基于虚拟化技术的信息流控制方法

【 摘 要 】 随着信息技术的发展，越来越多的企业利用资源的共享、信息的交换以及交互操作等方式开展工作。信息的安全问题越来越引起人们的关注，尤其是信息的安全。因此必须对不同安全密级信息的流动进行严格控制。本文分析了现有的采用分区机制的可信系统的信息流控制方法的不足，并对传统的多级安全操作系统中信息流的安全性进行探讨，利用现在流行的虚拟化技术，采用显示安全标记和隐式安全标记相结合的方法提出了一种基于虚拟机的信息流安全控制方法，并通过无干扰理论进一步验证了该信息流控制方法的安全性和有效性。

【 关键词 】 无干扰；信息流控制；安全标记；虚拟化技术

【 中图分类号 】 TP393 【 文献标识码 】 B

1 引言

随着信息经济的高速发展以及信息全球化的到来，信息资源网络已经成为一个广泛而且无国界的信息空间，同时在信息资源网络化的过程中也出现了各种问题，产生的负面效应不仅会妨碍有用信息的正常获取，还会对整个网络环境产生威胁。因此，只有对信息空间中的信息流进行正确的协调规划和控制，最大限度地共享和开发信息资源，提高信息的管理效率，才能从根本上解决信息网络化带来的问题。因此，研究如何控制信息流非常必要。

信息流（Information Flow）最早来源于国防项目中安全分级系统的研究。最早用来描述不同安全等级信息之间交互作用的模型是BLP模型和Biba模型，后来，也提出了基于程序语言的信息流控制方法和基于操作系统的信息流控制方法。

本文以安全性为原则，从实际角度出发，利用流行的虚拟化技术，并采用结构化方法将复杂系统进行简化，提出一种基于虚拟机的信息流的安全控制方法，并依据非传递无干扰思想证明了方法的安全性，从而实现对信息流的安全控制。

2 相关研究

2.1 传统的信息流控制技术

在早期，有些系统利用隔离思想完全禁止不同区间的信息进行交互和共享，例如IBM的PR/SM系统。后来，文献[3]提出来的分区间资源的安全共享解决了上述共享问题。现在比较流行的允许分区之间信息共享的安全系统结构主要sHype、VAX VMM以及MILS等，它们都允许不同区间信息的交互，只是通信方式以及系统对它们的控制方式有所不同。

sHype利用强制访问控制技术实现了虚拟机之间对共享资源的访问，但是，没考虑不同安全等级信息之间的交互与共享的安全问题。VAX VMM 结构提出为不同密级的信息设立访问规则，采用相互独立的可信分区来满足分区之间信息的共享的要求，但是这种思想在具体的实现上增加了开销。MILS系统架构通过划分域的方法来实现系统安全。MILS将传统的多级安全系统（Multi-level system）划分成多个单级安全（Multiple Single Level）子系统，并通过一些中间件将单级安全系统连接起来，很大程度地简化了传统多级安全系统的复杂性，具有很好的实用性。本文是在传统的信息流控制技术上做出了改进，利用“域”的概念，基于多级安全操作系统和虚拟化技术，提出了一种安全实用的信息流控制方法。

2.2 无干扰思想

早在1982年Gogeun和Meseguer就提出了无干扰的思想。Haigh和Young在文献[7]中最先用无干扰的思想解释了MDS和MLS以及访问控制，并探究了其在实际系统中的实现。1992年，Rushby提出了基于状态机的无干扰模型，并且引入了“域”的概念，其主要思想是：对于系统中的安全域u和v，如果安全域u中的操作改变了系统的状态，那么，若从安全域v的角度来观察该系统，在安全域的操作发生前后，安全域v所观察到的系统状态并没有发生改变，那么就可以说安全域u对安全域v是无干扰的。本文就是基于非传递无干扰理论对系统控制模块的安全性进行证明。

3 一种新的信息流控制方法

为了方便定义信息流控制规则，我们对用到的术语给出几点说明。

⑴安全域：安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。

⑵安全标记：安全标记是指安全域的安全级别。

⑶支配：假设有安全标记c1和c2，当且仅当c2小于c1时，我们称安全标记c1支配安全标记c2。

为了控制信息的流动，我们在以上术语的基础上给出信息流控制规则。

①如果安全域1的安全标记M支配安全域2的安全标记N，那么标记为N的安全域中的信息可以流向标记为M的安全域，反方向的信息流将被禁止。

②信息流安全控制模块还要支持特定情况下，通过降级，使信息从高级别的安全域流向低级别的安全域。

在实际应用中，存在的往往是需要处理多个安全级别数据的系统，即拥有多个安全标记的系统。这种情况下，会需要大量的硬件设施来满足多个安全标记的需求，使得系统成本居高不下。为了降低系统成本，同时方便用户进行操作，我们采用流行的虚拟化技术，将不同安全标记的信息分别放到不同的虚拟机里。在这里，我们把单个虚拟机看成是单级安全系统，这样，拥有相同安全标记信息的单级安全系统也可能同时存在于多个物理平台，而且，同一个物理平台可能同时支持多个拥有不同安全标记信息的单级安全系统，拥有相同安全标记的单级安全系统则放置在同一个安全域中，最后由信息流安全控制来控制不同安全域之间的通信。

我们把拥有不同安全密级信息的虚拟机划分到不同安全级别的安全域，然后把不同安全级别的安全域相互隔离，通过信息流安全控制模块控制信息的流动，从而在保证兼容性和实用性的前提下实现了对信息流的安全控制。在本文提出的基于虚拟机的信息流安全控制方法中，各个安全域之间虽然相对独立，但不是完全独立的，完全独立也是很不现实的，因为它们之间的信息是需要交互以及共享的。为了保障信息的安全，必须保证各个安全域之间信息的流动是可信的。该方法允许在各个安全域之间进行信息共享以及交互，但要受到限制，也就是各个安全域之间信息的流动必须在流动规则的控制之下进行，否则将会使得不可信的信息在不同安全域之间进行流动，从而影响整个系统。由此可见，信息流安全控制模块对整个系统的安全性非常重要。

本方法的特点主要有几方面。

⑴本方法从结构上对传统的多级安全系统模型进行了改进，主要是参考了多个单级安全系统安全互联的方法来实现多级安全的要求。

⑵节约了成本和硬件的投入。主要是利用虚拟化技术在一台物理服务器上架设多台虚拟机，很大程度上提高了物理硬件资源的利用率。

⑶方便管理和运维。虚拟化技术将传统的虚拟机分散管理方式转变为集中管理方式，极大地减少了系统的管理难度和运维成本。

4 安全性证明

在上一节中我们给出了信息流安全控制方法的设计思路，下面我们对此方法的安全性进行形式化分析。

5 结束语

本文提出了一种基于虚拟化技术的信息流安全控制的方法，该方法不同于传统安全操作系统的模式，克服了基于安全操作系统方式的多级安全系统难以形式化描述和验证的局限性，实现了对信息流的安全控制，并用非传递无干扰理论证明了方法的安全性。该方法可以用于高安全性、高保证性系统的规划和实现中。

参考文献

[1] 郝文江，武捷.三网融合中的安全风险及防范技术研究[J].信息网络安全，2012，（01）：5-9.

[2] 魏为民，袁仲雄.网络攻击与防御技术的研究与实践[J].信息网络安全，2012，（12）：53-56.

[3] Stuart Madnick， John Donovan. Application and analysisof the virtual machine approach to information systemsecurity[C]// Proceedings of the ACMSIDGARCHSIDGOPS Workshop on Virtual ComputerSystems. New York： ACM， 1973：210-224.

[4] Paul A Karger， Mary Ellen Zurko， Douglas W. Bonin， et al. Aretrospective on the VAX VMM security kernel [J]. IEEETransactions on Software Engineering， 1991， 17（11）： 1147-1165.

[5] Jim Alves-Foss， W. Scott Harrison， Paul Oman and Carol Taylor.The MILS architecture for high-assurance embedded systems [J]. International Journal of Embedded Systems， 2006， 2（4）：1-9.

[6] E.W. Dijkstra. Hierarchical Ordering of Sequential Processes[J].ActaInformatica， Vol 1：115-138，1971

[7] Goguen J A， Meseguer J. Security policies and security models[C] ∥Proceedings of the 1982 IEEE Symposium on Security and Privacy. IEEE Computer Society Press， April 1982； 11-20.

[8] RUSHBY J. Noninterference， Transitivity， and Channel-Control Security Policies[R].Stanford Research Institute， Tech Rep： CSL-92-02， 1992.

作者简介：

张怀方（1988-），女，河北唐山人，硕士研究生；主要研究方向：虚拟化安全。

左晓栋（1975-），男，北京人，高级工程师；主要研究方向：信息安全。

刘刚（1973-），男，北京人，铁道部信息技术中心网络部副处长，高级工程师；主要研究方向：网络及网络安全。