[发明专利]软件自动分割方法、系统、存储介质、计算机设备、终端

权利要求书

1.一种软件自动分割方法，其特征在于，所述软件自动分割方法采用MulTEE分区框架，首先注释安全敏感的应用程序数据；然后，MulTEE会自动将应用程序划分为不受信任的模块和多个安全的模块，每一个安全模块都是敏感数据的最小程序切片，使用后向数据流分析来识别可能影响敏感数据机密性的代码，使用前向切片来识别可能影响敏感数据完整性的代码；最后，将对安全敏感的模块放置在安全区内，以保护其免受攻击；

所述软件自动分割方法进一步包括：

第一步，预处理器将输入的源代码文件集，将所有的源代码文件转换为LLVM汇编码并链接为单个文件；标注需要保护的安全敏感变量列表以及变量所在的函数名称；

第二步，在预处理器得到中间文件的基础上进行分析，识别出与用户指定的安全敏感变量相关的代码集；

第三步，根据用户的安全性需求，使用关联性分析将部分信息量近似的敏感变量划分到同一个安全区中；

第四步，关联性分析的结果形成两组程序组件：(1)被开发者标记并在SDG传播过程中污染的代码，并经过关联性分析进行了分组；(2)未受污染的代码，通过在上下文下的污点定义，组件(1)组成安全切片，组件(2)形成普通切片，分别在安全区内和安全区外部署；

所述第一步还包括：预处理器输入两类数据：(1)一组源代码文件集，记为F＝{f₁,f₂,...,f_n}，预处理器会将所有的源代码文件转换为LLVM汇编码并链接为单个文件；(2)必须保护的安全敏感变量列表以及变量所在的函数名称，记为S＝{s₁,s₂,...,s_n}，进行标注；

所述第三步还包括：表示敏感变量A覆盖到的所有敏感变量p的集合，表示敏感变量A传播的所有代码的集合；

定义1：相似度函数sim(x，y)是将变量x，y映射到[0,1]中的数字，测量x和y之间的相似度的函数，sim(x，y)＝1对应于对象x，y相同，而sim(x，y)＝0对应于非常不同的对象；

使用信息检索中使用的Jaccard相似系数作为相似性度量：

使用一个关联性阈值ρ∈[0，sim(s₁，s₂)_max]作为是否将变量划分到同一个分组的标准，关联性阈值代表软件的使用者愿意牺牲多大的性能换取系统的安全性；sim(s₁，s₂)≥ρ时，将s₁，s₂划分至同一个安全区分组，sim(s₁，s₂)＜ρ时，则将s₁，s₂划分至不同的安全区分组，在划分过程中会遇到不同变量的切片之间存在重叠部分；在ρ＝sim(s₁，s₂)_max时，自动分割方案将每一个秘密存放到单独的安全区中；在ρ＝0时，最终架构会退化为威胁模型中的架构。

2.如权利要求1所述的软件自动分割方法，其特征在于，所述第二步还包括：使用自动化符号程序切片识别安全敏感变量的数据流和控制流依赖，函数集包含安全敏感变量的定义语句，在切片分析的过程中不断进行扩充，为获得最小化的程序子集，将切片规则定义如下：

当程序从n执行到m时，跟踪程序的数据流，规则(1)表示应追踪秘密引用的传播；规则(2)表示在秘密引用作为函数调用的参数时需要跟踪函数其他参数的传播；规则(3)表示秘密引用作为函数调用的参数时需要跟踪函数的返回值传播；规则(4)表明，在任何秘密的引用解除引用时，需要跟踪秘密及其引用；

使用llvm-slicing--静态软件分析框架来、确定系统依赖图SDG中敏感信息的传播，依次单独对{s}中的敏感变量进行传播分析，将得到的敏感变量集记为{s_fi}，{s_fi}在迭代期间不断变化，当{s_fi}及其引用集不再发生变化时停止分析，获得大量潜在的敏感函数。