Le mod` ele de Russo et Sabelfeld - Contrôle du flot d'information par des techniques basées su

4.5.1 Introduction

Russo et Sabelfeld [23] proposent un traitement de l’interaction entre les processus et l’ordonnanceur qui permet à ce dernier de tenir compte du niveau de sécurité des informations manipulées par chaque processus. Leur modèle est compatible comme nous allons le voir avec la plupart des propriétés de la section précédente. Le langage est enrichi avec deux primitives qui permettent de protéger momentanément un processus pendant qu’il manipule des informations secrètes. Une spécification de sécurité permissive et similaire à la non-interférence est définie, de même qu’un système de types pour la sécurité, stable par composition, qui applique cette spécification. Un traitement efficace et convivial est proposé pour la création dynamique des processus et pour la synchronisation.

4.5.2 Syntaxe et s´emantique des commandes

La syntaxe du langage est représentée dans la figure 4.2. En plus des primitives impératives standard, le langage inclut de nouvelles commandes, hide et unhide, pour isoler l’exécution d’une section de code ; puis fork et hfork, pour créer dynamiquement des processus.

Figure 4.2 – syntaxe des commandes tir´ee de [23]

Une commande c et une mémoire m forment une configuration hc, mi. La sémantique des commandes est présentée dans la figure4.3. La sémantique d’une étape atomique des configurations prend la forme hc, mi* hcα 0, m0i, qui modifie la commande et la mémoire en présence d’un événement α s’il y a lieu, α appartenant à l’ensemble des événements {• , •, ◦−→

d, •−→d}

où−→d est un ensemble de processus. La signification des événements est décrite avec les règles qui les impliquent.

Avant d’expliciter le fonctionnement des commandes hide et unhide, introduisons d’abord le terme suivant.

D´efinition 8. Bassin des processus ´

Etant donné un programme concurrent en exécution, nous désignerons par bassin des processus l’ensemble fini des processus actifs du programme. Cela inclut le processus en cours d’exécution et tous ceux qui sont en attente d’être planifiés par l’ordonnanceur.

Figure 4.3 – S´emantique des commandes tir´ee de [23]

Remarquons que la taille du bassin varie avec l’état du programme, puisque les processus terminés sont exclus du bassin et les nouveaux processus dynamiquement créés font leur entrée. L’exécution d’un programme concurrent se termine lorsque le bassin devient vide. On utilise la sémantique des commandes pour partitionner le bassin des processus en deux, une partie haute dédiée aux processus privés et une partie basse pour les autres processus. L’intention est de cacher le timing de l’exécution des processus du groupe privé des processus du groupe public.

La commande hide déplace le processus courant de la partie publique vers la partie privée du bassin. Ceci est exprimé dans la sémantique par l’événement • qui indique à l’ordonnanceur de traiter le processus comme privé, même s’il l’était déjà. La commande unhide a un effet dual. Il indique à l’ordonnanceur par l’événement • que le processus doit être traité comme public. Pour illustrer intuitivement comment utiliser les commandes hide et unhide, modifions l’exemple de la section 4.3 en intercalant la commande de branchement entre les primitives hide et unhide de la manière suivante :

d1: hide; (if h then sleep(100) else skip); unhide; l := 1

d2: sleep(50); l := 0

Initialement, le processus de la commande d1 et celui de la commande d2 sont consid´er´es

comme publics par l’ordonnanceur. Après l’exécution de la commande hide, le processus de d1devient temporairement privé, et celui de d2ne peut plus être planifié jusqu’à ce que la com-

par l’instruction de branchement dans d1, n’est plus visible par d2. La fuite par chronom´etrage

interne est ainsi ´evit´ee.

Les commandes fork (c,−→d ) et hfork (c,−→d ) engendrent dynamiquement le groupe de processus −

→

d = d1...dn, pendant que le processus courant ex´ecute la commande c. La diff´erence entre

les deux primitives se situe dans la génération des événements. La commande fork (c,−→d ) prévient l’ordonnanceur de la création d’un processus public avec l’événement ◦−→

d, alors que

la commande hfork (c,−→d ) indique que le processus créé doit être traité comme privé avec l’événement •−→

Les commandes skip, affectation, if then et while opèrent conformément à la sémantique décrite dans la section2.3.3

4.5.3 S´emantique de l’ordonnanceur

Un ordonnanceur est représenté par un programme σ et une mémoire ν. La configuration est notée hσ, νi. On suppose que la mémoire de l’ordonnanceur et celle du programme sont disjoints. La mémoire de l’ordonnanceur contient les variables q, t, r et s où :

– la variable q garde le nombre d’étapes restant à exécuter pour le processus courant. – la variable t permet de différencier les deux partitions du bassin des processus :

– t◦ repr´esente la partie basse (publique) du bassin,

– t• représente l’une des parties hautes (privées) du bassin, constituée des processus

qui sont privés dès leur création et qui le demeurent tout au long de leur exécution. – te représente l’autre partie haute, constituée des processus qui étaient initialement

publics avant de subir une d´elocalisation par la commande hide. Les processus vont et viennent dans la zone te sous l’action des commandes hide et unhide.

– la variable r identifie le processus en cours d’ex´ecution.

– la variable s est un drapeau qui indique en tout temps si un processus de la partie publique du bassin peut être exécuté.

– si s est égal à •, seuls les processus privés peuvent être sélectionnés.

– si s est égal à ◦, tous les processus (publics et privés) peuvent être sélectionnés par l’ordonnanceur pour être exécutés.

L’ordonnanceur peut avoir d’autres variables internes en plus des quatre variables cit´ees ci-dessus. On s’int´eresse seulement aux variables qui influencent l’interaction avec les programmes.

Une transition de l’ordonnanceur prend la forme hσ, νi + hσα 0, ν0i. Par convention, on repr´esentera ν par ses variables q, t, r et s et ν0 par q0, t0, r0 et s0. On suppose que l’ordonnanceur peut effectuer d’autres transitions qui ne sont pas forc´ement visibles.

Nous nous intéresserons seulement aux transitions qui génèrent des événements visibles au niveau des échanges avec le programme. Il s’agit du traitement d’une information qui aboutit à la création ou à la terminaison d’un processus, et de la communication d’une information de sélection d’un processus.

Les règles pour l’ordonnanceur s’énoncent comme suit : – La règle α−→r

d assure que l’ordonnanceur met `a jour la bonne partie du bassin selon

la valeur de α au moment de la cr´eation des nouveaux processus.

– L’opération N (−→d ) retourne les identificateurs du processus et génère les nouveaux processus à l’exécution des commandes fork et hfork.

– La règle r garde les traces d’une transaction non terminale du processus r. L’effet direct est que le compteur q est décrémenté d’une unité.

– La dernière transition d’un processus r envoie l’événement r × qui demande à l’ordonnanceur d’exclure le processus r du bassin.

– Les événements ↑ ◦r0 et ↑ •r0 sont envoyés suite à la sélection du processus r0. Un processus public ne peut être sélectionné que si s a la valeur ◦.

– Les événements r • et • r sont issus de l’exécution des commandes hide et unhide respectivement. L’ordonnanceur traite l’événement r • en dépla¸cant le processus courant de la zone publique vers la zone privée du bassin et affecte à s0 la valeur •. En présence de l’événement • r, l’ordonnanceur déplace le processus courant de la zone privée vers la zone publique du bassin et affecte la valeur ◦ à s0. – Les événements r •× et • r× sont envoyés suite à l’exécution des commandes hide et unhide respectivement, lorsqu’elles sont les dernières commandes du processus.

4.5.4 S´emantique du programme concurrent

Une configuration prend la forme h−→c , m, σ, vi, où −→c représente le bassin des processus, m est la mémoire des programme, σ est le programme de l’ordonnanceur et v sa mémoire. Les transitions sont de la forme h−→c , m, σ, vi−→ hα −→c0, m0, σ0, v0i où α appartient au même ensemble d’événements que dans la sémantique de l’ordonnanceur.

La sémantique de la configuration du bassin des processus est représentée dans la figure 4.4.

– La règle de la création dynamique du processus est déclenchée lorsque le processus en cours crgénère l’événement de création de processus α−→_d, avec α ∈ {•, ◦}. Cet événement

est synchronisé avec l’événement de l’ordonnanceur αr−→

d qui indique `a l’ordonnanceur de

Figure 4.4 – S´emantique du bassin des processus tir´ee de [23]

– Si cr n’engendre pas de nouveaux processus ou se termine, la synchronisation se fait

avec l’´ev´enement de l’ordonnanceur r .

– Si crse termine par une transition sans étiquette, alors l’événement r × est nécessaire

pour la synchronisation, afin de mettre `a jour l’information du bassin des processus dans la m´emoire de l’ordonnanceur.

– Si crtermine avec • (respectivement • ), alors, la synchronisation avec r •× (res-

pectivement • r×) est n´ecessaire pour enregistrer la terminaison et la d´elocalisation de r dans la partie haute (respectivement basse) du bassin.

– L’événement de l’ordonnanceur ↑α r0 déclenche la sélection d’un nouveau processus r0

sans changer ni les commandes du bassin, ni la m´emoire des commandes.

– L’entrée et la sortie de la partie haute du bassin est faite par la synchronisation du processus courant avec l’événement de l’ordonnanceur r • et • r.

D´efinition 9. Terminaison de programme

Soient cfg une configuration non vide et cfg0 une configuration vide, s’il existe une transition cfg −→ cfgα 0, on dit que la configuration cfg se termine avec la configuration cfg0. On note cfg ⇓ cfg0.

Rappelons que le programme de l’ordonnanceur s’exécute indéfiniment. Par contre, par rap- port à la définition précédente, le programme se termine s’il n’y a plus de processus à planifier dans le bassin.

On suppose dans la suite que la fonction M(cfg) extrait la m´emoire du programme de la configuration du bassin. Par exemple, M(h−→c , m, σ, vi) = m .

4.5.5 Spécification de sécurité

On suppose qu’on a un treillis de sécurité à deux points {L v H}, et qu’un niveau de sé- curité est attribué à chaque variable au début du programme. La vue de la mémoire du programme par l’attaquant est définie par la relation d’équivalence =Ldéfinie par m1=Lm2

si et seulement si les restrictions de m1 et m2 à l’ensemble des variables de niveau de sécurité

L co¨ıncident. Un programme sera dit sécuritaire sous un ordonnanceur quelconque si pour deux exécutions qui commencent avec deux mémoires L-équivalentes, lorsque les exécutions se terminent, les deux mémoires finales sont aussi L-équivalentes. Cette affirmation est gé- néralisée à une classe d’ordonnanceurs dont le fonctionnement est conforme aux hypothèses de la section 4.5.3 et qui satisfont chacune une certaine forme de non-interférence que nous définissons dans le paragraphe qui suit.

On sépare les événements liés à l’ordonnanceur en deux groupes, les événements de haut niveau de sécurité et les événements de bas niveau de sécurité :

– Les ´ev´enements ◦r−→

d, r , r ×, ↑ ◦r 0

, r •, • r, r • × et • r× opèrent sur des processus publics. Nous les appellerons par définition des événements de bas niveau de sécurité.

– Les ´ev´enements •r−→

d, r , r ×, ↑ •r

0_{, r •, • r, r • × et • r× (o`}_{u r et r}0 _sont

des processus privés ) sont des événements de haut niveau de sécurité.

On dira qu’une transition est de haut niveau (respectivement de bas niveau) si elle g´en`ere un ´

ev´enement de haut niveau (respectivement de bas niveau).

Avec cette partition sécuritaire définie sur les événements des ordonnanceurs, nous allons spécifier « l’indiscernabilité » des configurations des ordonnanceurs.

Une relation R sur les configurations d’un ordonnanceur est une L-bisimulation si pour deux configurations li´ees par R, si une des deux (disons la premi`ere) peut faire une transition

de haut niveau vers une troisième configuration, alors cette dernière est aussi en relation avec l’autre configuration (disons la seconde). D’autre part, si aucune des configurations ne peut effectuer une transition de haut niveau, mais que l’une peut effectuer une transition de bas niveau, alors, l’autre configuration peut aussi effectuer une transition de bas niveau avec la même étiquette, et les deux transitions résultantes doivent aussi être liées par R. Formellement, on a la définition suivante :

D´efinition 10. L-bisimulation sur les configurations d’un ordonnanceur

Une relation R est une L-bisimulation sur les configurations d’un ordonnanceur si pour tout couple de configurations (hσ1, ν1i, hσ2, ν2i) appartenant `a R, on a :

– si hσi, νii α

* hσ_i0, ν_i0i avec α un ´ev´enement de haut niveau et i ∈ {1, 2}, alors hσ_i0, ν_i0i R hσ_3−i, ν3−ii

– si aucune des configurations ne peut faire une transition en générant un événement de haut niveau et si hσi, νii* hσα _i0, ν_i0i avec α un événement de bas niveau pour i ∈ {1, 2},

alors hσ3−i, ν3−ii α

* hσ_3−i0 , ν_3−i0 i et hσ0_i, ν_i0i R hσ0_3−i, ν_3−i0 i.

La première condition stipule que les transitions de haut niveau conservent la relation R, c’est-à-dire qu’après une telle transition, la configuration initiale et la configuration finale sont liées par R. La seconde stipule que si une des deux configurations liées par R peut seulement effectuer une transition de bas niveau, l’autre configuration peut aussi effectuer la même transition et les configurations d’arrivée restent liées par R.

D´efinition 11. L-indiscernabilit´e

On dira que deux configurations d’ordonnanceur hσ1, ν1i et hσ2, ν2i sont L-indiscernables s’il

existe une L-bisimulation R telle que hσ1, ν1iRhσ2, ν2i. On note hσ1, ν1i ∼Lhσ2, ν2i.

D´efinition 12. Ordonnanceur non interf´erent

L’ordonnanceur σ est dit non interf´erent si hσ, νi ∼Lhσ, νi pour toute m´emoire ν de l’ordon-

nanceur.

D´efinition 13. Programme s´ecuritaire

Un programme c est dit sécuritaire si pour tout ordonnanceur σ non interférent et pour deux mémoires m1 et m2 L-équivalentes on a :

hc, m₁, σ, νiniti ⇓ cfg1 ∧ hc, m2, σ, νiniti ⇓ cfg2 =⇒ M(cfg1) =LM(cfg2).

On peut constater que cette condition de sécurité ne dépend pas d’un ordonnanceur en par- ticulier, et qu’elle n’est pas sensible à la terminaison d’une exécution.

4.5.6 Système de types de sécurité

La figure 4.5présente les règles de typage pour les expressions et les commandes. On suppose qu’on a un environnement de typage Γ qui associe à chaque variable un type correspondant à son niveau de sécurité (H ou L), et deux variables pc et hc dont les valeurs possibles sont des niveaux de sécurité. Par convention, on écrira Γv pour restreindre Γ à toutes les variables sauf

v. La variable pc garde le niveau de sécurité du contexte tel que décrit dans le paragraphe

3.2.1.

Figure 4.5 – Système de types de sécurité tiré de [23]

Les jugements de typage des commandes ont la forme Γ ` c : τ . Ces jugements utilisent le type d’une expression, qui correspond à son niveau de sécurité tel que défini dans la section

3.2.1.

La variable de sécurité hc indique le « niveau de protection » de la section courante de code et τ décrit le type de la commande. Les deux aident à traquer les flots d’information propres à une configuration concurrente. Le rôle principal de hc est d’enregistrer si le processus courant est dans la partie haute (hc = H) du bassin des processus ou dans la partie basse (hc = L). Le type de commande τ garde la valeur de la variable hc après l’exécution de la commande. la règle pour l’affectation impose que le niveau de la variable affectée soit au moins plus grand que la borne supérieure entre le niveau de l’expression à droite de l’affectation, le niveau du

contexte pc et le niveau de protection du bloc de code hc. Le m´ecanisme assure :

– qu’il n’y a pas d’affectation d’une expression de niveau H `a une variable de niveau L, – qu’il n’y a pas d’affectation `a une variable de niveau L dans un contexte de niveau

H. On a ainsi la garantie que, si le jugement Γpc, pc 7→ H ` c : τ est valide, alors la

commande c ne fait aucune affectation `a une variable de niveau L.

– qu’il n’y a pas d’affectation à une variable de niveau L à l’intérieur d’un bloc dont le niveau de protection est H.

La règle pour les commandes hide et unhide hausse et abaisse respectivement le niveau du processus. La condition τev Γ(hc) dans les prémisses des règles de if et while assure que les

branches d’un bloc conditionnel ou d’une boucle de haut niveau ne peuvent être typées que si hc vaut H. Ceci permet d’appliquer l’exigence qu’une instruction de contrôle de haut niveau doit être exécutée par un processus privé. La règle de typage assure aussi qu’une branche d’un if ou d’un while de haut niveau doit être typée dans un contexte de haut niveau, c’est-à-dire avec pc = H.

Le système de types assure qu’il n’y a pas de commande fork (mais probablement des hfork) dans une instruction de contrôle de haut niveau. Ceci est contrôlé par la règle pour la commande fork qui exige que hc soit de niveau L.

On peut remarquer que si on exclut les règles de typage pour les commandes hide, unhide, fork et hfork, de même que les variables de type de sécurité hc et τ du tableau des règles de la figure4.5, on obtient le système de types standard de Volpano [32] pour la sécurisation du flot d’information dans un programme séquentiel.

4.5.7 Extension du mod`ele aux ordonnanceurs coop´eratifs

Rappelons que l’ordonnanceur distribue le temps du processeur entre les différents processus du bassin. Dans un système préemptif, l’ordonnanceur peut interrompre à tout moment une tâche en cours d’exécution pour permettre à une autre tâche de s’exécuter. À l’inverse, un ordonnanceur coopératif ne peut interrompre une tâche pour laisser une autre s’exécuter s’il n’a pas re¸cu une commande lui indiquant de faire ainsi. En présence d’un ordonnanceur coopératif, il revient au programmeur d’inclure dans son code des commandes pour demander `

a l’ordonnanceur d’interrompre la tâche en cours d’exécution. Ce paragraphe examine une extension du modèle aux ordonnanceurs coopératifs. Cette extension se fait par un ajout mineur à la sémantique du programme et aux règles de typage.

Le langage est étendu avec la primitive yield dont la sémantique opérationnelle est :

La sémantique de la commande doit pouvoir propager l’étiquette 9 dans la règle de la composition parallèle. La sémantique de l’ordonnanceur doit pouvoir réagir par la ré-initialisation du compteur q0 :

q > 0 q0= 0 hσ, νir9* hσ0, ν0i

q > 0 q0 = 0 ∀α ∈ {◦, •} t0_α= tα\{r}

hσ, νir9×* hσ0_{, ν}0_i .

On doit s’assurer que la seule possibilité de planifier un autre processus est par la génération de l’événement 9. Pour cela, on ajoute la prémisse q = ∞ à la sémantique de l’ordonnanceur pour les événements de sélection ↑ ◦r0et ↑ •r0. D’autre part, la dernière règle de la figure4.4est valable pour α ∈ {r •, • r, 9} qui propage l’événement du processus à l’ordonnanceur. Comme pour les événements r •×, et • r×, une nouvelle transition sera ajoutée à la sémantique du bassin des processus pour inclure le cas où la commande yield est exécutée comme dernière commande du processus.

Dans le nouveau système de types, passer le contrôle lorsqu’on est à l’intérieur d’une commande de haut niveau (pc = H) ou l’intérieur du couple de commandes hide et unhide (hc = H) est potentiellement dangereux. La règle de typage de la commande yield permet d’éviter une telle situation :

Γ(pc) = L Γ(hc) = L Γ ` yield : Γ(hc) .

Les auteurs montrent que le syst`eme de types reste coh´erent avec cette extension.

Figure 4.6 – syntaxe du langage avec gestion des s´emaphores tir´ee de [23]

4.5.8 Extension du mod`ele aux primitives de synchronisation

On ajoute au langage les commandes wait() et signal() pour la manipulation des sémaphores. La sémantique des nouvelles commandes est représentée dans la figure 4.6.

L’extension de la sémantique des ordonnanceurs passe par l’introduction d’une nouvelle variable qui garde la liste des processus bloqués. Les règles de sélection des processus par

Dans le document Contrôle du flot d'information par des techniques basées sur le langage de programmation (Page 78-89)