基于虚拟化技术信息流控制方法.docVIP

基于虚拟化技术信息流控制方法 　　【 摘 要 】 随着信息技术的发展，越来越多的企业利用资源的共享、信息的交换以及交互操作等方式开展工作。信息的安全问题越来越引起人们的关注，尤其是涉密信息的安全。因此必须对不同安全密级信息的流动进行严格控制。本文分析了现有的采用分区机制的可信系统的信息流控制方法的不足，并对传统的多级安全操作系统中信息流的安全性进行探讨，利用现在流行的虚拟化技术，采用显示安全标记和隐式安全标记相结合的方法提出了一种基于虚拟机的信息流安全控制方法，并通过无干扰理论进一步验证了该信息流控制方法的安全性和有效性。 【 关键词 】 无干扰；信息流控制；安全标记；虚拟化技术 【 中图分类号 】 TP393 【 文献标识码 】 B 1 引言 随着信息经济的高速发展以及信息全球化的到来，信息资源网络已经成为一个广泛而且无国界的信息空间，同时在信息资源网络化的过程中也出现了各种问题，产生的负面效应不仅会妨碍有用信息的正常获取，还会对整个网络环境产生威胁。因此，只有对信息空间中的信息流进行正确的协调规划和控制，最大限度地共享和开发信息资源，提高信息的管理效率，才能从根本上解决信息网络化带来的问题。因此，研究如何控制信息流非常必要。 信息流（Information Flow）最早来源于国防项目中安全分级系统的研究。最早用来描述不同安全等级信息之间交互作用的模型是BLP模型和Biba模型，后来，也提出了基于程序语言的信息流控制方法和基于操作系统的信息流控制方法。 本文以安全性为原则，从实际角度出发，利用流行的虚拟化技术，并采用结构化方法将复杂系统进行简化，提出一种基于虚拟机的信息流的安全控制方法，并依据非传递无干扰思想证明了方法的安全性，从而实现对信息流的安全控制。 2 相关研究 2.1 传统的信息流控制技术 在早期，有些系统利用隔离思想完全禁止不同区间的信息进行交互和共享，例如IBM的PR/SM系统。后来，文献[3]提出来的分区间资源的安全共享解决了上述共享问题。现在比较流行的允许分区之间信息共享的安全系统结构主要sHype、VAX VMM以及MILS等，它们都允许不同区间信息的交互，只是通信方式以及系统对它们的控制方式有所不同。 sHype利用强制访问控制技术实现了虚拟机之间对共享资源的访问，但是，没考虑不同安全等级信息之间的交互与共享的安全问题。VAX VMM 结构提出为不同密级的信息设立访问规则，采用相互独立的可信分区来满足分区之间信息的共享的要求，但是这种思想在具体的实现上增加了开销。MILS系统架构通过划分域的方法来实现系统安全。MILS将传统的多级安全系统（Multi-level system）划分成多个单级安全（Multiple Single Level）子系统，并通过一些中间件将单级安全系统连接起来，很大程度地简化了传统多级安全系统的复杂性，具有很好的实用性。本文是在传统的信息流控制技术上做出了改进，利用“域”的概念，基于多级安全操作系统和虚拟化技术，提出了一种安全实用的信息流控制方法。 2.2 无干扰思想 早在1982年Gogeun和Meseguer就提出了无干扰的思想。Haigh和Young在文献[7]中最先用无干扰的思想解释了MDS和MLS以及访问控制，并探究了其在实际系统中的实现。1992年，Rushby提出了基于状态机的无干扰模型，并且引入了“域”的概念，其主要思想是：对于系统中的安全域u和v，如果安全域u中的操作改变了系统的状态，那么，若从安全域v的角度来观察该系统，在安全域的操作发生前后，安全域v所观察到的系统状态并没有发生改变，那么就可以说安全域u对安全域v是无干扰的。本文就是基于非传递无干扰理论对系统控制模块的安全性进行证明。 3 一种新的信息流控制方法 为了方便定义信息流控制规则，我们对用到的术语给出几点说明。 ⑴安全域：安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。 ⑵安全标记：安全标记是指安全域的安全级别。 ⑶支配：假设有安全标记c1和c2，当且仅当c2小于c1时，我们称安全标记c1支配安全标记c2。 为了控制信息的流动，我们在以上术语的基础上给出信息流控制规则。 ①如果安全域1的安全标记M支配安全域2的安全标记N，那么标记为N的安全域中的信息可以流向标记为M的安全域，反方向的信息流将被禁止。 ②信息流安全控制模块还要支持特定情况下，通过降级，使信息从高级别的安全域流向低级别的安全域。 在实际应用中，存在的往往是需要处理多个安全级别数据的系统，即拥有多个安全标记的系统。这种情况下，会需要大量的硬件设施来满足多个