16、动态树结构中的信息流动追踪与轻量级机会隧道协议

动态树结构中的信息流动追踪与轻量级机会隧道协议

动态树结构中的信息流动追踪

在程序执行监控中，存在一个定理。假设对一个产生一系列低事件的程序进行监控执行，若攻击者使用相同的公共输入再次运行该程序，会出现以下几种情况：
- 执行会产生完全相同的低事件，攻击者无法获取关于秘密的知识。
- 执行停止产生一系列事件，且该系列事件是原始运行中获得的序列的前缀，攻击者的知识不会增加。
- 程序发散，攻击者确实获得了关于秘密的新信息。

我们证明的条件是终止不敏感非干扰的一种变体。这是终止不敏感非干扰的一种通用形式，它暗示了其批处理作业的专业化：如果从两个在低数据上一致的内存开始，并且对这些内存的两次监控运行都终止，那么最终的内存也在低数据上一致。如果一个程序满足这个定义，那么攻击者在秘密大小的多项式运行时间内可能无法学习到秘密；对于均匀分布的秘密，在多项式运行时间内猜测秘密的概率可以忽略不计。

以下是相关工作的总结表格：
| 研究者 | 工作内容 | 特点 |
| ---- | ---- | ---- |
| Fenton | 提出纯动态监控器，考虑程序结构 | 未讨论与非干扰类似属性的健全性 |
| Volpano | 引入显式流监控器 | 监控器忽略隐式流，执行弱安全形式 |
| Boudol | 重新审视Fenton的工作，用类型系统执行安全属性 | 安全策略对应更强的安全属性 |
| Venkatakrishnan等 | 为简单命令式语言提供静态和动态分析的组合 | 保证终止不敏感非干扰的形式 |
| McCamant和Ernst | 提供计算程序运行时泄漏信息量的工具 | 针对C语言程