91精品人妻互换日韩精品久久影视|又粗又大的网站激情文学制服91|亚州A∨无码片中文字慕鲁丝片区|jizz中国无码91麻豆精品福利|午夜成人AA婷婷五月天精品|素人AV在线国产高清不卡片|尤物精品视频影院91日韩|亚洲精品18国产精品闷骚

作者：張毅

目前，云計算的安全性已經(jīng)成為用戶選擇的首要考慮因素。針對此問題各國都在積極建設(shè)研發(fā)云計算安全平臺，構(gòu)建自己的云計算防御體系，以此來解決云安全的相關(guān)難題。

    對于云計算系統(tǒng)而言，其最大的特征是具有不同的安全級別，而多級安全( MLS)思想的提出能很好地解決云系統(tǒng)中信息安全等級保護(hù)的問題。

    多級安全思想提出于20世紀(jì)60年代末期，其中包括BLP模型和Biba模型。BLP模型是最早提出的以防止信息泄露為主要目的的機(jī)密性模型，其通過“不上讀，不下寫”的規(guī)則來有效地防止信息由高密級用戶泄露給低密級用戶，BLP模型實(shí)現(xiàn)了MLS。而Biba模型的提出主要是為了防止信息被惡意修改從而破壞其完整性。在描述形式上，Biba模型與BLP模型基本對偶。由于Biba模型采用與BLP模型相似的方法來保護(hù)信息的完整性，因此Biba模型也實(shí)現(xiàn)了MLS。

    2000年康奈爾大學(xué)的MYERS等人提出了適用于分布式計算環(huán)境的信息流控制方法( Decentralized Information Flow Control，DIFC)。該方法通過用戶對自己的數(shù)據(jù)進(jìn)行自主授權(quán)實(shí)現(xiàn)了對部分環(huán)節(jié)的信息流控制，如網(wǎng)絡(luò)通信、文件讀寫等。由于DIFC是通過對分布式系統(tǒng)中的信息流進(jìn)行控制來增強(qiáng)分布式系統(tǒng)的隱私安全，因此可以將其應(yīng)用到具體的云計算平臺中。

    文獻(xiàn)[8]提出了一個多信任源信任傳遞模型一一虛擬機(jī)樹形信任鏈模型TCTVM，其基本思想是：將一個位于系統(tǒng)特權(quán)域中的TPM_Creator組件加入到物理可信平臺模塊( TPM)與虛擬機(jī)的信任鏈之間，采用虛擬化技術(shù)為每個用戶虛擬機(jī)創(chuàng)建虛擬TPM（yTPM），讓其向虛擬機(jī)提供可信計算功能。文獻(xiàn)[9]提出了一個虛擬機(jī)間信息傳遞的完整性模型。雖然該模型在TCTVM模型的基礎(chǔ)上，解決了虛擬機(jī)的動態(tài)完整性問題，但其僅討論了信息流傳遞的安全與否，并沒有解決進(jìn)程之間的安全訪問問題。

    文獻(xiàn)[10]提出了一個分布式多級安全保護(hù)核心架構(gòu)一一分布式可信計算基( Distributed Trusted Computing Base，DTCB)，每層可信計算基(TCB)分別實(shí)施不同粒度的多級安全控制，用組合無干擾模型證明組件組合的安全性。然而此模型主要是針對普通的操作系統(tǒng)而言，對

于較為復(fù)雜的云計算系統(tǒng)，文中提及的分層方式并不能很好地為其服務(wù)。

    文獻(xiàn)[12]提出了一個模型，該模型構(gòu)建了多級安全網(wǎng)絡(luò)的安全策略和需求機(jī)制，以確保信息能夠安全地在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中不同安全等級的實(shí)體之間流動。文獻(xiàn)[11]提出了在一個分區(qū)管理的系統(tǒng)中對資源進(jìn)行擴(kuò)展性保護(hù)以確保其安全性的流控制策略。本文借鑒了文獻(xiàn)[12，13]的部分思想提出一種基于云平臺的多級安全模型，對云系統(tǒng)中的進(jìn)程進(jìn)行安全等級的劃分。根據(jù)DIFC-B訪問控制方法對進(jìn)程之間的訪問進(jìn)行安全控制，以確保系統(tǒng)運(yùn)行時的安全性。最后，運(yùn)用無干擾理論作為模型的理論框架，對其進(jìn)行了形式化描述和安全性分析。

1無干擾理論

    無干擾思想最早是由GOGEUN和MESEGUER在1982年提出的。文獻(xiàn)[16]建立了一個系統(tǒng)模型，其中包括用戶、狀態(tài)、命令、輸出等元素，并給出了無干擾定義：在安全系統(tǒng)中，一個用戶不能發(fā)現(xiàn)任何不由他支配的其他用戶的操作。HAIGH、YONG則對無干擾進(jìn)行了新的應(yīng)用，在文獻(xiàn)[17]中首先提出用無干擾的語義對訪問控制以及MLS進(jìn)行解釋，并研究了其在SAT系統(tǒng)中的實(shí)現(xiàn)。1992年，Rushby在引入域的概念的基礎(chǔ)上提出了基于狀態(tài)機(jī)的無干擾模型。該模型系統(tǒng)地描述了無干擾對訪問控制和通道控制的解釋，并定義了系統(tǒng)關(guān)于傳遞和非傳遞無干擾的安全策略。

1.1基本符號與定義

  公式(1)中a代表的是一個操序列，根琚具長度可以采用數(shù)學(xué)歸納法進(jìn)行證明。

    證明當(dāng)a的長度為0，即時，公式(1)成立。

當(dāng)a的長度不為0，則考慮操作序列a'=aoa，則公式(1)左邊有

對公式(1)右邊，分兩種情況討論。

    根據(jù)以上無干擾的相關(guān)定義與定理可知，對于系統(tǒng)而言只要確保進(jìn)程間的通信是無干擾的，那么就可以說明整個系統(tǒng)是安全的。因此，可以將該思想應(yīng)用到云計算環(huán)境中。對于云計算環(huán)境而言，為了確保整個系統(tǒng)環(huán)境的安全性，可以首先將這個復(fù)雜的系統(tǒng)進(jìn)行層次劃允并對系統(tǒng)中的程序進(jìn)行安全等級劃分。根據(jù)劃分的層次與設(shè)定的安全等級分析進(jìn)程間的通信，若在程序通信的過程中，云計算系統(tǒng)中程序之間的通信是無干擾的，則可以說明整個云計算系統(tǒng)是安全的。

2云計算中的多級安全模型設(shè)計思想

    云計算本身是一個復(fù)雜的系統(tǒng)環(huán)境，為了方便對其進(jìn)行安全分析，需要對其進(jìn)行簡化，因此本文提出了_一個基于虛擬機(jī)系統(tǒng)的三層劃分方式。由于多級安全技術(shù)不僅可以有效地防止不同信息級別之間的非授權(quán)泄露，而且可以通過繼承多個級別的信息來共同完成一項(xiàng)任務(wù)。因此，可將多級安全思想與系統(tǒng)的層次劃分相結(jié)合，將其應(yīng)用到云平臺中。文章從云計算的虛擬化技術(shù)出發(fā)，在虛擬機(jī)系統(tǒng)中實(shí)現(xiàn)多級安全，從進(jìn)程的角度保證系統(tǒng)運(yùn)行的安全。

2.1云計算多級安全模型介紹

對于云計算而言，在虛擬機(jī)系統(tǒng)中實(shí)現(xiàn)多級安全是有必要的。其原因在于虛擬化技術(shù)可以將進(jìn)程分屬于不同的虛擬機(jī)，而屬于不同組織或部門（通常具有不同的安全等級）的虛擬機(jī)可能運(yùn)行在同一臺虛擬機(jī)監(jiān)控器之上。根據(jù)這一特性，可以構(gòu)造一個基于云平臺的三層結(jié)構(gòu)的多級安全訪問控制模型。將虛擬機(jī)監(jiān)視器作為頂層，運(yùn)行在同一臺虛擬機(jī)監(jiān)視器上的虛擬機(jī)作為中間層，而在虛擬機(jī)中運(yùn)行的進(jìn)程作為最底層，如圖1所示。

2.2 DIFC-B訪問控制方法

    1) DIFC-B訪問方法介紹

    針對DIFC模型中數(shù)據(jù)所有者能自主地對自己的數(shù)據(jù)進(jìn)行授權(quán)這一特點(diǎn)，使用自主授權(quán)的訪問控制方法對云計算系統(tǒng)實(shí)施數(shù)據(jù)安全性保護(hù)。本文在現(xiàn)有的DIFC模型理論的基礎(chǔ)上提出了一種改進(jìn)的訪問控制方法DIFC-B。該方法將DIFC模型和Biba模型及BLP模型相結(jié)合，對進(jìn)程間的訪問進(jìn)行完整性和機(jī)密性驗(yàn)證。

    DIFC-B使用標(biāo)簽對來標(biāo)注數(shù)據(jù)的安全性等級，進(jìn)程的機(jī)密性和完整性等級是由其本身的標(biāo)簽和輸人數(shù)據(jù)的標(biāo)簽決定的。為了在云計算環(huán)境下實(shí)施數(shù)據(jù)安全保護(hù)，要設(shè)計相應(yīng)的DIFC-B標(biāo)簽機(jī)制和訪問控制策略。在2.1的多級安全模型中，DIFC-B定義的進(jìn)程既可以作為主體出現(xiàn)，也可以是系統(tǒng)中的客體。

    2)相關(guān)術(shù)語定義

    這里借鑒了文獻(xiàn)[6]相關(guān)術(shù)語定義及其符號表示。

    主體( Subject)：一個主動實(shí)體，即一個操作的執(zhí)行者。主體既可以是用戶也可以是實(shí)體（如進(jìn)程、任務(wù)），但這些實(shí)體是代表用戶執(zhí)行操作的。使用subj ect，來表示一個主體及其安全標(biāo)記。

    客體( Object)：一個被動實(shí)體，即一個操作的被執(zhí)行者�？腕w可以是被用來操作的信息、資源、對象等，但在本文中將客體定義為被訪問的進(jìn)程。使用objec tj來表示一個客體及其安全標(biāo)記。

    安全級(C&I)：多級安全系統(tǒng)中所有實(shí)體的基本安全屬性，本文主要是對實(shí)體的機(jī)密性(C)和完整性(I)進(jìn)行討論。安全級是確定所有主體對客體訪問的基礎(chǔ)。

    標(biāo)簽對( Lable)：表示被標(biāo)注對象的安全等級，包括完整性和機(jī)密性。每個標(biāo)簽對L都是由標(biāo)識所組成的集合表示被標(biāo)注實(shí)體所含的各個安全信息的類型及安全等級，如L(C。，10，其中C：是指對象的機(jī)密性，I，是指對象f完整陛。在本文中標(biāo)簽對不僅定義進(jìn)程的安全性，也用于虛擬機(jī)的安全性。

2.3系統(tǒng)訪問控制過程

    為了明確描述訪問控制的過程，進(jìn)行如下基本定義。并在這些定義的基礎(chǔ)上，以讀訪問為例具體描述了該訪問的執(zhí)行過程。

  1)基本操作

  (1)讀操作

  2)執(zhí)行過程f以讀訪問為例）

3云計算中MLS模型的可信性

3.1云計算中MLS模型的形式化

    系統(tǒng)的運(yùn)行過程可以看成是在一系列輸入序列作用下造成的狀態(tài)轉(zhuǎn)移。而對于云計算系統(tǒng)而言，最大的特點(diǎn)是分布式，即使進(jìn)程訪問過程中可能涉及多個安全域。因此可以理解系統(tǒng)的運(yùn)行就是系統(tǒng)處理一系列的輸入，在輸入的作用下狀態(tài)轉(zhuǎn)移并輸出結(jié)果的過程。

    從而可達(dá)狀態(tài)S1是可信的，即此狀態(tài)為可信狀態(tài)。

    定義6可信云系統(tǒng)當(dāng)云系統(tǒng)滿足下面兩個條件時，稱該系統(tǒng)為可信云系統(tǒng)。

    1)對于云系統(tǒng)而言，其初始狀態(tài)so是可信的。

    2)在云系統(tǒng)運(yùn)行過程中每一個可達(dá)狀態(tài)都是可信的。

    此定義可以作為云系統(tǒng)可信的判定條件，即為云系統(tǒng)可信的充分條件。

    定理3若云系統(tǒng)具備以下三個條件，則系統(tǒng)是可信云系統(tǒng)。

    1)云系統(tǒng)的運(yùn)行基于可信根，即其初始狀態(tài)s�？尚拧�

    2)云系統(tǒng)中的進(jìn)程間滿足無干擾屬性。

    3)云系統(tǒng)的運(yùn)行結(jié)果具有輸出一致性。

    證明由定義6可知，若云系統(tǒng)滿足其定義中的兩個條件，則說明該云系統(tǒng)是可信的。

    根據(jù)條件1）可知系統(tǒng)的啟動狀態(tài)是一種無條件的可信，其是由系統(tǒng)設(shè)計者通過密碼技術(shù)和物理方法實(shí)現(xiàn)的。

    由條件2）、3）可知其滿足定理2，即系統(tǒng)的每個可達(dá)狀態(tài)都是可信的，從而說明整個系統(tǒng)是可信云系統(tǒng)。

3.2云計算中MLS模型可信性證明

    若云計算中的MLS模型滿足定理3的三個條件，則說明其是可信的，即完成了證明。

    證明云系統(tǒng)設(shè)計者運(yùn)用密碼技術(shù)和物理方法保證系統(tǒng)的可信，這就保證了云系統(tǒng)從可信根開始運(yùn)行。條件1）滿足。

    由于本文設(shè)計的模型采用的是DIFC-B訪問控制方法，利用Biba模型和BLP模型保證云計算系統(tǒng)中信息的完整性與機(jī)密性，其對所有的訪問都有一個檢查的過程，只有操作符合相應(yīng)的訪問控制規(guī)則，才能允許該訪問的執(zhí)行。由此可知，模型是通過禁止非法訪問的方式來解決云系統(tǒng)的安全性問題。所以無論是對輸入序列a還是purge(a)而言，其效果都是一樣的。即模型滿足無干擾性。條件2）滿足：

    由于系統(tǒng)對于非法操作采取的是拒絕訪問請求的方式，所以它們的輸出相同，也就是說滿足輸出一致性。條件3）滿足。

4模型在云計算中的實(shí)現(xiàn)與應(yīng)用

4.1模型在云計算中的實(shí)現(xiàn)

如圖2所示，將用戶終端中的進(jìn)程作為主體，即為訪問者；將云端的服務(wù)器中的進(jìn)程看作是客體，即為被訪問者，圖2反應(yīng)了這兩類實(shí)體的訪問過程。

    從用戶的角度講，進(jìn)程權(quán)限的限制主要包括兩個方面。首先，為了使進(jìn)程具有對云系統(tǒng)的最小訪問權(quán)限，用戶根據(jù)具體訪問權(quán)限的要求對其做進(jìn)一步的細(xì)化。其次，由于進(jìn)程具有時效性，因此在基于進(jìn)程的訪問控制中，進(jìn)程對系統(tǒng)資源的訪問也具有時效性，以此來進(jìn)一步限制進(jìn)程的權(quán)限。

  從云服務(wù)器角度來說，根據(jù)DIFC-B模型提供的自主授權(quán)的數(shù)據(jù)控制能力，云服務(wù)器可以為其系統(tǒng)內(nèi)核中的進(jìn)程設(shè)置訪問控制權(quán)限。根據(jù)多級安全模型( MLS)和訪問控制規(guī)則對訪問請求進(jìn)行仲裁，攔截不安全的訪問請求，放行安全的訪問請求，從而確保了云系統(tǒng)運(yùn)行過程中的安全性。

4.2模型的具體應(yīng)用過程

在此例中，客戶端只具有輸入、輸出功能，其自身的資源以及需要訪問的資源都存放在云端。模型的具體應(yīng)用主要分為如下四個階段（圖3所示）。

    1)初始化階段

    本模型是在初始狀態(tài)可信的基礎(chǔ)上進(jìn)行安全性驗(yàn)證的。因此，就云系統(tǒng)而言，其是從可信根開始運(yùn)行的，即初始狀態(tài)下進(jìn)程可信。

    2)用戶認(rèn)證階段

    用戶終端在訪問云端時必須進(jìn)行身份認(rèn)證，因此采用U-Key身份認(rèn)證的方法，將用戶終端和U-Key綁定，寫入策略文件。在用戶終端對云端提出訪問請求時，云端先通過U-Key對用戶終端進(jìn)行身份認(rèn)證，認(rèn)證通過后才對訪問請求進(jìn)行處理。

   3)授權(quán)階段

  云端虛擬機(jī)監(jiān)視器( VMM)中的DIFC-B模塊對其控制的虛擬機(jī)及虛擬機(jī)中的進(jìn)程進(jìn)行自主授權(quán)，確定其機(jī)密性和完整性的安全級別。對于用戶終端的進(jìn)程而言，進(jìn)程本身的標(biāo)簽和輸入數(shù)據(jù)的標(biāo)簽決定其機(jī)密性和完整性級別。

  4)安全性驗(yàn)證階段

  具體驗(yàn)證的過程描述如下：在授權(quán)階段對云端主體進(jìn)行安全級別自主授權(quán)后，以2.3節(jié)中的讀訪問執(zhí)行過程為例，對其訪問過程進(jìn)行安全性驗(yàn)證。若返回的結(jié)果是“rej ect”，則說明拒絕本次讀訪問，對于云系統(tǒng)而言，表明云終端不能讀取云端的相關(guān)資源；否則說明通過了該讀訪問的安全驗(yàn)證，最終返回云端所需要讀取的資源：

    從以上分析可以看出：模型通過這四個階段的過程，可以很好地實(shí)現(xiàn)云計算系統(tǒng)中資源訪問控制的安全性。對于云系統(tǒng)而言，其滿足簡單安全屬性，從機(jī)密性和完整性兩個方面實(shí)施多級安全保護(hù)。

5結(jié)束語

本文在云平臺的基礎(chǔ)上提出了一個三層結(jié)構(gòu)的多級安全模型，通過虛擬機(jī)監(jiān)視器、虛擬機(jī)和進(jìn)程間的協(xié)作，實(shí)現(xiàn)了多級安全訪問控制：將DIFC模型與Biba模型和BLP模型相結(jié)合，提出了一種在云計算系統(tǒng)中數(shù)據(jù)安全性保護(hù)的訪問控制方法DIFC-B，對進(jìn)程間的訪問進(jìn)行完整性和機(jī)密性的驗(yàn)證。最后，用無干擾方法描述和分析了該模型，并形式化證明其滿足無干擾屬性，由此說明從進(jìn)程的角度出發(fā)此多級安全模型可以為云環(huán)境系統(tǒng)提供安全訪問。

6摘要：針對云計算中信息的完整性問題，文章提出了一個基于云平臺的多級安全模型。該模型將系統(tǒng)劃分為三層：以虛擬機(jī)中的進(jìn)程為基礎(chǔ)層；將運(yùn)行在同一臺虛擬機(jī)監(jiān)視器上的各虛擬機(jī)作為中間層；以該虛擬機(jī)監(jiān)視器作為頂層，按自底向上的順序進(jìn)行安全性比較。結(jié)合這種安全模型，提出相配套的基于分布式計算環(huán)境的信息流控制( Decentralized Information FlowControl, DIFC)的訪問控制方法(Decentralized Information Control Flow Based on Biba andBLP, DIFC-B)。該方法將虛擬機(jī)及其中的進(jìn)程進(jìn)行安全等級劃分，再根據(jù)Biba模型和BLP模型的性質(zhì)對進(jìn)程間的訪問進(jìn)行驗(yàn)證，以確保系統(tǒng)運(yùn)行時信息的完整性與機(jī)密性。最后，結(jié)合無干擾理論對基于云平臺的多級安全模型進(jìn)行了安全性分析，進(jìn)而說明了模型的實(shí)用性。