Skip to main content
Nubint
QUICK REVIEW

[论文解读] Sheaf Semantics of Termination-Insensitive Noninterference

Jonathan Sterling, Robert Harper|arXiv (Cornell University)|Jan 1, 2022
Security and Verification in Computing被引用 2
一句话总结

本文利用合成域理论和拓扑理论的开/闭模态,提出了一种新颖的层语义,用于终止无关的非干扰性。通过使用阿廷粘合(Artin gluing)将安全级别建模为相位区分,构建了一种非关系性、内在的语义,其中类型为层,擦除(redaction)对应于将层限制到闭子空间,从而无需关系推理即可自动确保终止无关的非干扰性。

ABSTRACT

We propose a new sheaf semantics for secure information flow over a space of abstract behaviors, based on synthetic domain theory: security classes are open/closed partitions, types are sheaves, and redaction of sensitive information corresponds to restricting a sheaf to a closed subspace. Our security-aware computational model satisfies termination-insensitive noninterference automatically, and therefore constitutes an intrinsic alternative to state of the art extrinsic/relational models of noninterference. Our semantics is the latest application of Sterling and Harper’s recent re-interpretation of phase distinctions and noninterference in programming languages in terms of Artin gluing and topos-theoretic open/closed modalities. Prior applications include parametricity for ML modules, the proof of normalization for cubical type theory by Sterling and Angiuli, and the cost-aware logical framework of Niu et al. In this paper we employ the phase distinction perspective twice: first to reconstruct the syntax and semantics of secure information flow as a lattice of phase distinctions between "higher" and "lower" security, and second to verify the computational adequacy of our sheaf semantics with respect to a version of Abadi et al.’s dependency core calculus to which we have added a construct for declassifying termination channels.

研究动机与目标

  • 开发一种内在的、非关系性的安全信息流语义,避免关系模型的复杂性。
  • 将终止无关的非干扰性形式化为层理论结构的推论,而非关系证明义务。
  • 将编程语言中的相位区分与拓扑理论构造(特别是阿廷粘合和开/闭模态)统一起来。
  • 通过扩展支持终止通道去分类的依赖核心演算,验证语义的计算充分性。
  • 为非干扰性提供一个范畴论基础,自然捕捉敏感数据无法通过返回值泄露(即使通过终止行为)的直觉。

提出的方法

  • 利用合成域理论,将类型解释为抽象行为拓扑上的层。
  • 使用阿廷粘合构造一个粘合拓扑 G,通过不相交的开-闭划分将语法相位(T)与计算相位(C)结合。
  • 将安全级别 P 建模为偏序集,其中开子拓扑 T(语法相位)与闭子拓扑 C(计算相位)使用特征映射 b = t ∨ c 进行区分。
  • 在语法相位中定义 T-代数 At,以确保全忠实性,从而正确解释语言构造。
  • 通过验证 P-索引的合成域理论公理由在计算相位中成立,确保计算充分性。
  • 使用基变换和伴随函子(j*, i*, [L]*)关联语法语义与指称语义,关键洞见在于 Ac.⟨l⟩ ≤ b • At.⟨l⟩ 确保了正确的相位行为。

实验结果

研究问题

  • RQ1非干扰性能否通过层语义内在地刻画,而无需依赖关系模型?
  • RQ2如何利用拓扑理论工具(如阿廷粘合和开/闭模态)形式化编程语言中的相位区分?
  • RQ3终止无关的非干扰性能否作为层理论语义的结构结果推导,而非单独的证明义务?
  • RQ4西尔皮诺斯基拓扑与粘合拓扑在建模语法与语义之间异质逻辑关系中起什么作用?
  • RQ5如何扩展依赖核心演算以支持终止通道的去分类,同时保持非干扰性?

主要发现

  • 由于粘合拓扑的结构以及语法与计算组件之间的相位区分,该层语义自动满足终止无关的非干扰性。
  • 通过粘合拓扑 G 内部的克里普克逻辑关系,建立了语法类型系统与其指称语义之间的正式对应。
  • 关键不等式 Ac.⟨l⟩ ≤ b • At.⟨l⟩ 成立,确保计算相位正确解释安全级别结构,并保持预期的非干扰性质。
  • 语义相对于扩展的依赖核心演算具有计算充分性,通过验证计算相位中 P-索引合成域理论公理的满足性得以证实。
  • 该模型为非干扰性提供了范畴论基础,推广了先前使用类似拓扑理论技术的参数性与归约性证明工作。
  • 敏感信息的擦除自然地建模为将层限制到闭子空间,与安全信息流中信息隐藏的直觉一致。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。