ·Zbl 1392.68051号 ·doi:10.1109/12.713311
[56] Murray,T.C.,Matichuk,D.,Brassil,M.,Gammie,P.,Bourke,T.,Seefried,S.,Lewis,C.,Gao,X.,Klein,G.:seL4:从通用到信息流证明的实施。摘自:《安全与隐私》,第415-429页(2013年)
[57] Murray,T.C.,Matichuk,D.,Brassil,M.,Gammie,P.,Klein,G.:操作系统内核无干扰。收录于:CPP,第126-142页(2012年)·Zbl 1383.68021号
[58] TC Murray;Sabelfeld,A。;Bauer,L.,《验证信息流安全特刊》,J.Comput。安全。,25, 4-5, 319-321 (2017) ·doi:10.3233/JCS-0559
[59] Murray,T.C.,Sison,R.,Engelhardt,K.:COVERN:信息流控制的组合验证逻辑。摘自:《欧洲标准普尔》,第16-30页。IEEE(2018)
[60] Nipkow,T。;Klein,G.,《具体语义:与Isabelle/HOL(2014)》,柏林:施普林格出版社,柏林·Zbl 1410.68004号 ·doi:10.1007/978-3-319-10542-0
[61] Nipkow,T。;保尔森,LC;Wenzel,M.,Isabelle/HOL:高阶逻辑的证明助手(2002),柏林:施普林格出版社,柏林·Zbl 0994.68131号 ·doi:10.1007/3-540-45949-9
[62] O'Halloran,C.:信息流演算。收录于:ESORICS,第147-159页(1990年)
[63] 波佩克,GJ;Farber,DA,操作系统数据安全验证模型,Commun。美国医学会,21,9,737-749(1978)·Zbl 0399.68036号 ·doi:10.1145/359588.359597
[64] Rabe,M.N.,Lammich,P.,Popescu,A.:超晶格的浅埋。正式证据档案,2014(2014)
[65] 可靠安全软件系统(RS3):德国研究基金会(DFG)的优先项目,(2019年)。网址:https://www.pp-rs3.de
[66] 罗纳德·费金,YM;JY Halpern;Vardi,M.,《知识推理》(Reasoning About Knowledge)(2003),剑桥:麻省理工学院出版社,剑桥·Zbl 0839.68095号
[67] Rushby,J.:不干涉、传递性和渠道控制安全政策。技术报告,1992年12月
[68] Ryan,P.Y.A.:计算机安全的数学模型。收录于:FOSAD,第1-62页(2000年)·Zbl 1007.68129号
[69] Sabelfeld,A。;Myers,AC,基于语言的信息流安全,IEEE J.Sel。公共区域。,21, 1, 5-19 (2003) ·doi:10.1109/JSAC.2002.806121
[70] Sabelfeld,A.,Myers,A.C.:分隔信息发布模型。收录于:ISSS,第174-191页(2003年)
[71] Sabelfeld,A。;Sands,D.,《解密:维度和原理》,J.Compute。安全。,17, 5, 517-548 (2009) ·doi:10.3233/JCS-2009-0352
[72] Sangiorgi,D.,关于互模拟证明方法,数学。结构。计算。科学。,8, 5, 447-479 (1998) ·Zbl 0916.68057号 ·doi:10.1017/S0960129598002527
[73] SPARK,2014年。http://www.spark-2014.org
[74] 萨瑟兰:信息模型。摘自:第九届国家安全会议,第175-183页(1986年)
[75] Redis系统。https://redis.io网址, 2019
[76] EasyChair会议系统,2014年。http://easychair.org
[77] HotCRP会议管理系统,2014年。http://read.seas.harvard.edu/科勒/热刺
[78] 《Scalatra网络框架》,2019年。网址:http://scalatra.org/
[79] Wimmer,S.,Lammich,P.:时间自动机的验证模型检查。收录于:TACAS,第61-78页(2018年)·Zbl 1423.68294号
[80] 肖,Z。;Kathiresshan,北卡罗来纳州。;Xiao,Y.,《计算机网络和分布式系统责任调查》,Secur。Commun公司。净值。,9, 4, 290-315 (2016) ·doi:10.1002/sec.574
[81] Yang,J.,Yessenov,K.,Solar-Lezama,A.:自动执行隐私政策的语言。收录于:POPL,第85-96页(2012年)
[82] Zdancewic,S.,Myers,A.C.:稳健的解密。收录于:CSFW,第15-23页(2001年)
此参考列表基于出版商或数字数学图书馆提供的信息。它的项目与zbMATH标识符启发式匹配,并且可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。