可信计算平台信任链安全性分析.pdf-淘文阁

资源描述

《可信计算平台信任链安全性分析.pdf》由会员分享，可在线阅读，更多相关《可信计算平台信任链安全性分析.pdf（12页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、书书书第卷第期年月计算机学报收稿日期：；最终修改稿收到日期：本课题得到国家“八六三”高技术研究发展计划项目基金（）、国家自然科学基金（）资助徐明迪，男，年生，博士，工程师，主要研究方向为可信计算与系统安全：张焕国，男，年生，教授，博士生导师，主要研究领域为信息安全与可信计算赵恒，女，年生，博士，高级工程师，主要研究方向为软件工程技术与应用李峻林，男，年生，研究员，主

2、要研究领域为软件工程技术与应用严飞，男，年生，讲师，主要研究方向为可信计算可信计算平台信任链安全性分析徐明迪张焕国赵恒李峻林严飞（武汉数字工程研究所武汉）（武汉大学计算机学院武汉）（空天信息安全与可信计算教育部重点实验室武汉）摘要可信计算规范是指导可信计算产品研制的依据，可信计算规范本身的安全性需要得到验证信任链是可信计算平台中保障

3、系统安全可靠的主要技术手段，它是可信计算平台整个系统安全的中心问题针对可信计算平台信任链规范的信息流安全问题，文中通过安全进程代数对信任链系统接口进行形式化建模，用可复合的不可演绎模型刻画信任链实体间的交互关系，把规范定义的信任链行为特性抽象为多级安全输入输出集，在讨论高级和低级输入输出依赖关系的基础之上，对信任链

4、复合系统进行信息流分析，并给出结论和证明关键词信任链；安全进程代数；可复合的不可演绎模型中图法分类号犇犗犐号：犛犲犮狌狉犻狋狔犃狀犪犾狔狊犻狊狅狀犜狉狌狊狋犆犺犪犻狀狅犳犜狉狌狊狋犲犱犆狅犿狆狌狋犻狀犵犘犾犪狋犳狅狉犿（犠狌犺犪狀犇犻犵犻狋犪犾犪狀犱犈狀犵犻狀犲犲狉犻狀犵犐狀狊狋犻狋狌狋犲，犠狌犺犪狀）（犛犮犺狅狅犾狅犳犆狅犿狆狌狋犲狉

5、，犠狌犺犪狀犝狀犻狏犲狉狊犻狋狔，犠狌犺犪狀）（犓犲狔犔犪犫狅狉犪狋狅狉狔狅犳犃犲狉狅狊狆犪犮犲犐狀犳狅狉犿犪狋犻狅狀犛犲犮狌狉犻狋狔犪狀犱犜狉狌狊狋犆狅犿狆狌狋犻狀犵，犕犻狀犻狊狋狉狔狅犳犈犱狌犮犪狋犻狅狀，犠狌犺犪狀）犃犫狊狋狉犪犮狋，犓犲狔狑狅狉犱狊；引言目前，可信计算的相关研究已成为当前国内外信息安全方面的研究热点和趋势之

6、一一方面，可信计算在计算机系统上有着具体的实现和应用，如操作系统的通过信任链机制保护加密分区和卷主密钥，为了实现对虚拟机的动态度量，和生产的增加了支持动态可信度量根的指令另一方面，可信计算产品的安全测评也是业界所关注的问题，可信计算组织（）针对可信平台模块（）的设计安全，给出了相应的保护轮廓，并通过了国际通用标准认证（）公司的产

7、品通过了认证实验室的认证公司已经开始对生产的进行最严格的硬件安全评估流程审核，计划要达到硬件安全水平从其保护轮廓的文档描述来看，其主要讨论的是与平台的唯一关联性问题，对于其它安全性目标并未涉及可信计算产品的设计依据源于规范说明，因此可信计算产品的安全程度和规范说明有着直接联系一般来说，规范通常是采用自然语言或者非形式

8、化语言的一种描述，很难直接从规范中发现其潜在的安全缺陷或漏洞目前，尚未对其规范和产品的安全性进行全面的分析和验证从公开的文献来看，技术规范中仅对直接匿名认证（）等协议进行了较为严格的安全性分析信任链的交互模型建立过程是将信任链由可信计算规范进行粗粒度抽取的过程在这方面，国内外已经有了少量工作，和在文献中使用授权逻辑对下一代

9、安全计算基的基本框架和函数进行了形式化描述，等人用谓词逻辑分析了可信启动过程存在的信任链传递所带来的信任损失问题，并提出一种集中式度量的改进启动模型，但该文所提出的模型无法应用于信任链的测试研究工作等人使用模型检查器对的若干协议进行了分析，发现了授权协议和远程证明协议中存在的问题等人开发了一个符号模型检查器来描述可

10、信启动过程中内部组件、和平台其它组件之间的信任关系，但该文主要围绕的度量问题对信任启动过程进行建模，并未讨论信任链的具体交互问题使用和分析中调用序列的安全性文献通过安全进程代数（）和时序逻辑对信任链中的静态度量根（）和动态度量根（）进行了形式化建模和证明，但是该文对于的一些前提假设，如平台配置寄存器（）的写操作问题、内存写保

11、护问题，在现有系统中过于理想同时，信任链由系统中的多个组件构成，它建立于原有计算机硬件系统基础之上，但不是以整体形式存在于系统中，而是各组件与原有系统存在时间、空间上的交错状态，这种空间上的离散型，时间上的并行性使得信任链的建模变得困难另一方面，信任链和系统之间通过相互作用形成一个复杂的系统整体结构，、和都有各自的输入、输出和安全

12、策略，从信息流的角度来看，复合系统中不应出现直接或间接的信息泄露安全性质的可复合性很重要，一方面分解与结合是构造复杂系统的有效方法；另一方面，复杂的计算机系统是开放的，系统配置可以随时间变化，因此，复合安全性质对于定义安全系统是非常必要的本文从可复合的不可演绎模型出发，对可信计算信任链规范进行形式化建模，描述信任链传递过程中

13、的实体交互关系，通过描述信任链系统的信息流性质，刻画信任链实体动作，抽象出高低安全级进程的输入和输出，最后用工具对安全属性进行验证，找出规范中存在的安全缺陷研究背景基于语言的安全模型现有的基于语言的安全模型大致上都是扩展无干扰安全的思想，在不同层次上刻划不同安全等级的访问主体之间的无干扰关系，如等人扩展了的建立了安全进程

14、代数，将系统中的名赋予“高”、“低”两种安全级别，对无干扰模型进行重新定义及分类，分析不同安全属性的强度和使用得出多个无干扰安全属性的定义，并提出一个建立统一无干扰定义属性的构想等人将系统的可靠性视为某种无干扰属性，通过证明标准程序语义建立系统的可靠性，使得所有类型定义良好的程序都具有无干扰安全属性安全进程代数的基本语法安全性

15、质是信息流性质直接或间接的信息泄露都被看作系统中的信息流动，都可以使用信息流分析的技术找到系统中潜在的各种安全问题，对于信息流安全而言，安全属性刻画了一个安全的多级系统应该满足的属性，信息流分析的技术源于基本无干扰（）模型，后来又相继出现了不可推断（）模型、输入不可演绎（）模型但这些安全属性都是不可复合的后来又有学者提出计算机学

16、报年了策略不可演绎（）模型和可复合的不可演绎（）模型进程代数作为描述互作用系统的一般框架，适合于研究安全信息流性质在进程代数框架内研究信息流性质，不仅可以对其进行概括和比较，而且还可以利用进程代数中的某些结果更抽象更深刻地理解安全性及其结合性质本文使用的安全进程代数语言，是的简单扩展的基本语法符号包括：（）进程动作集犃犮狋它由

17、部分组成：无穷名集犐，犐的伴名集犗，一个称为哑名的元素其中，犐犪，犫，表示输入动作集；犗珔犪，珔犫，表示输出动作集；?犐犗表示可见动作集合，表示不可见动作更进一步，为了描述多级安全系统中不同安全级之间的信息流关系，将可见动作集?划分为两个安全级：高安全级动作犃犮狋犎和低安全级动作犃犮狋犔，并且犃犮狋犎犃犮狋犎犐犃犮狋犎犗，犃犮狋犔犃犮狋犔犐犃犮狋犔犗，犃犮狋犎犃犮狋犔?，犃犮狋犎犃犮狋犔，

18、犃犮狋犃犮狋犎犃犮狋犔，通常用表示进程动作集（）进程变量集，并以犡，犢，犣等表示进程变量；进程常量集?，并以犃，犅等表示进程变量（）算子符号，分别表示前缀算子、选择算子、并行算子、复合算子、限制算子和隐藏算子定义无穷名集犐与伴名集犗之间的二元关系：?为犪犐犪犗，犪犗犪犪犐根据定义，对于集合犔，犔?的伴名集珚犔，有珚犔：犔，为了表示方便，以后我们用犳表示二元关系，对于犃犮狋有犳（）犳（），如果，那么犳（）进

19、程项集合?是如下语法构造的集合：犈犈犈犈犈犈犈犔犈犐犔犈犔犈犳，其中犔?符号用于表示不做任何动作的空进程；犈表示做完动作后的系统行为犈；犈犈表示选择犈或者犈；犈犈表示系统犈和犈之间进行交织并发，并且对互补的输入输出动作进行同步，将其作为一个内部动作；犈犔执行属于犈但不属于犔珚犔集合的动作；犈犐犔执行属于犈但不属于犔犐集合的动作；犈犔将犈中所有属于犔的动作转换为内部动作；如果犈可以

20、执行动作，那么犈犳执行犳（）；常量的定义为犈，也就是具有犈的所有功能除了对中的动作集犔进行高低安全等级划分以外，还引入了两种算子：限制算子和隐藏算子限制算子犈犔执行属于集合犈犔珚犔的动作，带输入限制的算子犈犐犔执行属于集合犈犔犐的动作；隐藏算子犈犔把在集合犈犔中的动作转换为不可见动作用?（犈）表示进程犈所有的动作执行迹，那么高安全级进程和低安全级进程分别被定义为?

21、犎犈?（犈）犃犮狋犎和?犔犈?（犈）犃犮狋犔的操作语义的操作语义模型是标记变迁系统模型（?，犃犮狋，），其中二元关系?犃犮狋?的结构化操作语义，如图所示前缀犈犈选择犈犈犈犈犈犈犈犈犈犈并行犈犈犈犈犈犈犈犈犈犈犈犈犈犈，犈犈犈犈犈犈限制犈犈犈犔犈犔，犔珚犔输入限制犈犈犈犐犔犈犐犔，犔犐隐藏犈犈犈犔犈犔，犔犈犈犈犔犈犔，犔转换犈犈犈犳犳（）犈犳常量犈犈犃犈，犃犈图的结构化操作语义期徐明迪等：可信计算平台信任链

22、安全性分析除了图中对常用操作算子的描述以外，文献还提出了使用并行算子和限制算子来实现复合算子的功能复合算子要求两个系统犈和犉通过并行方式构成一个新的复合系统，并同步犈，犉之间的互补动作定义系统犈和犉的复合系统为犈犉（犈犉）（?（犈）?（犉）的迹语义和互模拟语义迹是理论中的重要概念，它是系统中可观察动作所组成的一个有限序列定义犈?，犈的迹犜（犈）?犈犈其

23、中狀?犈犈当且仅当犈，犈，犈狀?犈犈狀犈狀，其中犈狀犈犈犈表示犈（）犈犈（）犈（）表示内部动作序列当犈犈成立，我们认为系统从状态犈到达状态犈，从观察的角度来看，系统从状态犈到状态犈所执行的动作轨迹是，狀定义犈，犉?，犈和犉迹等价当且仅当犜（犈）犜（犉），记为犈犜犉为了能比较迁移系统的中间状态，文献提出了互模拟等价的概念互模拟刻画了两个系统之间的单步模拟思想，也就是说，当进程犈执行一个

24、动作到达犈后，进程犉也必须能够通过执行同样的动作到达犉，进而模拟犈所完成的单步过程，进程犈和犉继续重复进行接下来的单步过程定义二元关系犚?是弱互模拟，如果（犈，犉）犚，犃犮狋（）无论何时犈犈，都存在犉?使得犉犉和（犈，犉）犚成立（）无论何时犉犉，都存在犈?使得犈犈和（犈，犉）犚成立两个进程项犈，犉?的观察等价记为犈犅犉，如果存在着一个包含（犈，犉）的弱互模拟二元关系犚信任链规范安全性分

25、析可复合的不可演绎安全性质复合安全性质是构成复合系统安全理论的基础，可复合安全性是在分析复合系统安全性时引入的一个概念可复合性是安全性质的重要特性，所谓一种安全性质是可复合的，是指两个或多个满足性质的进程，通过复合算子构成的复合进程犘时，这个复合进程犘仍满足在对不可演绎模型进行形式化描述之前，我们先给出相关的符号说明：犜：系统的

26、执行序列犞：系统执行序列狋，狋犜后的值犳：犜犞：从执行序列犜到值犞的信息函数，表示系统当前视图，或者是一组值或变量（犳）：所有执行序列的视图集合，即狋犜，犳（狋）（犳）定义令，（?）是两个迹，是的一个子序列（用表示）当且仅当和满足关系：狀，犽，（）犽，（犿），其中犿狀，犽，：，犿，狀是一个单调递增函数，犻表示犻出现在序列中定义视图函数犾狅狑，犺犻犵犺犻狀狆狌狋，犾狅狑犻狀狆狌狋，犻狀狆狌狋分别

27、被定义为（）犾狅狑：?犃犮狋犔那么有犾狅狑（），如果犻，犻犃犮狋犔犼：犻犽，（犼）（）犺犻犵犺犻狀狆狌狋：?（犃犮狋犎犐）那么有犺犻犵犺犻狀狆狌狋（），如果犻，犻犃犮狋犎犐犼：犻犽，（犼）（）犾狅狑犻狀狆狌狋：?（犃犮狋犔犐）那么有犾狅狑犻狀狆狌狋（），如果犻，犻犃犮狋犔犐犼：犻犽，（犼）（）犻狀狆狌狋：?犐那么有犻狀狆狌狋（），如果犻，犻犐犼：犻犽，（犼）犾狅狑得到动作序列中的所有低安全级动作，犺犻犵犺犻狀

28、狆狌狋得到动作序列中的高安全级输入动作，犾狅狑犻狀狆狌狋得到动作序列中的低安全级输入动作，犻狀狆狌狋得到动作序列中的所有输入动作定义令犳和犳是两个信息函数且狑（犳）对于视图狑而言，信息从犳流向犳当且仅当狏（犳），狋犜，犳（狋）狏犳（狋）狑定义假定了犳和犳分别对应着高安全级进程和低安全级进程，如果存在从犳和犳的信息流，那么对于系统中的任意迹狋来说，即使曾有狑（犳

29、），但由于低安全级进程犳的当前视图已经被高安全级进程犳所影响，因此导致了犳（狋）狑定义的另外一层含义是：如果信息从犳流向了计算机学报年犳，说明了犳的输入影响了犳的输出，那么就认为犳能够演绎出犳的输入那么在什么情况下犳不能演绎出犳的输入呢？我们给出如下定义定义给定犜，犳和犳，信息没有从犳流向犳当且仅当联合函数（犳，犳）与视图积（犳）（犳）之间满足映成关系（）这里的映成

30、关系指（犳，犳）与（犳）（犳）满足一一映射换句话说，如果对于每一个犃犮狋犔，都存在着迹狋犜（犈）使得犾狅狑（狋），并且对于每一个（犃犮狋犎犐），也都存在着迹狋犜（犈）使得犺犻犵犺犻狀狆狌狋（狋），那么一定存在着一条迹狋，其低安全级视图是，高安全级视图是输入不可演绎模型源自提出的信息流安全理论根据输入不可演绎模型，所谓不存在信息流，意味着从进程行为的低级观察中，不能演

31、绎地推导出关于进程高级行为的任何性质，或者说进程犈具有不可演绎性质，如果进程的任何低级可观察行为犾狅狑都不能推导出高级输入犺犻犵犺犻狀狆狌狋的任何信息前面我们对输入不可演绎模型进行了定义，下面我们用给出可复合的不可演绎性质的定义定义安全性质是可复合的，如果犘，犙犘犙定义令犎犃犮狋犎，犈?，那么犈具有可复合的不可演绎性质当且仅当?犎犾狅狑狏犻

32、犲狑狊（犈）犾狅狑狏犻犲狑狊（犈）犎），这里的犾狅狑狏犻犲狑狊（）函数是犾狅狑（）函数的幂集：犾狅狑狏犻犲狑狊（犈）犃犮狋犔犜（犈）信任链规范说明我们在文献中提出了可信计算规范说明模型，将可信计算平台抽象为、和个实体间的交互模型，该模型描述了信任链建立过程中的实体交互关系从安全进程代数的角度考虑，为了能够分析信任链建立过程的信息流安全，我们需要进一

33、步对实体的交互关系进行细化，定义出实体间的输入和输出，从安全的角度对这些输入输出进行等级划分，验证信任链系统所符合的安全属性可信计算规范给出了静态可信度量根（）的实现流程和方法，图刻画了运行期间个进程间的输入和输出其中包括了、和通过所提供的服务接口对进行访问请求；包含了种访问的方式：应用层驱动、驱动和驱动，会自动把来自的应用层驱

34、动请求转换为驱动方式发送给，驱动通过（）通道与进行通信，驱动通过（）通道与进行通信图给出了这些输入输出接口的函数，可以看出，驱动不对外提供任何服务，仅完成阶段的完整性度量，而驱动则更多地处理来自内部或外部的访问请求下面我们用语法对这个进程实体做进一步说明首先，为了精确刻画文献中对、和个实体间的交互关系，我们需要细化信任链规范说明中个

35、实体交互时的输入输出定义令表示信任链规范说明，则（）犛狔，其中限制集合犛狔用于实体间的动作同步主要包含了迭代（犲狓狋犲狀犱）、度量（狉犲犪犱）内存代码、建立（犾狅犵）度量日志和执行（犮犪犾犾）被度量代码等操作，这里，我们把狉犲犪犱、犲狓狋犲狀犱、犮犪犾犾和犾狅犵动作分别定义为读（狉）、写（狑）、执行（犲）和追加（犪）操作，并将图中的接口函数进行归纳，那么可以得到如下

36、描述：狉犘犗犛犜犅犐犗犛犿犪犎犪狊犺犃犾犾犈狓狋犲狀犱犜犘犕犲犘犗犛犜犅犐犗犛犪犛犢犛犜犈犕犃犆犘犐狊犿犻犝狆犱犪狋犲犔狅犵犈狏犲狀狋犪犚犜犕犃犆犘犐狊犿犻犝狆犱犪狋犲犔狅犵犈狏犲狀狋犲犘犗犛犜犅犐犗犛狉犗狆狋犻狅狀犚狅犿狊犿狆犜犘犕犜狉犪狀狊犿犻狋犪犚犜犕犃犆犘犐犲犗狆狋犻狅狀犚狅犿狊狉犐犘犔犿狆犜犘犕犜狉犪狀狊犿犻狋犪犚犜犕犃犆犘犐犲

37、犐犘犔犲犗狆狋犻狅狀犚狅犿狊犲犐犘犔狉犌犚犝犅狋犮犵犘犪狊狊犜犺狉狅狌犵犺犜狅犜犘犕犪犛狔狊狋犲犿犃犆犘犐犲犌犚犝犅狋犮犵犘犪狊狊犜犺狉狅狌犵犺犜狅犜犘犕狑犘犆犚犿犪犎犪狊犺犃犾犾犈狓狋犲狀犱犜犘犕狑犘犆犚犿狆犜犘犕犜狉犪狀狊犿犻狋狑犘犆犚期徐明迪等：可信计算平台信任链安全性分析图可信计算平台规范说明输入输出接口中的动作犪犛狔狊狋犲犿犃犆

38、犘犐和狋犮犵犘犪狊狊犜犺狉狅狌犵犺犜狅犜犘犕分别表示创建度量日志请求和应用层访问请求；中的动作犿犪犎犪狊犺犃犾犾犈狓狋犲狀犱犜犘犕和犿狆犜犘犕犜狉犪狀狊犿犻狋表示层访问请求；对于前面和的输出动作，对应的有个同步动作：犿犪犎犪狊犺犃犾犾犈狓狋犲狀犱犜犘犕狑犘犆犚、犿狆犜犘犕犜狉犪狀狊犿犻狋狑犘犆犚和狋犮犵犘犪狊狊犜犺狉狅狌犵犺犜狅犜犘犕狑犘犆

39、犚其余同步动作用于保证代码和数据的完整性，防范攻击安全性分析我们在文献中刻画出了信任链交互模型，其中与组成，与之间通过位于高端内存的两个驱动程序进行通信，其动作对于来说是不可见的我们再对做进一步细化，被划分为和，与在内部进行复合，其内部动作对于和来说也是不可见的并且我们认为和是绝对可信的，所有的动作都属于高安全级动作另一方面，与

40、组成的需要再次与进行复合，由于计算机学报年中的所有组件的安全级别都要比低，因此中的所有动作都属于低安全级动作，这里我们考虑的问题是：能够观察出中的高安全级动作或者输出策略吗？在分析该问题之前，我们先给出相关的符号定义犻狀犈犻：系统犈的外部输入序列；狅狌狋犈犼：系统犈的外部输出序列犮犿：系统犈的指令输入序列；犮犿：系统犈的指令输出序列犱狀：系统犈的

41、数据输入序列；珚犱狀：系统犈的数据输出序列狊狔：系统犈的同步输入序列；狊狔：系统犈的同步输出序列狉犽：系统犈的结果输入序列；狉犽：系统犈的结果输出序列这里的外部输入和外部输出序列是指系统通过吸收外部激励动作或事件而产生的外部输出动作或事件对于信任链复合模型而言，以触发相关动作与进行通信而完成某种功能，如通过来访问，进而完成对的完整性度量和完整性

42、存储因此的输入事件对于来说就是一种外部激励输入，经过内部对该输入动作的处理，完成与之间的内部同步并将结果作为外部输出返还给下面我们对与的复合、与的复合、与的复合分别进行讨论与的复合在信任链建立初期，需要通过驱动对进行完整性度量和完整性存储，为了方便表示，这里我们用犻狀，狅狌狋分别表示完整性度量输入和输出，犻狀，狅狌狋分别表示

43、完整性存储输入和输出，它们都是对外所呈现的视图；犮，犮表示发给的指令序列输入和输出，犱，珚犱表示发给的数据序列；狊狔，狊狔表示与之间的同步信号，对于实际的信任链系统而言同步信号通常是硬件总线；符号狉，狉，狉，狉对应着所完成的完整性度量结果和完整性存储结果我们在前面已经说明了和中的所有动作都属于高安全级动作，因此当与进行复合之后，需要同步的高安

44、全级动作统统都转换为内部动作，该动作和高安全级动作对于低安全级视图是不可见的与的复合模型如图所示图与的复合模型用进行描述的与复合系统的表示如下所示：（）犛狔；犻狀狊狔犮犻狀狊狔珚犱狉狅狌狋狉狅狌狋；狊狔犮狉狊狔犱狉狊狔犮狉狊狔犱狉；犛狔狊狔，狊狔，犮，犮，犱，珚犱，狉，狉，狉，狉；犃犮狋犎狊狔，狊狔，犮，犮，犱，珚犱，狉，狉，狉，狉，犻狀，狅狌狋，犻狀，狅狌狋经过复合算子操作后的系统如图

45、所示，为了图形显示方便，我们只选取了并发系统中的一条分支，可以看出，该分支中含有个内部动作和两个高安全级动作犻狀，狅狌狋图与的系统与的复合当对度量完毕后，需要对的第一个启动组件进行完整性度量和完整性存储这里的符号描述和描述与上一小节基本相同，不再赘述与的复合从上面两小节可以知道，、和所组成的中所有的输入输出动期徐明迪等：可信计算平

46、台信任链安全性分析作都是高安全级动作那么对于动作序列犻狀狅狌狋和犻狀狅狌狋来说，由于犻狀和狅狌狋是高安全级动作，且没有低安全级输入输出对高安全级动作的依赖，因此复合系统、都满足和安全属性那么满足和安全性质的与复合之后是否仍然满足和安全属性呢？我们先给出与的复合模型，如图所示该模型和上面两个复合模型的不同之处在于，由于中的所有动

47、作都是低安全级动作，因此，当与进行复合的时候，完成完整性度量和完整性存储任务的指令输入输出序列、数据输入输出序列和结果输入输出序列，不能简单地将它们视为同步操作而化简为内部动作，因此这里需要对这些序列进行安全视图上的区分图与的复合这里我们将同步动作集犛狔仅包含信号同步动作狊狔，狊狔，系统与进行交互的动作集包括犮，珚犱，狉，狉，分别表示

48、指令序列、数据序列、完整性度量结果序列和完整性存储结果序列的输入输出集分别为犻狀，犻狀，狅狌狋，狅狌狋，复合系统的描述如下所示（）犛狔；犻狀狊狔犮狉狅狌狋犻狀狊狔犱狉狅狌狋犻狀狊狔犮狉狅狌狋犻狀狊狔犱狉狅狌狋；狊狔犻狀狅狌狋狊狔犻狀狅狌狋狊狔犻狀狅狌狋狊狔犻狀狅狌狋；犛狔狊狔，狊狔；犃犮狋犎狊狔，犻狀，狅狌狋，犻狀，狅狌狋若考虑所有的动作集合那么最终

49、的系统将异常庞大，根据上述描述，我们只考虑动作集合犻狀，狅狌狋，狊狔，狊狔，犮，狉为了显示方便，我们对变迁系统的片段进行分析，如图所示可以看出，当系统处于状态狅狌狋狅狌狋犛狔时，可以选择动作狅狌狋或者狅狌狋，由于动作狅狌狋是一个低安全级输出，到达状态狅狌狋狅狌狋犛狔是通过动作狉或者犻狀，而动作犻狀是一个高安全级输入，也就是低安全级输出依赖高安全级输

50、入，因此复合系统不再符合安全属性，对于实际的信任链系统而言，我们将在节详细说明中的哪些动作依赖于中的动作图与的部分系统计算机学报年进一步的分析通过节对信任链复合模型的分析得知，与的复合系统既然不满足安全属性，同样也就不满足属性那么究竟要满足什么样的条件才能达到这一要求呢？定义对进程犈的可复合不可演绎性质定义采用的是模型，并采

展开阅读全文