在現(xiàn)代戰(zhàn)爭的各個方面，使用先進的計算機系統(tǒng)和網(wǎng)絡作為工具的情況繼續(xù)增長。態(tài)勢感知和及時訪問關鍵任務信息越來越成為任務成功與失敗之間的區(qū)別。提供任務關鍵型信息通常涉及使不同安全分類級別的數(shù)據(jù)廣泛可用，通常提供給戰(zhàn)場上的系統(tǒng)。

新一代操作系統(tǒng)正在滿足不斷提高的多級安全性或MLS要求?？梢允褂猛ㄓ煤?a href="http://www.www27dydycom.cn/soft/data/21-22/" target="_blank">嵌入式操作系統(tǒng)，如SELinux，VxWorks MILS，INTEGRITY-178B和LynxSecure。但是，現(xiàn)代系統(tǒng)的連接和分布式特性決定了單個操作系統(tǒng)和一組應用程序是不夠的。安全通信鏈路支持將各個節(jié)點擴展到分布式系統(tǒng)中，該系統(tǒng)可以在多個安全級別共同處理數(shù)據(jù)。

以下討論探討了架構和集成分布式MLS系統(tǒng)所涉及的一些挑戰(zhàn)，以及如何通過采用基于標準的集成平臺來最好地解決這些挑戰(zhàn)。

構建 MLS 系統(tǒng)

在分布式MLS系統(tǒng)中實施安全策略可能非常復雜。MLS的目標是在整個分布式系統(tǒng)中維護安全分類級別。這些規(guī)則看似簡單明了，并且對敏感度（例如，機密或絕密）和一組類別（例如，紅色、藍色和綠色）進行操作。數(shù)據(jù)標有敏感度和一個或多個類別。代表用戶執(zhí)行操作的進程應僅以相同或更低的敏感度訪問數(shù)據(jù)，并且僅當該進程已針對該特定類別集獲得授權時。

問題的根源在于計算機軟件的易錯性。即使是最好的軟件也不可避免地包含缺陷。因為即使是最小的缺陷也可能被利用，所以不可能依靠大多數(shù)軟件來實施安全策略。

那么問題就變成了如何構建軟件和系統(tǒng)，以便能夠處理多個安全級別的數(shù)據(jù)，而不必依賴系統(tǒng)中的大多數(shù)軟件，特別是應用軟件。

例如，多個獨立安全級別 （MILS） 體系結構采用操作系統(tǒng)，使用非常小且高度確定的內核分隔安全域。在每個分離的環(huán)境或分區(qū)中，運行應用程序或虛擬化操作系統(tǒng)。

圖1：例如，MILS（多獨立安全級別）架構采用操作系統(tǒng)，使用非常小且高度確定的內核分隔安全域。

大多數(shù) MILS 系統(tǒng)還提供通信機制，允許在分區(qū)之間控制數(shù)據(jù)共享。這可用于允許在 Bell-LaPadula 架構中找到的許多通信模式，例如，向下讀?。◤妮^低分類級別的組件或存儲讀?。?。

MILS 分離內核允許需要高保證的應用程序與中低安全性應用程序在同一系統(tǒng)上運行。

受控信息共享的問題

分布式MLS系統(tǒng)的核心是跨網(wǎng)絡的受控信息共享。這通常需要有保證的單向信息流，這與大多數(shù)網(wǎng)絡或進程間通信標準不同。

在構建MLS系統(tǒng)時，這些通信通道的單向性質是一個持續(xù)的挑戰(zhàn)。大多數(shù)通信機制，即使只以一種方式傳輸數(shù)據(jù)，也具有一種機制，供讀取器與編寫器通信。例如，此通道用于可靠性流量，例如可靠性協(xié)議中數(shù)據(jù)包的正確認和負確認。如果沒有這種反向通道，大多數(shù)現(xiàn)有軟件（包括網(wǎng)絡協(xié)議）將無法在不修改的情況下工作。

某些實現(xiàn)具有由受信任組件控制的有限反向通道。例如，考慮在 Linux 系統(tǒng)上使用系統(tǒng) V 消息隊列進行通信的兩個進程。在此方案中，操作系統(tǒng)內核向編寫器提供有限的信息，例如當隊列已滿時，允許傳輸狀態(tài)信息，而不允許讀取器傳回任意數(shù)據(jù)。任意數(shù)據(jù)通信路徑（稱為顯性通道）是受控信息共享的最大風險，因為它們是有意啟用的高帶寬通信路徑。

即使在通信通道中移除了顯性的信息流，也可能仍然存在無意的（從系統(tǒng)設計人員的角度來看）信息流。這些流稱為隱蔽通道，通常在讀取器可以影響提供給編寫器的可靠性數(shù)據(jù)時出現(xiàn)。在上述示例中，可以利用向編寫器指示隊列狀態(tài)來隨時間推移傳達大量信息。

基于標準的信息共享

解決分布式MLS系統(tǒng)中受控信息共享的挑戰(zhàn)需要一種基于標準的方法，在不同平臺上實施安全策略（圖1）。對象管理組 （OMG） 的實時系統(tǒng)數(shù)據(jù)分發(fā)服務 （DDS） 標準是管理分布式 MLS 通信通道的引人注目的選擇。其點對點的無代理架構直接支持 MLS 系統(tǒng)，而不會影響安全控制或引入必須信任以維護數(shù)據(jù)分離的特殊安全組件。

圖2：解決分布式MLS系統(tǒng)中受控信息共享的挑戰(zhàn)需要一種基于標準的方法，在不同平臺上實施安全策略。

DDS 標準提供匿名發(fā)布/訂閱通信。對于應用程序，DDS提供了一個用于發(fā)送和接收數(shù)據(jù)的接口，同時提供QoS，例如可靠的數(shù)據(jù)傳輸，發(fā)送歷史數(shù)據(jù)和熱故障轉移。此外，該標準還提供了特定的機制，有助于在MLS系統(tǒng)中實現(xiàn)受控信息共享。

域分離

分布式MLS系統(tǒng)最基本的要求是確保數(shù)據(jù)與網(wǎng)絡中不同安全級別的分離。DDS標準提供了一種稱為域的機制，可以有效地支持這些系統(tǒng)的分離要求，并為系統(tǒng)設計人員提供了滿足這一特定約束的強大工具。DDS 域表示邏輯、隔離的通信網(wǎng)絡。在不同 DDS 域中的同一組主機上運行的多個應用程序彼此隔離（即使它們在同一臺計算機上）。屬于不同DDS域的應用程序進程永遠不會交換數(shù)據(jù)，包括用戶和元數(shù)據(jù)。由于此方法適用于沒有跨域要求的系統(tǒng)，因此反向通道流量不是問題。

從低到高的通信

對于分布式MLS系統(tǒng)，提供任務關鍵型信息通常涉及跨安全域在網(wǎng)絡上提供不同安全分類級別的數(shù)據(jù)。DDS 標準提供了一個 QoS 模型，使系統(tǒng)開發(fā)人員能夠控制通信協(xié)議的行為。如果不允許反向通道流量，開發(fā)人員可以將 DDS 配置為使用盡力而為的傳遞協(xié)議，該協(xié)議不會返回確認。這樣，系統(tǒng)就可以適應單向、從低到高的數(shù)據(jù)流，從而允許實現(xiàn)讀/寫級別功能以及讀/寫功能。

安全的雙向信息共享

在分布式MLS系統(tǒng)中，安全級別之間的完全雙向信息傳輸通常涉及使用跨域解決方案（CDS）。CDS 可以在以下兩種模式之一下運行：

從低到高的可靠傳輸 – 將用戶數(shù)據(jù)從較低安全級別傳輸?shù)捷^高安全級別，僅從高到低傳輸可靠性協(xié)議流量，包括正面和負面確認消息

雙向傳輸 – 從低到高和高到低的用戶和可靠性協(xié)議數(shù)據(jù)傳輸

CDS 可以是具有兩個或多個網(wǎng)絡接口的單獨硬件解決方案，也可以是在 MILS OS 分區(qū)中運行的軟件組件。在任一情況下，CDS 都可以橋接多個網(wǎng)絡級別，在 CDS 的安全策略允許的任意一對級別之間提供雙向流量。

使用基于 DDS 的 CDS 進行高到低傳輸

任何 CDS 的基本要求是，流經(jīng) CDS 的所有流量都可以根據(jù)活動安全策略進行檢查和過濾。DDS標準通過其類型系統(tǒng)直接支持此要求。DDS 為流經(jīng)系統(tǒng)的所有數(shù)據(jù)提供類型信息。CDS 可以使用類型信息動態(tài)檢查通過的每個數(shù)據(jù)包的內容。數(shù)據(jù)檢查可以檢查所有數(shù)據(jù)字段，并可能允許根據(jù)安全策略修改或編輯字段。DDS 標準提供了一個架構機會來對內容執(zhí)行深度檢查，以保護數(shù)據(jù)機密性（用于用戶數(shù)據(jù)的高到低傳輸），并保護不同級別的惡意代碼或數(shù)據(jù)。由于DDS交換類型信息一次（在建立通信通道時），因此數(shù)據(jù)檢查功能占用的網(wǎng)絡帶寬最小。

這些是基于標準的平臺如何幫助實現(xiàn)跨網(wǎng)絡安全共享任務關鍵型數(shù)據(jù)的幾個示例。一些系統(tǒng)集成商已經(jīng)采用了基于標準的方法，并且能夠很好地應對日益增長的MLS要求。

審核編輯：郭婷