程序的“时序安全属性(temporal safety properties)”是描述“某些坏的事情不会发生”的一类属性.通常,时序安全属性规定了一系列有序的事件,要求在程序中不能发生这些事件.在程序中,它表现为一系列先后有序的操作(通常是和安全相关的操作,至少有一个是这样的,不然不会发生安全问题)。
例子:
下图展示了一个时序安全属性的例子。在某进程调用系统调用chroot限制其访问在一子文件系统后,必须、立即紧跟一个对chdir的调用,更改进程的工作目录到这个子文件系统中。如果没有这个调用,如b所示,则事实上当前目录仍然是/var/ftp,某恶意的用户有可能请求程序打开文件"。。/。。/etc/passwd"(这里,输入../..总是显示网站的名称,用中文的代替了)并获得成功,这样就对系统的安全造成了威胁。
自然地,可以想到,对时序安全属性的刻画,可以采用有限状态自动机FSA(Finite State Automaton)表示,如图中a所示,每个圆圈代表一个状态,双圆圈表示进入了危险状态,这应该是被避免的,也是我们检测的内容,边上的标志表示执行的操作,系统通过执行相应的操作状态发生改变。
实际的系统中,通常会有很多和时序有关的安全属性,而且涉及很多系统调用和变量的变化,因而得到的FSA也是很庞大的(即所谓的状态爆炸)。这些调用之间又是过程间调用,调用的关系可能是非常复杂的,以至于超出了我们人工控制的范围。因此,如果靠人工检测一个系统的时序安全属性,将是十分低效、辛苦的,正确性也得不到保证。
由自动机理论,知FSA可以用正则文法来表达,这样为我们检测时序安全属性提供了编程基础。