技術(shù)領(lǐng)域

本申請(qǐng)一般地涉及一種改進(jìn)的數(shù)據(jù)處理裝置和方法，并且更具體地涉及用于通過使用對(duì)信息流降級(jí)器的質(zhì)量和一致性的形式分析來靜態(tài)實(shí)行應(yīng)用安全性準(zhǔn)則的機(jī)制。

背景技術(shù)

信息流安全性原理規(guī)定在程序中不允許“違法”信息“流”。如果一個(gè)流允許在置信計(jì)算中使用非置信信息(完整性違反)或者如果它允許向未授權(quán)用戶完全或者部分揭示秘密信息(保密性違反)則該流違法。可以通過簡單地聲明不應(yīng)有從“高”到“低”的任何信息流來將完整性和保密性視為雙重問題，其中“高”意味著在完整性中為“非置信”并且在保密性中為“秘密”，而“低”意味著在完整性中為“置信”并且在保密性中為“公開”。

可以用信息流標(biāo)簽來標(biāo)記信息。通常，信息流標(biāo)簽形成部分有序集合或者網(wǎng)格。如果嚴(yán)格實(shí)行信息流安全性并且不允許違法信息流，則多數(shù)程序?qū)⒉粫?huì)工作。為了“信息流安全”，將必須“分割”程序，從而使得用某個(gè)標(biāo)簽“X”標(biāo)記的信息僅能流向已經(jīng)用高于或者等于“X”的標(biāo)簽標(biāo)記的程序點(diǎn)。

具有這些限制的程序非常不太可能有用。例如，從完整性觀點(diǎn)來看，假設(shè)Web應(yīng)用接受來自潛在非置信用戶的輸入并且在置信計(jì)算中使用那些輸入。例如，在線銀行程序?qū)⒂脩舻馁~戶號(hào)和口令(潛在非置信或者異常信息)作為輸入并且將其傳遞到后端數(shù)據(jù)庫系統(tǒng)，在該后端數(shù)據(jù)庫系統(tǒng)中在置信設(shè)置中使用它們。在另一示例中，在線書店將客戶的用戶ID和口令以及客戶想要購買的書籍的名稱(都為潛在非置信或者異常信息)作為輸入并且使用它們來完成交易等。

從保密性觀點(diǎn)來看，Web應(yīng)用經(jīng)常釋放基于秘密信息計(jì)算的并且因此也應(yīng)當(dāng)被視為秘密的數(shù)據(jù)。例如，銀行應(yīng)用可以向任何出納員揭示任何用戶的社會(huì)保障號(hào)的后四位，在線書店可以向任何售貨員揭示任何客戶的信用卡號(hào)的后四位，等等。在所有這些程序顯現(xiàn)允許“高”信息流向“低”程序點(diǎn)的流的情況下，如果簡單地實(shí)行信息流安全性則所有這些程序?qū)⒈痪芙^。為了允許這些程序工作，“高”信息可以被“降級(jí)(downgrade)”并且變成“低”到足以在“低”程序點(diǎn)中被使用。

降級(jí)將自身轉(zhuǎn)譯成在完整性中為“簽注(endorsement)”并且在保密性中為“解密”。例如，一旦程序已經(jīng)驗(yàn)證了用戶提供的對(duì)Web應(yīng)用的輸入是恰當(dāng)格式化的串，則程序可以簽注該輸入，該輸入現(xiàn)在變成被足夠信任以在置信計(jì)算中被使用。類似地，一旦程序已經(jīng)驗(yàn)證了從秘密中提取的信息不足以揭示秘密本身，則程序可以將提取的信息解密，該信息現(xiàn)在可以變得足夠公開以向公共收聽者揭示。

程序可以實(shí)現(xiàn)許多不同類型的降級(jí)器。也就是說，使用這些降級(jí)器是因?yàn)槌绦虿粦?yīng)將任何“高”輸入接受至“低”函數(shù)，除非該“高”輸入先前已經(jīng)被降級(jí)。特定降級(jí)器針對(duì)“低”函數(shù)集合的特定具體子集進(jìn)行操作，因此可能要求程序?qū)崿F(xiàn)多個(gè)不同類型的降級(jí)器。

例如，接受串形式的輸入的完整性“低”的函數(shù)將該串拼接成結(jié)構(gòu)化查詢語言(SQL)查詢，然后向數(shù)據(jù)庫提交它。在這一示例中，函數(shù)將要求它的輸入不包含分號(hào)和省略號(hào)，因?yàn)檫@樣的字符將被數(shù)據(jù)庫解釋為SQL命令。因此，對(duì)該“低”函數(shù)的任何輸入應(yīng)當(dāng)已經(jīng)經(jīng)歷清理(sanitization)(即，通過去除/替換非法輸入的可疑部分來轉(zhuǎn)換非法輸入)或者簽注，以確信這樣的違法字符不存在。僅在置信清理器已經(jīng)驗(yàn)證了不存在這樣的違法字符的情況下才會(huì)接受該初始非置信串以在SQL查詢中使用。

然而，如果“低”函數(shù)不負(fù)責(zé)執(zhí)行SQL查詢，而是實(shí)際上負(fù)責(zé)將它的串輸入值拼接成超文本標(biāo)記語言(HTML)代碼，則不同清理是必要的。這里的問題不再是防止SQL注入，而是實(shí)際上防止被稱為交叉站點(diǎn)腳本(XSS)攻擊的攻擊。在這一情況下，清理函數(shù)必須檢查不存在具體JavaScript標(biāo)簽，諸如<script>和</scripts>。

降級(jí)器經(jīng)常在庫中可用并且基于對(duì)應(yīng)“低”函數(shù)的規(guī)范而被分類。然而，Web應(yīng)用經(jīng)常實(shí)施它們自己的降級(jí)函數(shù)。這使Web應(yīng)用的安全性靜態(tài)分析非常復(fù)雜。事實(shí)上，用于信息流安全性的靜態(tài)分析應(yīng)當(dāng)接收降級(jí)函數(shù)的簽名以及將降級(jí)函數(shù)映射到對(duì)應(yīng)“低”函數(shù)的規(guī)則作為輸入。在這一點(diǎn)上，在除非對(duì)“低”函數(shù)的輸入已經(jīng)被恰當(dāng)降級(jí)否則沒有通向該“低”函數(shù)的任何路徑的情況下，靜態(tài)分析可以驗(yàn)證對(duì)該“低”函數(shù)的輸入是否已經(jīng)總是經(jīng)歷了恰當(dāng)降級(jí)。遺憾的是，在Web應(yīng)用實(shí)施它們自己的降級(jí)器時(shí)，很難檢測(cè)那些降級(jí)器并且以用于信息流安全性的靜態(tài)分析可以隨后解決它們的方式對(duì)它們分類。