[发明专利]用于信息流降级器的静态检测和分类的系统和方法

说明书

技术领域

本发明涉及静态程序分析，并且更具体而言涉及如下字符串分析，该字符串分析无需执行程序就能推断运行时出现的字符串值，以提供用于信息流降级器的自动检测和分类的函数分析。

背景技术

信息流安全性原理规定在程序中不允许信息的任何“违法流”。如果一个流使得在可信计算中使用不可信信息(完整性侵害)或者如果一个流使得向未授权用户完全地或部分地透露秘密信息(机密性侵害)，则该流是违法的。通过简单地声明不应该存在任何从“高”到“低”的信息流，可以将完整性和机密性看作为双重问题，其中“高”意味着完整性中的“不可信”和机密性中的“秘密”，而“低”意味着完整性中的“可信”和机密性中的“公开”。

可以利用信息流标签来标记信息。通常，信息流标签形成部分排序的集合或者甚至点阵(lattice)。如果严格强制信息流安全性并且不允许违法信息流，则大部分程序将无法工作。为了信息流安全性，不得不对程序进行“分割”，使得用特定标签“/”所标记的信息仅可以流向用高于或等于“/”的标签所标记的程序点。具有这些约束条件的程序非常有可能是没有用的。例如从完整性的观点来看，认为Web应用接受来自潜在不可信用户的输入并且在可信计算中使用这些输入。例如，在线银行程序将用户的账号和密码(潜在不可信或畸形的信息)作为输入并且将它们传递到后端数据库系统，其中在该后端数据库系统将它们用在可信设置中。在另一示例中，在线书店将顾客的用户ID和密码以及该顾客想要购买的书的书名(全部潜在不可信或畸形的信息)作为输入，并且使用它们来完成交易等等。

从机密性的观点来看，Web应用通常释放基于秘密信息所计算的数据并且因此也应该被认为是秘密的。例如，银行应用可以向任意出纳员透露任意用户的社会安全号码的后四位数字，在线书店可以向任意商店售货员透露任意顾客的信用卡号码的后四位数字，诸如此类。在所有这些程序展示一种允许“高”信息流向“低”程序点的流的情况下，如果简单地强制信息流安全性，则所有这些程序将被拒绝。为了允许这些程序运行，可以将“高”信息“降级”并且变得足够“低”以便在“低”程序点中使用。

降级将其自身转换成完整性中的“认可(endorsement)”和机密性中的“从机密表删除(declassification)”。例如，一旦程序证实用户向Web应用提供的输入是正确格式化的字符串，该程序便可以认可该输入，该输入现在变得足够可信以在可信计算中使用。类似地，一旦程序证实从秘密中提取的信息不足以透露该秘密自身，该程序便可以从机密表删除所提取的信息，所提取的信息现在变得足够公开以被透露给公开听众。

表格1：信息流安全性

  完整性  机密性  高  不可信  秘密  低  可信  公开  降级  认可  从机密表删除

程序可以实现多个降级器。程序不应当接受给“低”函数的任何“高”输入，除非该“高”输入之前已被降级。此外，降级器仅具体用于“低”函数的集合的子集。例如，接受字符串形式的输入的完整性“低”函数将该字符串连接成结构化查询语言(SQL)查询，并且随后将其提交给数据库。该函数将要求其输入不包含分号和省略号，因为这种字符将被数据库解释为SQL命令。因此，到该“低”函数的任何输入应当经过净化或认可，以确保不存在这种违法字符。