71、交互式系统的安全双模拟研究

交互式系统的安全双模拟研究

在当今数字化时代，系统的安全性至关重要。不同的安全策略会对系统的安全性产生不同的影响，如何衡量和比较不同安全策略下系统的安全性成为一个关键问题。本文将介绍一种用于分析和比较系统安全性的方法——安全双模拟。

1. 问题提出

在某些资金转移场景中，可能会出现安全隐患。例如，系统告知用户资金将转入账户 3 并给出验证码，当电脑收到验证信息但未显示给用户时，特洛伊木马将验证信息中的账户 3 改为账户 2，用户确认输入验证码后，资金实际却转入了账户 3。而另一种系统则几乎不可能同时在用户的电脑和手机中植入特洛伊木马，从而避免了这种情况的发生。这表明不同的安全策略会导致系统产生不同的结果，传统的双模拟概念并不适用于此类安全导向的交互式系统。

为了解决如何使用形式化方法来声明具有不同安全策略的两个给定系统的（非）等价性，并比较它们的安全级别这一问题，我们进行了以下研究：
- 定义带有不安全位置的标记 Petri 网（LPNIP），通过其可达性图生成带有不安全状态的标记转移系统（LTSIS），并基于 LTSIS 提出安全双模拟的概念，它是弱双模拟的扩展。
- 基于安全双模拟，定义二元关系 ≥SL 来比较不同安全策略的级别，并证明 ≥SL 是偏序而非全序，这意味着对于一个系统和两种不同的安全策略，我们并不总是能确定哪种策略使系统更安全。

2. 标记转移系统与（弱）双模拟

2.1 标记转移系统（LTS）

LTS 是一个三元组 Γ = (Q, Act, Tr)，其中：
- Q 是状态集合。
- Act 是动作集合，包括不可观察动作 ε。
- Tr ⊆ (Q