[发明专利]虚拟化环境中的强制访问控制方法及装置

权利要求书

1.一种虚拟化环境中的强制访问控制方法，其特征在于，包括如下步骤：

步骤一，在虚拟化场景中指定一个虚拟机作为具有安全管理权限的可信虚拟 机，并以这个可信虚拟机为根，其他虚拟机为可信虚拟机的子节点建立层次关系， 除可信虚拟机之外的其他所有虚拟机处于同等的地位；

步骤二，可信虚拟机使用敏感标签对其他单个虚拟机安全级别进行标识，所 述敏感标签包括安全密级和安全范畴；

步骤三，可信虚拟机建立访问矩阵文件，访问矩阵文件中记录每个包含可信 虚拟机在内的虚拟机对其他虚拟机的访问类型集合，访问类型包括：只读、只写 和读写三种，访问矩阵中的数据在虚拟机监控器启动时被加载到虚拟机监控器内 部；

步骤四，当一个虚拟机启动时，把它的ID号、敏感标签作为参数传入虚拟 机监控器内部，在虚拟机监控器内部记录这些信息，并为该虚拟机建立一个当前 访问集合b，记录该虚拟机作为主体时当前的、所有的、以某种类型对作为客体 的虚拟机的访问信息，当前访问集合b包含访问类型集合；

步骤五，当通信或资源共享行为发生时，检查作为主体的虚拟机和作为客体 的虚拟机的敏感标签和访问矩阵是否满足敏感标签安全特性和访问矩阵安全特 性，如果满足则允许作为主体的虚拟机访问客体，否则不允许作为主体的虚拟机 访问客体并返回出错消息；

所述敏感标签安全特性，是指：当作为主体的虚拟机对作为客体的虚拟机进 行只读访问时，作为主体的虚拟机的敏感标签必须支配作为客体的虚拟机的敏感 标签；当作为主体的虚拟机对作为客体的虚拟机进行只写访问时，作为主体的虚 拟机的敏感标签必须被作为客体的虚拟机的敏感标签支配；当作为主体的虚拟机 对作为客体的虚拟机进行读写访问时，作为主体的虚拟机的敏感标签必须等于作 为客体的虚拟机的敏感标签；

所述访问矩阵安全特性，是指当作为主体的虚拟机对作为客体的虚拟机进行 只读、只写或者读写类型的访问时，其访问类型存在于访问矩阵中代表作为主体 的虚拟机对作为客体的虚拟机的访问类型集合中；

步骤六，当步骤五返回的结果是允许访问时，在作为主体的虚拟机的当前访 问集合b中加入一条这次访问的记录；

步骤七，当作为主体的虚拟机结束对作为客体的虚拟机的一次访问时，从当 前访问集合b中删除关于这次访问的记录；

除可信虚拟机以外的虚拟机的敏感标签，其中的安全密级采用数值形式，安 全范畴为特定访问权限的集合，集合中的每个元素代表一项特定的访问权限，两 个敏感标签之间的关系是支配与被支配、等于或者不可比较的关系；

所述对单个虚拟机的安全级别进行标识，具体如下：如果被标识的虚拟机没 有敏感标签，则直接使用敏感标签标识该虚拟机的安全级别；如果被标识的虚拟 机已经具有敏感标签，则使用新敏感标签重新标识该虚拟机的安全级别，即调整 该虚拟机的安全级别，如果标识安全级别时，虚拟机正在运行则需要所有正在运 行的虚拟机的当前访问集合b同时满足下述6个当前访问集合b的安全特性，标 识操作才能成功：

①被标识的虚拟机的新敏感标签能够支配所有其他正在运行的虚拟机的当 前访问集合b中对被标识的虚拟机进行只写访问的虚拟机的敏感标签；

②所有其他正在运行的虚拟机的当前访问集合b中对被标识的虚拟机进行 只读访问的虚拟机的敏感标签能够支配所有其他正在运行的虚拟机的新敏感标 签；

③所有其他正在运行的虚拟机的当前访问集合b中对被标识的虚拟机进行 读写访问的虚拟机的敏感标签等于该虚拟机的新敏感标签；

④被标识的虚拟机的新敏感标签必须支配它自己的当前访问集合b中所有 被该虚拟机只读访问的其他虚拟机的敏感标签；

⑤被标识的虚拟机自己的当前访问集合b中所有被它只写访问的其他虚拟 机的敏感标签能够支配该虚拟机的新敏感标签；

⑥被标识的虚拟机的新敏感标签等于它自己的当前访问集合b中所有被该 虚拟机读写访问的其他虚拟机的敏感标签；

所述每个虚拟机对其他虚拟机的访问类型集合，其中不能设置其他虚拟机对 可信虚拟机的访问类型集合，即所有其他虚拟机不能作为主体与可信虚拟机通 信，可信虚拟机不能作为客体出现在通信过程中；

所述通信或资源共享行为发生时，如果在通信过程中作为主体的虚拟机是可 信虚拟机，则不受敏感标签安全特性和访问矩阵安全特性两个条件的约束，即可 信虚拟机能够以任意类型访问其他虚拟机。