Перспективным подходом является динамический контроль за потоками информации на языковом уровне (IFC).
К созданию защищенных программных систем. В ИФК разработчики определяют политики безопасности, зависящие от конкретных приложений и данных. Языковой уровень системы ИФК — часто реализованная в виде библиотеки или в рамках языковой системы исполнения.
Обеспечивается соблюдение следующих требований, эти политики автоматически отслеживают и ограничивают поток информации по всему приложению. При этом ИФК может обеспечить, чтобы различные приложения, даже если багги или вредоносные компоненты, не могут нарушить конфиденциальность данных или честности.
Ключом к практическому применению ИФК на лингвистическом уровне является проектирование реальных условий жизни и возможности языка программирования, абстракции без ущерба для безопасности. К сожалению, многие практические языковые возможности противоречат безопасности.
Например, современные веб-приложения обычно обрабатывают пользовательские запросы параллельно, на многоядерный процессор, используя преимущества современного оборудования. Веб-приложения построенные на основе самых современных динамических веб-структур IFC,Hails и LMonad к сожалению, не обрабатывают пользовательские запросы в следующих разделах параллельно — языковые системы ИФК, которые лежат в их основе и LIO не поддерживают выполнение параллельных потоков.
Ключевая мысль что большинство систем ИФК не препятствуют проведению конфиденциальных и публичных вычислений, они просто не позволяют публичным вычислениям наблюдать за тем какие чувствительные эффекты. В последовательной и параллельной установке такими эффектами являются доступностью только злоумышленникам, находящимся вне пределов видимости программы и, таким образом, вне ее досягаемости большинства систем ИФК. Однако, когда вычисления выполняются параллельно, они представляют собой по существу внешними по отношению друг к другу и поэтому не требуют внешнего наблюдателя для системы — они могут наблюдать такие эффекты внутри себя.
Такие системы, как LIO, тщательно следят за тем, чтобы публичные потоки не могли узнавать секреты, даже косвенно (например, по скрытым каналам, которые злоупотребляют планировщиком системы исполнения). Но секретные потоки могут сливать информацию внешнему наблюдателю, который осуществляет мониторинг публичных событий путем оказания влияния на поведение публичных потоков.
В противном случае он выделяет, скажем, две трети CPU на публичные потоки и это позволяет внешнему злоумышленнику сделать тривиальный вывод о секрете. К сожалению, такие внешние атаки на тайминг проявляются внутри программы при параллельном выполнении потоков, на нескольких ядрах. Предположим, например, что p0 и s0 расположены на ядре и работают параллельно с p1. Прекратив действие досрочно на основании тайны, s0 влияет на процессорное время, отведенное на p0, которое может быть измерено с помощью p1.
Такие атаки осуществимы, создавая несколько программ, использующих алгоритм распределения и использования времени работы системы, восстанавливает общие ресурсы для нарушения гарантий безопасности ОВБ. Затем мы разрабатываем проект, новую динамическую параллельную языковую систему LIOPAR IFC, которая получила название LIOPAR и она расширяет LIO до параллельной настройки, изменяя то, как разделяемая система времени выполнения, а именно процессорное время и память. Обычное время работы системы ( GHC для LIO) достаточно сбалансированного распределяют ресурсы между потоками; это значит, что распределение или повторное использование секретных потоков LIO непосредственно влияет на ресурсы доступно для потоков LIO общего пользования.
Тем не менее, автоматическое управление памятью является неотъемлемой частью современные языки программирования высокого уровня и обычно собирают мусор, освобождая разработчиков от ручной рекультивации неиспользуемую память. К сожалению, даже если память иерархически разделена, некоторые алгоритмы сбора мусора (GC), такие, как GHC's stop-the-world GC, могут вводить скрытые каналы синхронизации. Вдохновленный предыдущей работой в режиме реального времени GC, оснащаем LIOPAR перпендикулярной резьбой с возможностью прерывания сборщика мусора. Эта стратегия является агностической по отношению к конкретному используемому алгоритму ГХ: наша иерархическая исполнительная система требует только того, чтобы ГХ работал в пределах и ограничивает память отдельных потоков и их временной бюджет.
LIOPAR - это первая параллельно работающая динамическая языковая система IFC, предназначенная для устраняют как внутренние, так и внешние атаки по таймингу, которые нарушают работу системы и системный планировщик, распределитель памяти и ГХ.
Языковые системы IFC, построенные на базе готовых систем, подвержены внешним временным атакам, основанным на ресурсах. Когда эти системы будут расширены с параллелизмом потоков, эти атаки становятся еще более злобными — они могут быть осуществлены внутри организации.
Представили LIOPAR, дизайн первой динамической IFC.
Иерархическая исполнительная система, поддерживающая детерминированный параллелизм и устраняющая как ресурсные скрытые внутренние, так и внешние временные каналы. За нашу будучи первой параллельной системой, которая удовлетворяет требованиям прогресса и своевременного невмешательства, LIOPAR является первой параллельной системой, учитывающей факторы, связанные с прогрессом.