Informationsflußpolitische Richtlinien

Informationsflußpolitische Richtlinien definieren die Weise, die Informationen während eines Systems verschieben. Gewöhnlich sind diese politischen Richtlinien entworfen, um Vertraulichkeit von Daten oder Vollständigkeit von Daten zu konservieren. Im ehemaligen ist das Ziel der Politik, Informationen am Fließen zu einem Benutzer zu verhindern, der nicht autorisiert wird, es zu empfangen. Im letzten können Informationen nur zu den Prozessen, die nicht vertrauenswürdiger, als sind die Daten fließen.

Jede mögliche Vertraulichkeit- und Vollständigkeitspolitik stellt eine Informationsflußpolitik dar.

BEISPIEL: Das Glocke-LaPadula Modell beschreibt eine Gitter-gegründete Informationsflußpolitik. Zwei Fächer A und B gegeben, können Informationen von einem Gegenstand in A zu einem Thema in B fließen wenn und nur wenn B A beherrscht.

Lassen Sie x eine Variable in einem Programm sein. Die Darstellung x bezieht sich die auf Informationsflußkategorie von x.

BEISPIEL: Betrachten Sie ein System, das das Glocke-LaPadula Modell benutzt. Das variable x, das Daten im Fach hält (TS, {NUC, EUR}), wird bis 3 eingestellt. Dann x = 3 und x = (TS, {NUC, EUR}).

Intuitiv Informationsflüsse von einem Gegenstand x zu einem Gegenstand y, wenn die Anwendung einer Reihenfolge von Befehlen c die Informationen zuerst in x veranläßt, die Informationen in y zu beeinflussen.

Die Befehl Reihenfolge c verursacht einen Fluß der Informationen von x zu y, wenn, nach Durchführung von c, etwas Informationen über den Wert von x, bevor c durchgeführt wurde, vom Wert von y abgeleitet werden können, nachdem c durchgeführt wurde.

Diese Definition sieht Informationsfluß in den Informationen ausgedrückt an, die der Wert von y ein über den Wert in x ableiten läßt. Z.B. die Aussage

y: = x;

deckt den Wert von x im Ausgangszustand auf, also können Informationen über den Wert von x im Ausgangszustand vom Wert von y abgeleitet werden, nachdem die Aussage durchgeführt ist. Die Aussage

y: = x/z;

deckt etwas Informationen über x, aber nicht soviel wie die erste Aussage auf.

Das abschließende Resultat der Reihenfolge c muß Informationen über den Ausgangswert von x zu Information zum Fluß aufdecken. Die Reihenfolge

tmp: = x; y: = tmp;

hat Informationen flüssiges von x bis y, weil der (Unbekannt) Wert von x am Anfang der Reihenfolge aufgedeckt wird, wenn der Wert von y am Ende der Reihenfolge festgestellt wird. Jedoch tritt kein Informationsfluß von tmp zu x auf, weil der Ausgangswert von tmp nicht am Ende der Reihenfolge festgestellt werden kann.

BEISPIEL: Betrachten Sie die Aussage

x: = y + z;

Lassen Sie y Nehmen irgendwie der Ganzzahl Werte von 0 bis 7, einschließlich, mit gleicher Wahrscheinlichkeit, und lassen Sie z Nehmen der Wert 1 mit Wahrscheinlichkeit 0.5 und den Werten 2 und 3 mit Wahrscheinlichkeit 0.25 je. Sobald der resultierende Wert von x bekannt, kann der Ausgangswert von y höchstens drei Werte annehmen. So halten Informationsflüsse von y bis x. ähnliche Resultate für z.

BEISPIEL: Betrachten Sie ein Programm, in dem x und y Ganzzahlen sind, die entweder 0 oder 1 sein können. Die Aussage

wenn x = 1 dann y: = 0; sonst y: = 
1;

nicht ausdrücklich weist den Wert von x bis y zu.

Nehmen Sie an, daß x gleichmäßig wahrscheinlich ist, 0 oder 1 zu sein. Dann H(xs) = 1. Aber H(xs | yt) = 0, weil, wenn y 0 ist, x 1 ist, und umgekehrt. Folglich H(xs | yt) = 0 < H(xs | ys) = H(xs) = 1. So Informationsflüsse von x bis y.

Ein impliziter Fluß der Informationen tritt auf, wenn Informationsflüsse von x bis y ohne eine ausdrückliche Anweisung der Form y: = f(x), wo f(x) ein arithmetischer Ausdruck mit dem variablen x ist.

Der Fluß der Informationen tritt, nicht wegen einer Anweisung des Wertes von x auf, aber wegen eines Flusses der Steuerung basiert auf dem Wert von x. Dieses zeigt das, das Programme für Anweisungen analysiert, um Informationsflüsse zu ermitteln, ist nicht genug. Um alle Flüsse der Informationen zu ermitteln, müssen implizite Flüsse überprüft werden.

Informationsfluss-Modelle und Einheiten

Eine Informationsflußpolitik ist eine Sicherheit Politik, die die autorisierten Wege beschreibt, entlang denen diese Informationen fließen können. Jedes Modell verbindet einen Aufkleber und stellt eine Sicherheit Kategorie, mit Informationen und mit den Wesen dar, die diese Informationen enthalten. Jedes Modell hat Richtlinien über die Bedingungen, unter denen Informationen während des Systems bewegen können.

In diesem Tutorial benutzen wir die Darstellung x < = y, zum zu bedeuten, daß Informationen von einem Element der Kategorie x zu einem Element von Kategorie y. gleichwertig fließen können, dieses sagen, daß Informationen mit einem Aufkleber, der es in Kategorie x legt, in Kategorie y fließen können.

Die Modelle der Informationsflußpolitischer Richtlinien waren Gitter. Wir betrachten zuerst nonlattice Informationsflußpolitische Richtlinien und wie ihre Strukturen die Analyse des Informationsflusses beeinflussen. Wir wenden dann an Compiler-gegründete Informationsflußeinheiten und Laufzeiteinheiten. Wir folgern mit einem Blick an den Steuerungen des Datenflusses in der Praxis.

dieses ist ein Artikel, der von Fred Foster hinzugefügt wird