文摘

随着云计算技术的发展和互联网的扩散(物联网)终端,越来越多的场景需要虚拟机和物联网终端的协作才能解决。然而,有许多严峻挑战虚拟机和物联网终端的安全。基于Bell-LaPadula模型(BLP),一个面向任务的多层次合作访问控制方案虚拟化和现实BLP,名叫VR-BLP,提出。具体来说,任务是为每个用户创建的平台和任务和用户分为多个级别提供更多粒度限制访问虚拟机和物联网终端之间。此外,随着网络隔离配合处理隔离和共享内存隔离机制,实现VR-BLP提高安全任务之间的分解动作。业绩评估表明,VR-BLP增强环境虚拟化和物联网的安全不会造成显著的性能损失。

1。介绍

自2006年成立以来,云计算(1- - - - - -3)已经在当今社会越来越受欢迎。广受欢迎和广泛的应用,发挥着越来越重要的作用在社会的发展中,不仅使企业获得更多的收入,同时节省更多成本,同时也为普通消费者提供更方便的在线服务。虚拟化是云计算的基础上,(4- - - - - -6)技术,包括系统虚拟化,网络虚拟化已经广泛应用在云平台,帮助云计算发展得越来越快。另一方面,随着越来越多的连接设备使用,物联网(物联网)7)已成为许多企业的关键重点区域。

在云环境中,应对安全挑战等访问控制方案提出了RBAC (8和纪录9]。这些计划部分提高云的安全访问控制,但不适用与虚拟化和物联网资源管理环境。集成虚拟化和物联网时建立一个更大的平台可以分配虚拟机和物联网终端用户同时,企业和消费者获益更多从虚拟化和物联网10]。混合平台为服务提供者的企业,可以为客户提供更多种类的组合服务,节省成本,构建两种平台的云计算平台和物联网平台,并实现更高效的效用的资源和能量。服务买方企业的混合平台可以提供更多种类的服务会议自己的业务的需求,节省他们的钱和精力来维护两种系统。对于普通消费者,他们可以买更多的灵活的服务根据他们的需求和预算。简而言之,它是伟大的使用虚拟化和物联网集成在一起。

1显示一个场景中存在多个用户和多个任务混合虚拟化和物联网平台。混合平台,计算和存储资源的形式通过虚拟化技术,虚拟资源池和物联网终端形成物联网终端通过网络连接和网络设备资源池形成网络设备资源池。系统的授权用户可以创建一组任务,每个任务包含一组资源从资源池中。然而,虚拟化和物联网的集成结果在安全问题这可能成为一个关键问题。虚拟化和物联网可能会招致新的漏洞混合虚拟化和物联网平台(11]。尽管虚拟化和物联网安全近年来吸引了相当大的兴趣,提出了一些解决办法,安全的虚拟化解决方案和物联网的蓬勃发展仍然面临许多挑战在信息共享和隐私保护之间的平衡12]。在虚拟化和物联网安全问题的重要障碍的集成虚拟化和物联网的发展。


图1
多用户和多任务场景在虚拟化和物联网。

为了构建一个面向任务的安全隔离机制对于虚拟化和物联网的环境,一个新的多层次合作提出了名为VR-BLP访问控制方案。和我们的主要贡献是三倍。(1)面向任务的多层次合作与虚拟化和物联网环境的访问控制方案,名叫VR-BLP,提出加强用户之间的安全组织和任务。(2)网络隔离与处理隔离和共享内存隔离加强合作安全虚拟机和物联网终端之间的分解动作。(3)业绩评估表明,VR-BLP是一种有效的多级访问控制方案与虚拟化和物联网环境。

本文的其余部分组织如下。节2,我们调查相关工作。节3介绍本文的预赛。节4,我们目前的架构提出VR-BLP方案并提供VR-BLP方案的安全性证明。然后,我们现在实现的部分5节中,紧随其后的是评估6。最后,我们得出我们的结论7

BLP [13,14)模型是第一个访问模式的数学1973年贝尔和LaPadula提出的。它是一个状态机模型基于模拟军事安全战略。与BLP模型越来越受欢迎,它被应用于许多不同的场景来实现更安全的组织资源。多个级别的安全(MLS) (15)一直是关注的焦点,因为电脑的使用在军事和情报系统。随着云计算的发展,学者们做了大量研究的多个级别的安全云。

母示系统(16]对多个级别的安全云与强大的硬件水平隔离旨在提供硬件水平隔离和保护个人客户虚拟机(VM)执行。母示,用户可以维护机密性和完整性的他/她的VM在多核环境中即使是在恶意攻击的存在内外云基础设施。BLP-based多级安全模型(17的工作流部署在云架构对于联邦医疗数据安全的背景,提出了医疗服务的事务划分为几个州,和一个状态可以被转换到另一个特定的操作。模型通过定义安全行动,证明该系统可以保持安全。BLP-based多级安全模型(18提出了私有云),由数学方法被证明是安全的。模型使用强制访问控制方法来控制用户的操作,可以保证用户不能泄漏敏感数据后阅读。一个集中的普适计算环境/多级安全(CPCE /毫升)系统(19)旨在提供安全保障的普适计算环境中通过引入服务器存储终端和实现多级安全访问控制机制基于BLP模型,创建过程监督和审计机制。一个多级安全文件共享服务器20.]可确认的设计满足要求,可伸缩的、和多级云安全,本文展示了如何使用安全文件服务器创建一个高保障、MLS存储云。文件服务器是建立在成熟的技术,以前认证和跨域和部署支持高性能、由低,盘中文件共享与可验证的安全。

虽然这些作品非常有意义和有价值的,他们不考虑面向任务的环境中的安全问题与虚拟化和物联网。满足虚拟化和物联网的环境要求,提出了一种面向任务的合作访问计划VR-BLP和实现与网络隔离配合处理隔离和共享内存隔离机制,提高安全任务之间的分解动作。

3所示。预赛

在本节中,我们将介绍相关的知识我们VR-BLP方案的设计和实现。

3.1。BLP

给主题的定义时,对象,安全级别功能,状态,状态转换规则,等等,BLP模型定义了一个系统安全当且仅当系统总是满足简单的安全属性, 财产,可自由支配的安全属性。鉴于安全的初始状态,系统的状态保留安全如果每个状态转换满足简单的安全属性, 财产,可自由支配的财产。通过管理这些状态转换,BLP防止机密信息的泄漏信息共享的过程。间隙水平更高和更大的主题类别可以访问对象分类和较低的小类别与某些属性的访问。包括读访问,写访问的属性,添加访问,执行访问,访问控制。状态转换规则,BLP模型设计一组受试者可以请求元素,包括,给予,释放,解除,改变,创建和删除。BLP模型开发的一套规则来满足简单的安全属性和证据 财产。因此,一个系统,它实现了BLP模型是安全的,可以保护隐私之间的信息共享。

3.2。LSM

LSM [21)是Linux内核的一个框架,它支持各种计算机安全模型和LSM与任何单独的安全实现无关。这个框架许可在GNU通用公共许可证下,这是一个官方自Linux 2.6 Linux内核的一部分。通过提供一个通用的框架,用于安全策略模块,LSM允许很多不同的访问控制方案实现为可加载内核模块,从而使这些安全政策独立发展。现有的访问控制实现的一个量,包括SELinux,域和类型执行(DTE)和Linux入侵检测系统(盖子)已经适应使用LSM框架。

3.3。SDN

SDN [22- - - - - -24使用分层思想独立的数据和控制。控制层主要包括logic-centric和可编程序控制器,以便它可以掌握全球网络信息,方便运营商和人员管理网络配置和部署新的协议。有一个开关在数据层提供简单的数据转发数据包匹配数据,所以它可以快速处理,以满足日益增长的交通要求。两层使用一个开放的统一接口进行交互。控制器发送统一的标准规则开关通过标准接口。开关只需要根据这些规则。因此,SDN技术可以有效地降低设备负荷,帮助网络运营商控制基础设施,降低整体运营成本。它逐渐成为一个最有前途的网络技术。

4所示。VR-BLP方案

在本节中,我们定义体系结构,元素,安全属性和状态转换规则的BLP模型更好的应用与虚拟化和物联网环境的情况。我们提出了一个面向任务的多级访问控制方案环境虚拟化和物联网构建用户之间的安全隔离和任务。

4.1。VR-BLP模型的元素

之前介绍的正式定义面向任务的多级访问控制方案虚拟化和物联网,我们定义以下VR-BLP模型的基本元素。

主体和客体。在VR-BLP模型中,一个用户是一个主体和一个任务是一个对象。一个用户创建一个组的任务,每个任务创建一个组的资源。通过映射资源的任务,通过访问用户访问资源的任务。

安全功能集。 是一个安全函数F的设置和任意元素包含三个组件 , , 代表最高的间隙主题的年代, 代表了当前主题的间隙水平,和 代表对象的分类。

访问属性设置。访问属性设置 包含三个元素, ,r代表只读,只写,和w代表读写。主题只能访问一个对象和一个访问属性包含在访问属性集

访问矩阵。访问矩阵 包含一组属性的访问记录主题如何访问一个对象。主题只能访问一个对象的访问属性存储在访问矩阵。

当前访问设置。 代表当前设置,任意元素的 表明主题 访问对象吗 在模式下

系统的当前状态。 代表一个任意的系统的状态

请求元素。请求元素包括只读,只写,读写。

请求。的请求 ,在那里 。一个任意的元素

决定。决策包括“是”和“不是”的决策规则。

关系。 代表联盟的关系,部分函数构成的规则操作系统对保护和简单的安全属性 财产。

规则。一个规则是一个函数 表示状态变化的反应,当一个请求并输入状态。它决定系统应该对用户的要求,使系统根据具体情况改变。

4.2。安全属性

(1)简单的安全属性。国家 满足简单的安全属性,当且仅当 (我) (2)

简单的安全属性意味着, ,当这个话题 试图访问对象 访问属性、状态 满足简单的安全属性。当这个话题 试图访问对象 与访问属性 ,国家 满足简单的安全属性如果间隙最高水平的主题 大于或等于物体的分类 当这个话题 试图访问对象 与访问属性 ,国家 满足简单的安全属性如果间隙最高水平的主题 大于或等于物体的分类

(2) 财产。国家 满足 财产,当且仅当 , ,在那里 是受信任的对象(我) (2) (3)

产权意味着, , ,在那里 是值得信赖的对象,当这个话题吗 试图访问对象 与访问属性 ,国家 满足 如果当前主题的间隙水平属性 大于或等于物体的分类 当这个话题 试图访问对象 与访问属性 ,国家 满足 如果当前主题的间隙水平属性 小于或等于物体的分类 当这个话题 试图访问对象 与访问属性 ,国家 满足 如果当前主题的间隙水平属性 等于物体的分类

(3)可自由支配的安全属性。国家 满足可自由支配的财产,当且仅当

(4)基本安全属性。系统安全当且仅当系统的初始状态是安全的,每一个状态转换满足简单的安全属性, 财产,可自由支配的财产。

在我们的方案中,主题是用户和对象的任务。任务是由用户和分配有不同的分类。用户有不同的间隙由系统作为我们设计水平。我们的目的是让用户较高的间隙能够访问任务分类较低水平。虽然任务包含一组资源,间隙水平较高的用户可以读取数据从较低的资源分类,这些资源是虚拟机还是物联网终端。用户提供更高的间隙水平无法写入数据的位置,属于较低的资源分类,这些资源是虚拟机还是物联网终端。相反,间隙水平较低的用户,不能读取数据从较高的资源分类,这些资源是虚拟机还是物联网终端。间隙水平较低的用户,可以写数据到较高的位置,属于资源分类,这些资源是虚拟机还是物联网终端。

4.3。状态转移规则

一个规则是一个函数 。如图2,一个规则的解释是,给定一个请求和一个国家,一个规则决定和状态变化的响应。R是一组请求;D是一组决定。决策的结果是一个组 。是的代表请求允许执行,也没有表示要执行的请求被拒绝。


图2
提出VR-BLP方案。

R是一个任意的元素, D是一个任意的元素,和一个规则 安全保护当且仅当吗 。基于操作环境虚拟化和物联网,我们定义了三种状态转换规则。

规则1。只读:
给定的状态 , ,在那里 是值得信赖的对象,处理过程要求 如下。
如果 ,然后设置 , 其他的

规则1描述了系统状态的反应是什么,就是当话题 请求访问对象 访问属性r。提交请求时,访问控制模块检查是否允许请求。首先,访问控制模块检查间隙水平最高的话题 与对象的分类和比较 如果间隙最高水平的主题 大于或等于物体的分类 ,然后检查如果访问属性的访问控制模块r满足要求 。只有当两个条件都满足,请求被允许执行。否则,请求被拒绝。如果请求被允许执行访问控制模块计算下一个系统状态。由于规则1,系统状态 就变成了 ,在那里 , 。新的安全功能后生成规则1执行的更大的一个是两个安全功能 新的安全功能集 是前面的安全函数集的组合吗 和大的两个安全功能 新的当前访问设置 前面的当前访问集的组合吗 和现在的当前设置的访问 。最后,如果规则1允许执行,响应是肯定和系统状态 就变成了 ,在那里 ,

规则2。只写:
给定的状态 , ,在那里 是值得信赖的对象,处理过程要求 如下。
如果 ,然后设置 其他的

规则2描述了系统状态的反应是什么,就是当话题 请求访问对象 访问属性。提交请求时,访问控制模块检查是否允许请求。首先,访问控制模块检查间隙水平最高的话题 与对象的分类和比较 如果间隙最高水平的主题 大于或等于物体的分类 ,然后访问控制模块检查如果当前间隙的话题 小于或等于物体的分类 如果当前间隙的话题 小于或等于物体的分类 ,然后将检查如果访问属性的访问控制模块满足要求 。只有当这三个需求得到满足,请求被允许执行。否则,请求被拒绝。如果请求被允许执行,访问控制模块将计算下一个系统状态。由于规则2,系统状态 就变成了 ,在那里 。新的当前访问设置 前面的当前访问集的组合吗 和现在的当前设置的访问 。最后,如果规则2允许执行,将是的,系统状态的响应 就变成了 ,在那里

规则3。读写:
给定的状态 , ,在那里 是值得信赖的对象,处理过程要求 如下。
如果 ,然后设置 , 其他的

规则3描述了系统状态的反应是什么,就是当话题 请求访问对象 访问属性。提交请求时,访问控制模块检查是否允许请求。首先,访问控制模块检查间隙水平最高的话题 与对象的分类和比较 如果间隙最高水平的主题 大于或等于物体的分类 ,然后访问控制模块检查如果当前间隙的话题 小于或等于物体的分类 如果当前间隙的话题 小于或等于物体的分类 ,然后将检查如果访问属性的访问控制模块w满足要求 。只有当这三个需求得到满足,请求被允许执行。否则,请求被拒绝。如果请求被允许执行访问控制模块计算下一个系统状态。由于规则3,系统状态 就变成了 ,在那里 , 。新的安全功能后生成规则1执行安全功能 新的安全功能集 是前面的安全函数集的组合吗 和安全功能 新的当前访问设置 前面的当前访问集的组合吗 和现在的当前设置的访问 。最后,如果规则3允许执行,响应是肯定和系统状态 就变成了 ,在那里 ,

4.4。安全模型的证据

(证据规则1保持安全的)。让初始状态 是安全的。为请求 后,执行规则1,我们得到一个新的状态 ;然后 。如果 ,然后 是安全的因为 是安全的,其他的如果 : ,在那里 , ,所以 满足简单的安全属性。自 满足简单的安全属性, 满足简单的安全属性。自 ,然后 满足星级。从上面,我们证明规则1保持安全。

(证据规则2保持安全的)。让初始状态 是安全的。为请求 后,执行规则2,我们得到一个新的状态 ,然后 。如果 ,然后 是安全的因为 是安全的,其他的如果 : ,在那里 ,所以 满足简单的安全属性。自 满足简单的安全属性, 满足简单的安全属性。自 ,然后 满足星级。自 满足星级, 满足明星——财产。从上面,我们证明了规则2保持安全。

(证据规则3保持安全的)。让初始状态 是安全的。为请求 后,执行规则1,我们得到一个新的状态 ;然后 。如果 ,然后 是安全的因为 是安全的,其他的如果 : ,在那里 , ,所以 满足简单的安全属性。自 满足简单的安全属性, 满足简单的安全属性。自 ,然后 满足星级。从上面,我们证明规则3保持安全。

5。实现VR-BLP

本节将主要介绍VR-BLP方案和具体的应用场景的设计架构方案。

5.1。应用场景

如图3,用户分为不同的群体有不同的间隙水平和每个用户创建一个组的任务分配与分类用户的间隙水平相同。决策模块指导安全标签模块如何添加不同的安全标签不同的任务,根据任务的分类,它注意到访问控制模块执行状态转换规则来隔离资源。


图3
VR-BLP的应用程序框架。
5.2。系统模块

系统模块包括三个部分:决策模块,安全标签模块、访问控制模块。

5.2.1。政策模块

用户分配不同间隙水平根据设计的需要,和任务分配与分类等于间隙水平的用户创建这些任务。因为任务包含一组资源,资源映射到任务导致用户实现多级安全访问控制的资源。因此,安全标签模块添加不同的任务和安全标签的访问控制模块隔离资源通过网络隔离,隔离内存孤立,和过程。使政策和决策模块发送这些政策安全模块和访问控制模块来引导他们孤立资源满足我们的期望。

5.2.2。安全标签模块

安全标签模块接收来自决策模块安全策略和安全标签附加到任务和资源。的任务,它们与安全标签附加根据他们的分类。对资源,它们与相同的安全标签附加任务创建它们。通过这种方式,资源可以隔绝其他人访问控制模块通过他们的安全标签。

5.2.3。访问控制模块

的访问控制模块接收策略决策模块和实现资源的隔离通过处理隔离,共享内存孤立,和网络隔离。处理隔离和共享内存孤立,他们是由一个名为KMAC的安全模块,实现我们设计基于LSM。通过附加任务的安全标签虚拟机和虚拟机的磁盘映像,KMAC不允许一个虚拟机请求访问磁盘的安全标签不同于虚拟机的安全标签。通过附加任务的安全标签虚拟机和虚拟机的共享内存,KMAC不允许一个虚拟机请求访问一个共享内存的安全标签不同于虚拟机的安全标签。对于网络隔离,我们使用SDN隔离资源和传统的网络技术。当一个用户请求访问一个任务访问属性只读,只写,或读写请求分析安全开关和ACL规则在安全开关决定如果请求是合法的。根据决策,安全开关,请求被允许或拒绝执行。

加强安全隔离的虚拟机,基于LSM KMAC模块设计。出于安全原因,KMAC模块必须整理到Linux内核作为LSM模块。KMAC加强过程的安全隔离和虚拟机之间的共享内存。如图4(一)虚拟机是一个主机的QEMU进程。加强之间的安全隔离QEMU进程,每个进程的磁盘映像是孤立的。当一个QEMU进程开始,KMAC模块分配相同的独特的安全标签QEMU进程和它的磁盘映像。之后,QEMU进程无法访问其他进程不同的安全标签。如图4 (b)强制访问控制,实现虚拟机之间共享内存KMAC模块。通过使用ivshmem,虚拟PCI设备添加到虚拟机创建一块共享内存。通过使用inode_create和file_mmap LSM模块的函数,我们可以控制虚拟机的访问共享内存。当一个QEMU进程开始,KMAC模块分配相同的独特的安全标签QEMU进程和共享内存。之后,QEMU进程无法访问其他进程共享内存与不同的安全标签。

(一)处理隔离
(一)处理隔离
(b)共享内存孤立
(b)共享内存孤立
(c)网络隔离
(c)网络隔离
图4
资源隔离。

如图4 (c)的虚拟机,通过使用SDN task10连接到虚拟网络与VLAN id 10 N10 OpenStack平台。虚拟机的task20连接到虚拟网络N20 20的VLAN id。物理资源,VLAN10 VLAN20物理层上创建3开关s task10连接到VLAN10物理资源和物理资源的task20 VLAN20。资源在VLAN10 VLAN10只能与那些资源和资源在VLAN20 VLAN20只能与那些资源。因此,资源在task10 task10只能与那些资源和资源在task20 task20只能与那些资源。的安全开关接收策略决策模块,使相应的ACL规则来控制用户的请求任务。根据状态转换规则VR-BLP计划,安全开关得到用户的请求并作出决策。

6。评价VR-BLP

6.1。环境的评价

如图5,两个工作站32芯,32 gb RAM和双重网络接口卡作为控制器节点和一个计算节点的OpenStack平台。四个人电脑与无线网络适配器连接无线路由器是用来模拟物联网终端。一个开关连接无线路由器有两个工作站。


图5
测试环境的拓扑。
6.2。设备配置进行评估

在图6(一),四个任务创建一个用户和task1 task2, task3,和task4分配安全级别1、2、3和4分别,而安全级别4 > 3 > 2 > 1。每个任务包含两个KVM虚拟机和PC和这些资源都分配一个唯一的IP地址。资源的task1 VLAN101网络。task2在VLAN102网络的资源。资源的task3 VLAN103网络。资源的task4 VLAN104网络。在图6 (b)与安全水平,四个用户分配1、2、3和4分别。User1、user2 user3, user4都创建一个task1相同的安全水平在一个用户组。每个task1包含两个KVM虚拟机和一个电脑。这些资源都分配一个唯一的IP地址。资源的user1 VLAN105网络。资源task2 VLAN201网络。资源的task3 VLAN301网络和资源的task4 VLAN401网络。

(一)之间的访问控制策略不同的任务
(一)之间的访问控制策略不同的任务
(b)不同用户之间的访问控制策略
(b)不同用户之间的访问控制策略
图6
测试环境的政策。
6.3。结果分析

在本节中,上述隔离实验进行。表的复选标记12意味着一个虚拟机或电脑可以访问另一个虚拟机或电脑。如表所示1task1 task1资源可以访问的资源。资源task1和task2 task2可以访问资源。task1 task3可以访问资源,资源task2, task3。task1 task4可以访问资源,资源task2, task3, task4。因此,实验结果表明,VR-BLP方案实现多级不同任务之间的安全隔离。

表1
访问控制之间不同的任务。
表2
不同用户之间的访问控制。

如表所示2、资源user2的user1可以访问资源。资源user1和user2的user2可以对资源的访问。资源user3可以访问资源user1、user2,和user3。资源user4可以访问资源user1、user2, user3, user4。因此,实验结果表明,VR-BLP方案实现多级不同用户之间的安全隔离。

最后,如图7,我们测试的影响VR-BLP主机的性能和客人的单CPU和双CPU,分别使用UnixBench [25]。从结果我们可以看出,我们的方案的性能几乎没有影响主机和来宾的开销不超过2%。

(一)关于影响主机的测试(单CPU)
(一)关于影响主机的测试(单CPU)
(b)的测试对主机的影响(双CPU)
(b)的测试对主机的影响(双CPU)
(c)影响客人的测试(单个CPU)
(c)影响客人的测试(单个CPU)
(d)的测试对客人的影响(双CPU)
(d)的测试对客人的影响(双CPU)
图7
VR-BLP的性能比较。

7所示。结论

本文面向任务的多层次合作访问控制方案基于BLP,名叫VR-BLP,提出了。具体来说,虚拟机之间的访问控制和物联网终端实现细粒度的隔离,将任务和用户划分为多个水平。此外,VR-BLP增强了安全组织任务之间通过网络隔离的合作,处理隔离,隔离和共享内存。业绩评估表明,VR-BLP增强环境虚拟化和物联网的安全只有一个小的性能损失。

数据可用性

使用的数据来支持本研究的发现可以从相应的作者。

的利益冲突

作者宣称没有利益冲突。

确认

这项工作是国家重点支持的研究和发展项目(2016 yfb0800804),中国国家自然科学基金(61672411和U1401251),研究科学技术基础通信网络实验室(没有。(没有KX172600023),和中国111项目。B16037)。