没有合适的资源?快使用搜索试试~ 我知道了~
理论计算机科学电子笔记168(2007)29-43www.elsevier.com/locate/entcs安全系统法比奥·马蒂内利1Istituto di Informatica e Telematica - C.N.R.,意大利比萨Ilaria Matteucci2Istituto di Informatica e Telematica - C.N.R.,意大利比萨DipartimetodiSien zMatem ichediediSien e di Si e n ed i Si Si e n e d i Si e n e d i Si Si e n e d i Si Si e n e d iSi Si e n e d i Sis摘要在本文中,我们描述了一种基于开放系统分析的方法,用于安全系统的规范,验证和综合特别是,通过使用我们的框架,我们能够对可能存在入侵者的系统进行建模,并验证整个系统是否安全,即系统是否满足描述其安全行为的给定时序逻辑公式。如果有必要,我们还能够自动合成一个过程,通过控制可能的入侵者的行为,强制执行整个系统所需的安全行为。关键词:开放系统分析,部分模型检验,安全系统分析,控制器算子综合1概述在过去的几年里,对用于分析和验证系统安全属性的形式化方法的定义的研究已经大大增加。这主要是由于这些系统的实际相关性,而且通过应用形式化方法进行安全分析所取得的初步令人鼓舞的结果。在这里,我们描述了一个逻辑方法的具体化,验证和综合安全系统的总结工作[14,16,17]的一些结果这项工作得到了CNR项目“动态联盟的可信电子服务”、欧盟资助的项目“面向服务的重叠计算机软件工程”(SENSORIA)和欧盟资助的项目“移动系统安全软件和服务”(S3MS)的部分支持。1电子邮件:Fabio. iit.cnr.it2电子邮件:Ilaria. iit.cnr.it1571-0661 © 2007由Elsevier B. V.出版,CC BY-NC-ND许可下开放获取。doi:10.1016/j.entcs.2006.12.00330F. 马蒂内利岛Matteucci/Electronic Notes in Theoretical Computer Science 168(2007)29S规范化是系统分析的第一步。用于描述属性的语言和用于描述系统的语言必须具有明确的形式语义。我们考虑将声明性语言具体化为时态逻辑,特别是方程μ-演算,将操作性语言具体化为进程代数,特别是CCS(见[20])。然后,我们通过遵循[14,16]中给出的方法,将系统的安全性指定为开放系统的属性的具体化事实上,对安全属性的分析是基于这样一种想法,即潜在的攻击者应该被当作系统中未指定的组件来分析通过这种方式,我们将安全分析简化为对开放系统的分析一个开放系统的行为可能无法完全指定,并且可能存在一些不确定性。这种方法的主要思想如下:在开始时,我们有一个系统S和一个描述安全属性的时态逻辑公式φ。入侵者X可能与S并行工作,或者X也可能是S的恶意组件。在每一种情况下,我们都要求与X构成的S(S<$X)满足φ,不管X是什么。验证阶段需要检查任何X是否(S<$X)满足性质φ。原则上,这对应于封闭系统中的无界数量的经典模型检验问题3。事实上,对所有可能入侵者的普遍量化使得这个问题难以管理。为了解决这个问题,我们使用部分模型检测技术。它是Andersen在文献[1]中为了处理并发系统的合成分析而引入的。通过使用这种技术,我们可以只关注X,并且之前的问题变成有效性检查问题。事实上,通过使用部分模型检验技术,性质φ被投影到另一个性质上,即φJ=φ//,仅取决于S和φ,仅分量X必须满足。在这里,仍然存在泛量化,但现在的问题是有效性检查,这已经为许多逻辑解决了,包括μ演算。我们考虑以下综合问题。假设有一个系统S,它在隔离状态下是安全的,但在与某个组件X的组合中,它不享有所需的安全属性,比如φ。然后,我们能够合成一个过程Y,控制分量X保证整个系统与S正确工作,即它满足φ。因此,我们扩展了[14,16]的研究路线,使用自动强制执行所需安全属性的方法(参见[17,18,19])。我们定义了称为控制器运算符的进程代数运算符,用Y d X表示,其中Y是控制器程序,即控制未指定组件X的进程。特别是,我们定义了控制器算子,这些算子能够对[3,4,22]中描述的安全自动机进行建模,以强制执行安全属性,以及其他能够强制非干扰属性(见[19]),在某些假设下。如前所述,我们从系统S和安全属性φ开始,3实际上,存在一个验证问题,称为模块检查,即开放系统的模型检验,在[12]中介绍。这样的问题可以使用我们在这里将要介绍的技术来解决,例如。见[15]。F. 马蒂内利岛Matteucci/Electronic Notes in Theoretical Computer Science 168(2007)2931一一通过部分模型检验,通过这种方式,我们必须只监视系统的必要/不可信部分,这里是X。然后,我们可以通过使用适当的控制器YDX来强制X享受φJ。此外,我们的方法允许我们自动-为给定控制器操作符Y d X机械地合成控制器程序Y通过利用进程代数和时序逻辑上的满足性过程。我们还展示了一个相关的规范框架,称为GN DC(例如,(见[8]),它能够描述安全属性,如非干扰性、一致性、认证性、不可否认性等,通过使用这个模式,我们还能够对可信系统进行统一建模和分析可信属性。GN DC在[8]中首次引入,作为一个框架,可以统一表示和比较安全属性族一般来说,GN DC属性具有以下形式:SsatisfiesGN DCα( S)iXS Xa α(S)这意味着系统S享有GN DCα( S)i,S显示w.r.t.一个特定的行为关系4a,与α(S)的行为相同即使S与可能的不可信组件X组合,这也必须是真的通过使用特征公式(例如,(见[21])对于关系a的表示,我们可以把这个问题归结为一个通常的开放系统分析问题。总之,我们的目标是提出一个基于开放系统分析和部分模型检测技术的安全系统的规范,验证和本文的组织结构如下。第二节简要回顾了进程代数和时态逻辑的基本理论。第3节解释了我们对安全系统进行规范和验证第4节介绍了我们如何定义和合成控制器程序。第5节显示了一个相关的方法,也用于处理可靠性属性。最后,第6节结束了本文。2背景2.1工艺代数:CCSCCS(见[20])是一种用于描述并发进程行为的演算CCSL AGESEACST=LF(OBS ERVABLE BLco NACTIONC T I NSE 在一个名字上加上一条线,称为补语,是为了表明对应动作可以与其被补充的动作同步。互补遵循规则hat'a'=a,对于任意互补作用a∈Act。一个特殊的符号,τ,用于模拟任何(不可观察的)内部动作;因此,可能的动作的全集是Actτ=Act{τ}。 我们让a,b,。。 范围超过[4]有许多不同的行为关系可以研究。特别是我们感兴趣的模拟,互模拟和跟踪等价。32F. 马蒂内利岛Matteucci/Electronic Notes in Theoretical Computer Science 168(2007)29−→J预处理:a. P−a→P选择:P−a→PJP+Q−a→PJ平行:P−a→PJQ−a→ QJP+Q−a→QJQ−a→QJP−→lPJQ<$l QJPQ−a→ PJQ限制:P−a→PJP\L−a→ PJ\L重新贴标:P−a→PJP<$Q−a→P<$QJP<$Q−τ→PJ<$QJf( a)P[f] −→P[f]常 数 :P−a→PJA−a→PJ表1CCS的SOS系统。第τ幕。下面的语法指定了定义所有CCS流程:P,Q::= 0|a. P|P+Q|PQ|P\L|P[f]|一其中,L→Actτ必须使得f(τ)=τ。非正式地,0是不执行任何操作的进程。a.P是准备执行动作a的进程,那么它的行为就像P一样。过程P+Q可以选择非确定性地表现为P或Q。 PQ是并行运算符当P和Qevv e cure n nnt ly。在P\L中,act i onsa∈LLareventedfrom有一个ppening. P[f]是通过将每个cha∈Actτin给定为f(a)。过程标识符A定义一个过程,假设每个标识符.A有一个形式为A=P的定义方程。CCS术语的操作语义(参见[20])由一个标记的转换系统描述,该转换系统是一个元组(E,Actτ,→),其中E是所有CCS术语的集合,而→ E ×Actτ×E是一个转换关系,该转换关系由结构归纳定义为表1的结构操作语义(SOS)规则集生成的最小关系。转移关系→定义了通常的导数概念我不知道。一个关于factP−a→PJ的问题意味着,通过执行动作a∈Actτ,将其转化为进程PJ。传递闭包和响应闭包关于a∈Actτ−a→isw ritten→n。F. 马蒂内利岛Matteucci/Electronic Notes in Theoretical Computer Science 168(2007)2933给定CCS过程P,Der(P)={PJ|P→<$PJ},是它的导数的集合。34F. 马蒂内利岛Matteucci/Electronic Notes in Theoretical Computer Science 168(2007)29γ一个CCS过程P称为有限状态,如果Der(P)是有限的。 排序(P)(称为排序)P)是在进程P中按语法出现的动作名称的集合。2.2行为等效性为了比较不同过程的行为,定义了几种行为关系2.2.1模拟和互模拟等价定义2.1设(E,Actτ,→)是并发过程的LTS,R是E上的二元关系。则R称为强模拟,记为τ,在(E,Actτ,→)上当且仅当,每当(E,F)∈ R,我们有:如果E−a→EJ,则存在FJs.t。 F−a→FJand(EJ, FJ)∈R.强互模拟是关系Rs. t。R和R−1都是强模拟。我们表示所有强互模拟的联合。我们给出了以下几个方面的信息: EJ(或EEJ)ifE→τEJ;对于τ,Ea EJifEτ→aτ EJ5. Letγ∈Acte是以下等式:动作,即γ = a1,...,an,n,则E =<$EJi,存在E = E0,E1,.,En = EJa1anS.T. E0= E1... En−1= En。弱互模拟关系(见[20])允许在某种程度上从系统的内部行为中抽象出来,由内部τ作用表示定义2.2设(E,Actτ,→)是并发过程的LTS,R是E上的二元关系。则R称为弱模拟,记为≤,over(E,Actτ,→)当且仅当,每当(E,F)∈ R,我们有:如果E−a→EJ,则存在FJs.t。F=a<$FJand(EJ, FJ)∈R,弱互模拟是关系Rs. t。R和R−1都是弱模拟。我们表示所有弱互模拟的联合。每一个强大的模拟也是一个弱的(见[20])。2.2.2跟踪等效性大多数安全属性都基于简单的跟踪概念:如果两个进程显示完全相同的执行序列(称为跟踪),则它们是等效的为了正式定义迹,我们定义迹前序(≤迹)和迹等价(≤迹)如下。定义2.3对于任何E∈ E,与E相关联的迹的集合T(E)是T(E)={γ ∈ Act|E Jγ:E=1000EJ}。 F可以执行E的所有跟踪(符号E≤痕量F)(E)(F).E和F是迹等价的(记法E<$traceF)i <$E≤traceF且F≤迹E,即i ∈T(E)=T(F)。F. 马蒂内利岛Matteucci/Electronic Notes in Theoretical Computer Science 168(2007)29355τ aJτJ J注意,它是E<$ Eτ→ Eτ <$ E这对这个框架并不重要。其中Eτ和 Eτ表示中间态36F. 马蒂内利岛Matteucci/Electronic Notes in Theoretical Computer Science 168(2007)29ρρ<$T)J=S <$F)J= S<$Z)J =ρ(Z)<$φ1<$φ2)J=<$φ1)J<$<$φ2)Jρ ρ ρ ρ ρ ρ<$φ1<$φ2)J=<$φ1)J<$$> φ 2)J<$<$a<$φ)J={s|{sJ:s→asJandsJ∈φ)J}ρ ρ ρ ρ ρ(1)(2)(3)(4)(5)(6)(7)(8)(9)(10)={s|sJ:s→aSJ蕴涵SJ∈<$φ)J}表2方程μ演算2.3方程μ-微积分方程μ演算是一种基于定点方程的模态逻辑(见[5])。设Z是一个在变量集V上变化的变量,一个最小(最大)定点方程是Z=μφ(Z=νφ),其中φ是一个断言。断言(φ)和等式列表(D)的语法定义如下:断言φ::= T|F|φ∧φ|φ ∨φ| |[a] φ方程表D::=(Z = μφ)D|(Z = νφ)D|ϵ其中,符号T表示真,F表示假;φ 1是公式连接的符号,即φ1<$φ2成立,φ1和φ2都成立,并且φ 1是公式的析取,当φ1或φ2成立时,φ1<$φ2可能性算子aφ意味着“在φ成立之后存在一个由a标记的必要性运算符[a]φ的意思是“对于所有的a -动作,方程μ-演算的语义定义在标记转移系统上。为了给出一个方程表的语义,我们给出了我们的符号:设M是一个标记转移系统,ρ是一个函数,称为环境,从变量到M的状态集的子集,H表示不相交环境的并集,[]表示空环境。设σ在{μ,ν}中,σU.f(U)表示函数f在一个变量U中的σ定点。 语义学,(D)ρ由以下等式定义其中U J= σU。<$φ)(ρH[ U/Z]H ρJ(U))和ρJ(U)=<$D)(ρH[ U/Z])非正式的<$(Z=σφ)D)ρ表示(Z=σφ)D的解是<$φ)ρ的σ固定点解UJ,其中方程列表D的其余部分的解被用作环境。一个有标号的转移系统M满足一个方程列表D,写作M| = ρD ↓Z,如果M的初始状态在<$D)ρZ中,其中Z是列表D中F. 马蒂内利岛Matteucci/Electronic Notes in Theoretical Computer Science 168(2007)2937的第一个变量。当从上下文中可以明显看出ρ时,或者当D是封闭的时,我们省略ρ断言φ的语义(φ)ρ在表2中定义。下面给出的μ-演算的标准结果将有助于本文的后续工作。定理2.4([23])给定一个公式φ,如果存在φ的模型,则可以在指数时间内确定φ的长度,并且也可以给出一个38F. 马蒂内利岛Matteucci/Electronic Notes in Theoretical Computer Science 168(2007)29J这种模式的例子。2.4部分模型检测部分模型检查是一种依赖于组合方法来证明并发系统属性的技术[1,2]。部分模型检验的直观思想如下:证明E∈F满足φ等价于证明F满足修改的规范φ=φ//E,其中//E是用于并行压缩运算符的并行值函数(参见附录中的表A.1)6.因此,组件的行为已经被部分评估,并且为了尊重该评估而改变我们给出了以下主要结果(见[2])。引理2.5给定一个过程E<$F和一个方程集D ↓Z,我们有:EF| = D ↓ ZiF |= D ↓ Z//E一个类似于前一个的引理对每个CCS算子都成立。2.4.1特征公式特征公式是等式μ演算中的公式,其完全表征LTS中的(状态)的行为模行为关系的选定概念。可以定义有限状态过程E的特征公式的概念。几种行为关系(见[21])。本文给出特征公式w.r.t.的定义。(弱)模拟如下。定义2.6给定一个有限状态过程,其特征公式(w.r.t.弱模拟)DE↓ZE由以下等式定义:对于每个EJ∈Der(E),ZEJ=νa∈Act([a])EJJ一:E EJJZEJJ))。根据[21]中使用的推理,以下命题成立。引理2.7设E是一个有限状态过程,φE,≤是它的特征公式w.r.t. 模拟,则F≤E惠F| = φE,≤.3安全系统在[14,16]中提出的方法之后,本文描述了一种基于开放系统概念和部分模型检测技术的安全系统形式化分析方法6.提出了部分模型检测技术w.r.t. 并行运算符,因为它的应用w.r.t这个运算符比w.r. t更直观。另一个CCS操作员。36F. 马蒂内利岛Matteucci/Electronic Notes in Theoretical Computer Science 168(2007)293.1开放系统安全一个系统是开放的,如果它有一些未指定的组件。我们希望确保系统与未指定的组件正常工作,例如。满足一定的属性。因此,验证一个开放系统的直观想法如下:一个开放系统满足一个性质,当且仅当,无论用什么成分代替未指定的成分,整个系统都满足这个性质。在描述系统行为的形式语言的上下文中,开放系统可以简单地被认为是这种语言的一个术语,它可能包含这些是未指定的组件。例如,A()和AB()可以被认为是开放系统。其主要思想是,在分析安全敏感系统时,既不应该事先确定敌人的行为,也不应该事先确定恶意用户的行为。无论恶意用户或入侵者的行为如何,系统都应该是安全的,这正是开放系统的验证问题。根据[14,16],为了将安全属性定义为开放系统属性,我们研究以下问题:对于每个分量XSX|=φ(1)其中X代表可能的敌人,S是被检查的系统,φ是表示安全属性的(时间)逻辑公式它粗略地说,性质φ对系统S成立,而不管分量(即,入侵者、恶意用户、敌对环境等。),可能会与之相互作用我们的目标是将公式(1)中的验证问题简化为有效性检查问题。为了实现这一点,我们应用部分模型检查技术如下:XSX|=φ我 的X|=φ//S( 2)这样我们就找到了X的充要条件,用逻辑公式φ//S表示,所以整个系统S<$X满足φ当且仅当X满足φ//S。对于时态逻辑,关于这类问题的可判定性存在几个结果,对于几个有趣的性质,如几个安全性质(4控制器程序在前面的章节中,我们介绍了将安全系统作为开放系统进行分析的方法正如我们已经说过的,公式(1)中所有可能入侵者的普遍量化并不容易管理。我们在本节中的目的是介绍我们的方法,以强制系统正确地行为,无论目标的行为是什么。为了做到这一点,我们定义了几个进程代数控制器操作符,允许控制目标可能的不可信行为。我们用Y d X表示它们,其中X是目标,Y是控制器F. 马蒂内利岛Matteucci/Electronic Notes in Theoretical Computer Science 168(2007)2937S程序,即控制X以保证满足给定安全属性的过程。通过使用控制器算子,系统的规格从公式(1)变为:KUYKUXs.t.S(Y d X)|= φ(3)通过对φ w.r.t. 公式(3)简化如下:Y|= φJ(4)其中reφJ=φ//。值得注意的是,通过使用部分模型检查,我们只需要控制系统中可能不受信任的组件。这是我们的方法的一个优点,因为通常不是所有的系统都需要检查,或者只是不方便整体检查,或者也不可能这样做。有些组件是可信的,人们希望有一种方法来约束不可信的组件(例如下载的小程序)。我们的方法只允许监视系统中必要的/不可信的部分,这里是X。有时可能无法检查整个系统,而只能检查其中的一些组件。此外,对于某些安全属性,我们能够自动合成控制器操作员的控制器程序。4.1控制器操作员我们可以定义几种控制器算子。他们每个人都有不同的能力。例如,在[17,18,19]中,我们已经处理了[3,4]中定义的安全自动机(截断,抑制,插入,编辑),通过过程代数控制器算子Y dKX对其建模,其中K∈ {T,S,I,E}7。参考[3,4],我们回顾安全自动机的非正式定义如下:截断自动机:截断自动机(类似于Schneider的截断自动机抑制自动机:抑制自动机可以停止程序执行,抑制个别程序的行动,而不会终止程序的权利。插入自动机:插入自动机可以将一系列动作插入到程序动作流中,也可以终止程序。编辑自动机:编辑自动机结合了抑制和插入自动机的功能它可以任意截断动作序列,插入或抑制与安全相关的动作.7 T表示截断,S表示抑制,I表示插入,E表示编辑。38F. 马蒂内利岛Matteucci/Electronic Notes in Theoretical Computer Science 168(2007)29//一QQ根据[3,4],应用这些算子是为了加强安全属性。事实上,对于这类公式,可以证明:如果E和F是两个过程,则s.t. F≤E,则E| = φF| = φ。 在[18]中,我们证明了Y dTX与Y弱相似。因此,为了满足公式(4),证明以下公式是足够的:YY |= φJ(5)在这种情况下,我们得到了μ-演算中的一个可满足性问题,可以通过定理2.4解决。因此,我们能够找到一个进程Y,它在目标不安全时停止目标的执行。值得注意的是,对于其他控制器操作员也可以证明类似的结果。事实上,通过定义适当的重标号函数fK,我们证明了对于K ∈ { S,I,E },YdKX与Y[fK]是相似的. 因此,通过部分模型检查w.r.t. 重新标记操作员(见附录中的表A.1我们可以计算出φJJ= φ将公式(4)简化如下:[fK]YY| = φJJ8(6)在这种情况下,我们也可以通过定理2.4来解决这个问题。可以定义其他控制器操作符,例如,不仅要执行安全属性,还要执行信息流属性(见[19])。5一种安全性和可靠性的通用模式:GNDC模式参考前面定义的开放系统方法,这里我们提出一个通用模式来指定几个安全属性。它被称为广义NDC,简称GN DCα,其中α和α分别是表示行为等价和性质的两个参数。(It是NDC的推广,简称NDC(见[6])。这种通用模式允许以相当简单的方式研究不同安全属性之间的实际上,它们的比较可以通过简单地研究相对α值得注意的是,我们考虑的一些性质是为了完全不同的目的而提出的。例如,NDC已经被引入研究非确定性系统中的非干扰特性,而协议已经被提出用于分析协议中的实体认证这个思想类似于开放系统的分析,但它认为行为的正确规范是另一个过程,而不是公式。其主要思想是,系统E是GN DCαi,对于每个过程X,具有这样的X的系统的组成满足一个规范α(E)。本质上,GN DCα保证了α所标识的属性得到满足,相对于即使系统由任何可能的敌对进程组成[8]有兴趣的读者可以在[18]中找到更多细节。F. 马蒂内利岛Matteucci/Electronic Notes in Theoretical Computer Science 168(2007)2939QQ电子跟踪≈定义5.1E是GN DCαi\h\Hα(E)该属性是关于α(E)和α的参数,可以实例化以获得不同的安全属性。特别地,α:E → E是过程和α(E)之间的函数,w.r.t.一个给定的E,指定应该是其思想是,只要研究不同的α函数,就可以比较不同的性质。正如直觉所暗示的那样,这对于形式上表明非干涉特性通常是最强的特性是有用的。(The感兴趣的读者可以查看[7]以进行更深入的讨论。事实上,我们可以实例化GN DC模式来获得几个性质。例如,我们可以通过选择a和α(E)的特定实例来定义NDC、BNDC、协议、认证和不可否认性例5.2正如我们已经说过的,非演绎组合(NDC)(见[6])是将经典的非干扰概念(见[10])推广到非确定性系统的。由于GN DCα是NDC α的推广,因此可以通过实例化GN DC α来获得NDC α和基于互模拟的NDC α,称为BNDC α。 我们首先用扩展语言重新定义原始定义如下:E是NDC i <$∈ 高用户,E\H\Hw.r.t. 低使用者其中H是一组高动作。NDC要求高级进程不能改变由E\H表示的系统的低级行为。事实上,E\H是不允许高级别活动的系统。如果它等同于E\H,这显然意味着E不能以任何方式修改E的执行。我们可以通过简单地用- 是的E是BNDC i <$<$∈ 高级用户,E\HE\H。请注意,NDC和BNDC对应于GN DCE\ H和GN DCE\ H,尊重-ively。例5.3[13]中提出的在CSP[11]进程代数框架内分析认证属性的方法,可以根据我们的规范模式重新表述。协议属性的基本思想如下:“A40F. 马蒂内利岛Matteucci/Electronic Notes in Theoretical Computer Science 168(2007)29≤痕量FF在协议属性中,技术上所做的是为每一方提供一个表示协议运行的动作,另一个表示协议完成。因此E满意的协议是GN DCα同意(E)。其中αAgree表示即使在存在敌对进程的情况下,E也不会执行错误的跟踪。当试图检查一个属性时,对所有可能的入侵者的普适量化仍然是有问题的,因为原则上,我们必须在有限多个进程上验证它,每个进程对应一个入侵者。GN DC模式有一个最受欢迎的验证方法,该方法基于所谓的最一般入侵者思想。对于几种关系,可以避免普遍量化,而只考虑一个可能的入侵者。因此,可以应用标准技术和工具。不幸的是,对于几个有趣的特性,例如。BNDC,这种方法不起作用,应该应用基于前几节中提出的逻辑的方法5.1相关问题:GN DC的可靠性可以证明,可靠系统也可以在我们的框架中统一建模,并且可以在GN DC中分析依赖性属性(见[9])。系统必须通过CCS建模,其中明确描述了系统的故障行为和相关的故障恢复过程。 环境充当故障注入器,它是我们框架的未指定组件。我们称之为错误的环境。我们可以注意到,GN DC给出的系统与其环境之间的整洁分离是非常有用的。GN DC模式可用于表达依赖性分析特有的属性,如故障停止、故障安全、故障静默(详见[9])。我们简单回顾一下定义:一个失败的系统模型是一个CCS过程PF,通过扩展过程P,从一个可能的故障动作集合F中执行特定的外部动作的可能性而获得。每次故障动作后,相关故障模式也在PF中规定。容错系统模型是CCS进程P#通过添加到根据一定的容错设计策略,给出了实现错误恢复策略的进程。故障的发生是由导致故障发生的故障注入器过程FF引起的。它通过f∈ F故障动作与P #精确地相互作用。现在我们能够给出如下的GN DC性质定义5.4过程P满足GN DCα( P)i∈F∈ E(P#-F)\Faα(P#)一其中,EF={X|Sort(X)<$F <${τ}}。F FF FF. 马蒂内利岛Matteucci/Electronic Notes in Theoretical Computer Science 168(2007)2941重要的是要注意到,系统模型和环境之间的清晰分离允许我们不指定FF,并将其置于EF范围内。正如我们已经说过的,α(P)的不同定义表征了不同的容错特性,例如故障停止、故障安全、故障静默和容错。6结论在本文中,我们已经展示了如何将安全性质方便地指定为开放系统的性质。此外,这些属性可以通过使用并发和时态逻辑理论的一些概念以统一的方式进行验证,例如部分模型检查。逻辑提供了严格的方法来推理安全系统执行环境的不确定性。 安全系统的合成也可以通过逻辑技术来实现。 更一般地说,我们的目标是为几个应用领域的规范\分析\综合提供一种统一的方法,例如容错,非干扰,网络和系统安全,开放系统分析等。引用[1] Andersen,H., 丹麦奥胡斯大学计算机科学系博士论文(1993年)。[2] Andersen,H.R.,Partial Model Checking(Extended Abstract),收录于:Proceedings of the 10thAnnual IEEE Symposium on Logic in Computer Science , IEEE Computer Society Press , 1995 ,pp.398-407[3] 鲍尔湖J. Ligatti和D.沃克,更可执行的安全政策,在:I。 Cervesato,编辑,计算机安全基础:FLoC'02计算机安全基础研讨会论文集95比104[4] 鲍 尔 湖 J. Ligatti 和 D. Walker , Edit Automata : Enforcement Mechanisms for Run-time SecurityPolicies,International Journal of Information Security4(2005),pp. 2比16[5] 布拉德菲尔德,J和C。Stirling,“模态逻辑和μ演算:介绍”,过程代数手册。Elsevier,2001年。[6] 福卡尔迪河和R. Gorrieri,进程代数的安全属性分类,计算机安全杂志3(1994/1995),pp. 5-33[7] 福卡尔迪河,R. Gorrieri和F. Martinelli,安全属性的分类139-185[8] 福 卡 尔 迪 河 和 F. Martinelli , A Uniform Approach for the Definition of Security Properties , in :FM794-813[9] Gnesi,S.,G. Lenzini和F. Martinelli,应用广义非演绎成分(GNDC)方法在可靠性中,理论计算机科学电子笔记99(2004),pp. 111-126[10] Goguen , J. A. 和 J.Meseguer , Security Policy and Security Models , in : Proceedings of the 1982Symposium on Security and Privacy(1982),pp. 11-20[11]霍尔角A. R.,“Communicating Sequential Processes,” Prentice-Hall,[12] Kupferman,O.和M. Y. Vardi,Module checking,in:Rajeev Bür and Thomas A. Henzinger,编辑,第八届计算机辅助验证国际会议论文集,计算机科学讲义1102(1996),pp.75-86.[13] Lowe, G., A Hierarchy of Authentication Specification, in: Proceedings of the 10th ComputerSecurity Foundation Workshop(1997),pp.31比4342F. 马蒂内利岛Matteucci/Electronic Notes in Theoretical Computer Science 168(2007)29[14] Martinelli,F.,“开放系统分析的形式化方法及其在安全性方面的应用”,博士。锡耶纳大学论文(1998年)。[15] Martinelli,F.,通过部分模型检验进行模块检验,技术报告2002-TR-06,IIT-CNR[16] Martinelli,F.,开放系统的安全协议分析,理论计算机科学290(2003),pp。1057-1106[17]Martinelli, F.和I.Matteucci, Modeling Security Automata with the process algebras and relatedresults(2006),在第六届安全理论问题国际研讨会(WITS'06)上发表[18] Martinelli , F. 和 I. Matteucci , Through modeling to Synthesis of Security Automata , in :Proceedings of the 2nd International Workshop on Security and Trust Management(STM[19] 马泰乌奇岛在定时设置中的安全属性的强制执行机制的自动合成,在:信息和计算机安全研讨会(ICS'06)的会议记录[20] 米尔纳河,[21] Müller-Olm,M., DerivationofCharacticFormulae,in:MFCS'98 W o r k s h o p o n C o n c u r e nc y,Electronic Notes in Theoretical Computer Science 18(1998).[22] 施耐德,F.B、可执行的安全政策,ACM信息和系统安全汇刊3(2000),pp. 30-50.[23] 斯特里特河S.和E. A. Emerson,An automata theoretical procedure for the propositionalμ-calculus,Information and Computation81(1989),pp. 249-264。F. 马蒂内利岛Matteucci/Electronic Notes in Theoretical Computer Science 168(2007)2943部分模型检验函数平行:(D↓Z)//t=(D//t)↓Zt//t=(Z=σφD)//t=((Zs=σφ//s)s∈Der(E))(D)//t Z//t=Zt[a]φ//s=[a](φ//s)一s−→sJφ//sJ,如果a/=τ φ1<$φ2//s=(φ1//s)<$(φ2//s)a一s−→sJφ//sJ,如果a/=τ φ1<$φ2//s=(φ1//s)<$(φ2//s)[τ]φ//s=[τ](φ//s)τs−→sJφ//sJφ一s−→sJ[a](φ//sJ)ττJφ//sJφ一Ja<$(φ//sJ)T//s=T F//s=F限制:Z//\L=Zs−→ss−→s(Z=σφD)//\L=(Z=σφ//\L(D)//\L)⎧aaF如果a∈L[a](φ//\L)ifa/∈L[a]φ//\L=T如果a∈Lφ1<$φ2//\L=(φ1//\L)<$(φ2//\L)φ1<$φ2//\L=(φ1//\L)<$(φ2//\L)T//\L=TF//\L=F重新贴标:Z//[f]=Z(Z=σφD)//[f]=(Z=σφ//[f](D)//[f])aφ1<$φ2//[f]=(φ1//[f])<$(φ2//[f])φ1<$φ2//[f]=(φ1//[f])<$(φ2//[f])T//[f]=TF//[f]=F表A.1并行算子和重标记算子的部分求值函数。⎩⎩
下载后可阅读完整内容,剩余1页未读,立即下载
cpongm
- 粉丝: 5
- 资源: 2万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- C++标准程序库:权威指南
- Java解惑:奇数判断误区与改进方法
- C++编程必读:20种设计模式详解与实战
- LM3S8962微控制器数据手册
- 51单片机C语言实战教程:从入门到精通
- Spring3.0权威指南:JavaEE6实战
- Win32多线程程序设计详解
- Lucene2.9.1开发全攻略:从环境配置到索引创建
- 内存虚拟硬盘技术:提升电脑速度的秘密武器
- Java操作数据库:保存与显示图片到数据库及页面
- ISO14001:2004环境管理体系要求详解
- ShopExV4.8二次开发详解
- 企业形象与产品推广一站式网站建设技术方案揭秘
- Shopex二次开发:触发器与控制器重定向技术详解
- FPGA开发实战指南:创新设计与进阶技巧
- ShopExV4.8二次开发入门:解决升级问题与功能扩展
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功