分區通信系統的製作方法

2023-10-19 05:49:22 2

專利名稱：分區通信系統的製作方法
技術領域：
本發明總體上涉及通信領域，特別涉及安全環境中的信息傳遞。
背景技術：
保密分類和訪問策略已用於促進信息系統中的安全性。通常將保 密定義為防止對信息的未認證的訪問。 一般地，遵循一套防止對敏感 信息的未認證的訪問和篡改的訪問規則來設計用於安全性的系統。
國家計算機安全中心(NCSC)是國家安全局(NSA)內部的美 國政府組織，其評估用於高度安全應用的信息系統，以確保設備處理 所分類的或其它敏感材料時使用可信的計算機系統和部件。NCSC的 評估程序是由被稱為可信產品評估程序(TPEP)的另一NSA組織執 行，該組織根據一套完整的安全相關標準來測試商業產品。NCSC在 1983年8月發布了第一防禦部門(DoD)可信計算機系統評估標準
(TCSEC)。該文獻(更常見地表示為"橙皮書")在1985年被重新 發布為包括所述的提供用於處理敏感材料的安全相關標準的目標。
但是，各個國家中(例如在美國、加拿大和歐洲)的信息安全發 展過程已經導致了用於產生用於安全功能和評估保證的標準化的靈活 方法的公共標準(CC)的資源、經驗和智慧的聚積。 一般地，CC定 義了一套對已知的有效性的需求，其可用於建立針對預期產品和系統 的安全需求。通過使用CC，用戶及其它方可以指定產品在標準保護 檔案(PP)方面的安全功能，並獨立地選擇評估保證級別(EAL)。 更明確地，PP定義了一套用於滿足對安全的類似需要的產品或系統的
"獨立實現"的安全需求。當前，PP已經發展用於防火牆、關係數據 庫和其它系統部件，以使能來自一套所定義的七種漸增的EAL也即 EAL1-EAL7的不同等級的兼容性。
通常，PP包含管理嘗試訪問信息的過程(也稱為主體)與作為所
嘗試的訪問的對象的過程(稱為對象)之間的相互作用。通常通過反 映數據的敏感性的安全標識符來對這些過程之間的交互進行分類。將 這種標識符表示為"安全級別"。例如，"最高級秘密"信息可以具有 最高的安全級別，其中僅僅那些具有最高安全級別的主體才具有訪問 許可。還可以將在給定安全級別內的信息"分類"用於在訪問方面的 進一步限制。可以將對每個安全類別的訪問限制於不僅僅具有針對安 全級別(例如"最高級秘密")的必需許可而且具有針對特定安全類別 (例如"需要獲知")的許可的主體。將安全級別和安全類別的組合稱 為"安全等級"。在傳遞對信息的訪問時，安全系統將主體的安全等級 與對象的安全等級相比較，並確定是否允許該主體訪問該對象。
還可以將系統中的安全描述為"公開"或"隱蔽"信道的存在。 公開信道是意在成為與安全策略一致的系統的一部分的通信路徑。另 一方面隱蔽信道是在違背系統的安全策略的情況下使用共享的系統資 源的非法路徑。例如，被指定以在系統內部非法地操作的破壞過程(例 如"特洛伊木馬")作為隱蔽信道使用共享的資源可以獲得對高價值的 數據的訪問，以方便將信息非法傳輸至"間諜代理"，否則後者將不具
有對該信息的訪問。可以在"Transmission Schedule To Prevent Traffic Analysis " 9th Annual Computer Security and Application Conference, 1993,Orlando,Fla,，B.R.Venkatraman and R.E.Newman-Wolfe
中找到隱蔽信道的一些示例。
存在兩種類型的隱蔽信道隱蔽定時信道和隱蔽存儲信道。隱蔽 定時信道作為在特定時間間隔期間的特定系統資源的可用性或不可用 性的結果而出現。"高速緩存類型"和"調度器類型"的隱蔽信道是隱 蔽時間信道的兩個示例。"調度器類型"的隱蔽信道非法地利用用於將 CPU時間作為資源在不同過程中分配的調度器的定時功能。"高速緩 存類型"的隱蔽信道使用高速緩存存儲器以通過調整完成緩存操作所 需要的時間來非法地發射信息。隱蔽存儲信道通常通過一個過程(隱 蔽消息的發射方)引入對存儲器的直接或間接的修改，並通過另一過 程(隱蔽消息的接收方)引入對存儲器為主的直接或間接的讀取。
較高的EAL級別的一個需求是封閉大多數(如果不是全部)的隱 蔽信道。較低的EAL級別要求減少可以傳輸信息的速率也即隱蔽信道 的帶寬。用於封閉高速緩存類型的隱蔽信道的一個方法是，當將對 CPU的控制從一個過程轉移到另一過程時清空高速緩存存儲器。可以 通過對每個運行的過程分配固定數量的CPU時間、以及使任何剩餘的 所分配的時間空閒(如果其不被正運行的過程使用)，來封閉調度器類 型的隱蔽信道。但是，已知的是，這些用於封閉隱蔽信道的方法可能 需要降低系統性能的高性能損失。還已認識到防止資源共享可以消除 隱蔽信道，對其的實施通常是不切實際的。
US專利號5，923，849公開了通信系統中用於審計和控制公開和隱 蔽通信流量的方法。該方法標識和使用某些參數以表示系統通信流量， 所述參數包括給定節點對之間的通信量、給定節點對之間的通信頻率、 一組節點之間的通信順序、給定節點對之間的通信的(非固有的)特 性、以及傳輸的長度(或持續時間)。使用這些參數的一個或其組合， 該方法確定了 "基線"系統條件，並審計公開的和隱蔽的通信活動的 行為和操作，以檢測"超出基線的"流量模式。
還將分離的思想用於安全系統的構建、分析和評估。分離可以是 物理的或邏輯的。邏輯的分離通常引入邏輯實體，例如軟體程序或過 程。如果兩個邏輯實體確實是分離的，則一個不能影響另一個的操作， 反之亦然。如果一個實體的操作對於系統的安全是重要的，則該兩個 實體的彼此分離允許當評估一個如何支持系統的安全時，可以忽略另 一個的操作。但是，如果該兩個邏輯實體不是分離的，則在評估每個 邏輯實體是如何支持系統的安全時必須考慮該兩個邏輯實體。評估兩 個實體的必需性增加了安全評估的難度和成本，並且通常產生對安全 的較低的保證。
US專利號6,772,416公開了支持處理單元之間的高級別的分離的 計算機系統。該計算機實現的系統執行具有內核的作業系統，並包括 多個小區，每個小區具有一個或多個處理單元、執行區域和"鏈"或 任務的集合，其中每個鏈或任務是作業系統的內核所執行的可編程計 算機指令的流。分離規範控制處理單元之間的通信並管理與該分離規 範一致的處理單元之間的通信，以使得僅僅如同該分離規範所提出的，
一個處理單元可以影響另一處理單元的操作。
NSA已經公布了標題為"U.S. Government Protection Profile for Separation Kernels in Environment Requiring High Robustness"的PP (SKPP)，因此將其作為參考合併於此。SKPP指定了用於分離內核 (SK)的類別的安全功能和保證需求。與執行所有用於安全作業系統 的可信的功能的傳統的安全內核不同，SK的基本功能是將資源劃分 或以其它方式分離為基於策略的等效類別並根據SK的配置數據控制 主體與被分配給分區的資源之間的信息流。
通過一套物理上分離的設備、節點或通過分離的電線互聯的網絡 組件實現系統中的物理分離。例如，已知其具有被分配給相應的分離 的安全分類的物理上分離的網絡。例如，可以分配一個網絡以支持"最 高級秘密"的分類，而分配分離的網絡以支持"未分類的"分類。但 是這種安排導致昂貴的冗餘並可能不便於獲取、操作和維持。
因此，存在對與高安全保證級別相適應的簡單有效的通信系統的 需求。

發明內容
簡要地，根據本發明的一個方面， 一種用於在任何兩個節點之間 傳遞數據的系統及方法，在每個節點上定義多個分離的分區，並將一 個或多個主體分配給所述多個分離的分區中的至少一個。每個節點中 的主體通過一個或多個信道互相傳遞數據。本發明將通過信道的數據 通信與其它信道的數據通信相分離。更明確地，每個節點在根據SK配 置數據劃分節點的分離內核(SK)的控制下運行。分區通信系統(PCS) 根據PCS配置數據將信道與用於傳遞數據的其它信道相分離。
根據本發明的此方面的一些更詳細的特徵，PCS配置數據定義了 對於每個信道所分配的通信吞吐量、所分配的帶寬、所分配的數據速 率、或可用帶寬的比例共享。PCS根據PCS配置數據修改數據的數量、 數據的定時、數據的持續時間、數據的通信頻率、數據的大小、數據 的源、數據的目的地、以及數據的內容中的一個或多個，以消除非法 消息流。
根據本發明的另一方面，節點通過一個或多個信道與另一節點傳 遞數據。節點包括產生可配置的多個分區的分離內核、以及控制通過 一個或多個信道發送至或來自所述多個分區中的至少一個的數據的可 配置的節點間通信的通信控制器。在一個實施例中，通信控制器包括 提供所述多個信道之間的分離的分區通信系統。
根據本發明的此方面的一些更詳細的特徵，PCS根據信息流策略
控制節點間通信，該信息流策略模糊通過所述一個或多個信道中的至 少一個所顯示的通信特徵，以防止違背信息流策略。在一個示例性實 施例中，信息流策略需要通過密碼或加密的節點間通信的機密性。此
外，PCS實現定義對主體的通過一個或多個信道的通信的限制的訪問
控制策略。
優選地，將信道所使用以傳遞數據的一個或多個資源分配給分區。
根據該實施例，PCS實現用於共享所述一個或多個資源的資源管理策
略，其中資源管理策略還定義了所述一個或多個信道如何互相影響。 在另一示例性實施例中，資源管理策略定義了共享所述一個或多個資 的限額。
根據本發明的其它詳細的特徵，在使用每個資源之後PCS從所述
一個或多個資源清除殘留信息，並防止傳輸或使用非法重放的數據。


圖1是使用根據本發明的PCS的系統的簡單框圖2是圖1的系統中所使用的節點的邏輯框圖3是描述示例性PCS配置的邏輯框圖4是使用PCS以在節點之間傳遞數據的系統的邏輯框圖5是圖4的系統的更詳細的邏輯框圖。
具體實施例方式
本發明涉及滿足需要高度穩健性的分布式計算環境中的信息安 全需求的通信控制器。在下文中將本發明的通信控制器表示為分區通 信系統(PCS)。在一個示例性實施例中，PCS用於提供至少兩個分離 的節點之間的高度安全的通信。將示例性的PCS指定為與等同於公共 標準(CC) V2.2[ccv22]中所定義的評估保證級別7 (EAL7)的安全 需求相一致，因此將其作為參考合併於此。
一般地，PCS包括通過一個或多個信道與另一節點傳遞數據的節 點內部的通信控制器。通信控制器配置了硬體和/或軟體的組合，其提 供了在分離內核(SK)的控制下運行的節點中的節點間通信。可以使 用具有上文所參考的SKPP中所描述的PCS的SK的一個示例性類別。 SK向其託管軟體程序提供了防止篡改和不可繞過的高保證分區和信 息流控制特性。這些能力提供了可信基礎，基於該可信基礎可以實現 特定應用級別(相對於內核級別)安全策略的執行。這些軟體程序的 示例包括多級安全參考監視器、防護器、設備驅動程序、文件管理器 和消息傳遞服務，以及用於實現作業系統、中間件和虛擬機監視器抽 象的軟體程序。
如進一步所詳細描述的，SK根據SK配置數據劃分每個節點，以 定義主體和資源。 一旦適當地劃分了節點，PCS針對如下文所進一步 描述的使用共享的通信資源的節點中的節點間通信，執行可配置的安 全策略。通過這種方式，PCS可配置地控制通過一個或多個信道發送 至或來自多個分區中的至少一個的數據的節點間通信。因此，PCS使 能分布式系統中的策略約束的節點間通信。在一個示例性實施例中， PCS支持使能安全的分布式通信的多級安全(MLS)系統，在該系統 上可以布置諸多更高級別的技術。同樣地，可以使用PCS作為用於實 現可信賴的分布式系統的構件。
系統概觀
圖1示出了有益地使用PCS的示例性系統的框圖。該系統包括經 過網絡與節點2通信的節點1。在該網絡上的通信可以使用支持任何 標準或專有通信協議的層(例如物理、鏈路、網絡或傳輸)的任何適 當的組合。適合於經過本發明的系統來傳輸數據的傳輸協議的示例包 括任何實時或非實時的協議。傳輸層還可以支持具有或不具有服務質 量(QoS)的傳輸技術，例如ATM或TCP/IP。經過網絡連接節點1 和2的鏈路可以是諸如IEEE802.3所定義的鏈路的有線鏈路，或者是
諸如IEEE802.11x所定義的鏈路的無線鏈路。在本發明的系統中所使 用的物理層的示例包括雙絞線、同軸電纜、光纜或任何已知的適當的 布線或無線技術。
儘管圖l表示本發明的"鬆耦合的"網絡實現，應該注意的是， 使用PCS的分布式系統還可包括任何類型的嵌入式系統，在該嵌入式 系統中節點以緊密集成的方式(例如經過VME背板)互相通信。在 一個實施例中，每個節點在支持可預測的最壞情況限度(實時)處理 器調度的作業系統的控制下運行。
圖1中的每個節點1或2包括用於執行代碼、程序和/或應用的處 理器硬體基礎(未示出)，例如一個或多個CPU、微處理器、嵌入式 控制器、數位訊號處理器等等。節點l或2中的每一個可以是計算節 點、有線或無線節點、客戶站、伺服器站、路由器、集線器、接入點、 或者任何使用共享的通信資源與其它設備通信的其它已知設備中的任 何一個或其組合。除了節點1和2之外，該網絡還包括經由互連的(公 用或私有)網絡(例如網際網路)的任何集合共同連接的其它節點，例 如伺服器站、客戶站、主機或中心站。
每個節點使用加載過程以將節點的軟體實現和/或配置數據轉換 為可用的形式。初始加載功能可以採取不同的形式，包括將實現或 配置信息放置到適當的介質(例如CD、 ROM或快閃記憶體)上；或者將配 置數據編譯為實現的一部分。優選地，可信的個人或IT機構發起用於 啟動和初始化節點的功能，例如經由打開開關或其它可接近該IT環境 的機構。初始化包括將每個節點的實現代碼和數據加載入其執行區域 的引導功能，例如，通過從磁碟、ROM或快閃記憶體將其讀入為節點功能 和數據所分配的存儲器空間。初始化功能還包括對節點中的代碼和配 置數據的完整性的檢驗。在非嵌入式環境中，當節點具有一致的安全 相關數據並可以正確地執行所公布的安全策略(SP)時，可信的個人 可能需要在初始化功能完成將節點轉換到安全的初始狀態之後或其期 間進一步實施評估過程。
分離內核
SK包括硬體和/或軟體機構，其基本功能是為節點產生多個分區。
分區是SK根據實現全部或部分的SP的配置數據從SK控制的資源實 現的抽象。每個SK分區包括至少一個主體和/或資源。主體是在節點 的控制範圍內的執行功能(例如節點通信功能)的任何活躍的實體。 資源包括在任何節點中執行、利用、產生、保護或輸出的任何硬體、 固件、數據和/或軟體。主體可以單獨地或同時地使用資源，以允許主 體訪問資源中的信息。資源還可以包括傳送器、網絡、鏈路、通信總 線、I/O總線、硬體或軟體加密單元、套接字庫、協議棧、設備驅動 程序等資源。
基於資源是否是從外部經由SK接口可用的，可以將資源分類為 輸出的或內部的。SK接口表示允許SK訪問資源或主體的編程或配置 接口。如果使用資源以實現安全功能，則經由SK接口不可訪問該資 源，因此該資源是內部資源。但是，如果資源並不實現任何安全功能， 則可以通過SK接口訪問該資源，這使得該資源成為輸出的資源。缺 省地可被全部分區訪問的資源是虛擬的和輸出的。應該注意的是，分 區本身並非活躍的實體。而是每個分區包括SK配置數據所定義的同
一基於策略的等價類別中的一套主體和一套資源。每個節點使用SK 配置數據以分區或以其它方式分離和隔離包括CPU、存儲器等的主體 和資源。
SK實現對不同分區中的主體的隔離，以使得每個分區包括看起 來完全是其本身的資源集合。這被稱為虛擬化。例如，為了實現對每 次僅能被一個主體(例如CPU)訪問的資源的虛擬化，SK確保來自 不同分區的暫時使用模式對彼此而言並非顯而易見。當保持理想的隔 離時(例如如果SK確保為分區分配資源的不同的不互相影響的部 分)，不同分區可以同時訪問諸如存儲器的其它資源。而且，SK對其 本身的內部資源的使用還必須保持期望的隔離特性。SK還可以提供 審計服務用於檢測故障，例如安全故障、系統故障或嘗試的安全漏洞。
SK配置
SK使用一套配置數據以建立分區定義和將資源分配給分區。SK 配置數據提供了在初始化期間節點所使用的控制信息，以定義安全初 始狀態及其在運行時間期間的行為。針對定義這種分區的目的，SK
配置數據將每個輸出的資源分配(綁定)給單個分區。針對定義分區
的目的，SK配置數據還將每個主體分配給單個分區。SK配置數據由 SK流策略配置數據和支持策略配置數據組成，其定義了用於分區之 間或內部的通信的信息流控制和分區流控制策略。SK非流策略配置 數據定義了所有其它可配置的SK關鍵數據，例如審計配置參數、密 碼配置參數、時鐘設置和用於自檢的執行周期。取決於所執行的信息 流控制和分區流控制策略的範圍和粒度以及系統設計的其它因素，SK 配置數據的內容和格式可以採取不同的形式。 節點分區
圖2描述了在用於使節點免於違背SP的信息流(例如由於未授 權的數據傳輸或未授權的數據監測)的SK控制下操作的節點的示例 性實施例。在一個實施例中，節點包括任何運行單個SK的硬體資源 其中SK根據SK配置數據控制節點的多個分區之間和/或內部的信息 流。特別地，每個節點運行其本身的SK，其保護對於該節點唯一的 資源。如上文所述，SK將其控制的所有資源劃分為分區，以使得一 個分區中的活躍實體(例如主體)的行為與另一分區中的活躍實體相 隔離，並因此不能被另一分區中的活躍實體所檢測到或者與另一分區 中的活躍實體通信，除非SK配置數據已經建立了用於該通信的顯式 方法。因此，不允許通信，除非SK配置數據顯式地允許來自一個分 區的主體與另一分區的分區通信。
圖2示出了正被劃分為使用主體1-3和資源4-10的三個分區A-C 的節點。如圖所示，分區A包括主體l和2以及資源4-5，分區B包 括主體3和資源6-7，分區C包括資源9和10並且不包括主體。箭頭 描述了通過SK配置數據實現的針對該節點的SK流策略。此外，該 系統可包括在PCS的控制範圍之外操作的代理。
分區通信系統
PCS所提供的基本抽象是信道。信道是從單個源主體至在同一或
不同節點中存在的一個或多個目的主體的連接，包括產生該連接的任
何物理或邏輯組件。在一個示例性實施例中，PCS根據兩種安全策略
信道連通性策略和資源管理策略，經由信道傳遞主體的相互作用。 信道連通性策略描述了主體之間的可允許的連接。該策略本質上 是限制哪個主體可以經由PCS所提供的信道而直接通信的訪問控制 策略。資源管理策略描述了將怎樣在信道之間分配用於實現信道的共 享的通信資源、以及信道通過使用共享資源可以(合作地或非故意地) 互相影響的程度。當該資源策略不允許不同的信道互相影響時，主體 對信道的使用對於檢驗通過被指定為與第一信道分離的任何其它信道 所執行的行為的結果的主體或者代理是不可見的。
可以使用PCS和SK構建的組件的示例包括安全中間件 (CORBA、 DDS、 web服務、SQL或者客戶端/伺服器資料庫)、電子 郵件、即時消息、分布式可信的降級程序和防護器。通過使能SK所 執行的安全策略的"端對端"版本，PCS簡化了安全分布式系統的結 構。使用PCS的系統可以包括支持諸如遠程過程調用(RPC)或接口 定義語言(IDL)的特性的中間件。
PCS配置
圖3描述了包括PCS配置數據中所提出的信道連通性策略和資源 管理策略的PCS安全策略(SP)的示例性實施例。圖中的每一行表示 從單個源主體至一個或多個目的主體的邏輯單向信道。如圖所示，安 全策略SP允許主體通過資源組1中的單向PCS信道與主體A和主體 B通信。同樣地，該安全策略允許主體A通過資源組2中的單向PCS 信道與主體C和主體D通信。但是，在不違背SP的情況下，主體不 可以與其資源組之外的其它主體通信。應該注意的是，該圖描述了 SP 的簡單實施例，本領域的技術人員將理解，可以使用具有不同的限制、 主體數量以及資源數量的其它不同的資源策略。對資源組的使用執行 了對來自屬於不同組的信道的通信資源的完全分離。PCS配置數據還 可以限制資源組內部的相互作用。PCS配置數據指定了組內部的基於 資源的相互作用的程度，其中更詳細的策略可以進一步限制組內部的 相互作用。PCS配置數據還定義了主體級或分區級的控制粒度。
包括信道連通性和資源管理策略的PCS配置數據的表現形式可 以包括任何適當形式的顯式的或導出的規範。優選地，PCS配置數據 規範是明確的，並且允許人類檢查員(可能具有工具支持)來確定策
略是否允許任何潛在的連接，該策略指定了每個資源分配規則。
PCS操作
由於PCS依賴於SK,在SK自加載即加載包括所有的客戶分區 (CP)、 PCS分區、設備驅動程序分區等的分區之前，PCS不能開始 其本身的初始化。然後，SK開始運行PCS分區。SK將PCS的代碼 和數據正確地加載入正確的分區，如果不可恢復的差錯阻止了正確的 加載則通知PCS。
圖4示出了根據本發明的提供兩個節點1和2之間的節點間通信 的系統的示例性實現。每個節點運行相應的SKI和SK2，其提供了存 儲器分配、代碼加載、分配通信資源、IO處理等。如圖所示，SKl和 SK2中的每一個將相應的PCS1和PCS2加載入節點1和2以及該節 點的分區。SK1將節點1劃分為配置用於被PCS1訪問的CP1和CP2， SK2將節點2劃分為配置用於被PCS2訪問的CP3和CP4。
一旦初始化了SK， PCS控制分區加載PCS配置數據，包括信道 連通性策略、資源管理策略和網絡描述。PCS確保不由於可檢測的故 障而發生對信道連通性策略或資源管理策略的違背。
圖5示出了圖4的系統的更詳細的實施例。如虛線所示，針對其 本身的操作，PCS維持了防止其本身和其資源受到不可信賴的主體和 代理的外部篡改或未授權的公開的區域。PCS區域包括經由信道端點 (CE)的分區或主體實現連通性的諸多分區。PCS配置代碼和數據負 責管理配置數據和綁定。PCS配置數據在底層的SK所支持的主體或 分區級別定義了到CE的綁定。
在分離的節點上的主體之間通信數據之前，PCS確保參與該通信 的節點具有一致的配置數據。應該注意的是，不需要在每個節點上存 儲完整的PCS配置數據。每個節點上全部的需要是PCS配置數據的 子集，該子集足夠用於節點確定該節點的配置與其被授權通信的其它 節點的配置一致。如果節點對多個部分的PCS配置的使用不導致對 (該部分策略是其子集的)完整策略的違背，則該多個部分的PCS配 置是一致的。通過在執行節點間通信之前檢驗所有的節點具有一致的 配置數據，防止了對PCS配置數據的非故意的或惡意的修改。
針對所有共享資源(例如網絡接入硬體/軟體、密碼硬體/軟體等)，
PCS對這些資源進行初始化和測試。對於每個信道，發送CE執行了 每個接收CE的相互認證，並建立了所述端點的共享的密鑰。在一個 實施例中，在SK初始化期間完成對計算資源(例如用於信道的時間 片以及RAM空間)的分配，在引導時間PCS不需要顯式的處理。一 旦完成對共享資源和信道的初始化，向CP中的主體通知信道準備用 於數據通信。在一個示例性實施例中，主體經由SK的RPC開始通過 信道傳遞數據。
在示例性實施例中，對底層SK的配置防止了在不調用PCS的情 況下一個節點中的主體與分離節點的主體i之間傳遞數據。SK還使能 PCS控制其控制的資源何時可被主體使用，因而獲得在PCS授權之前 訪問該資源。SK保護分區以免互相影響，不允許除了屬於PCS的主 體之外的主體對PCS分區中駐留的數據的任何修改。優選地，使用 PCS的系統包括處理對網絡的物理層處的底層通信機構的可用性的威 脅的特徵，其經由旁路PCS的機構來訪問通信資源。
安全威脅
代理表示向數據通信提出安全威脅的活躍實體。代理可以是有意 地或非故意地嘗試違背SP的惡意的或有故障的軟體或硬體實體。代 理可以是節點的有故障的組件，或者可以是非法產生和監測節點所傳 遞的信息的節點內部或外部的惡意的設備。
PCS提供和依賴於SK所提供的接口以防止安全漏洞。除了提供 被保證為可被SK信賴的服務的接口之外，PCS必須保護其本身免受 來自對這些接口的使用或這些接口的可用性的威脅。否則，惡意的代 理可以在違背SP的情況下使用SK接口。在SK不能提供滿足PCS 的認證、完整性或機密性需求的保證的情況下，這些接口是唯一的。 因此，PCS將經由節點間通信接口所接收的全部數據視為來自潛在的 敵對源。
以下是PCS所針對的安全威脅的一些示例。當在節點之間傳輸數 據時，惡意的代理可以嘗試破壞主體或數據。代理可以嘗試通過觀察 通過節點間通信信道傳輸的消息的存在或不存在來非法獲得信息。惡
意的或有故障的主體可能嘗試通過使用非故意的通信路徑與另一主體 通信來違背SP。惡意的或有故障的主體可以嘗試通過耗盡或獨佔共享 的通信資源來阻礙或延遲其它主體的通信。代理可以嘗試在違背SP 的情況下通過直接讀取網絡數據來觀察主體數據。惡意的或有故障的 主體可以嘗試通過檢查還未準備用於其使用的資源來非法訪問主體數
據。惡意的或有故障的主體可以嘗試通過修改數據(當其位於PCS分
區內時)來修改向另一主體傳遞的數據。惡意的或有故障的主體或代
理可以嘗試通過向PCS傳送句法上或語義上無效的請求來導致PCS
破壞其本身或其控制的主體數據。惡意的或有故障的主體或代理可以
嘗試通過向PCS接口提供無效數據來冒充另一主體。惡意的或有故障 的主體可以嘗試修改PCS配置數據或其它內部數據結構而導致PCS 不能執行SP，並威脅系統安全和主體數據。惡意的或有故障的主體可
以嘗試從不適當地淨化或不完全地初始共享資源獲得未授權的信息。 惡意的或有故障的主體可以嘗試向未被授權通信的主體或代理髮送信息。
隱蔽信道
PCS防止分離的節點上的兩個主體之間的通信的存在或不存在可 以被具有檢查節點間通信的能力的代理所觀察到。PCS確保並非通信 方的主體或代理不能觀察到對通信信道的使用。此外，當需要SP分 離信道時，PCS防止對一個信道的使用影響另一信道的可觀察的行為。 PCS僅允許PCS配置數據中所提出的信息流策略所顯式地認證的那些 信息流繼續進行。在一個實施例中，PCS提供了針對代理進行流量分 析而導致非法信息流的防護。PCS通過以消除或限制這種類型的非法
信息流的方式模糊或掩飾通信資源所顯示的特徵來計算流量分析威
脅。PCS模糊了來自除了有意的接收者之外的所有實體的所顯示的特 徵。但是PCS未模糊來自該有意的接收者的這些特徵。在通過一個或 多個信道傳遞數據時，PCS通過將一個節點中的主體與另一節點中的 一個或多個主體相分離來模糊來自代理的特徵。PCS為用於不同節點
上的主體的分離的參數配置數據集合。
更明確地，PCS控制節點間通信，以便節點之間的一個或多個消
息的通信滿足獨立於CE之間或一個或多個通信資源之間所顯示的通 信特徵的所定義的通信標準。所表現的通信特徵可以涉及對一個或多 個消息的定時、 一個或多個消息的持續時間、 一個或多個消息的源、 一個或多個消息的目的地、以及對一個或多個消息的控制。所定義的 通信標準還可以涉及滿足已分配的通信吞吐量、分配的帶寬、分配的 數據速率、或者系統操作模式。對於合併通信標準中的所有分配的帶 寬的實施例，可以使用對可用帶寬的部分共享或成比例的共享，可以 使用對可用帶寬的部分共享或成比例的共享。
在一個實施例中，PCS通過填充不同節點上的主體之間傳遞的數 據來模糊通過來自代理的信道所顯示的通信特徵。在這種布置下，CE 從使用SK的IPC機構的CP讀取數據，直到CP不具有更多待發送的 數據或者已經達到上限。對於這個示例，假設該限度是PCS配置數據 所定義的常量。示例的限度可以是每毫秒時間片30K字節。如果CP 不提供足夠的數據以滿足上限，發送CE填充數據以使得數據的長度 等於上限。例如，如果該限度是30KB/ms並且CP提供IOKB，則發 送CE對該數據填充20KB。可選地，發送CE還可以包括附加的消息。 發送CP等待其下個時間片的開始。除了填充時間片之外，CE還可以 根據所定義的通信標準改變所傳遞的消息的數量、頻率和大小，以模 糊或消除隱蔽信道和非法信息流。
接收信道端點所執行的操作實質上是發送信道端點所執行的操 作的逆操作。接收信道端點從傳送器獲取數據、解密該數據、去除填 充、以及最終將該數據傳遞給客戶分區。接收信道端點不執行速率限 制。
傳輸機密性
發送CE還使用先前建立的共享的秘密對所填充的數據進行加 密。可以由CE以軟體形式執行該加密，或者可以將該加密下載到硬 件加密設備。
優選地，信息流控制策略需要通過密碼或加密的節點之間的傳輸 的機密性，以消除由於代理對消息內容的偷聽的非法信息流。為了提 供對機密性和認證的保證，PCS建立了可信賴的共享的秘密並執行互
相認證。通常將該機構表示為系統的"信任錨"。(與諸如CRC或奇偶 的較弱方法相反的)密碼地強完整性檢驗是必需的，以在存在惡意代 理的情況下支持對節點之間的主體所傳遞的數據的完整性的檢驗。提 供信任錨的示例性機構包括靜態地共享的秘密、可信的分布式網頁 (PGP型)、以及集中的公鑰基礎結構(PKI)(現今所使用的用於大 多數安全電子郵件和網頁標識的模型)。 數據完整性
當節點之間的主體傳遞數據時，PCS檢驗所有用戶數據和所有安 全相關數據(其完整性對於執行SP是必需的)的完整性。當在系統 的物理上分離的部分之間傳遞數據時，PCS基於PCS配置數據中存儲 的信道連通性和資源管理策略屬性分離該數據。PCS監視器使用系統 的物理上分離的部分之間傳遞的數據，用於所傳遞的數據的任何變化。 PCS驗證每個通信請求和監測所傳遞的用於修改的用戶數據。針對系 統的分離的部分的之間傳遞的數據，PCS檢測對數據的修改、對數據 的置換、對數據的選擇。
資源共享
主體之間對諸如存儲器緩衝器的通信資源的共享(在將這些資源 從一個主體重新分配到另一主體時)引入了非法信息流的可能。PCS 確保在對來自所有主體的資源進行分配或重新分配時，使得任何先前 的資源信息不可用。在一個實施例中，PCS清空先前的使用所留下的
相關的殘留信息的共享資源、存儲器、寄存器等的內容。 重放消息
PCS防止成功的節點間通信重放消息。例如，如果PCS不能區分
原始消息和來自有故障的或惡意的代理的該原始消息的副本，則該代
理可以使用重放的消息以產生未授權的信息流。當檢測到重放時，PCS
通過拋棄消息和潛在地記錄消息的日誌來防止對數據的傳遞或使用。 標識
如果有故障的主體或代理被允許扮演另一實體，則可以發生未授
權的信息流。在一個實施例中，PCS代表該主體在允許任何其它PCS
傳遞的行為之前需要每個主體標識其本身。因此，如果檢驗了主體的
身份，則信息流策略允許控制的主體和控制的信息之間的經由控制的 操作的信息流，並且信息流與信道連通性和資源管理策略相一致。PCS 在應用任何策略之前檢驗主體或節點的身份，其基於主體或節點身份 是有條件的。 限額
PCS防止主體獨佔資源而拒絕其它主體使用該資源。為了避免對 來自共享資源使用的服務堵塞的拒絕，PCS傳遞對共享資源的使用， 以防止用於實現一個信道的資源影響用於實現另一信道的資源。PCS 執行PCS配置數據所指定的使用限額。更明確地，PCS執行信道和主 體可以同時使用的最大限額的可共享的通信資源。PCS還確保對信道
和主體可以同時使用的通信資源的每比例共享的最小數量的規定。 語義確認
PCS驗證所有請求，以確保請求是語義上有效的並且不導致訛誤 或違背SP。
審計
PCS通過日誌組件在失敗之後生成用於存儲的審計信息來支持損 害估價特性。PCS選擇性地生成描述PCS所檢測到的任何安全相關事
件的審計數據。這些事件包括但不限於PCS的初始化、對系統的配
置數據的成功或不成功的檢驗、連接至其它節點或從其它節點連接、 以及明顯地嘗試攻擊或繞開系統安全功能。 結論
根據上文，應當理解的是，當執行關於通信的可配置的分離安全
策略時，PCS包括在隔離的節點上的隔離的分區中運行的主體之中提 供節點間通信的硬體和/或軟體的任何適當的組合。因此，PCS使能在
分布式系統中的分離的節點上運行的主體之中的策略約束的通信。通
過這種方式，PCS允許在不擔心由於所述分區之間的節點間通信而引
入對數據機密性或完整性的新的威脅的情況下，重新配置節點的分區， 並以與通信安全相關的基本上位置透明的方式來保護節點間通信。
更明確地，PCS僅僅允許顯式認證的信息流出現，因此，以影響
未授權的主體或代理可見的資源的方式來防止對信道的使用影響共享
的通信資源。其中，PCS還提供數據機密性保護和防止流量分析的保 護。PCS管理共享的通信資源，以提供信道分離和使用限額。PCS對
節點和主體進行認證並檢驗數據完整性。
根據示例性實施例詳細地描述了本發明，根據上述，對本領域技 術人員而言將是顯而易見的是，可以在不背離本發明的情況下在其更 廣泛的方面中進行改變和修改，因此權利要求所定義的本發明意在覆 蓋在本發明的實質精神的範圍內的所有這種改變和修改。
權利要求
1、一種通信系統，包括至少兩個節點，通過一個或多個信道互相通信，其中每個節點在定義了一個節點上的至少一個主體的分離內核SK的控制下運行，其中所述至少一個主體與另一節點上的一個或多個主體傳遞數據；以及分區通信系統PCS，將信道與所述一個或多個信道中的其它信道的至少一個相分離。
2、 如權利要求l所述的通信系統，其中分區通信系統根據分區 通信系統配置數據控制數據的通信。
3、 如權利要求2所述的通信系統，其中分區通信系統配置數據 定義所分配的通信吞吐量、所分配的帶寬、所分配的數據速率、或可 用帶寬的比例共享中的一個或多個。
4、 如權利要求2所述的通信系統，其中分區通信系統根據分區 通信系統配置數據修改數據的數量、數據的定時、數據的持續時間、 數據的通信頻率、數據的大小、數據的源、數據的目的地、以及數據 的內容中的至少一個。
5、 如權利要求2所述的通信系統，其中分離內核定義了用於產 生所述一個或多個信道的一個或多個資源。
6、 如權利要求5所述的通信系統，其中所述一個或多個資源包 括通信總線資源、協議棧資源、加密資源、執行時間片、或執行頻率 中的一個或多個。
7、 一種通過一個或多個信道在兩個節點之間傳遞數據的方法，包括在每個節點上定義多個分離的分區；將所述每個節點上的多個分離的分區中的至少一個分配給通過 所述一個或多個信道傳遞數據的一個或多個主體；以及將信道與所述一個或多個信道中的其它信道的至少一個相分離。
8、 如權利要求7所述的方法，其中分區通信系統根據分區通信 系統配置數據控制數據的通信。
9、 如權利要求8所述的方法，其中分區通信系統配置數據定義 所分配的通信吞吐量、所分配的帶寬、所分配的數據速率、或可用貸 款的比例共享中的一個或多個。
10、 如權利要求8所述的方法，其中分區通信系統根據分區通 信系統配置數據修改數據的數量、數據的定時、數據的持續時間、數 據的通信頻率、數據的大小、數據的源、數據的目的地和數據的內容 中的至少一個。
11、 如權利要求7所述的方法，其中分離內核SK劃分節點以定 義一個或多個資源。
12、 如權利要求11所述的方法，其中所述一個或多個資源包括 通信總線資源、協議棧資源、加密資源、執行時間片或執行頻率中的 一個或多個。
13、 一種通過一個或多個信道與另一節點傳遞數據的節點，包括分離內核，產生多個可配置的分區；以及通信控制器，將信道與所述一個或多個信道中的其它信道的至少 一個相分離。
14、 如權利要求14所述的節點，其中通信系統包括分區通信系 統PCS，通過一個或多個信道提供所述節點中的多個分區中的至少一 個與另一節點中的一個或多個分區之間的數據通信隔離。
15、 如權利要求15所述的節點，其中分區通信系統根據信息流 策略控制節點間通信。
16、 如權利要求16所述的節點，其中分區通信系統模糊通過所 述一個或多個信道中的至少一個所顯示的通信特徵，以防止違背信息 流策略。
17、 如權利要求16所述的節點，其中信息流控制策略需要通過 密碼或加密的節點間通信的機密性。
18、 如權利要求15所述的節點，其中將通過所述一個或多個信 道傳遞數據的至少一個主體分配給所述多個分區中的至少一個。
19、 如權利要求19所述的節點，其中分區通信系統實現訪問控 制策略，該訪問控制策略定義對所述至少一個主體通過所述一個或多 個信道的通信的限制。
20、 如權利要求15所述的節點，其中分區通信系統需要所述至 少一個主體標識其本身。
21、 如權利要求15所述的節點，其中將所述一個或多個信道所 使用以傳遞數據的一個或多個資源分配給所述多個分區中的至少一 個。
22、 如權利要求22所述的節點，其中分區通信系統實現用於共 享所述一個或多個資源的資源管理策略。
23、 如權利要求23所述的節點，其中資源管理策略定義所述一 個或多個信道如何互相影響。
24、 如權利要求23所述的節點，其中資源管理策略定義用於共 享所述一個或多個資源的限額。
25、 如權利要求15所述的節點，其中分區通信系統在每次資源 使用後從所述一個或多個資源清除殘留信息。
26、 如權利要求15所述的節點，其中分區通信系統防止傳輸或 使用非法重放的數據。
全文摘要
一種用於在兩個節點(1，2)之間傳遞數據的系統及方法在每個節點上定義了多個分離的分區(A，B1，C)，並將一個或多個主體分配給所述多個分離的分區中的至少一個。每個節點中的主體通過一個或多個信道互相傳遞數據。為了傳遞數據，本發明將通過信道的數據通信與其它信道的數據通信相分離。更明確地，每個節點在根據分離內核配置數據來劃分節點以定義主體的分離內核(SK1，SK2)的控制下運行。分區通信系統(PCS1，PCS2)根據PCS配置數據分離通信信道。
文檔編號H04L12/40GK101366242SQ200680014824
公開日2009年2月11日 申請日期2006年3月2日 優先權日2005年3月2日
發明者傑弗裡·威廉·奇爾頓, 傑弗裡·格蘭特·馬歇爾, 雷諾茲·威廉·貝克維斯 申請人:目標接口系統公司