第 40卷 第9期 计 算 机 科 学 Vo1．40No．9
 
2013年 9月 Computer Science Sep2013
 
一 个 C语言安全子集的可信编译器
 
王 蕾 石 刚 董 渊 白晓颖 王生原
 
(清华大学计算机科学与技术系 北京 100084)
 
摘 要 以安全关键领域的安全标准为依托、安全相关软件的语言编码和编译要求为指导，进行了以下几方面的研究
 
和探索：首先对形式化验证可信编译技术进行分析研究，特别着重当前广受关注的经过验证的CompCert编译器。然
 
后以我国安全领域C语言安全子集标准 《航天型号软件C语言安全子集》为依据构造测试用例、创新测试方法，并以
 
此对CompCert编译器进行测试评估。之后依据测试结果，为CompCert编译器增加未支持的C语言标准特性，裁剪
 
不符合C语言安全子集要求的特性，构建符合C语言安全子集标准的可信编译器。最后的实测结果表明，所 实现的
 
编译器符合 C语言安全子集标准的要求，且没有降低C代码的执行效率。
 
关键词 可信计算，CompCert，C安全子集，经过验证的编译器
 
中图法分类号 TP314 文献标识码 A
 
TrustedCompilerforSafeSubsetofC Language
 
W ANG Lei SHIGang DONG Yuan BAIXiao-ying W AN G Shengyuan
 
(DepartmentofComputerScienceandTechnology，TsinghuaUniversity，Beijing100084，China)
 
Abstract Usingthesafetystandardsofsafety-criticalareasasthebasis，safety-relatedsoftwarecodingandcompiling
 
requirementsastheguideline，thispaperintroducedthefollowingaspectsofresearchnadexploration：firstanalysedthe
 
formalverificationtechniquefortrustedcompiler，especiallyemphasizedtheCompCertverifiedcompilerwhichiswidely
 
concerned，thenconstructedtestcasesaccordingtosafesubsetofC languageforspacearmamentsoftwaretotestand
 
assesstheCompCertcompilerwiththenewmethod．Basedonthetestresults，theprojectaddedunsupportedfeaturesof
 
C languagetoCompCertandcutsoff thefeatureswhichdonotmeetthesafesubsetofClanguagerequirements，builta
 
verifiedcompilerforthesafesubsetofC languageatlast．Theexperimentalresultsshow thatthecompilerweimple—
 
mentedcomplieswithsafesubsetofC language，butitdonotincreasetheexecutiontimeofCcode．
 
Keywords Trustworthycomputing，CompCert，SafesubsetofC 1anguage，Verifiedcompilers
 
1 引言 2 高可信编译问题
 
编译可信一直是核工业、航空航天等关键领域关注的焦 安全可靠在核工业 、航空航天等领域的

这是作者2020年参加清华大学、Coremail、奇安信DataCon举办的比赛，主要是关于钓鱼和异常邮件识别研究。非常感谢举办方让我们学到了新知识，DataCon也是我比较喜欢和推荐的大数据安全比赛，这篇文章2020年10月就进了我的草稿箱，但由于小珞珞刚出生，所以今天才发表，希望对您有所帮助！感恩同行，不负青春。
 
 
微步情报局C&C资产进行拓线关联发现 “白象三代”组织在2019年期间用于钓鱼攻击的资产域名：ioa-cstnet.org。该域名在2019年3、4月期间曾被用于伪装成中国科学院计算机网路络信息中心管理员对该所人员发起鱼叉式攻击活动，试图窃取科研人员邮箱账密。钓鱼邮件如下所示，因此鱼叉式钓鱼攻击越来越多，其安全防御也非常重要。
 
 

什么是IEC 62304？
 
IEC 62304标准在医疗设备行业中使用，它是一种软件安全分类，它为软件生命周期过程提供了一个框架，其中包含为安全设计和维护医疗设备软件所必需的活动和任务。美国FDA接受IEC 62304合规性作为证明医疗设备软件已根据要求的法规/标准进行设计的证据，因为它可确保开发和维护过程的可追溯性和可重复性。
 
 
通过源代码分析、单元测试、可追溯性等来增强IEC 62304的合规性
 
与国际标准（ISO 62304）和欧洲标准（EN 62304）相似，IEC 62304标准引入了不同的要求，以根据软件故障对患者的可能影响来确保正确的医疗软件设计、实施和测试。Parasoft用户可以通过自动执行标准所需的多种测试方法来节省时间和精力，从而利用Parasoft C/C++test降低符合IEC 62304的成本。
 
 
 
IEC 62304安全等级
 
按照标准的规定，“制造商应根据由危险（潜在的危害源）导致的，软件系统可能会对此推波助澜造成的对患者、操作员或其他人的可能影响，为每个软件系统分配一个软件安全等级（A，B或C）。”制造商必须按照IEC 62304引入的用于软件安全级别的三个安全级别之一对所制造的医疗设备进行分类。Parasoft C/C++test已通过TÜVSÜD认证，适合在开发IEC 62304软件安全关键系统时使用。我们的TÜV认证涵盖了所有安全完整性等级（SIL）的C/C++test资格。为了支持其他行业标准，Parasoft提供了一套资格认证套件，可自动执行工具资格认证流程的重要部分，从而减少了人工工作量，并消除了软件团队的这种干扰。
 
 
A级——不会造成伤害或损害健康。
 
 
B级——可能会造成严重伤害。
 
 
C级——可能会导致死亡或重伤。
 
 
 
Parasoft如何帮助实现IEC 62304认证和合规性
 
Parasoft用户可以通过自动执行标准所需的多种测试方法来节省时间和精力，从而利用Parasoft C/C++test流程来降低达到IEC 62304合规性的成本。自动生成的报告和仪表板为团队提供了一种实用的方法来防止、暴露和纠正软件设计中的错误，并准备审核所需的文档。Parasoft C/C++test是A类软件，可促进和自动化IEC 62304中指定的测试方法，该方法的第5部分定义了医疗设备软件生命周期的一组过程和活动，在以下标准章节中进行了定义：
 
 
5.1软件开发计划与管理
 
 
5.2软件需求分析
 
 
5.3软件架构设计
 
 
5.4软件详细设计
 
 
5.5软件单元的实施和验证
 
 
5.6软件集成和集成测试
 
 
5.7软件系统测试
 
 
5.8软件发布
 
要实现风险管理并符合IEC 62304，就需要构建可靠的软件开发和测试流程，并由多种工具来支持。在进行质量验证和确认的情况下，组织需要一种包含多种测试方法的解决方案，因为没有一种技术可以导致合规性。
 
将Parasoft解决方案映射到IEC 62304活动
 
要达到IEC 62304的要求，就需要构建可靠的软件开发和测试流程，并由多种工具来支持。Parasoft C/C++test​​​​​​​是市场上唯一的，其中包括广泛的测试方法，可最大程度地提高效率并改善结果的软件开发和测试解决方案。请在下面查看更具体的开发和测试映射：
 
 
章节
 
 
IEC 62304要求
 
 
Parasoft支持
 
 
5.2
 
 
软件需求分析
 
 
需求追踪报告
 
 
5.7.4
 
 
跟踪软件需求的软件系统测试程序
 
 
需求跟踪报告
 
 
5.6
 
 
软件集成和集成测试
 
 
集成测试用例和应用程序监视/覆盖率报告
 
 
5.6.6
 
 
进行回归测试
 
 
单元测试
 
 
5.5.2
 
 
软件单元验证
 
 
单元测试
 
 
5.5.3、5.5.4
 
 
软件单元验收标准
 
 
静态分析、度量标准、流量分析
 
 
5.7.3
 
 
更改后重新测试
 
 
测试影响分析
 
 
 
白皮书
 
用于FDA软件验证合规性的静态分析
 
FDA公开建议软件产品开发人员使用静态分析，以确保医疗设备软件的安全性和可靠性。将静态分析作为集成的、全面的合规性过程的一部分。
 
点击下载白皮书

前言
 
这学期学习的是网络安全理论课，因为这本书和后面的信息安全工程师还有计算机等级考试有关系，所以在这里写下自己的读书笔记，也当做是自己的复习了。
 
 
 
 
 
第一章
 
安全模型
 
P2DR安全模型的组成要素是 策略，防护，检测，响应
 
入侵者完成入侵的时间 > 入侵者开始入侵到检测到入侵行为所需要的时间 + 信息系统正常反应回复到正常状态的时间
 
要求 Pt > Dt + Rt
 
其中 Pt是 入侵所需要的时间
 
Dt是 发现入侵所需要的时间
 
Rt是 发现入侵之后将系统调整到正常状态的时间
 
 
 
IATF
 
定义是 信息保障技术框架
 
里面的组成内容是 人员 运行 技术
 
 
 
 
 
 
 
 
 
第二章 网络攻击
 
基础定义
 
DHCP
 
动态主机配置协议,使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息，并能够提升地址的使用率。
 
网关
 
从一个网络A当中要访问到另外一个网络B，数据流向 A 主机-A的网关-B的网关-B 主机
 
网关地址
 
即是网关地址，具有路由功能的设备的IP地址
 
域名服务器
 
DNS（Domain Name Server，域名服务器）是进行域名(domain name)和与之相对应的IP地址 (IP address)转换的服务器。
 
 
 
攻击方式
 
 
 
主动攻击
 
欺骗
 
需要入侵主机
 
直接修改hosts文件
 
不需要修改主机
 
伪造DHCP服务器和DNS服务器，使网站域名和不同的IP地址进行绑定
 
篡改
 
重放攻击
 
拒绝服务
 
直接拒绝服务攻击
 
SYN 泛洪攻击
 
黑客终端使用伪造的IP地址发起TCP连接请求，SYN=1 ，服务器回应 SYN =1,ACK=1。因为是伪造的IP地址，一直在等待，所以根本不可能进行连接，使分配的连接项被闲置，耗尽之后无法对正常的请求做出回应。
 
间接攻击
 
黑客终端ping一个不相关的终端，其中的源终端的地址是目的主机的地址，当该终端发送回应报文的时候就会给目的主机。
 
 
 
 
 
 
 
 
 
被动攻击
 
嗅探
 
 
 
集线器和嗅探攻击
 
黑客终端连接在目的主机的统一集线器上，通过目的主机的信息会通过集线器到达黑客终端
 
MAC表溢出攻击
 
通过将路由器的路由表项塞满，让其无法有正确的路由表项,这种情况下，路由器发送包就是以广播的形式进行发送
 
生成树攻击
 
因为在网络当中运行生成树协议，所以在设置成为较高的优先级就会成为“根”，经过根之下的服务器的数据都会经过根服务器。
 
MAC地址欺骗攻击
 
黑客终端通过广播目的主机的MAC地址，接受应该传给特定主机的数据
 
ARP欺骗
 
ARP协议:地址解析协议，
 
错误绑定IP地址和MAC地址，然后进行广播
 
DHCP欺骗
 
伪造一个DHCP服务器，把默认网关地址设置成为黑客主机的地址
 
 
 
数据流分析
 
非法访问
 
 
 
 
 
生成树欺骗
 
交换机之间的优先级问题，设置优先级最高数值最低 让其他交换机当中的数据都要通过黑客交换机
 
路由项欺骗
 
更改路由项下一跳的距离，给路由器发送错误的包，让下一跳直接是黑客终端
 
 
 
 
 
 
 
 
 
 
 
第五章
 
接入控制设备
 
鉴别使用终端的用户是否是注册用户 【PAP CHAP】
 
允许注册用户使用的终端建立与Internet中资源之间的传输路径【IPCP】
 
 
 
 
 
PPP
 
基于点对点信道的链路层协议，也是接入控制协议（载体协议），里面传送的可以是PAP,CHAP，IPCP等
 
PAP
 
直接用明文的方式向接入控制设备发送用户名和口令
 
CHAP
 
通关挑战响应来证明身份
 
IPCP
 
为终端动态分配IP地址等网络信息
 
EAP
 
扩展鉴别协议 定义一种和环境无关的，用于传输鉴别协议消息的载体协议，所有应用环境和鉴别协议都和这种载体协议绑定，鉴别信息交换过程通过EAP请求/响应过程完成
 
协议出来的原因：为避免在多种协议对应的pdu与不同类型传输网络对应的连路层帧格式之间建立两两之间的绑定关系，将多种鉴别协议对应的pdu封装成扩展鉴别协议EAP，在点对点链路当中的传输协议需要通过PPP协议进行传输，其中的鉴别协议也有很多PAP，CHAP等，由于不同环境的出现，各种链路层协议就更多，与鉴别协议所绑定的也就更多。在这种情况下，我们使用一种协议，这种协议能够包含很多鉴别协议，其是一个总的集合，所有传输链路都只传输这种协议，而不是各种各样的鉴别协议。那么这种协议在不同的链路，网络介质当中进行传输。
 
 
 
802.1x
 
定义：一种实现身份用户身份鉴别，并开通连接以太网接入权限的用户终端的端口的接入控制协议。
 
实现用户身份鉴别:EAP
 
操作模型：
 
 
 
 
 
 
一个物理端口被虚化成为2个虚端口
 
非受控端口 用于接收EAP报文和其他广播报文
 
受控端口 在成功完成用户身份鉴别之后，提供正常的输入输出
 
RADIUS
 
实现鉴别者与鉴别服务器之间的双向身份鉴别和身份标识信息传输的应用层协议
 
在一个鉴别接入网络当中如果在不同的端口进行接入的话，需要有多个不同的鉴别服务器保存鉴别资源，所以在网络当中，由一个统一的远程鉴别服务器提供鉴别服务，这种协议叫做RADIUS，RADIUS消息在网络层当中使用的传输协议是UDP协议，经过IP层的封装之后进行传输
 
这里面包含的组成是
 
用户
 
NAS（鉴别者）【在本地鉴别当中是用作鉴别用户接入网络的权限，在远程鉴别当中是用作转发用户和鉴别服务器之间的消息】
 
鉴别服务器
 
 
 
具体过程
 
 
Kerberos
 
这个协议当中有四个角色，分别是用户 鉴别服务器，票据授权服务器，应用服务器
 
由统一鉴别服务器来对用户进行用户的访问接入控制，鉴别用户是否有权限接入
 
票据服务器是来对用户进行用户权限鉴别，鉴别用户能否访问该服务
 
一般是 先由统一鉴别服务器先进行访问接入的权限鉴别，再之后是由票据服务器来进行用户是否有权限来进行访问这项服务。
 
 
 
 
 
 
 
终端通过以太网接入Internet过程需要哪些步骤
 
1.建立终端与接入控制设备之间的传输路径
 
2.完后用户身份鉴别，用户注册工作
 
3.为终端完成动态配置网络信息
 
4.路由器路由表当中建立对应的路由项，绑定传输路径
 
 
 
接入控制设备和路由器之间的差别：
 
1.其能够鉴别终端的身份
 
2.能够动态为终端分配IP地址
 
3.能够建立用于将终端的IP地址和接入控制设备与终端之间的传输路径绑定在一起的路由项
 
 
 
简述将PPP这种基于点对点信道的链路层协议作为接入控制协议的理由
 
在早期的时候，终端和接入控制设备之间的是通过点对点的语音信道进行的，其传输数据信息需要封装成适合点对点传输的数据帧格式，PPP帧就是这种帧格式。
 
 
 
PPP完成接入控制的过程
 
1.物理上的链路停止
 
2.ppp链路上建立
 
3.用户信息鉴别，不成功---》ppp链路终止
 
4.网络层协议配置，不成功---》ppp链路终止
 
 
 
简述引出EAP的理由
 
物理上的网络传输介质和鉴别协议都在不断发展，如果让传输介质和鉴别协议之间两两之间进行绑定的话，就会很复杂，这个时候创建一种和环境没有关系用于传输鉴别协议的载体协议，所有环境和鉴别协议都和这个协议进行绑定，当出现新的应用环境和新的鉴别协议的时候，建立该应用环境和EAP之间的绑定就可以了。
 
 
 
简述以太网环境下802.1x实现的实现终端接入控制的过程
 
在802.1x下是通过EAP进行接入控制，
 
身份鉴别之后，开通受控端口，开通之后鉴别者正常提供服务
 
 
 
kerberos操作过程
 
用户的身份鉴别和用户访问权限鉴别是分开的。鉴别服务器只负责对用户的身份进行鉴别，要判断用户是否有权访问指定应用服务器由票据授权服务器完成
 
所以一开始
 
用鉴别服务器实现用户身份鉴别，鉴别服务器发送给用户票据（用来向票据授权服务器证明c身份，证明属于c）
 
票据服务器：验证正确性，判断是否是授权访问，是的话生成应用服务器和用户的会话密钥，和授权票据（表明用户是授权用户）
 
应用服务器：验证正确性，证实服务器身份，得到密钥