《可信链度量与测评》课件第4章.ppt
《《可信链度量与测评》课件第4章.ppt》由会员分享,可在线阅读,更多相关《《可信链度量与测评》课件第4章.ppt(90页珍藏版)》请在文库网上搜索。
1、第四章 可信链测评1 1第四章 可 信 链 测 评4.1安全模型简介4.2可信链交互模型4.3可信链接口安全模型4.4一致性测试和安全性测试4.5可信链PC规范一致性测试4.6可信链规范安全性分析4.7可信链测试评估系统4.8本章小结第四章 可信链测评2 24.1安全模型简介4.1.1基于语言的安全模型针对传统安全模型的局限、困难与挑战,现在的安全模型运用了更接近计算实质的、更先进的计算机理论工具,比如进程演算、类型理论、时态逻辑等;而且更注重与应用需求相结合、考虑系统的可用性及系统安全开销等问题,跨越形式化方法与实际应用的“鸿沟”。第四章 可信链测评3 3基于程序语言的安全模型以其直观的应用
2、层安全规范、强大的安全推理能力及良好的程序设计语言实现等优点正受到更多的关注,基于程序设计语言的安全模型的优势在于:(1)形式化地提供精细颗粒度的访问控制,安全控制的颗粒度可以细化到程序变量级。(2)模型易于通过程序语言实现,允许程序员直接进行安全应用规范的抽象,如描述系统模块、抽象数据类型等。(3)能产生易于扩展以适应新应用要求的安全策略,支持不同策略的复合与协商。(4)安全属性可以通过程序语言的方法证明。第四章 可信链测评4 44.1.2安全进程代数1.SPA基本语法安全进程代数(SPA)是CCS的扩展。SPA中的动作(actions)被视为原子操作。为了描述多级安全系统中不同安全级之间的
3、信息流关系,SPA将可见动作划分为高安全级动作和低安全级动作。SPA的基本语法符号包括:第四章 可信链测评5 5第四章 可信链测评6 6第四章 可信链测评7 72.SPA操作语义SPA的操作语义模型是标记变迁系统(Labelled Transition System,LTS)模型(E,Act,),其中二元关系的结构化操作语义10如图4.1所示。第四章 可信链测评8 8图4.1SPA的结构化操作语义第四章 可信链测评9 94.1.3基于语义的安全属性为了能够形式化地验证安全机制的正确性,我们需要精确定义安全属性。近年来很多学者对安全属性进行了定义11-24。这里我们要处理的是一类特殊的安全属性信
4、息流属性(Information Flow Properties)。信息流属性是用于控制信息在不同实体间流动的方法,并用于确保机密性,特别用于验证访问控制策略是否能够保障信息的秘密性。第四章 可信链测评1010定义4.3E在属性X下是安全的,当且仅当CXEDXE。一个SPA上下文(Context)G是一个SPA项,例如G=F+-。进程E的上下文G写为GE,GE=F+E。这里上下文CX和DX表示只有E的低级行为是可观察的,因此行为等价就是比较进程E的低级行为。第四章 可信链测评11111.基于迹语义的安全属性第四章 可信链测评1212第四章 可信链测评13132.基于互模拟语义的安全属性为了能比
5、较迁移系统的中间状态,文献27提出了互模拟等价(Bisimulation Equivalence)的概念。互模拟刻画了两个系统之间的单步模拟思想,也就是说,当进程E执行一个动作到达E后,进程F也必须能够通过执行同样的动作到达F,进而模拟E所完成的单步过程,进程E和F继续重复进行接下来的单步过程。第四章 可信链测评1414 第四章 可信链测评1515第四章 可信链测评16163.基于测试语义的安全属性CSP语言提出了失效语义(Failture Semantics)28的概念,失效语义是对迹语义的细化(Refinement)。当执行一条特定的迹之后,失效语义能够观察哪些动作没有被执行。例如对于系统
6、E来说,令s是一条迹,X是动作集,(s,X)表示当系统E执行迹s后,X中的动作都不会被执行。第四章 可信链测评1717第四章 可信链测评1818定义4.10系统E和F是测试等价的,即EtestF,当且仅当对于每一个测试T而言都有:E may T F may T;E must T F must T。可以看出,当ETF时第1个条件成立,实际上,如果E may T,那么E可以执行一条迹,该迹能够让T前进到执行动作的状态;条件2对应着测试等价,其基本思想是如果E运行迹后不能执行特定的动作a,那么可以通过测试进程T运行迹的对偶动作 ,然后执行动作。第四章 可信链测评19194.1.4安全属性的可复合性安
7、全性质是信息流性质3,29。直接或间接的信息泄露都被看做系统中的信息流动,都可以使用信息流分析的技术找到系统中潜在的各种安全问题。定义4.11安全性质是可复合的,如果第四章 可信链测评20204.2可信链交互模型4.2.1可信链规范说明可信链PC规范说明如图4.2所示。从图4.2中可以看出,可信链PC规范说明主要定义了两种对象:(1)TPM访问规则对象;(2)可信链建立对象。第四章 可信链测评2121图4.2可信链PC规范说明第四章 可信链测评2222从图4.3可知,三个进程分别为:(1)可信平台模块(TPM);(2)可信度量根(RTM);(3)硬件、固件和软件所构成的系统(System)。第
8、四章 可信链测评2323图4.3可信链PC交互模型第四章 可信链测评24244.2.2可信链接口模型上一节我们给出了可信链PC规范说明模型,该模型描述了可信链建立过程中的实体交互关系。可信链规范不单纯是一个软件规范,也不仅仅是一个协议规范,它还包含:与系统进行交互的流程;逻辑上并行的可信链建立规则;软件功能接口。从安全进程代数的角度考虑,为了能够分析可信链建立过程的信息流安全,我们需要进一步对实体的交互关系进行细化(refine),定义出实体间的输入和输出,并从安全的角度对这些输入、输出进行等级划分,验证可信链系统所符合的安全属性。第四章 可信链测评2525图4.4可信链PC规范说明实体交互第
9、四章 可信链测评2626下面我们用SPA语法对图4.3的三个进程实体作进一步说明。定义4.12令其中SRTM表示可信链规范说明,且限制集合Sy用于实体间的动作同步。第四章 可信链测评27274.3可信链接口安全模型4.3.1不可演绎模型在对不可演绎模型进行形式化描述之前,我们先给出相关的符号说明:第四章 可信链测评2828第四章 可信链测评2929第四章 可信链测评30301.输入不可演绎模型输入不可演绎模型(Non Deducibility on Inputs,NDI)源自Sutherland提出的信息流安全理论30。根据输入不可演绎模型,所谓不存在信息流,意味着从进程行为的低级观察中,不能
10、演绎地推导出关于进程高级行为的任何性质,或者说进程E具有不可演绎性质,如果进程的任何低级可观察行为low都不能推导出高级输入highinput的任何信息。根据文献30对NDI的描述,先给出NDI的反向定义。第四章 可信链测评3131第四章 可信链测评3232第四章 可信链测评3333第四章 可信链测评34342.带策略的不可演绎模型Wittbold引入带策略的不可演绎性38是为了避免不可演绎性的一些不期望的性质,即满足不可演绎性质定义的系统中可能存在着隐蔽通道。带策略的不可演绎性质(Non Deducibility on Strategies,NDS)是一类相当强的安全性质,它是可复合的。第四
11、章 可信链测评3535图4.5同步状态机的基本结构第四章 可信链测评3636定义4.17进程U的长度为n的策略是n个函数序列=(1,n),对于每一个i,1in有:i:(IUOU)i-1IU。第四章 可信链测评3737第四章 可信链测评3838定义4.19一个同步状态机满足NDS性质,当且仅当任意长度为n的低安全级视图与高安全级进程长度为n的策略保持一致(consistent)。第四章 可信链测评39394.3.2可信链复合模型在4.3.1节我们对输入不可演绎模型进行了定义,下面我们用SPA给出可复合的不可演绎性质的定义。定义4.20令H ActH,EE,那么E具有可复合的不可演绎性质,当且仅当
12、lowviews(E)=lowviews(E|)H)。这里的lowviews()函数是low()函数的幂集,表示为 第四章 可信链测评4040定义4.21系统E和F的复合系统为1.CRTM与TPM的复合在4.2.2节中我们已经说明了CRTM和TPM中的所有动作都属于高安全级动作,因此当CRTM与TPM进行复合之后,需要同步的高安全级动作统统都转换为内部动作,该动作和高安全级动作对于低安全级视图是不可见的。CRTM与TPM的复合模型如图 4.6 所示。第四章 可信链测评4141图4.6CRTM与TPM的复合模型第四章 可信链测评4242图4.7CRTM与TPM的LTS系统第四章 可信链测评434
13、32.POSTBIOS与TPM的复合当CRTM对POSTBIOS度量完毕后,POSTBIOS需要对System的第一个启动组件进行完整性度量和完整性存储。这里的符号描述和SPA描述与上一小节基本相同,不再赘述。复合模型和复合系统分别如图4.8和图4.9所示。第四章 可信链测评4444图4.8POSTBIOS与TPM的复合模型第四章 可信链测评4545图4.9POSTBIOS与TPM的LTS系统第四章 可信链测评46463.System与TBB的复合从上面两小节可以知道,CRTM、POSTBIOS和TPM所组成的TBB中所有的输入、输出动作都是高安全级动作。那么对于动作序列和来说,由于是高安全级
14、动作,且没有低安全级输入、输出对高安全级动作的依赖,因此复合系统CRTM_TPM、POST_TPM都满足NDI和NDS安全属性。第四章 可信链测评4747图4.10System与TBB的复合模型第四章 可信链测评4848图4.11System与TBB的部分LTS系统第四章 可信链测评49494.3.3进一步的分析第四章 可信链测评5050第四章 可信链测评5151第四章 可信链测评52524.4一致性测试和安全性测试4.4.1一致性测试一般来说,规范通常是采用自然语言或者非形式化语言的一种描述,规范本身的高度抽象和二义性使得实际工程通常并未完全遵照规范说明来实现。第四章 可信链测评53534.
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
15 文币 0人已下载
下载 | 加入VIP,免费下载 |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 可信链度量与测评 可信 度量 测评 课件