基于轻量级虚拟化环境可信多级安全容器机制.PDFVIP

第３４卷第６期 计 算 机 应 用 研 究 Ｖｏｌ３４Ｎｏ６ ２０１７年６月　 ＡｐｐｌｉｃａｔｉｏｎＲｅｓｅａｒｃｈｏｆＣｏｍｐｕｔｅｒｓ Ｊｕｎ．２０１７ 基于轻量级虚拟化环境的可信多级安全容器机制 １ １ ２ １ 吉　晨 ，石　勇 ，戴　明 ，李晓勇 （１．北京交通大学计算机与信息技术学院，北京 １０００４４；２．中国交通通信信息中心，北京 １０００１１） 摘　要：传统的多级安全机制在实现时一般需要依赖安全操作系统，但最终证明这些多级安全系统在实际应用 方面并不成功。针对目前多级安全机制实用性差的问题，提出一种基于轻量级虚拟化环境的可信多级安全容器 机制。首先对系统安全域进行划分，提出一套多级安全策略规则；然后通过形式化方法证明其符合多级安全要 求；最后通过联合文件系统技术和容器技术说明该机制的技术可行性，并对应用场景给出了说明。结果表明，该 方法实现简单，应用范围广，可以有效改善多级安全机制实用性差的问题。 关键词：多级安全；虚拟化；形式化；安全策略 中图分类号：ＴＰ３０９２　　文献标志码：Ａ　　文章编号：１００１３６９５（２０１７）０６１７７００４ ｄｏｉ：１０．３９６９／ｊ．ｉｓｓｎ．１００１３６９５．２０１７．０６．０３７ Ｔｒｕｓｔｅｄｍｕｌｔｉｌｅｖｅｌｓｅｃｕｒｉｔｙｃｏｎｔａｉｎｅｒｍｅｃｈａｎｉｓｍｂａｓｅｄｏｎ ｌｉｇｈｔｗｅｉｇｈｔｖｉｒｔｕａｌｉｚａｔｉｏｎｅｎｖｉｒｏｎｍｅｎｔ １ １ ２ １ ＪｉＣｈｅｎ，ＳｈｉＹｏｎｇ，ＤａｉＭｉｎｇ，ＬｉＸｉａｏｙｏｎｇ （１．ＳｃｈｏｏｌｏｆＣｏｍｐｕｔｅｒ＆ＩｎｆｏｒｍａｔｉｏｎＴｅｃｈｎｏｌｏｇｙ，ＢｅｉｊｉｎｇＪｉａｏｔｏｎｇＵｎｉｖｅｒｓｉｔｙ，Ｂｅｉｊｉｎｇ１０００４４，Ｃｈｉｎａ；２．ＣｈｉｎａＴｒａｎｓｐｏｒｔＴｅｌｅｃｏｍｍｕｎｉｃａｔｉｏｎｓ ＆ＩｎｆｏｒｍａｔｉｏｎＣｅｎｔｅｒ，Ｂｅｉｊｉｎｇ１０００１１，Ｃｈｉｎａ） Ａｂｓｔｒａｃｔ：Ｔｒａｄｉｔｉｏｎａｌｍｕｌｔｉｌｅｖｅｌｓｅｃｕｒｉｔｙｍｅｃｈａｎｉｓｍｕｓｕａｌｌｙｄｅｐｅｎｄｓｏｎｔｈｅｓａｆｅｔｙｏｆｏｐｅｒａｔｉｎｇｓｙｓｔｅｍ，ｗｈｉｃｈｈａｓｂｅｅｎｆｉｎａｌ ｌｙｐｒｏｖｅｄｔｏｂｅｎｏｔｐｒａｃｔｉｃａｌ．Ｉｎｏｒｄｅｒｔｏｉｍｐｒｏｖｅｔｈｅａｐｐｌｉｃａｂｉｌｉｔｙｏｆｔｈｅｍｕｌｔｉｌｅｖｅｌｍｅｃｈａｎｉｓｍ，ｔｈｉｓｐａｐｅｒｐｒｏｐｓｅｄａｔｒｕｓｔｅｄ ｍｕｌｔｉｌｅｖｅｌｓｅｃｕｒｉｔｙｃｏｎｔａｉｎｅｒｍｅｃｈａｎｉｓｍｂａｓｅｄｏｎｌｉｇｈｔｗｅｉｇｈｔｖｉｒｔｕａｌｉｚａｔｉｏｎｅｎｖｉｒｏｎｍｅｎｔ．Ｔｈｉｓｍｅｔｈｏｄｆｉｒｓｔｌｙｐｒｏｐｏｓｅｄａｓｅｔｏｆ ｍｕｌｔｉｌｅｖｅｌｓｅｃｕｒｉｔｙｐｏｌｉｃｙｒｕｌｅｓｂａｓｅｄｏｎｔｈｅｄｉｖｉｓｉｏｎｏｆｔｈｅｓｙｓｔｅｍｓｅｃｕｒｉｔｙｄｏｍａｉｎ．Ｔｈｅｎｉｔｐｒｏｖｅｄｔｈｅｐｏｌｉｃｙｔｏｂｅｍｅｅｔｉｎｇ ｔｈｅｒｅｑｕｉｒｅｍｅｎｔｓｏｆｍｕｌｔｉｌｅｖｅｌｓｅｃｕｒｉｔｙｂｙｍｅａｎｓｏｆｆｏｒｍａｌｍｅｔｈｏｄｓ．Ｆｉｎａｌｌｙ，ｉｔｉｌｌｕｓｔｒａｔｅｄｔｈｅｔｅｃｈｎｉｃａｌｆｅａｓｉｂｉｌｉｔｙｏｆｔｈｅｍｅｃｈａ ｎｉｓｍｂｙｔｈｅｕｎｉｏｎｆｉｌｅｓｙｓｔｅｍｔｅｃｈｎｏｌｏｇｙａｎｄｃｏｎｔａｉｎｅｒｔｅｃｈｎｏｌｏｇｙ，ａｎｄｄｉｓｃｕｓｓｅｄｔｈｅａｐｐｌｉｃａｔｉｏｎｓｃｅｎａｒｉｏｓ．Ｔｈｅｒｅｓｕｌｔｓｓｈｏｗ ｔｈａｔｔｈｅｍｅｔｈｏｄｉｓｓｉｍｐｌｅｔｏｂｅａｃｈｉｅｖｅｄａｎｄｈａｓａｗｉｄｅａｐｐｌｉｃａｔｉｏｎ