论文投稿_医学论文投稿_核心期刊,职称论文投稿发表_论文部落

　　1引言

　　随着信息经济的高速发展以及信息全球化的到来，信息资源网络已经成为一个广泛而且无国界的信息空间，同时在信息资源网络化的过程中也出现了各种问题，产生的负面效应不仅会妨碍有用信息的正常获取，还会对整个网络环境产生威胁。因此，只有对信息空间中的信息流进行正确的协调规划和控制，最大限度地共享和开发信息资源，提高信息的管理效率，才能从根本上解决信息网络化带来的问题。因此，研究如何控制信息流非常必要。

　　信息流（InformationFlow）最早来源于国防项目中安全分级系统的研究。最早用来描述不同安全等级信息之间交互作用的模型是BLP模型和Biba模型，后来，也提出了基于程序语言的信息流控制方法和基于操作系统的信息流控制方法。

　　本文以安全性为原则，从实际角度出发，利用流行的虚拟化技术，并采用结构化方法将复杂系统进行简化，提出一种基于虚拟机的信息流的安全控制方法，并依据非传递无干扰思想证明了方法的安全性，从而实现对信息流的安全控制。

　　2相关研究

　　2.1传统的信息流控制技术

　　在早期，有些系统利用隔离思想完全禁止不同区间的信息进行交互和共享，例如IBM的PR/SM系统。后来，文献[3]提出来的分区间资源的安全共享解决了上述共享问题。现在比较流行的允许分区之间信息共享的安全系统结构主要sHype、VAXVMM以及MILS等，它们都允许不同区间信息的交互，只是通信方式以及系统对它们的控制方式有所不同。

　　sHype利用强制访问控制技术实现了虚拟机之间对共享资源的访问，但是，没考虑不同安全等级信息之间的交互与共享的安全问题。VAXVMM结构提出为不同密级的信息设立访问规则，采用相互独立的可信分区来满足分区之间信息的共享的要求，但是这种思想在具体的实现上增加了开销。MILS系统架构通过划分域的方法来实现系统安全。论文发表MILS将传统的多级安全系统（Multi-levelsystem）划分成多个单级安全（MultipleSingleLevel）子系统，并通过一些中间件将单级安全系统连接起来，很大程度地简化了传统多级安全系统的复杂性，具有很好的实用性。本文是在传统的信息流控制技术上做出了改进，利用“域”的概念，基于多级安全操作系统和虚拟化技术，提出了一种安全实用的信息流控制方法。

　　2.2无干扰思想

　　早在1982年Gogeun和Meseguer就提出了无干扰的思想。Haigh和Young在文献[7]中最先用无干扰的思想解释了MDS和MLS以及访问控制，并探究了其在实际系统中的实现。1992年，Rushby提出了基于状态机的无干扰模型，并且引入了“域”的概念，其主要思想是：对于系统中的安全域u和v，如果安全域u中的操作改变了系统的状态，那么，若从安全域v的角度来观察该系统，在安全域的操作发生前后，安全域v所观察到的系统状态并没有发生改变，那么就可以说安全域u对安全域v是无干扰的。本文就是基于非传递无干扰理论对系统控制模块的安全性进行证明。

　　3一种新的信息流控制方法

　　为了方便定义信息流控制规则，我们对用到的术语给出几点说明。

　　⑴安全域：安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。

　　⑵安全标记：安全标记是指安全域的安全级别。

　　⑶支配：假设有安全标记c1和c2，当且仅当c2小于c1时，我们称安全标记c1支配安全标记c2。

　　为了控制信息的流动，我们在以上术语的基础上给出信息流控制规则。

　　①如果安全域1的安全标记M支配安全域2的安全标记N，那么标记为N的安全域中的信息可以流向标记为M的安全域，反方向的信息流将被禁止。

　　②信息流安全控制模块还要支持特定情况下，通过降级，使信息从高级别的安全域流向低级别的安全域。

　　在实际应用中，存在的往往是需要处理多个安全级别数据的系统，即拥有多个安全标记的系统。这种情况下，会需要大量的硬件设施来满足多个安全标记的需求，使得系统成本居高不下。为了降低系统成本，同时方便用户进行操作，我们采用流行的虚拟化技术，将不同安全标记的信息分别放到不同的虚拟机里。在这里，我们把单个虚拟机看成是单级安全系统，这样，拥有相同安全标记信息的单级安全系统也可能同时存在于多个物理平台，而且，同一个物理平台可能同时支持多个拥有不同安全标记信息的单级安全系统，拥有相同安全标记的单级安全系统则放置在同一个安全域中，最后由信息流安全控制代理来控制不同安全域之间的通信。