在現(xiàn)代戰(zhàn)爭(zhēng)的各個(gè)方面，使用先進(jìn)的計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)作為工具的情況繼續(xù)增長(zhǎng)。態(tài)勢(shì)感知和及時(shí)訪問關(guān)鍵任務(wù)信息越來越成為任務(wù)成功與失敗之間的區(qū)別。提供任務(wù)關(guān)鍵型信息通常涉及使不同安全分類級(jí)別的數(shù)據(jù)廣泛可用，通常提供給戰(zhàn)場(chǎng)上的系統(tǒng)。

新一代操作系統(tǒng)正在滿足不斷提高的多級(jí)安全性或MLS要求?？梢允褂猛ㄓ煤?a href="http://m.makelele.cn/soft/data/21-22/" target="_blank">嵌入式操作系統(tǒng)，如SELinux，VxWorks MILS，INTEGRITY-178B和LynxSecure。但是，現(xiàn)代系統(tǒng)的連接和分布式特性決定了單個(gè)操作系統(tǒng)和一組應(yīng)用程序是不夠的。安全通信鏈路支持將各個(gè)節(jié)點(diǎn)擴(kuò)展到分布式系統(tǒng)中，該系統(tǒng)可以在多個(gè)安全級(jí)別共同處理數(shù)據(jù)。

以下討論探討了架構(gòu)和集成分布式MLS系統(tǒng)所涉及的一些挑戰(zhàn)，以及如何通過采用基于標(biāo)準(zhǔn)的集成平臺(tái)來最好地解決這些挑戰(zhàn)。

構(gòu)建 MLS 系統(tǒng)

在分布式MLS系統(tǒng)中實(shí)施安全策略可能非常復(fù)雜。MLS的目標(biāo)是在整個(gè)分布式系統(tǒng)中維護(hù)安全分類級(jí)別。這些規(guī)則看似簡(jiǎn)單明了，并且對(duì)敏感度（例如，機(jī)密或絕密）和一組類別（例如，紅色、藍(lán)色和綠色）進(jìn)行操作。數(shù)據(jù)標(biāo)有敏感度和一個(gè)或多個(gè)類別。代表用戶執(zhí)行操作的進(jìn)程應(yīng)僅以相同或更低的敏感度訪問數(shù)據(jù)，并且僅當(dāng)該進(jìn)程已針對(duì)該特定類別集獲得授權(quán)時(shí)。

問題的根源在于計(jì)算機(jī)軟件的易錯(cuò)性。即使是最好的軟件也不可避免地包含缺陷。因?yàn)榧词故亲钚〉娜毕菀部赡鼙焕?，所以不可能依靠大多?shù)軟件來實(shí)施安全策略。

那么問題就變成了如何構(gòu)建軟件和系統(tǒng)，以便能夠處理多個(gè)安全級(jí)別的數(shù)據(jù)，而不必依賴系統(tǒng)中的大多數(shù)軟件，特別是應(yīng)用軟件。

例如，多個(gè)獨(dú)立安全級(jí)別 （MILS） 體系結(jié)構(gòu)采用操作系統(tǒng)，使用非常小且高度確定的內(nèi)核分隔安全域。在每個(gè)分離的環(huán)境或分區(qū)中，運(yùn)行應(yīng)用程序或虛擬化操作系統(tǒng)。

圖1：例如，MILS（多獨(dú)立安全級(jí)別）架構(gòu)采用操作系統(tǒng)，使用非常小且高度確定的內(nèi)核分隔安全域。

大多數(shù) MILS 系統(tǒng)還提供通信機(jī)制，允許在分區(qū)之間控制數(shù)據(jù)共享。這可用于允許在 Bell-LaPadula 架構(gòu)中找到的許多通信模式，例如，向下讀?。◤妮^低分類級(jí)別的組件或存儲(chǔ)讀取）。

MILS 分離內(nèi)核允許需要高保證的應(yīng)用程序與中低安全性應(yīng)用程序在同一系統(tǒng)上運(yùn)行。

受控信息共享的問題

分布式MLS系統(tǒng)的核心是跨網(wǎng)絡(luò)的受控信息共享。這通常需要有保證的單向信息流，這與大多數(shù)網(wǎng)絡(luò)或進(jìn)程間通信標(biāo)準(zhǔn)不同。

在構(gòu)建MLS系統(tǒng)時(shí)，這些通信通道的單向性質(zhì)是一個(gè)持續(xù)的挑戰(zhàn)。大多數(shù)通信機(jī)制，即使只以一種方式傳輸數(shù)據(jù)，也具有一種機(jī)制，供讀取器與編寫器通信。例如，此通道用于可靠性流量，例如可靠性協(xié)議中數(shù)據(jù)包的正確認(rèn)和負(fù)確認(rèn)。如果沒有這種反向通道，大多數(shù)現(xiàn)有軟件（包括網(wǎng)絡(luò)協(xié)議）將無法在不修改的情況下工作。

某些實(shí)現(xiàn)具有由受信任組件控制的有限反向通道。例如，考慮在 Linux 系統(tǒng)上使用系統(tǒng) V 消息隊(duì)列進(jìn)行通信的兩個(gè)進(jìn)程。在此方案中，操作系統(tǒng)內(nèi)核向編寫器提供有限的信息，例如當(dāng)隊(duì)列已滿時(shí)，允許傳輸狀態(tài)信息，而不允許讀取器傳回任意數(shù)據(jù)。任意數(shù)據(jù)通信路徑（稱為顯性通道）是受控信息共享的最大風(fēng)險(xiǎn)，因?yàn)樗鼈兪怯幸鈫⒂玫母邘捦ㄐ怕窂健?/p>

即使在通信通道中移除了顯性的信息流，也可能仍然存在無意的（從系統(tǒng)設(shè)計(jì)人員的角度來看）信息流。這些流稱為隱蔽通道，通常在讀取器可以影響提供給編寫器的可靠性數(shù)據(jù)時(shí)出現(xiàn)。在上述示例中，可以利用向編寫器指示隊(duì)列狀態(tài)來隨時(shí)間推移傳達(dá)大量信息。

基于標(biāo)準(zhǔn)的信息共享

解決分布式MLS系統(tǒng)中受控信息共享的挑戰(zhàn)需要一種基于標(biāo)準(zhǔn)的方法，在不同平臺(tái)上實(shí)施安全策略（圖1）。對(duì)象管理組 （OMG） 的實(shí)時(shí)系統(tǒng)數(shù)據(jù)分發(fā)服務(wù) （DDS） 標(biāo)準(zhǔn)是管理分布式 MLS 通信通道的引人注目的選擇。其點(diǎn)對(duì)點(diǎn)的無代理架構(gòu)直接支持 MLS 系統(tǒng)，而不會(huì)影響安全控制或引入必須信任以維護(hù)數(shù)據(jù)分離的特殊安全組件。

圖2：解決分布式MLS系統(tǒng)中受控信息共享的挑戰(zhàn)需要一種基于標(biāo)準(zhǔn)的方法，在不同平臺(tái)上實(shí)施安全策略。

DDS 標(biāo)準(zhǔn)提供匿名發(fā)布/訂閱通信。對(duì)于應(yīng)用程序，DDS提供了一個(gè)用于發(fā)送和接收數(shù)據(jù)的接口，同時(shí)提供QoS，例如可靠的數(shù)據(jù)傳輸，發(fā)送歷史數(shù)據(jù)和熱故障轉(zhuǎn)移。此外，該標(biāo)準(zhǔn)還提供了特定的機(jī)制，有助于在MLS系統(tǒng)中實(shí)現(xiàn)受控信息共享。

域分離

分布式MLS系統(tǒng)最基本的要求是確保數(shù)據(jù)與網(wǎng)絡(luò)中不同安全級(jí)別的分離。DDS標(biāo)準(zhǔn)提供了一種稱為域的機(jī)制，可以有效地支持這些系統(tǒng)的分離要求，并為系統(tǒng)設(shè)計(jì)人員提供了滿足這一特定約束的強(qiáng)大工具。DDS 域表示邏輯、隔離的通信網(wǎng)絡(luò)。在不同 DDS 域中的同一組主機(jī)上運(yùn)行的多個(gè)應(yīng)用程序彼此隔離（即使它們?cè)谕慌_(tái)計(jì)算機(jī)上）。屬于不同DDS域的應(yīng)用程序進(jìn)程永遠(yuǎn)不會(huì)交換數(shù)據(jù)，包括用戶和元數(shù)據(jù)。由于此方法適用于沒有跨域要求的系統(tǒng)，因此反向通道流量不是問題。

從低到高的通信

對(duì)于分布式MLS系統(tǒng)，提供任務(wù)關(guān)鍵型信息通常涉及跨安全域在網(wǎng)絡(luò)上提供不同安全分類級(jí)別的數(shù)據(jù)。DDS 標(biāo)準(zhǔn)提供了一個(gè) QoS 模型，使系統(tǒng)開發(fā)人員能夠控制通信協(xié)議的行為。如果不允許反向通道流量，開發(fā)人員可以將 DDS 配置為使用盡力而為的傳遞協(xié)議，該協(xié)議不會(huì)返回確認(rèn)。這樣，系統(tǒng)就可以適應(yīng)單向、從低到高的數(shù)據(jù)流，從而允許實(shí)現(xiàn)讀/寫級(jí)別功能以及讀/寫功能。

安全的雙向信息共享

在分布式MLS系統(tǒng)中，安全級(jí)別之間的完全雙向信息傳輸通常涉及使用跨域解決方案（CDS）。CDS 可以在以下兩種模式之一下運(yùn)行：

從低到高的可靠傳輸 – 將用戶數(shù)據(jù)從較低安全級(jí)別傳輸?shù)捷^高安全級(jí)別，僅從高到低傳輸可靠性協(xié)議流量，包括正面和負(fù)面確認(rèn)消息

雙向傳輸 – 從低到高和高到低的用戶和可靠性協(xié)議數(shù)據(jù)傳輸

CDS 可以是具有兩個(gè)或多個(gè)網(wǎng)絡(luò)接口的單獨(dú)硬件解決方案，也可以是在 MILS OS 分區(qū)中運(yùn)行的軟件組件。在任一情況下，CDS 都可以橋接多個(gè)網(wǎng)絡(luò)級(jí)別，在 CDS 的安全策略允許的任意一對(duì)級(jí)別之間提供雙向流量。

使用基于 DDS 的 CDS 進(jìn)行高到低傳輸

任何 CDS 的基本要求是，流經(jīng) CDS 的所有流量都可以根據(jù)活動(dòng)安全策略進(jìn)行檢查和過濾。DDS標(biāo)準(zhǔn)通過其類型系統(tǒng)直接支持此要求。DDS 為流經(jīng)系統(tǒng)的所有數(shù)據(jù)提供類型信息。CDS 可以使用類型信息動(dòng)態(tài)檢查通過的每個(gè)數(shù)據(jù)包的內(nèi)容。數(shù)據(jù)檢查可以檢查所有數(shù)據(jù)字段，并可能允許根據(jù)安全策略修改或編輯字段。DDS 標(biāo)準(zhǔn)提供了一個(gè)架構(gòu)機(jī)會(huì)來對(duì)內(nèi)容執(zhí)行深度檢查，以保護(hù)數(shù)據(jù)機(jī)密性（用于用戶數(shù)據(jù)的高到低傳輸），并保護(hù)不同級(jí)別的惡意代碼或數(shù)據(jù)。由于DDS交換類型信息一次（在建立通信通道時(shí)），因此數(shù)據(jù)檢查功能占用的網(wǎng)絡(luò)帶寬最小。

這些是基于標(biāo)準(zhǔn)的平臺(tái)如何幫助實(shí)現(xiàn)跨網(wǎng)絡(luò)安全共享任務(wù)關(guān)鍵型數(shù)據(jù)的幾個(gè)示例。一些系統(tǒng)集成商已經(jīng)采用了基于標(biāo)準(zhǔn)的方法，并且能夠很好地應(yīng)對(duì)日益增長(zhǎng)的MLS要求。

審核編輯：郭婷