面向Android隐私保护机制的多域隔离模型设计

针对Android系统粗粒度的权限机制及隐私保护机制安全性较低的问题,提出粒度可控的多域隔离隐私保护模型MDSDroid,并在Android系统上设计模型实现框架。通过定义模型变量以及访问控制策略,实现应用程序及其数据间的隔离和强安全访问控制机制。采用Z语言对模型进行形式定义,并运用形式验证工具Z/EVES进行形式分析,保证模型策略的正确执行,在增强系统安全的同时保护隐私数据的安全性。实验结果表明,该模型系统与Android原生系统相比具有较低的性能损耗。     

基于不干扰理论的隔离语义描述及隔离策略的自动化验证方法研究

隔离有助于阻止信息泄露或被篡改、错误或失败被传递等.利用不干扰理论给出了隔离的精确语义,以利于分析和制定系统的隔离策略;利用通信顺序进程CSP来定义上述隔离语义,并给出一个系统满足给定隔离策略的判定断言,以利于借助形式化验证工具FDR2来实现系统内隔离策略的自动化验证.以基于虚拟机的文件服务监控器为例,展示了如何利用CSP来建模一个系统及其隔离策略以及如何利用FDR2来验证该系统模型满足给定的隔离策略.     

基于精化的可信执行环境内存隔离机制验证

可信执行环境(trusted execution environment, TEE)基于硬件隔离机制,为安全敏感应用提供隔离的执行环境,保护敏感数据的安全性.内存隔离机制是TEE的关键机制之一,用于对安全内存和非安全内存进行隔离,并对安全内存实施访问控制,如果其安全性不能保证,可能造成存储在安全内存中的敏感数据泄露.为验证TEE内存隔离机制的安全性,针对基于ARM TrustZone技术构建的TEE,提出一种基于精化的可信执行环境内存隔离机制安全性验证方法.建立抽象模型和具体模型,并定义两种模型之间的精化关系,在证明精化关系成立和抽象模型满足信息流安全性的前提下,验证具体模型的信息流安全性.具体模型建模了TEE内存隔离机制的关键硬件和软件,包括TrustZone地址空间控制器、MMU和TrustZone monitor等,在定理证明器Isabelle/HOL中,验证了该模型满足无干扰、无泄露、无影响等信息流安全属性.     

一种透明的可信云租户隔离机制研究

租户隔离是云计算能被作为第三方服务提供给租户的重要前提,因此云租户隔离机制的安全有效性能否被租户信任对云计算服务的推广非常关键.但是在云计算这种第三方服务模式中,由于租户不能参与云服务基础设施及其安全隔离机制的建设和管理过程,因此他们难以对云租户隔离机制的安全有效性建立信心.本文将透明性要求视为可信云租户隔离机制的一部分,将云租户隔离机制和租户透明要求都转化为云服务系统中不同安全域之间的信息流, 对云租户隔离机制进行定义,并制定云计算平台中的域间信息流策略控制方式,最后基于信息流无干扰理论证明了所定义的云租户隔离机制在安全方面的有效性.     

操作系统汇编级形式化设计和验证方法

由于系统的巨大规模,操作系统设计和实现的正确性很难用传统的方法进行描述和验证.在汇编层形式化地对系统模块的功能语义进行建模,提出一种汇编级的系统状态模型,作为汇编语言层设计和验证的纽带.通过定义系统状态模型的合法状态和状态转换函数来建立系统状态模型的论域,并以此来描述汇编层的论域.通过验证汇编层的功能模块的正确性来保证汇编语言层设计的正确性,达到对系统功能实现的正确性验证.同时,使用定理证明工具Isabelle/HOL来形式化地描述这一系统状态模型,基于这一形式化模型,在Isabelle/HOL中验证系统模块的功能语义的正确性.以实现的安全可信OS（verified secure operating system,简称VSOS）为例,阐述了所提出的形式化设计和验证方法,说明了这一方法的可行性.     

基于安全域隔离的LAMP服务器安全保护方案

针对LAMP网站系统安全防护多集中于服务本身以及网络安全,无法提供网站服务器系统级的安全保障的问题,提出了一种基于安全域隔离的LAMP网站服务器保护方案,为相关服务设计安全域并制定访问控制规则,通过强制访问控制对服务器系统进行保护.方案设计思想简明,易于实现.分析证明,该方案可防范多种攻击手段,有效提高服务器系统的安全性.     

安全不能牺牲应用--多层次的服务器新理念

网络安全的解决方式一直以来就存在两个派别：隔离派与安全域派，但真正的物理隔离是以牺牲应用为代价的。安全域则要求根据各个企业以及政府业务的重要性，也就是市场的安全需求划分不通级别的安全域（不同级别的网络），每个安全域里面的数据都是带有敏感标记的。在中航嘉信（SSR）副总经理艾奇伟看来，服务器安全有着新的定义：服务器必须能够提供应用，必须要有应用系统。艾奇伟进一步解释说，服务器的安全应该是一个多层次的概念，应该分为硬件层、系统层、应用层和管理层。在实际应用中，每一层都应达到安全，并且层层之间互连互通，才是服务器安全的发展方向，而中航嘉信的TSOC解决方案就是这样一个可信服务器的安全平台。     

基于安全域隔离的嵌入式系统的访问控制机制研究

针对嵌入式领域安全关键系统的信息安全问题,提出了基于安全域隔离的访问控制模型,采用分区间信息流隔离控制机制,结合分区间消息路由和消息权限鉴别机制,实现了分区操作系统中安全关键类应用任务的多级安全访问控制,并依据该模型设计了多级安全操作系统的访问控制机制。通过安全性分析证明,该机制使基于微内核的嵌入式操作系统能够防止非法的资源访问、身份伪装、信息泄露和隐秘通道等安全威胁;经过系统的性能测试表明,安全访问控制机制的引入使嵌入式操作系统的综合性能消耗约为10%左右。     

基于策略的安全模型研究

设计了一个基于策略的安全模型PMA（Policy Middleware Application）。PMA将安全管理目标及需求用形式化策略语言描述,实现了安全管理目标与应用技术的结合;借助中间件实施对安全模块的管理,将系统业务逻辑与安全行为分离,增强了安全防护的灵活性和扩展性;借助基于事件状态驱动的形式化分析方法,实现了基于策略的安全行为和状态的控制。     

基于状态转移系统的安全协议形式模型

提出一种基于状态转移系统的安全协议模型,以Dolev-Yao攻击者模型为前提假设,以状态转移系统为框架,用语义编码的方式定义消息和事件,用重写关系定义协议规则,用事件的集合来描述协议的安全属性,并给出安全属性的检验策略。该模型能够对安全协议进行精确的形式化描述,且便于实现自动化分析。     

跨域引用监视器及其以数据为中心的多级安全模型

为基于不可信计算机系统来构建一个可信的多级安全(MLS)大系统,提出一种新型的跨域引用监视器及其多级安全模型。该跨域引用监视器采用现有的商业现货(COTS)产品,使用一个或多个独立的计算机,在两个或多个不同的网络之间,通过满足EAL7的单向传输硬件装置来连接。基于该跨域监视器实现了以数据为中心的多级安全模型。该模型允许信息从低密级网络流向高密级网络,也允许高密级网络把低密级数据发布给低密级网络,禁止高密级网络的高密级信息和无密级标记信息流向低密级网络,并已在分级保护的网络系统中成功应用。通过安全模型和安全策略的形式化描述和证明表明,基于该安全模型构建可信MLS大系统是可行的。     

基于精化的TrustZone多安全分区建模与形式化验证

TrustZone作为ARM处理器上的可信执行环境技术,为设备上安全敏感的程序和数据提供一个隔离的独立执行环境.然而,可信操作系统与所有可信应用运行在同一个可信环境中,任意组件上的漏洞被利用都会波及系统中的其他组件.虽然ARM提出了S-EL2虚拟化技术,支持在安全世界建立多个隔离分区来缓解这个问题,但实际分区管理器中仍可能存在分区间信息泄漏等安全威胁.当前的分区管理器设计及实现缺乏严格的数学证明来保证隔离分区的安全性.详细研究了ARM TrustZone多隔离分区架构,提出一种基于精化的TrustZone多安全分区建模与安全性分析方法,并基于定理证明器Isabelle/HOL完成了分区管理器的建模和形式化验证.首先,基于逐层精化的方法构建了多安全分区模型RMTEE,使用抽象状态机描述系统运行过程和安全策略要求,建立多安全分区的抽象模型并实例化实现分区管理器的具体模型,遵循FF-A规范在具体模型中实现了事件规约;其次,针对现有分区管理器设计无法满足信息流安全性验证的不足,设计了基于DAC的分区间通信访问控制,并将其应用到TrustZone安全分区管理器的建模与验证中;再次,证明了具体模型...     

A formal role-based access control model for security policies in multi-domain mobile networks

Mobile users present challenges for security in multi-domain mobile networks. The actions of mobile users moving across security domains need to be specified and checked against domain and inter-domain policies. We propose a new formal security policy model for multi-domain mobile networks, called FPM-RBAC, Formal Policy Model for Mobility with Role Based Access Control. FPM-RBAC supports the specification of mobility and location constraints, role hierarchy mapping, inter-domain services, inter-domain access rights and separation of duty. Associated with FPM-RBAC, we also present a formal security policy constraint specification language for domain and inter-domain security policies. Formal policy constraint specifications are based on ambient logic and predicate logic. We also use ambient calculus to specify the current state of a mobile network and actions within security policies for evaluation of access requests according to security policies. A novel aspect of the proposed policy model is the support for formal and automated analysis of security policies related to mobility within multiple security domains.     

一个基于强制访问控制和信息流的安全系统模型

本文介绍了以DTE为原型的强制访问控制模型和以格阵为原型的信息流模型。并在此基础上提出了一种改进的安全系统模型,该模型在实施DTE的系统中,通过对域的安全级和 上下文的约定,隐式地采用格模型为其伙伴安全策略,确保了系统的完整性和保密性。最后还介绍了如何利用该模型来防范特洛伊木马。     

Refinement-based Modeling and Formal Verification for Multiple Secure Partitions of TrustZone

As a trusted execution environment technology on ARM processors, TrustZone provides an isolated and independent execution environment for security-sensitive programs and data on the device. However, running the trusted OS and all the trusted applications in the same environment may cause problems---The exploitation of vulnerabilities on any component may affect the others in the system. Although ARM proposed the S-EL2 virtualization technology, which supports multiple isolated partitions in the secure world to alleviate this problem, there may still be security threats such as information leakage between partitions in the real-world partition manager. Current secure partition manager designs and implementations lack rigorous mathematical proofs to guarantee the security of isolated partitions. This study analyzes the multiple secure partitions architecture of ARM TrustZone in detail, proposes a refinement-based modeling and security analysis method for multiple secure partitions of TrustZone, and completes the modeling and formal verification of the secure partition manager in the theorem prover Isabelle/HOL. First, we build a multiple secure partitions model named RMTEE based on refinement: an abstract state machine is used to describe the system running process and security policy requirements, forming the abstract model. Then the abstract model is instantiated into the concrete model, in which the event specification is implemented following the FF-A specification. Second, to address the problem that the existing partition manager design cannot meet the goal of information flow security verification, we design a DAC-based inter-partition communication access control and apply it to the modeling and verification of RMTEE. Lastly, we prove the refinement between the concrete model and the abstract model, and the correctness and security of the event specification in the concrete model. The formalization and verification consist of 137 definitions and 201 lemmas (more than 11,000 lines of Isabelle/HOL code). The results show that the model satisfies confidentiality and integrity, and can effectively defend against malicious attacks on partitions.     

基于多级安全策略的二维标识模型

安全模型是用形式化的方法来描述如何满足系统的安全要求．经典的安全模型都只能要么满足系统的保密性要求(如BLP模型)，要么满足完整性的要求(如Biba模型)．该文提出了一个多级安全策略的二维标识模型，在对可信主体必须遵守最小特权原则的前提下，利用保密性标识和可信度标识共同构成主客体的访问标识，并利用两个约束条件，使得既能防止越权泄露信息．又能控制信息的非授权修改，从而同时保证了系统的保密性和完整性．     

基于信息流的多级动态可信度量模型

系统运行时受环境和各种外界因素影响,加之内部多实体间信息流相互干扰,可能会破坏系统的可信性,最终导致产生非预期输出。现有研究主要针对初始化可信硬件环境下实体的完整性度量,未能考虑机密性带来的可信影响,同时对于实体可信度量的频率未能与实体推进时机同步。基于此提出一种基于信息流传递理论的多级动态可信度量模型,该模型以信息流的非传递无干扰理论为依据,通过引入可信代理模块,设计一种多级安全访问控制策略,分别从实体完整性和机密性两方面对系统中实体进行动态可信性度量。最后给出该模型的形式化描述和可信证明,结合抽象系统实例来说明该模型的有效性,相比现有研究,所提模型具有更好的度量实时性,是一种上下文感知的细粒度可信度量模型。     

可视化的安全策略形式化描述与验证系统

通过分析安全策略中可能出现的问题,对安全策略的一致性与完备性进行形式化定义。通过构造安全策略的状态模型,提出策略的一致性与完备性验证算法。基于可扩展访问控制标记语言,设计并实现一种安全策略的形式化描述与验证系统。该系统将形式化的验证过程自动化,以可视化的形式为普通用户提供一种高效的策略验证工具。     

基于下推系统可达性分析的程序机密消去机制

针对程序语言信息流安全领域的现有机密消去策略,提出了一种基于下推系统可达性分析的程序信息流安全验证机制.将存储-匹配操作内嵌于对抽象模型的紧凑自合成结果中,使得对抽象结果中标错状态的可达性分析可以作为不同机密消去策略下程序安全性的验证机制.实例研究说明,该方法比基于类型系统的方法具有更高的精确性,且比已有的自动验证方法更为高效.     

基于票证的安全策略协同模型的设计与实现

为了在异构信息系统之间能够有效地共享资源,就需要在不同的安全策略域之间实现安全策略的协同。该文建立并形式化了安全策略域标识和域关系模型,以及模型实现中两个最关键的问题——全局解析机构和域标识解析的解决方法。进一步,给出了一个基于票证的安全策略协同模型,以一种统一的策略来表示处理系统中的各种授权和访问控制,并用形式化的语言对其进行了描述。从而解决了分散授权模型带来的一些安全问题,较好地实现了授权的集成。