程 靜， 石 勇

（①中國(guó)電子科技集團(tuán)公司電子科學(xué)研究院，北京 100041；②北京交通大學(xué)，北京 100044）

0 引言

多級(jí)安全（Multilevel Security）是指在計(jì)算機(jī)系統(tǒng)中處理多種不同安全級(jí)別（或敏感程度）信息的機(jī)制和能力。多級(jí)安全系統(tǒng)要能有效隔離不同安全級(jí)別的信息，防止它們之間的交叉污染（Cross-Contamination）。

從二十世紀(jì)六十年代以來，很多研究機(jī)構(gòu)和學(xué)者都嘗試通過一個(gè)基于安全操作系統(tǒng)的系統(tǒng)平臺(tái)來支持多級(jí)安全，比較典型的系統(tǒng)有 Adept-50、有Multics、Mitre安全核、UCLA 數(shù)據(jù)安全 Unix、KSOS、PSOS、安全Xenix、SystemV/MLS、TUNIS、ASOS、DTOS、Flask、SE-Linux等[1]，但是今天的發(fā)展現(xiàn)狀證明了這些系統(tǒng)至少在大規(guī)模實(shí)際應(yīng)用方面并不成功。

上述系統(tǒng)并不十分成功的深層原因有以下主要方面：首先，安全操作系統(tǒng)既要保證不同敏感度信息之間隔離強(qiáng)度盡量高，又要保證支持這些不同敏感度信息的支撐平臺(tái)和工具的共享程度盡可能高，以最大程度降低系統(tǒng)成本，這兩個(gè)保證要求之間是沖突的；其次，要保證不同敏感度信息之間的強(qiáng)隔離，系統(tǒng)參與處理這些信息的平臺(tái)和工具必須可信，隨著現(xiàn)代操作系統(tǒng)功能不斷提升，提高系統(tǒng)的共享程度意味著系統(tǒng)可信代碼范圍的擴(kuò)大，但是代碼量越大，就越難保證其可信；其三，在同一個(gè)平臺(tái)中支持多種不同敏感度的信息處理和存儲(chǔ)，系統(tǒng)必須要支持對(duì)信息進(jìn)行安全標(biāo)記的處理能力，這要求現(xiàn)有應(yīng)用、數(shù)據(jù)庫、網(wǎng)絡(luò)、數(shù)據(jù)都必須支持安全標(biāo)記能力，這種改造對(duì)現(xiàn)有IT及其應(yīng)用生態(tài)環(huán)境無論在技術(shù)上還是在經(jīng)濟(jì)上都不現(xiàn)實(shí)。

針對(duì)多級(jí)安全要求及安全操作系統(tǒng)的問題根源，本文提出一種基于虛擬化的多級(jí)安全機(jī)制模型（VBMSM，Virtualization Based Multilevel Security Model）。VBMSM 通過將多級(jí)安全系統(tǒng)劃分為多個(gè)單級(jí)安全域，并通過虛擬機(jī)技術(shù)和多級(jí)安全代理機(jī)制將這些單級(jí)安全域進(jìn)行安全隔離，并根據(jù)安全策略控制它們之間的信息流。VBMSM 無需對(duì)商用操作系統(tǒng)進(jìn)行安全增強(qiáng)，也不需要對(duì)已有應(yīng)用、數(shù)據(jù)和網(wǎng)絡(luò)進(jìn)行顯示安全標(biāo)記，完全保證應(yīng)用及其環(huán)境的兼容性，從而最小化多級(jí)安全機(jī)制的應(yīng)用復(fù)雜性和應(yīng)用成本。

1 相關(guān)研究

從上世紀(jì) 60年代末歷史上第一個(gè)支持多級(jí)安全機(jī)制的安全操作系統(tǒng) Adept-50[2]開始，安全操作系統(tǒng)就和多級(jí)安全支持機(jī)制緊密的聯(lián)系在一起。在這些安全操作系統(tǒng)中，系統(tǒng)為主體和客體分配安全標(biāo)記，并基于這些安全標(biāo)記實(shí)施訪問控制，如基于BLP模型的數(shù)據(jù)保密訪問控制[3,15-17]和基于Biba模型的數(shù)據(jù)完整性訪問控制[4]。一九八五年，美國(guó)國(guó)防部制定的“可信計(jì)算系統(tǒng)評(píng)估準(zhǔn)則”（TCSEC，Trusted Computer System Evaluation Criteria）[5]更是將系統(tǒng)對(duì)多級(jí)安全機(jī)制的支持作為系統(tǒng)可信的一個(gè)核心評(píng)估指標(biāo)，要求B級(jí)或B級(jí)以上系統(tǒng)必須支持基于安全標(biāo)記的多級(jí)安全機(jī)制。但是處理和存儲(chǔ)不同安全級(jí)別信息的公共平臺(tái)和工具可能會(huì)帶來這些信息之間的交叉污染，即系統(tǒng)的安全隱通道問題；要減少安全隱通道，就必須提高系統(tǒng)安全機(jī)制的可信水平[5]；而系統(tǒng)的可信水平與代碼規(guī)模密切相關(guān)，當(dāng)代碼量超過10萬行，系統(tǒng)是不可能被驗(yàn)證的[6]；但是隨著現(xiàn)代操作系統(tǒng)功能的增加，操作系統(tǒng)的代碼規(guī)模急劇擴(kuò)張，包括與安全相關(guān)的代碼都遠(yuǎn)超過10萬行，因此TCESEC提出的可信計(jì)算基（TCB）本身的可信也越來越不可能保證。另外，安全操作系統(tǒng)要求上層的網(wǎng)絡(luò)和應(yīng)用也要能夠配套支持相關(guān)的安全機(jī)制，比如安全標(biāo)記等，這也極大地限制了它的應(yīng)用和發(fā)展。

除了安全操作系統(tǒng)的強(qiáng)制訪問控制機(jī)制外，對(duì)多級(jí)安全機(jī)制的研究還包括信息流安全控制。與訪問控制不同，信息流控制不對(duì)主客體的訪問進(jìn)行控制，而是基于安全標(biāo)記對(duì)信息在文件、設(shè)備中的流動(dòng)進(jìn)行控制，比如用戶A的安全級(jí)別即使支配數(shù)據(jù)文件B的安全級(jí)別，但是如果A所使用終端設(shè)備C的安全級(jí)別受B的安全級(jí)別支配，那么A就不能在C上讀取 B。信息流安全控制包括靜態(tài)的基于語言的信息流控制方法[7-8]和動(dòng)態(tài)的基于操作系統(tǒng)的信息流控制方法[9-10]?；谡Z言的信息流控制需要使用專門的程序語言，為變量和表達(dá)式設(shè)置安全標(biāo)記，并在編譯過程中，根據(jù)這些安全標(biāo)記和信息流控制規(guī)則對(duì)數(shù)據(jù)的流動(dòng)進(jìn)行全程安全檢查；而基于操作系統(tǒng)的信息流控制則對(duì)系統(tǒng)中的文件、設(shè)備、內(nèi)存、進(jìn)程等要素設(shè)置安全標(biāo)記，動(dòng)態(tài)地根據(jù)安全標(biāo)記和系統(tǒng)信息流安全規(guī)則對(duì)信息的流動(dòng)進(jìn)行檢查和控制。這兩種方法都有其特點(diǎn)，但是與安全操作系統(tǒng)類似，它們都需要對(duì)現(xiàn)有應(yīng)用和程序進(jìn)行修改，這也限制了它們的發(fā)展。

為了使多級(jí)安全機(jī)制能夠更好地在應(yīng)用在實(shí)際系統(tǒng)中，使之更易用、適應(yīng)性更強(qiáng)，J. Alves-Foss等提出了MILS體系[11]，通過結(jié)構(gòu)化的域劃分方法來設(shè)計(jì)安全系統(tǒng)。MILS將多級(jí)安全系統(tǒng)分割成多個(gè)單級(jí)安全組件域，并通過少量的多級(jí)安全組件將這些單級(jí)安全組件域連接起來。在 MILS中，隔離內(nèi)核（SK，Separation Kernel）是基礎(chǔ)，它將相關(guān)進(jìn)程、數(shù)據(jù)都限制在一個(gè)域內(nèi)，每個(gè)域內(nèi)都是有相同的安全級(jí)別，SK還對(duì)域間的通信進(jìn)行控制。MILS極大地簡(jiǎn)化了傳統(tǒng)MLS的復(fù)雜度，使得每一個(gè)域都可以獨(dú)立的評(píng)估，并可以采用商用操作系統(tǒng)和其它不可信的應(yīng)用、工具，因此具有良好的適應(yīng)性和實(shí)用性。目前美國(guó)國(guó)家安全局、海軍、空軍等機(jī)構(gòu)與波音、洛克希德.馬丁、洛克威爾.柯林斯等公司合作，將這一體系應(yīng)用于高保證系統(tǒng)中。

本文將 MILS體系和虛擬機(jī)等技術(shù)相結(jié)合，提出一種基于虛擬化的多級(jí)安全機(jī)制模型（VBMSM，Virtualization Based Multilevel Security Model），并對(duì)其中的關(guān)鍵技術(shù)進(jìn)行研究。

2 VBMSM

傳統(tǒng)的基于安全操作系統(tǒng)結(jié)構(gòu)的多級(jí)安全系統(tǒng)對(duì)操作系統(tǒng)和應(yīng)用的可信要求很高，其代碼規(guī)模和復(fù)雜度遠(yuǎn)遠(yuǎn)超出了目前的系統(tǒng)形式化描述和驗(yàn)證能力，因此將復(fù)雜系統(tǒng)通過結(jié)構(gòu)化方法簡(jiǎn)化是一種必然選擇。圖1顯示了一種將多級(jí)安全系統(tǒng)重新結(jié)構(gòu)化并組織成一種多個(gè)單級(jí)安全系統(tǒng)的方法。

圖1 將多級(jí)安全系統(tǒng)重組為多個(gè)單級(jí)安全系統(tǒng)結(jié)構(gòu)

如圖 1左邊部分是目前基于安全操作系統(tǒng)的多級(jí)安全系統(tǒng)結(jié)構(gòu)，在這種結(jié)構(gòu)中，硬件、操作系統(tǒng)甚至應(yīng)用都作為數(shù)據(jù)的公共處理平臺(tái)，因而都要作為系統(tǒng)TCB的一部分?？梢钥闯?，TCB的規(guī)模非常龐大而且復(fù)雜；圖1右邊把多級(jí)安全系統(tǒng)拆分成多個(gè)單級(jí)安全系統(tǒng)，每一個(gè)安全級(jí)的數(shù)據(jù)都由獨(dú)立的硬件、操作系統(tǒng)和應(yīng)用來處理，各個(gè)單級(jí)安全系統(tǒng)之間的通信由多級(jí)安全代理控制；顯然，各個(gè)單級(jí)安全系統(tǒng)之間不存在數(shù)據(jù)交叉污染的可能，在每個(gè)單級(jí)系統(tǒng)中即使出現(xiàn)違反安全策略的事件，其影響也局限在各自系統(tǒng)中；因而在每一個(gè)單級(jí)安全系統(tǒng)中，完全可以采用商用操作系統(tǒng)，甚至不可信的應(yīng)用。

多級(jí)安全代理負(fù)責(zé)監(jiān)控不同安全級(jí)別系統(tǒng)之間的通信，比如根據(jù)BLP保密模型，如果安全標(biāo)記A支配安全標(biāo)記B，既A的安全級(jí)別高于B的安全級(jí)別，那么安全標(biāo)記為B的系統(tǒng)中的信息可以流向安全標(biāo)記為A的系統(tǒng)；反之，反方向的信息流會(huì)被系統(tǒng)禁止。多級(jí)安全代理還需要支持人工或其他安全標(biāo)記自動(dòng)管理功能，提供人工或自動(dòng)的信息降級(jí)能力，以支持特定情況下信息由高安全級(jí)別系統(tǒng)流向低安全級(jí)別系統(tǒng)。

但是圖1的結(jié)構(gòu)化方法會(huì)帶來成本和使用方便性問題。在這種方式中，每一個(gè)安全級(jí)別的信息都需要至少一臺(tái)物理機(jī)器和操作系統(tǒng)平臺(tái)，甚至單獨(dú)的網(wǎng)絡(luò)連接；對(duì)那些安全級(jí)別比較高的用戶，對(duì)應(yīng)其被許可的每一個(gè)安全級(jí)別，都需要一臺(tái)獨(dú)立的物理終端；因此這種方式難以應(yīng)用于實(shí)際系統(tǒng)中。

為減少對(duì)物理硬件的數(shù)量要求，降低系統(tǒng)成本，可以采用基于虛擬機(jī)技術(shù)的多單級(jí)安全系統(tǒng)結(jié)構(gòu)，如圖2所示。

圖2 基于虛擬機(jī)技術(shù)的多單級(jí)安全系統(tǒng)結(jié)構(gòu)

圖2和圖1的區(qū)別在于它采用了虛擬機(jī)技術(shù)，每個(gè)虛擬機(jī)都對(duì)應(yīng)一個(gè)單級(jí)安全系統(tǒng)；各個(gè)單級(jí)安全系統(tǒng)之間通過安全虛擬機(jī)監(jiān)控器實(shí)現(xiàn)了圖1的多級(jí)安全代理功能。IBM已經(jīng)在安全虛擬機(jī)監(jiān)控器上開展了深入的研究，提出了一個(gè)基于VMM的sHype體系[12-13]；sHype的設(shè)計(jì)目標(biāo)是：首先是不可被旁路，并且盡量小；其次是要有高的性能；其三是安全有效。目前sHype能夠支持Biba、Bell-LaPadula、Caernarvon、Type Enforcement以及 Chinese Wall等多種強(qiáng)制訪問控制模型策略，其主要的6個(gè)安全功能包括：①多個(gè)虛擬機(jī)之間的強(qiáng)隔離保證；②虛擬機(jī)之間的受控信息共享；③平臺(tái)和虛擬機(jī)內(nèi)容完整性保證；④平臺(tái)和虛擬機(jī)內(nèi)容證明；⑤資源記賬和控制；⑥安全服務(wù)（如審計(jì)等）。

圖2結(jié)構(gòu)仍然存在不足，它沒有考慮到基于多個(gè)物理硬件平臺(tái)的分布式多級(jí)安全結(jié)構(gòu)。在實(shí)際系統(tǒng)中，即使屬于同一安全級(jí)別的系統(tǒng)也可能跨越多個(gè)物理平臺(tái)；另一方面，同一個(gè)物理平臺(tái)可能同時(shí)支持屬于多個(gè)安全級(jí)別的虛擬機(jī)。為此對(duì)圖2結(jié)構(gòu)進(jìn)一步改進(jìn)，提出分布式環(huán)境下的多單級(jí)安全系統(tǒng)結(jié)構(gòu)，如圖3所示。

圖3 分布式環(huán)境下的多單級(jí)安全系統(tǒng)結(jié)構(gòu)示意

圖3示意中，每個(gè)安全域表示一個(gè)單級(jí)安全系統(tǒng)，每個(gè)物理機(jī)上都支持屬于多個(gè)單級(jí)安全系統(tǒng)的虛擬機(jī)，同時(shí)每個(gè)單級(jí)安全系統(tǒng)都跨越多個(gè)物理機(jī)；同樣，各單級(jí)安全系統(tǒng)之間的通信由多級(jí)安全代理監(jiān)控。

3 關(guān)鍵技術(shù)

在VBMSM結(jié)構(gòu)中，有兩個(gè)關(guān)鍵技術(shù)需要進(jìn)一步深入研究。一個(gè)是單級(jí)安全系統(tǒng)的安全標(biāo)記和隔離機(jī)制，另一個(gè)是多級(jí)安全代理的信息流控制機(jī)制。

3.1 單級(jí)安全系統(tǒng)的安全標(biāo)記和隔離機(jī)制

在圖3所示的多單級(jí)安全系統(tǒng)結(jié)構(gòu)中，每個(gè)單級(jí)安全系統(tǒng)中的計(jì)算環(huán)境與普通基于商用操作系統(tǒng)的應(yīng)用環(huán)境兼容，無論是操作系統(tǒng)、應(yīng)用還是數(shù)據(jù)都不需要顯式的安全標(biāo)記，由于都屬于同一個(gè)安全級(jí)別，因此也不需要多級(jí)安全系統(tǒng)中基于安全標(biāo)記的強(qiáng)制訪問控制機(jī)制。

但是多級(jí)安全代理需要對(duì)不同單級(jí)安全系統(tǒng)進(jìn)行安全標(biāo)記識(shí)別和區(qū)分，以對(duì)這些單級(jí)安全系統(tǒng)之間的通信進(jìn)行安全監(jiān)控。因此每個(gè)單級(jí)安全系統(tǒng)在與多級(jí)安全代理進(jìn)行通信過程中，必須標(biāo)識(shí)各自系統(tǒng)的標(biāo)記。

一種實(shí)現(xiàn)方式是在 VMM 中實(shí)現(xiàn)虛擬機(jī)安全標(biāo)記管理功能。在虛擬機(jī)對(duì)外發(fā)送網(wǎng)絡(luò)數(shù)據(jù)幀之前，在數(shù)據(jù)幀的幀頭中增加該虛擬機(jī)的安全標(biāo)記。為了保證和以太網(wǎng)協(xié)議兼容，可以將安全標(biāo)記信息與以太網(wǎng)的802.1Q tag相結(jié)合：802.1Q是一個(gè)支持虛擬網(wǎng)絡(luò)的協(xié)議，它通過幀頭的12位Vlan tag可以標(biāo)識(shí)最多4096個(gè)虛擬網(wǎng)絡(luò)。但是在一般的局域網(wǎng)中，這個(gè)標(biāo)識(shí)空間不會(huì)被用完，因此可以用其中一部分作為虛擬機(jī)的安全標(biāo)記。這種方式的優(yōu)點(diǎn)是實(shí)現(xiàn)簡(jiǎn)單，兼容性好，對(duì)虛擬機(jī)完全透明，而且不與現(xiàn)有的網(wǎng)絡(luò)交換機(jī)等設(shè)備沖突；缺點(diǎn)是無論是 Vlan Tag還是安全標(biāo)記的空間都非常受限，比如，如果選擇其中6位作為Vlan Tag，那么只剩下6位可以用作安全標(biāo)記，也就是VLan和安全標(biāo)記的空間都分別只有64個(gè)；但是對(duì)一般環(huán)境，安全標(biāo)記的空間取決于多級(jí)安全代理的要求，如果不從應(yīng)用系統(tǒng)全局綜合考慮，多級(jí)安全代理能夠支持的單級(jí)安全系統(tǒng)數(shù)量決定了安全標(biāo)記空間大小，比如如果從系統(tǒng)全局要求需要支持 1024個(gè)安全標(biāo)記，但是每個(gè)多級(jí)安全代理可能受安全政策限制，最多支持 4個(gè)不同安全標(biāo)記，那么只需要從802.1Q 的12位Vlan Tag空間里借用2位作為安全標(biāo)記，因?yàn)橄到y(tǒng)可以通過安全管理中間件將1024個(gè)安全標(biāo)記都轉(zhuǎn)換為多級(jí)安全代理的局部安全標(biāo)記。

將虛擬機(jī)安全標(biāo)記和 VLan相結(jié)合有另外一個(gè)好處：它可以利用網(wǎng)絡(luò)Vlan機(jī)制實(shí)現(xiàn)不同安全級(jí)別系統(tǒng)之間的隔離，但是同一安全級(jí)別系統(tǒng)下的虛擬機(jī)可以正常通信。

如果采用上述方案，需要對(duì)VMM進(jìn)行安全改造的內(nèi)容只有：①對(duì)進(jìn)出虛擬機(jī)的網(wǎng)絡(luò)幀進(jìn)行安全標(biāo)記處理，即根據(jù)安全標(biāo)記管理策略在虛擬機(jī)向外發(fā)送的網(wǎng)絡(luò)幀幀頭的 802.1Q位中設(shè)置虛擬機(jī)的安全標(biāo)記；對(duì)進(jìn)入虛擬機(jī)的網(wǎng)絡(luò)幀，要將幀頭中802.1Q對(duì)應(yīng)的虛擬機(jī)安全標(biāo)記位清除；②禁止不同安全級(jí)別的虛擬機(jī)之間在VMM層的網(wǎng)絡(luò)通信。

可以看出，VBMSM采用了兩種安全標(biāo)記方法：隱式安全標(biāo)記和顯式安全標(biāo)記。在虛擬機(jī)內(nèi)部，由于其所有資源都屬于同一個(gè)安全級(jí)別，同時(shí)為了保證系統(tǒng)的兼容性，因此在虛擬機(jī)內(nèi)部采用了隱式安全標(biāo)記方法。隱式安全標(biāo)記方法使得商業(yè)系統(tǒng)和既有應(yīng)用可以無修改的運(yùn)行在VBMSM中；在虛擬機(jī)之外，由于需要在許多資源共享環(huán)境下識(shí)別和區(qū)分虛擬機(jī)的安全級(jí)別，因此需要采用顯示安全標(biāo)記方法；顯示安全標(biāo)記只限于虛擬機(jī)與多級(jí)安全代理之間，并且采用了與既有網(wǎng)絡(luò)協(xié)議兼容的格式，因此這種標(biāo)識(shí)方法不會(huì)帶來高昂的系統(tǒng)改造成本，在技術(shù)上也易于實(shí)現(xiàn)和使用。

3.2 多級(jí)安全代理的信息流控制機(jī)制

多級(jí)安全代理連接不同安全級(jí)別的系統(tǒng)并對(duì)它們之間的安全通信進(jìn)行監(jiān)控。對(duì)于數(shù)據(jù)安全保密要求，多級(jí)安全代理要支持以下信息流控制規(guī)則：

信息安全流控規(guī)則：信息能夠從單級(jí)安全系統(tǒng)A流向單級(jí)安全系統(tǒng)B當(dāng)且僅當(dāng)系統(tǒng)A的安全標(biāo)記支配于系統(tǒng)B的安全標(biāo)記。

安全標(biāo)記的支配關(guān)系解釋參見TCSEC[5]。如圖4所示。

圖4 多級(jí)安全代理工作示意

圖4表示了兩個(gè)單級(jí)安全系統(tǒng)，分別用域A和域B表示；域A和域B的部分虛擬機(jī)可能在同一個(gè)物理主機(jī)上，而同一個(gè)系統(tǒng)的虛擬機(jī)也可能分布在不同的物理主機(jī)上。

多級(jí)安全代理通過網(wǎng)絡(luò)幀中的虛擬機(jī)安全標(biāo)記識(shí)別和判斷該虛擬機(jī)屬于哪個(gè)安全系統(tǒng)（圖 4中的域A或者域B）；然后基于信息安全流控規(guī)則對(duì)域A和域B之間的通信進(jìn)行監(jiān)控，如果圖中安全標(biāo)記A支配于安全標(biāo)記B，那么多級(jí)安全代理允許信息從域A流到域B；否則禁止從域A到域B的信息流。

理論上，基于BLP模型，信息不能從高安全級(jí)別的系統(tǒng)流向低安全級(jí)別的系統(tǒng)，但是在實(shí)際應(yīng)用中，在經(jīng)過專門的脫密處理后，系統(tǒng)應(yīng)該允許對(duì)信息進(jìn)行降級(jí)處理。因此，多級(jí)安全管理系統(tǒng)應(yīng)該能夠提供人工安全管理接口，支持安全管理員對(duì)安全標(biāo)記的動(dòng)態(tài)管理。

多級(jí)安全代理未來也可能實(shí)現(xiàn)某種程度上的信息安全級(jí)別自動(dòng)降級(jí)能力。Roy Indrajit等人提出了一種通過向輸出結(jié)果添加隨機(jī)數(shù)的方法實(shí)現(xiàn)差分隱私，降低信息的敏感程度，從而實(shí)現(xiàn)信息安全標(biāo)記自動(dòng)降級(jí)的能力[14]。

4 原型實(shí)現(xiàn)

VBMSM 中兩個(gè)關(guān)鍵技術(shù)已經(jīng)在基于開源虛擬機(jī)監(jiān)控平臺(tái)Xen上進(jìn)行原型系統(tǒng)的開發(fā)和實(shí)現(xiàn)過程中。在Xen上的工作重點(diǎn)主要集中在Dom0的虛擬橋上，而多級(jí)安全代理則基于一個(gè)獨(dú)立的硬件平臺(tái)實(shí)現(xiàn)。

Xen中的各個(gè)虛擬機(jī)之間的通信都是通過事件通道和共享內(nèi)存來實(shí)現(xiàn)的，為保證Xen的虛擬機(jī)監(jiān)控器盡量小及其穩(wěn)定性，主要在Dom0里對(duì)虛擬機(jī)之間的通信進(jìn)行控制，并對(duì)其虛擬橋部分進(jìn)行功能改動(dòng)，包括虛擬橋出入口的安全標(biāo)記管理、虛擬橋不同安全標(biāo)記之間的過濾等。

多級(jí)安全代理原型系統(tǒng)主要實(shí)現(xiàn)了基于 BLP模型的信息安全流控規(guī)則，即信息可以由低安全級(jí)流向高安全級(jí)；基于自動(dòng)的信息降級(jí)功能還在規(guī)劃中。

原型系統(tǒng)的其它相關(guān)工作包括安全標(biāo)記的管理及其界面功能。

VBMSM原型的研制結(jié)果證明了VBMSM的技術(shù)可行性。

5 結(jié)語

VBMSM 是一個(gè)基于虛擬化技術(shù)的多級(jí)安全機(jī)制模型。VBMSM 從結(jié)構(gòu)上對(duì)傳統(tǒng)的多級(jí)安全模型進(jìn)行了修改，它通過多個(gè)單級(jí)安全系統(tǒng)的安全互聯(lián)實(shí)現(xiàn)了多級(jí)安全的應(yīng)用要求。VBMSM 克服了基于安全操作系統(tǒng)方式的多級(jí)安全系統(tǒng)難以形式化描述和驗(yàn)證的局限性，因此可以用于高安全性、高保證性系統(tǒng)的設(shè)計(jì)和建設(shè)中。

[1] 石文昌,孫玉芳.安全操作系統(tǒng)研究的發(fā)展(上)[J].計(jì)算機(jī)科學(xué),2002,(29)6:1-8.

[2] Clark Weissman. Security Controls in the ADEPT-50 Time Sharing System[C].[s.l.]:AFIPS Press, 1969:119-133.

[3] BELL D E,LAPADULA LJ.Secure Computer System:Unified Exposition and Multics Interpretation[R].[s.l.]:MITRE Corporation,1976.

[4] BIBA K J.Integrity Considerations for Secure Computer Systems[R]. USA:USAF Electronic Systems Division,1977.

[5] Department of Defense. Trusted Computer System Evaluation Criteria (Orange Book) [EB/OL].(1983-08-15)[2012-03-01]. http:// csrc.nist.gov/publications/history/dod85.pdf.

[6] HARRISON W S,HANEBUTTE N,OMAN P W,et al.The MILS Architecture for a Secure Global Information Grid[J].The Journal of Defense Software Engineering,2005(10):20-24.

[7] SABELFELD A.Language-based Information-flow Security[J].IEEE Journal on Selected Areas in Communication,2003,21(01):5-19.

[8] MYERS AC,LISKOV B.Protecting Privacy by Using the Decentralized Label Model[J]. ACM Transactions on Software Engineering and Methodology, 2000,9(4)(2000): 410-442.

[9] ZELDOVICH N, SILAS Boyd-Wickizer,KOHLER E,et al.Making Information Flow Explicit in HiStar[J].Communications of the ACM,2011,54(11):93-101.

[10] EFSTATHOPOULOS P,KROHN M,VANDEBOGART S,et al.Labels and Event Processes in the Asbestos Operating System[M].Kingdom: ACM Press, 2005:17-30.

[11] Jim Alves-Foss, HARRISON W,OMAN C,et al.The MILS Architecture for High-assurance Embedded Systems[J]. International Journal of Embedded Systems,2006,2(3/4):1-9.

[12] SAILER R,VALDEZ E,JAEGER T,et al.sHype: Secure Hypervisor Approach to Trusted Virtualized Systems[R]. New York: Watson Research Center,2005.

[13] Sailer R,Jaeger T,Valdez E, et al. Building a MAC-based Security Architecture for the Xen Open-source Hypervisor[C].Washington: IEEE Press,2005:140-148.

[14] INDRAJIT R,HANY R,SRIANTH S,et al.Airavat:Security and Privacy for MapReduce[C].[s.l.]:USENIX Association,2010:297-312.

[15] 王竹,戴一奇.一種基于BLP模型的多級(jí)安全局域網(wǎng)[J].通信技術(shù).2012,45(06):1-4.

[16] 湯偉,陸松年,楊樹堂.基于可信平臺(tái)的多級(jí)安全訪問控制模型研究[J].信息安全與通信保密,2009(06):93-96.

[17] 鄭志蓉.可信計(jì)算平臺(tái)可信計(jì)算基構(gòu)建研究[J].信息安全與通信保密,2012(09):116-117.

[18] 段小芳,安紅章,謝上明.空間通信安全協(xié)議研究[J].通信技術(shù),2009,42(12):101-103,108.