国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      用于實行信息流策略的引用監(jiān)控機系統(tǒng)和方法

      文檔序號:6570000閱讀:217來源:國知局

      專利名稱::用于實行信息流策略的引用監(jiān)控機系統(tǒng)和方法
      技術(shù)領(lǐng)域
      :本發(fā)明一般地涉及改進的數(shù)據(jù)處理系統(tǒng)和方法。更具體地,本發(fā)明涉及用于實行信息流策略的引用監(jiān)控機系統(tǒng)和方法。
      背景技術(shù)
      :引用監(jiān)控機是一種對源進行授權(quán)以對目標執(zhí)行特定動作的授權(quán)和實行機制。很多引用監(jiān)控機使用訪問控制列表(ACL)來執(zhí)行此類授權(quán)。針對每個源,這些ACL標識源可以訪問的目標以及該源被授權(quán)擁有的特定類型的訪問,即該源可以對目標l丸^"何種動作。大多數(shù)現(xiàn)代引用監(jiān)控機和安全系統(tǒng)通過將"主體(subject)"安全屬性以及"目標"安全屬性與安全策略規(guī)則集合相比較來做出授權(quán)決定。經(jīng)常將不同的數(shù)據(jù)類型分配給主體和目標安全屬性。在www.opengroup.org/onlinepubs/009609199/chap3.htm#tagfcjh—2處4苗述的ISO10181-3AccessControlFramework中提供了示出這些不同數(shù)據(jù)類型的一個示例。在該示例架構(gòu)中,提供了四個不同的角色或數(shù)據(jù)類型,即發(fā)起者(源)、目標、訪問控制實行功能以及訪問控制決定功能。主體安全屬性和目標安全屬性之間的這種差異將不必要的復(fù)雜性添加到安全策略評估過程中,在該過程中,主體和目標安全屬性的每個可能組合必須配備安全策略規(guī)則,從而在運行時間期間得到正確的評估。此外,目標安全屬性數(shù)據(jù)類型通?;诳梢栽谀繕速Y源上執(zhí)行的操作集合。因此,目標安全屬性類型在管理目標資源的應(yīng)用結(jié)構(gòu)和安全策略評估子系統(tǒng)的結(jié)構(gòu)之間造成了不必要的聯(lián)系。這繼而在安全策略評估子系統(tǒng)中造成了不必要的復(fù)雜性,因為安全策略現(xiàn)在必須考慮由應(yīng)用進行的數(shù)據(jù)操縱的語義以及安全策略評估的語義。而且,區(qū)分主體安全屬性和目標安全屬性的數(shù)據(jù)類型在安全策略中造成了不對稱,其將安全評估子系統(tǒng)限制于控制從主體(源)到目標(即,將接收信息的對象)的傳輸,但是不允許它控制從目標到源的傳輸。換言之,必須針對每對主體和目標之間的每個傳輸類型建立獨立的策略,從而導(dǎo)致安全策略評估子系統(tǒng)更高的復(fù)雜性。例如,^^設(shè)存在兩個對象A和B。為了覆蓋,于象A和B之間的所有可能的傳輸,在控制信息的傳輸時必須建立和評估四個策略(1)A可以(或不可以)向B寫入,(2)A可以(或不可以)/人B讀取,(3)B可以(或不可以)從A讀耳又,以及(4)B可以(或不可以)向A寫入。已經(jīng)針對控制數(shù)據(jù)處理系統(tǒng)的元素間的信息傳輸設(shè)計了很多不同的才幾制。例如,在授予RodneyBurnett的、名稱為"MethodforAttachmentandRecognitionofExternalAuthorizationPolicyonFileSystemResource"的美國專利No,6,766,314中,在文件系統(tǒng)中生成了包含對象的輔助屬性的外部安全數(shù)據(jù)庫。在文件訪問嘗試期間,將文件的標識符與安全數(shù)據(jù)庫中保護文件的集合進行匹配。如果文件不在數(shù)據(jù)庫中,那么不存在對該文件的保護,并且允許請求方訪問該文件。如果在數(shù)據(jù)庫中存在匹配,則保護該文件并且基于在外部安全屬性中定義的安全規(guī)則集合來做出關(guān)于是否將允許請求方訪問該文j牛的確定。根據(jù)美國專利No.6,766,314的機制,資源管理器包括用于檢索安全策略的組件,用于介入對保護文件的訪問的組件,以及收集諸如訪問用戶和嘗試動作之類的訪問條件的組件?;谠摪踩呗浴⒈辉L問的文件以及訪問條件,提交有關(guān)于對文件訪問的授權(quán)的決定。因此,在美國專利No.6,766,314的機制中,將對文件訪問的授權(quán)與用戶身份和正在嘗試的動作綁定。從而,將正在執(zhí)行的動作與^U亍該動作的實體和正在一皮訪問的文件綁定。如上所述,這在管理文件的應(yīng)用結(jié)構(gòu)和安全策略評估子系統(tǒng)的結(jié)構(gòu)之間造成了不必要的聯(lián)系。在美國專利No.5,765,153中描述了類似機制。在美國專利No.5,765,153中,提供一種引用監(jiān)控機,其基于主體身份、對象名稱和由保護對象的接口定義的動作來實行策略。而且,通過使授權(quán)決定基于實體的身份以及在一個已識別實體上由另一已識別實體正在執(zhí)行的動作類型,生成了不必要的聯(lián)系,該聯(lián)系使得安全策略評估子系統(tǒng)的實現(xiàn)復(fù)雜化。
      發(fā)明內(nèi)容按照上述內(nèi)容,有益的是,就數(shù)據(jù)處理系統(tǒng)元素之間的信息傳輸來提供一種用于簡化安全結(jié)構(gòu)的實現(xiàn)的機制。特別地,有益的是具有一種系統(tǒng)和方法,用于通過將安全策略應(yīng)用于公共安全屬性類型來控制信息流,從而信息傳輸中包括的動作不會使安全策略的應(yīng)用復(fù)雜化。說明性實施方式提供此類系統(tǒng)和方法。在一個說明性實施方式中,提供一種用于對數(shù)據(jù)處理系統(tǒng)的元素之間的信息流進行授權(quán)的方法。該方法可以包括將數(shù)據(jù)處理系統(tǒng)的元素與引用監(jiān)控機中的安全數(shù)據(jù)結(jié)構(gòu)關(guān)聯(lián)起來;以及,從第一元素接收信息流請求以對從第一元素到第二元素的信息流進行授權(quán)。該方法進一步包括檢索與第一元素相關(guān)聯(lián)的第一安全數(shù)據(jù)結(jié)構(gòu),檢索與第二元素相關(guān)聯(lián)的第二安全數(shù)據(jù)結(jié)構(gòu),以及,對第一安全數(shù)據(jù)結(jié)構(gòu)和第二安全數(shù)據(jù)結(jié)構(gòu)執(zhí)行至少一個集合論(settheory)操作,從而確定從第一元素到第二元素的信息流是否將一皮4受權(quán)。例如,第一和第二元素可以是一個或多個應(yīng)用、一個或多個處理設(shè)備、一個或多個數(shù)據(jù)處理系統(tǒng)、一個或多個數(shù)據(jù)處理設(shè)備資源等等。第一安全數(shù)據(jù)結(jié)構(gòu)和第二安全數(shù)據(jù)結(jié)構(gòu)可以是標簽集合(labelset)。每個標簽集合可以包括提供一個或多個標簽集合中的標簽的標簽列表元素。標簽列表中的標簽可以包括策略類型和值。策略類型可以標識將要應(yīng)用于標簽集合的安全策略并且值可以標識將要在評估由策略類型所標識的安全策略中使用的值。每個標簽集合可以進一步包括指示標簽集合版本的版本元素以及指示標簽集合中包括的標簽數(shù)量的計數(shù)元素。而且,每個標簽集合可以包括標識信息對象敏感度級別的標簽,可以在相應(yīng)元素中接收并且保持該信息對象而不論對該信息對象將執(zhí)行的特定動作如何。對第一安全數(shù)據(jù)結(jié)構(gòu)和第二安全數(shù)據(jù)結(jié)構(gòu)執(zhí)行至少一個集合論操作可以包括使用集合并(union)、集合交叉(intersection)或集合補(complement)l喿作來^丸^f亍至少一個集合論操作。而且,對第一標簽集合和第二標簽集合執(zhí)行至少一個集合論操作以確定從第一元素到第二元素的信息流是否將^皮授權(quán)可以包括解析第一標簽集合和第二標簽集合以識別在第一和第二標簽集合中標識的一個或多個安全策略,以及,基于在第一和第二標簽集合中標識的安全策略向安全策略框架的一個或多個安全策略模塊提供第一標簽集合和第二標簽集合。一個或多個安全策略模塊可以基于與用于特定安全策略的標簽集合的策略類型元素相關(guān)聯(lián)的值來對第一標簽集合和第二標簽集合執(zhí)行至少一個集合論操作。對第一安全數(shù)據(jù)結(jié)構(gòu)和第二安全數(shù)據(jù)結(jié)構(gòu)執(zhí)行至少一個集合論操作可以包括確定與目標元素相關(guān)聯(lián)的標簽集合是否是與信息對象的源元素相關(guān)聯(lián)的標簽集合的子集,其中信息對象是該信息流的主體。而且,對第一安全數(shù)據(jù)結(jié)構(gòu)和第二安全數(shù)據(jù)結(jié)構(gòu)執(zhí)行至少一個集合論操作以確定從第一元素到第二元素的信息流是否將被授權(quán),可以進一步包括確定作為信息流主體的信息對象的安全數(shù)據(jù)結(jié)構(gòu),以及,對第二安全數(shù)據(jù)結(jié)構(gòu)和基于信息對象的安全數(shù)據(jù)結(jié)構(gòu)和第一安全數(shù)據(jù)結(jié)構(gòu)而生成的有效安全數(shù)據(jù)結(jié)構(gòu)執(zhí)行集合論操作。確定信息對象的標簽集合可以包括確定是否已經(jīng)建立了用于信息對象的安全數(shù)據(jù)結(jié)構(gòu),并且如果該信息對象沒有已建立的安全數(shù)據(jù)結(jié)構(gòu),則將該信息對象的源元素的安全數(shù)據(jù)結(jié)構(gòu)與該信息對象關(guān)聯(lián)起來。信息對象的安全數(shù)據(jù)結(jié)構(gòu)可以標識該信息對象的敏感度。第一安全數(shù)據(jù)結(jié)構(gòu)可以標識第一元素的授權(quán)級別。第二安全數(shù)據(jù)結(jié)構(gòu)可以標識第二元素的授權(quán)級別。對安全數(shù)據(jù)結(jié)構(gòu)執(zhí)行至少一個集合論操作以確定信息流是否將要被授權(quán)可以僅根據(jù)信息對象的敏感度以及第一和第二元素的授權(quán)級別來確定信息是否將要被授權(quán),而不管作為信,包、流的一部分而執(zhí)行的特定動作。相同的至少一個集合論操作可以應(yīng)用于第一安全數(shù)據(jù)結(jié)構(gòu)和第二安全數(shù)據(jù)結(jié)構(gòu),而不論信息流是從第一元素到第二元素還是從第二元素到第一元素。在另一說明性實施方式中,提供一種計算機程序產(chǎn)品,該計算機程序產(chǎn)品包括計算機可用介質(zhì),該介質(zhì)包括計算機可讀程序。當該計算機可讀程序在計算設(shè)備上執(zhí)行時,使得該計算設(shè)備將數(shù)據(jù)處理系統(tǒng)的元素和引用監(jiān)控機中的標簽集合關(guān)聯(lián)起來,并且接收來自于第一元素的信息流請求以對從第一元素到第二元素的信息流進行授權(quán)。該計算機可讀程序可以進一步使得該計算設(shè)備檢索與第一元素相關(guān)聯(lián)的第一安全數(shù)據(jù)結(jié)構(gòu),檢索與第二元素相關(guān)聯(lián)的第二安全數(shù)據(jù)結(jié)構(gòu),并且對第一安全數(shù)據(jù)結(jié)構(gòu)和第二安全數(shù)據(jù)結(jié)構(gòu)執(zhí)行至少一個集合論操作以確定從第一元素到第二元素的信息流是否將被授4又。該計算才幾可讀程序可以進一步使得該計算設(shè)備執(zhí)4于就該方法的說明性實施方式在上面概括描述的其他4喿作。在其他說明性實施方式中,提供用于對數(shù)據(jù)處理系統(tǒng)的元素之間的信息流進行授權(quán)的系統(tǒng)或裝置。該系統(tǒng)或裝置可以包括具有偵聽器的通信管理器,其中偵聽器用于偵聽來自于數(shù)據(jù)處理系統(tǒng)的元素的信息流請求;耦合至通信管理器的信息流居間器,該居間器用于確定將對信息流進行授權(quán)還是拒絕;耦合至信息流居間器的安全數(shù)據(jù)結(jié)構(gòu)存儲設(shè)備,其存儲用于數(shù)據(jù)處理系統(tǒng)的元素的安全信息;以及耦合至信息流居間器的安全策略框架。信息流居間器可以將數(shù)據(jù)處理系統(tǒng)的元素與安全數(shù)據(jù)結(jié)構(gòu)存儲設(shè)備中的安全數(shù)據(jù)結(jié)構(gòu)關(guān)聯(lián)起來。通信管理器可以接收來自于第一元素的信息流請求以對從第一元素到第二元素的信,t流進行授權(quán)。信息流居間器可以進一步檢索與第一元素相關(guān)聯(lián)的第一安全數(shù)據(jù)結(jié)構(gòu),并檢索與第二元素相關(guān)聯(lián)的第二安全數(shù)據(jù)結(jié)構(gòu)。安全策略框架可以對第一安全數(shù)據(jù)結(jié)構(gòu)和第二安全數(shù)據(jù)結(jié)構(gòu)執(zhí)行至少一個集合論操作以確定從第一元素到第二元素的信息流是否將被授權(quán)。該系統(tǒng)或裝置的各種組件可以進一步配置為執(zhí)行就該方法的說明性實施方式而在上面概括描述的各種操作。例如,安全策略框架可以通過使用集合合并、集合交叉或集合補操作來執(zhí)行至少一個集合論操作來對第一標簽集合和第二標簽集合執(zhí)行至少一個集合論操作。安全策略框架可以對第一安全數(shù)據(jù)結(jié)構(gòu)和第二安全數(shù)據(jù)結(jié)構(gòu)執(zhí)行至少一個集合論操作,這是通過以下來執(zhí)行的解析第一安全數(shù)據(jù)結(jié)構(gòu)和第二安全數(shù)據(jù)結(jié)構(gòu)以識別第一和第二安全數(shù)據(jù)結(jié)構(gòu)中標識的一個或多個安全策略,以及,基于第一和第二安全數(shù)據(jù)結(jié)構(gòu)中標識的安全策略向安全策略框架的一個或多個安全策略模塊提供第一安全數(shù)據(jù)結(jié)構(gòu)和第二安全數(shù)據(jù)結(jié)構(gòu)。一個或多個安全策略模塊可以基于與用于特定安全策略的安全數(shù)椐結(jié)構(gòu)的策略類型元素相關(guān)聯(lián)的值來對第一安全數(shù)據(jù)結(jié)構(gòu)和第二安全數(shù)據(jù)結(jié)構(gòu)執(zhí)行至少一個集合論:燥作。安全策略框架可以通過確定與目標元素相關(guān)聯(lián)的安全數(shù)據(jù)結(jié)構(gòu)是否是與信息對象的源元素相關(guān)聯(lián)的安全數(shù)據(jù)結(jié)構(gòu)的子集來對第一安全數(shù)據(jù)結(jié)構(gòu)和第二安全數(shù)據(jù)結(jié)構(gòu)執(zhí)行至少一個集合論操作,其中所述信息對象是該信息流的主體。作為又一示例,信息流居間器可以確定作為該信,包、流主體的信息對象的安全數(shù)據(jù)結(jié)構(gòu),并且安全策略框架向策略模塊分發(fā)第二安全數(shù)據(jù)結(jié)構(gòu)和作為第一安全數(shù)據(jù)結(jié)構(gòu)和該信息對象的安全數(shù)據(jù)結(jié)構(gòu)的組合而生成的有效安全數(shù)據(jù)結(jié)構(gòu),從而執(zhí)行集合論操作。該信息流居間器可以確定信息對象的安全數(shù)據(jù)結(jié)構(gòu),這是通過下列來進行的確定是否已經(jīng)建立了用于信息對象的安全數(shù)據(jù)結(jié)構(gòu),并且如果該信息對象沒有已建立的安全數(shù)據(jù)結(jié)構(gòu),則將該信息對象的源元素的安全數(shù)據(jù)結(jié)構(gòu)與該信息對象關(guān)聯(lián)起來。本發(fā)明的這些和其他特征和優(yōu)勢將在本發(fā)明的示例性實施方式的以下詳細描述中進行描述,或者根據(jù)本發(fā)明的示例性實施方式的以下詳細描述,本發(fā)明的這些和其他特征和優(yōu)勢對于本領(lǐng)域的技術(shù)人員將變得明顯。現(xiàn)在將參考隨后附圖并僅通過示例的方式來描述本發(fā)明的實施方式圖1是可以在其中實現(xiàn)說明性實施方式的示例性方面的分布式或網(wǎng)絡(luò)式數(shù)據(jù)處理系統(tǒng)的示例性框圖;計算設(shè)備的示例性框圖;圖3是可以在其中實現(xiàn)說明性實施方式的示例性方面的客戶端計算設(shè)備的示例性框圖;圖4是根據(jù)說明性實施方式的架構(gòu)的示例性圖示;圖5是根據(jù)說明性實施方式的引用監(jiān)控機的示例性圖示;圖6是示出了根據(jù)一個說明性實施方式的標簽集合的示例性定義的示例性圖示;圖7A是根據(jù)一個說明性實施方式的第一標簽集合的示例性圖示;圖7B是根據(jù)一個說明性實施方式的第二標簽集合的示例性圖示;圖8是示出了根據(jù)一個說明性實施方式的第一示例情況的示例性圖示,其中哈希表用于將標簽集合與資源關(guān)聯(lián)起來以確定允許或拒絕信息流請求;圖9是示出了根據(jù)一個說明性實施方式的第二示例情況的示例性圖示,其中哈希表用于將標簽集合與資源關(guān)聯(lián)起來以確定允許或拒絕信息流請求;圖IO是示出了用于向應(yīng)用、設(shè)備、系統(tǒng)等許可令牌(token)從而建立保護環(huán)境的示例性操作的流程圖;圖11是示出了根據(jù)說明性實施方式的用于將資源與標簽集合關(guān)聯(lián)起來的示例性操作的流程圖;以及圖12是示出了根據(jù)一個說明性實施方式的用于對信息流請求進行認證的示例性操作的流程圖。具體實施方式說明性實施方式涉及用于改進源和目標之間的信息流中的安全實現(xiàn)的4幾制。該i兌明性實施方式的4幾制可以在全部發(fā)生在單個計算設(shè)備上的信息流上實現(xiàn),或者可以在計算設(shè)備之間的信息流上實現(xiàn),諸如在分布式或網(wǎng)絡(luò)式數(shù)據(jù)處理系統(tǒng)中。因此,下文提供圖l-3作為可以在其中實現(xiàn)說明性實施方式的機制的數(shù)據(jù)處理環(huán)境的示例。圖1-3僅是說明性的并且不旨在陳述或暗示對于可以在其中實現(xiàn)說明性實施方式的機制的數(shù)據(jù)處理環(huán)境的類型的任何限制。相反,在不脫離本發(fā)明的精神和范圍的情況下,可以對描述的數(shù)據(jù)處理環(huán)境做出很多修改?,F(xiàn)在參考附圖,圖1示出了可以在其中實現(xiàn)說明性實施方式的示例性方面的數(shù)據(jù)處理系統(tǒng)的網(wǎng)絡(luò)的圖示表示。網(wǎng)絡(luò)數(shù)據(jù)處理系統(tǒng)100是可以在其中實現(xiàn)本發(fā)明的計算機網(wǎng)絡(luò)。網(wǎng)絡(luò)數(shù)據(jù)處理系統(tǒng)100包含網(wǎng)絡(luò)102,該網(wǎng)絡(luò)102是用于在網(wǎng)絡(luò)數(shù)據(jù)處理系統(tǒng)100內(nèi)連接在一起的各種設(shè)備和計算機之間提供通信鏈路的介質(zhì)。網(wǎng)絡(luò)102可以包括諸如有線、無線通信鏈路或光纖線纜這樣的連接。在示出的示例中,服務(wù)器104以及存儲單元106連接至網(wǎng)絡(luò)102。此外,客戶端108、110和112連4妻至網(wǎng)全各102。這些客戶端108、110和112例如可以是個人計算機或網(wǎng)絡(luò)計算機。在示出的示例中,服務(wù)器104向客戶端108-112提供諸如引導(dǎo)文件、操作系統(tǒng)映像和應(yīng)用之類的數(shù)據(jù)??蛻舳?08、110和112是服務(wù)器104的客戶端。網(wǎng)絡(luò)數(shù)據(jù)處理系統(tǒng)100可以包括附加的服務(wù)器、客戶端和其他未示出的設(shè)備。在示出的示例中,網(wǎng)絡(luò)數(shù)據(jù)處理系統(tǒng)IOO是因特網(wǎng),其中網(wǎng)絡(luò)102代表使用協(xié)議中的傳輸控制協(xié)議/因特網(wǎng)協(xié)議(TCP/IP)集來彼此通信的網(wǎng)絡(luò)和網(wǎng)關(guān)的世界范圍的集合。在因特網(wǎng)的核心處是主要節(jié)點或主計算機之間的高速數(shù)據(jù)通信線路骨干,包括數(shù)千路由數(shù)據(jù)及消息的商業(yè)、政府、教育和其他計算機系統(tǒng)。當然,網(wǎng)絡(luò)數(shù)據(jù)處理系統(tǒng)100還可以實現(xiàn)為多個不同類型的網(wǎng)絡(luò),例如企業(yè)內(nèi)部網(wǎng)、局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)。圖1旨在作為一個示例,并且不作為對本發(fā)明的架構(gòu)限制。參考圖2,其示出了可以在其中實現(xiàn)說明性實施方式的示例性方面的數(shù)據(jù)處理系統(tǒng)的框圖,其中該數(shù)據(jù)處理系統(tǒng)可以實現(xiàn)為諸如圖1中的服務(wù)器104的服務(wù)器。數(shù)據(jù)處理系統(tǒng)200可以是對稱多處理器(SMP)系統(tǒng),其包括多個連接至系統(tǒng)總線206的處理器202和204??商鎿Q地,可以使用單個處理器系統(tǒng)。還連接至系統(tǒng)總線206的是存儲器控制器/高速緩存器208,其提供到本地存儲器209的接口。I/O總線橋210連接至系統(tǒng)總線206并且提供到I/O總線212的接口。如圖所示,存儲器控制器/高速緩存器208和I/O總線橋210可以集成。連接至I/O總線212的外圍組件互連(PCI)總線橋214提供到PCI本地總線216的接口。多個調(diào)制解調(diào)器可以連接至PCI本地總線216。典型的PCI總線實現(xiàn)將支持四個PCI擴展插槽或插件連接器。圖1中到客戶端108-112的通信鏈3各可以通過調(diào)制解調(diào)器218和通過插件連接器連接至PCI本地總線216的網(wǎng)絡(luò)適配器220來提供。附加PCI總線橋222和224為附加PCI本地總線226和228提供接口,從其可以支持附加的調(diào)制解調(diào)器或網(wǎng)絡(luò)適配器。這樣,數(shù)據(jù)處理系統(tǒng)200支持連接到多個網(wǎng)絡(luò)計算機。存儲器映射圖形適配器230和硬盤232也可以直接或間接地連接至示出的I/O總線212。本領(lǐng)域的^支術(shù)人員應(yīng)該理解圖2中示出的石更件可以改變。例如,除了示出的硬件之外或替代示出的硬件,可以使用諸如光盤驅(qū)動器等其他外圍設(shè)備。示出的示例不意味著暗示對本發(fā)明的架構(gòu)限制。圖2中示出了的數(shù)據(jù)處理系統(tǒng)例如可以是IBMeServerpSeries系統(tǒng),其是紐約Armonk國際商業(yè)機器公司的一種產(chǎn)品,該產(chǎn)品運行高級交互式執(zhí)行(AIX)操作系統(tǒng)或LINUX操作系統(tǒng)。以在其中實現(xiàn)說明性實施方式的示例性方面的數(shù)據(jù)處理系統(tǒng)的框圖。數(shù)據(jù)處理系統(tǒng)300是客戶端計算斗幾的示例。數(shù)據(jù)處理系統(tǒng)300使用外圍組件互連(PCI)本地總線架構(gòu)。盡管示出的示例使用PCI總線,但是可以使用諸如加速圖像端口(AGP)以及工業(yè)標準架構(gòu)(ISA)之類的其他總線架構(gòu)。處理器302和主存儲器304通過PCI橋308連接至PCI本地總線306。PCI橋308還可以包括用于處理器302的集成存儲器控制器和高速緩存存儲器。到PCI本地總錢306的附加連接可以通過直接組件互連或通過插件板做出。在示出的示例中,局域網(wǎng)(LAN)適配器310、小型計算機系統(tǒng)接口(SCSI)主機總線適配器312以及擴展總線接口314通過直接組件連4妄而連接至PCI本地總線306。相反,音頻適配器316、圖形適配器318和音頻/視頻適配器319通過插入到擴展插槽的插件板連接至PCI本地總線306。擴展總線接口314提供用于鍵盤與鼠標適配器320、調(diào)制解調(diào)器322和附加存儲器324的連接。SCSI主機總線適配器312提供用于硬盤驅(qū)動器326、磁帶驅(qū)動器328以及CD-ROM驅(qū)動器330的連接。典型的PCI本地總線實現(xiàn)將支持三個或四個PCI擴展插槽或插件連接器。操作系統(tǒng)運行在處理器302上并且用于協(xié)調(diào)和提供對圖3中數(shù)據(jù)處理系統(tǒng)300內(nèi)的各種組件的控制。該:操作系統(tǒng)可以是商業(yè)上可獲耳又的才喿作系統(tǒng),諸如WindowsXP,該l喿作系統(tǒng)可從Microsoft7〉司獲得。諸如Java的面向?qū)ο蟮木幊滔到y(tǒng)可以與操作系統(tǒng)結(jié)合運行并且從在數(shù)據(jù)處理系統(tǒng)300上執(zhí)行的Java程序或應(yīng)用提供對操作系統(tǒng)的調(diào)用。"Java"是SunMicrosystems公司的商標。用于操作系統(tǒng)、面向?qū)ο缶幊滔到y(tǒng)和應(yīng)用或程序的指令位于諸如硬盤驅(qū)動器326的存儲設(shè)備上,并且可以加載到主存儲器304中以便由處理器302執(zhí)行,本領(lǐng)域的技術(shù)人員應(yīng)該理解圖3中示出的硬件可以才艮據(jù)實現(xiàn)而改變。除了圖3示出的硬件之外或替代圖3示出的硬件,可以使用諸如閃存只讀存儲器(ROM)、等價的非易失性存儲器或光盤驅(qū)動器等的其他內(nèi)部硬件或外圍設(shè)備。而且,本發(fā)明的過程可應(yīng)用于多處理器數(shù)據(jù)處理系統(tǒng)。作為另一個示例,數(shù)據(jù)處理系統(tǒng)300可以是配置為不依賴于某些類型的網(wǎng)絡(luò)通信接口就可以啟動的單獨系統(tǒng)。作為又一示例,數(shù)據(jù)處理系統(tǒng)300可以是個人數(shù)字助理(PDA)設(shè)備,其配置有ROM和/或閃存ROM,從而提供用于存儲操作系統(tǒng)文件和/或用戶生成的數(shù)據(jù)的非易失性存儲器。圖3中示出的示例和上述示例不意味著暗示架構(gòu)限制。例如,除了采用PDA形式,數(shù)據(jù)處理系統(tǒng)300還可以是筆記本電腦或手持計算機。數(shù)據(jù)處理系統(tǒng)300還可以是咨詢服務(wù)站(kiosk)或Web裝置。說明性實施方式提供用于控制計算設(shè)備的元素或計算設(shè)備的網(wǎng)絡(luò)之間的信息流的機制。對信息流的該控制可以完全在單個計算系統(tǒng)內(nèi)執(zhí)行,諸如可以完全在服務(wù)器104內(nèi)的元素之間或圖1的客戶端計算設(shè)備108-112內(nèi)的元素之間執(zhí)行。例如,說明性實施方式的機制可以用于控制圖2中運行在處理器202上的一個或多個應(yīng)用和運行在處理器204上的一個或多個應(yīng)用之間的信息流,或者甚至控制圖3中運行在處理器302上的一個應(yīng)用和運行在處理器302上的另一個應(yīng)用之間的信息流。而且,說明性實施方式的才幾制可以控制一個或多個應(yīng)用和其他資源之間的信息流,或者直接控制計算設(shè)備(例如部分存儲器、1/0控制器、網(wǎng)絡(luò)接口等)中的一個或多個資源之間的信息流。如圖l所示,說明性實施方式的機制還可以用于控制大型分布式或網(wǎng)絡(luò)數(shù)據(jù)處理環(huán)境中的計算設(shè)備或系統(tǒng)之間的信息流。因此,例如,說明性實施方式的機制可以在諸如服務(wù)器104的服務(wù)器中提供,并且用于控制一個客戶端計算設(shè)備108和其他客戶端計算設(shè)備110、112或甚至存儲系統(tǒng)106之間的信息流。簡而言之,說明性實施方式的機制可以用于控制一個或多個數(shù)據(jù)處理設(shè)備的任何兩個軟件和/或硬件元素之間的信息流。通過說明性實施方式的機制,數(shù)據(jù)處理系統(tǒng)的應(yīng)用、設(shè)備、系統(tǒng)以及其他軟件和/或硬件實體與還稱作"隔離,,的保護環(huán)境相關(guān),其由p舉一的安全關(guān)耳關(guān)(securityassociation)(SA)標識。SA與安全信息數(shù)據(jù)結(jié)構(gòu)相關(guān),該數(shù)據(jù)結(jié)構(gòu)標識將要應(yīng)用于進出實體的信息流的安全策略,以及可以保持在每個實體中的信息項的敏感度。在說明性實施方式中,這些安全信息數(shù)據(jù)結(jié)構(gòu)作為標簽集合提供,盡管本發(fā)明不限于安全信息的此類表示。相反,在不脫離本發(fā)明的精神和范圍的情況下,可以使用用于標識將要應(yīng)用于信息流的安全策略的任何表示。此外,信息項,即資源,可以使用哈希表格數(shù)據(jù)結(jié)構(gòu)來與標簽集合相關(guān)聯(lián)??梢曰谫Y源的內(nèi)容生成哈希鍵。該哈希鍵用作哈希表數(shù)據(jù)結(jié)構(gòu)中的索引以標識具有與資源相關(guān)聯(lián)的標簽集合的條目。由說明性實施方式生成的標簽集合僅按照敏感度描述信息并且不按照用于轉(zhuǎn)換或傳輸信息的操作來描述信息。對關(guān)注的該分離支持通過將安全策略評估的語義從數(shù)據(jù)處理系統(tǒng)中的應(yīng)用、設(shè)備、系統(tǒng)和其他實體的數(shù)據(jù)操縱語義中解耦合來實現(xiàn)非常簡單的策略決定機制。而且,標簽集合的使用允許按照集合論操作(例如,集合合并、交叉和補操作)來定義安全策略和規(guī)則。安全策略和規(guī)則不關(guān)心在信息流中正寺丸行的特定動作,而僅<又關(guān)心可以由涉及的實體所保持的信息敏感度以及作為該信息流主體的信息的敏感度。在對來自于數(shù)據(jù)處理系統(tǒng)中的實體的信息流請求的處理中,用于源和目標保護環(huán)境的標簽集合可以被提供給策略框架,該策略框架解析該標簽集合以識別該標簽集合引用了哪些安全策略。與識別的安全策略相關(guān)聯(lián)的策略模塊繼而可以配備該標簽集合,從而基于用于源和目標保護環(huán)境的標簽集合來評估該安全策略。每個策略模塊可以基于應(yīng)用于標簽集合的其安全策略來生成決定,該決定有關(guān)于是對信息流請求進行許可、拒絕還是不做決定。例如,可以通過使用集合論操作對源保護環(huán)境的標簽集合以及目標保護環(huán)境的標簽集合進行比較來做出決定。可以將各種決定提供給決定合并器,該決定合并器使用合并器規(guī)則合并各種決定并且生成關(guān)于是否應(yīng)該許可信息流請求的單個決定。如果信息流請求被許可,那么允許源和目標保護環(huán)境之間的信息流。如果信息流請求被拒絕,那么阻擋到目標保護環(huán)境的資源流并且可以返回錯誤消息。存在兩種可以被許可的信息流,"流(stream)"和"資源,,。如果許可"資源"信息流,那么在源和目標保護環(huán)境之間允許資源的單個轉(zhuǎn)移。如果許可"流"信息流,那么允許信息作為流從源流向目標直到流被拒絕,例如,因為引用監(jiān)控機中的某些事物已經(jīng)改變,其使得信息流被拒絕,或關(guān)閉流。例如,如果目標保護環(huán)境已經(jīng)更新了它的標簽集合以及對于信息流的拒絕的新標簽集合評估,那么在初始;i也許可流之后可以拒絕它。在一個說明性實施方式中,資源可以使用哈希表數(shù)據(jù)結(jié)構(gòu)來與標簽集合關(guān)聯(lián)起來,其中哈希表數(shù)據(jù)結(jié)構(gòu)使用資源內(nèi)容的哈希作為哈希表數(shù)據(jù)結(jié)構(gòu)中的索引。在這樣的情況中,當接收到信息流請求時,可以從源保護環(huán)境中檢索作為信息流主體的資源并且使用一個或多個哈希函數(shù)來進行散列。為了增加安全性,可以使用多維哈希結(jié)構(gòu)中的資源相對應(yīng)的標簽集合的查找。如果基于哈希值在哈希表數(shù)據(jù)結(jié)構(gòu)中找到有效條目,則通過安全策略檢索并且使用相應(yīng)的標簽集合。在一個說明性實施方式中,用于資源的所檢索到的標簽集合可以與用于源保護環(huán)境的標簽集合合并以生成用于對目標保護環(huán)境的標簽集合進行評估的有效標簽集合。如果沒有找到有效條目,或如果正在請求"流,,信息流,那么用于源保護環(huán)境的標簽集合可通過說明性實施方式的機制,標簽集合完全保持在51用監(jiān)控機內(nèi),并且因此不易受到無意的或惡意的改變。標簽集合還提供從安全考慮>'肖除數(shù)據(jù)操縱的語義的機制并且允許基于保護環(huán)境和信,&流中包含的資源的敏感度來執(zhí)行安全考慮。結(jié)果,源和目標保護環(huán)境以及資源都可以針對安全策略評估來使用公共安全屬性,即標簽集合,從而降低創(chuàng)建以及使用安全策略和規(guī)則的復(fù)雜性。標簽集合還允許將集合論操作用于執(zhí)行安全策略評估,從而再次簡化安全策略和規(guī)則。而且,標簽集合可以使用多維哈希數(shù)據(jù)結(jié)構(gòu)來與資源相關(guān)聯(lián),從而減少標簽集合的無意或惡意改變的可能性,并且減少哈希沖突的可能性??傮w架構(gòu)說明性實施方式的機制使用其中應(yīng)用/資源與保護環(huán)境相關(guān)聯(lián)的架構(gòu),以便根據(jù)建立的安全信息數(shù)據(jù)結(jié)構(gòu)來控制保護環(huán)境之間的信息流,其中該安全信息數(shù)據(jù)結(jié)構(gòu)標識將要應(yīng)用于信息流的安全策略,例如標簽集合。圖4是示出了根據(jù)一個說明性實施方式的架構(gòu)400的示例性框圖。如圖4所示,架構(gòu)400包括多個保護環(huán)境410-430,也稱作"隔離",其可以經(jīng)由通信介質(zhì)440彼此通信。還在示出的架構(gòu)中提供了認證器450和引用監(jiān)控機460。保護環(huán)境410-430或"隔離,,可以包括一個或多個應(yīng)用、一個或多個數(shù)據(jù)處理設(shè)備、一個或多個數(shù)據(jù)處理系統(tǒng)、一個或多個數(shù)據(jù)處理設(shè)備資源等。在一個說明性實施方式中,每個現(xiàn)有的應(yīng)用、設(shè)備、資源或系統(tǒng)都與分離的保護環(huán)境或"隔離"相關(guān)聯(lián),其充當與引用監(jiān)控機460通信的代理。保護環(huán)境410-430是架構(gòu)400中的應(yīng)用、設(shè)備、系統(tǒng)和/或資源的邏輯表示。這些邏輯表示保持在引用監(jiān)控機460保護環(huán)境與另一個保護環(huán)境關(guān)于信,lr流的交互。引用監(jiān)控機460居間調(diào)理保護環(huán)境410-430之間的所有通信。通信介質(zhì)440確保通過拒絕將通信直接從一個保護環(huán)境路由到另一個并且替代地要求所有通信流流經(jīng)引用監(jiān)控機460來在保護環(huán)境之間的所有通信上執(zhí)行該居間調(diào)理。為了確保所有通信流流經(jīng)引用監(jiān)控才幾460,可以在通信介質(zhì)440中提供路由才幾制,其4吏通信不被路由到目標保護環(huán)境而重定向到引用監(jiān)控機460。通信介質(zhì)440可以包括任何類型的通信基礎(chǔ)實施、協(xié)議等。例如,通信介質(zhì)440可以包括總線、路由器、網(wǎng)絡(luò)、緩沖存儲器、存儲設(shè)備、尋址機制等。并且協(xié)議包括TCP/IP、SCSI、PCI等。不論使用何種特定基礎(chǔ)實施或協(xié)議,配置通信介質(zhì)440以便保護環(huán)境410-430的所有外部通信在被路由到通信的目標保護環(huán)境410-430之前首先流經(jīng)引用監(jiān)控機460。例如,在網(wǎng)絡(luò)環(huán)境中,所有保護環(huán)境410-430通過執(zhí)行網(wǎng)絡(luò)業(yè)務(wù)路由的通信介質(zhì)440進行通信。在簡單的說明性實施方式中,路由器可以用于將業(yè)務(wù)從一個保護環(huán)境410-430路由到另一個。為了確保所有通信都由引用監(jiān)控才幾460居間調(diào)理,可以配置i各由器以將所有傳入網(wǎng)絡(luò)業(yè)務(wù)限制為轉(zhuǎn)發(fā)到引用監(jiān)控機460并且所有傳出業(yè)務(wù)僅可以來自于引用監(jiān)控機460。需要與另一個保護環(huán)境410-430通信的保護環(huán)境410-430中的任何實體必須提交請求以與引用監(jiān)控機460進行通信從而進行授權(quán)。因此,對于單向的信息流,通信的源必須向引用監(jiān)控機460提交信息流請求,從而請求與通信的目標進行通信。對于雙向信息流,源和目標(目標將充當反向中的源)都必須向引用監(jiān)控機460提交信息流請求。在雙向通信中對于兩個實體提交信息流請求的該要求基于以下事實,即說明性實施方式涉及控制信息流而不是正在執(zhí)行的特定動作。因此,雖然可以向第一實體進行授權(quán)以向第二實體發(fā)送信息,但是不能向該第二實體授權(quán)以將信息發(fā)回給第一實體。換言之,對一個方向的信息流的授權(quán)不必然意味著也對反向的信息流進行授權(quán)。引用監(jiān)控機460可以使用與保護環(huán)境410-430相關(guān)聯(lián)的標簽集合來確定允許或是不允許保護環(huán)境之間的哪個方向的信息流。在引用監(jiān)控機460的信任基礎(chǔ)外部,不允許訪問這些標簽集合。因此,不向保護環(huán)境410-430提供這些標簽集合。為了響應(yīng)保護環(huán)境410-430的應(yīng)用、設(shè)備、系統(tǒng)和其它類型的實體提交的認證宣告,認證器450對保護環(huán)境410-430的實體執(zhí)行認證以核實稍后將向引用監(jiān)控機460提交信息流請求的實體是經(jīng)核實的保護環(huán)境410-430的被授權(quán)實體。此類認證可以采取以下形式密碼認證、證書認證或任何其他已知認證機制。當在故障之后恢復(fù)實體時,例如可以在實體的初始化時間處由實體估文出iU正宣告。在認證器450核實保護環(huán)境410-430中的實體的宣告時,認證器450向請求方發(fā)布令牌。該請求方繼而可以使用該令牌來請求引用監(jiān)控機460生成并且關(guān)聯(lián)用于保護環(huán)境410-430的標簽集合。基于認證器450發(fā)布的令牌,引用監(jiān)控機460確定哪個標簽集合與保護環(huán)境相關(guān)。例如,引用監(jiān)控機460可以向安全策略框架的每個安全策略模塊提供令牌,從而針對特定令牌從每個安全策略模塊獲取標簽,或者如果沒有找到針對該令牌的專用標簽,則可選地獲取默認標簽。一旦令牌用于生成標簽集合,則該標簽集合與引用監(jiān)控機460中的安全關(guān)聯(lián)相關(guān)聯(lián)。該安全關(guān)聯(lián)是特定保護環(huán)境或隔離與引用監(jiān)控機460之間的通信連接的唯一標識符。用于生成該安全關(guān)聯(lián)的特定值取決于本發(fā)明的特定實現(xiàn)。例如,在一個說明性實施方式中,例如TCP/IP地址、安全套接字標識符和會話標識符之類的通信標識符的組合可以用于生成唯一的安全關(guān)聯(lián)(SA)??蛇x地,僅安全套接字標識符和會話標識符可以用于生成用于特定保護環(huán)境或隔離的SA。一旦可以針對正由引用監(jiān)控機460管理的每個保護環(huán)境或隔離生成唯一的標識符,就可以使用其他類型的信息和信息的其他組合。在引用監(jiān)控機460內(nèi)生成該唯一的安全關(guān)聯(lián)并且在引用監(jiān)控機460的外部對該安全關(guān)聯(lián)不可訪問。該SA與針對保護環(huán)境/隔離生成的標簽集合相關(guān)聯(lián)地存儲在與引用監(jiān)控機460相關(guān)聯(lián)的數(shù)據(jù)結(jié)構(gòu)中。使用該安全關(guān)聯(lián),引用監(jiān)控機460可以迅速地確定與請求的源相關(guān)聯(lián)的標簽集合。即,通過查看關(guān)于與源保護環(huán)境的通信連接的信息(其例如存在于請求的報頭信息中),引用監(jiān)控機460可以生成用于該請求的SA并且在數(shù)據(jù)結(jié)構(gòu)中執(zhí)行該SA的查找以獲取相關(guān)聯(lián)的標簽集合。這樣,引用監(jiān)控機460用于處理來自保護環(huán)境410-430的"f言息流^"求。令牌可以用于識別可由引用監(jiān)控機460識別的安全屬性。例如,用戶可以使用用戶ID和密碼利用^人證器450進4亍認證。認證器可以提供具有以下屬性的令牌的保護環(huán)境(從該保護環(huán)境中接收用戶的認證請求)"userc"。引用監(jiān)控機460可以接收令牌并且針對保護環(huán)境建立標簽集合。例如,利用Group-DAC(群DAC)和BLP策略運行的引用監(jiān)控機460已經(jīng)可以4吏與"IBM-GROUP"和"NEWHIER-GROUP,,相關(guān)的userc作為Group-DAC分配并且"CONFIDENTIAL"作為BLP分配??梢詫⑦@些標簽添加到用于保護環(huán)境的標簽集合中。保護環(huán)境的SA繼而可以由引用監(jiān)控機460基于用于保護環(huán)境的連接信息而生成。然后,該SA與生成的標簽集合關(guān)聯(lián)地存儲在引用監(jiān)控機460中。之后,當從保護環(huán)境中接收到請求的時候,通過針對請求的連接信息生成SA并且將其用于檢索標簽集合。SA基本上作為保護環(huán)境410-430的內(nèi)部標識符,并且根據(jù)到引用監(jiān)控機460的連接來生成。該安全關(guān)聯(lián)可以在信息流請求中使用從而標識從其接收信息流請求的保護環(huán)境。例如,當保護環(huán)境410-430連接至引用監(jiān)控機460時,其提供保護環(huán)境名稱。該名稱可以與保護環(huán)境所關(guān)聯(lián)的唯一安全關(guān)聯(lián)(外部世界未知的)以及相關(guān)標簽集合關(guān)聯(lián)地存儲在引用監(jiān)控機460中。保護環(huán)境名稱可以由源保護環(huán)境使用以標識信息流請求中的目標保護環(huán)境。例如,保護環(huán)境A可以連接至引用監(jiān)控機460并且將其名稱標識為"PARTITIONA(隔離A)"(在本發(fā)明的上下文中,保護環(huán)境也可稱作"隔離")。保護環(huán)境B可以連接至引用監(jiān)控機460并且將其名稱標識為"PARTITIONB(隔離B)"。如果保護環(huán)境A希望向保護環(huán)境B發(fā)送信息,則保護環(huán)境A向引用監(jiān)控機460發(fā)送信息流請求以指示信息流的目標是"PARTITIONB"。然后,引用監(jiān)控機460將執(zhí)行適當?shù)臉撕灱喜檎?,如下所述,并且?zhí)行針對該信息流請求的授權(quán)決定。標簽集合允許引用監(jiān)控機460對源和目標保護環(huán)境410-430的標簽集合執(zhí)行集合論以確定允許哪些信,包-流以及拒絕哪些信息流,下文將對此進行更詳細的描述?;谝帽O(jiān)控機460做出的關(guān)于是否允許信息流的決定,可以允許通信流經(jīng)目標保護環(huán)境或可以由引用控才幾460阻擋它。引用監(jiān)控機架構(gòu)圖5是根據(jù)一個說明性實施方式的引用監(jiān)控機500的示例性框圖。如圖5所示,引用監(jiān)控機500包括具有偵聽器子組件512的通信管理器(CM)510、信息流居間器(IFM)520、具有決定合并器532和多個策略才莫塊534-538的策略框架530。此外,在運行時間期間,保持保護環(huán)境標簽集合數(shù)據(jù)結(jié)構(gòu)540和資源標簽集合數(shù)據(jù)結(jié)構(gòu)550。偵聽器512偵聽來自于圖4中保護環(huán)境410-430的信息流請求。例如,偵聽器512可以就信息流請求來偵聽特定端口,其中該信息流請求通過保護環(huán)境410-430中的應(yīng)用、設(shè)備和/或系統(tǒng)被引導(dǎo)至該端口。信息流請求例如可以是標識下列的通信消息作為該信息流主體的源、從其獲取資源的信息流的源保護環(huán)境、以及向其提供資源的信息流的目標保護環(huán)境。在一個說明性實施方式中,信息流請求指定目標保護環(huán)境的保護環(huán)境名稱。根據(jù)該保護環(huán)境名稱,與目標保護環(huán)境相關(guān)聯(lián)的標簽集合可以被檢索。根據(jù)在信息流請求中提供的或者從經(jīng)由其接收該信息流請求的端口、套接字等中固有地獲取的連接信息,引用監(jiān)控機可以生成針對該請求的SA并且使用該SA來檢索與源保護環(huán)境相關(guān)聯(lián)的標簽集合。例如,信息流請求可以具有如下包括消息類型和消息體的格式消息類型消息體26表1-信息流請求消息才各式消息類型是向引用監(jiān)控機500發(fā)送或來自于引用監(jiān)控機500的消息的類型,并且消息體包含對應(yīng)于該消息類型的相關(guān)信息。響應(yīng)于接收到信息流請求,如果引用監(jiān)控機500配置在操作的詳細模式中,則可以用響應(yīng)消息進行響應(yīng),如果引用監(jiān)控機500配置為不在操作的詳細模式中,則用應(yīng)答消息進行響應(yīng)。這些不同的消息類型格式化如下消息類型消息體響應(yīng)<結(jié)果><主描述響應(yīng)〉<次描述響應(yīng)〉表2-引用監(jiān)控機響應(yīng)消息格式消息類型消息體應(yīng)答<應(yīng)答消息〉表3-引用監(jiān)控機應(yīng)答消息格式在一個說明性實施方式中,發(fā)送到引用監(jiān)控機500的消息的消息類型可以是infoFlowR叫uestStreamOpen(信息流請求流打開)、infoFlowRequestStreamSend(信息流請求流發(fā)送)、infoFlowRequestStreamClose("[言息;危"i青^^危關(guān)閉)或infoFlowR叫uestResource(信息流請求資源)。將在下文中描述這些信息流請求消息和引用監(jiān)控機500響應(yīng)或應(yīng)答消息中的每個。infoFlowRequestStreamOpen消息類型用于使引用監(jiān)控機對IFM520進行調(diào)用,該IFM520請求信息流請求決定以許可或拒絕從源保護環(huán)境到目標保護環(huán)境的信息流。如果該信息流被許可,則將源和目標安全關(guān)聯(lián)對添加到打開信息流式流表中的條目,該條目用于確定引用監(jiān)控機是否可以將該信息流轉(zhuǎn)發(fā)到目標保護環(huán)境。如杲infoFlowRequestStreamOpen消息導(dǎo)致目標保護環(huán)境的標簽集合^皮更新,則引用監(jiān)控機500將關(guān)閉目標保護環(huán)境的任何現(xiàn)有流,并且將在應(yīng)答消息類型內(nèi)將該流關(guān)閉通知給所有的源保護環(huán)境。infoFlowRequestStreamOpen消息類型具有標識該目標保護環(huán)境的相關(guān)聯(lián)消息體,其中將利用該目標保護環(huán)境建立信息流。在說明性實施方式中,消息體包括目標保護環(huán)境令牌。為了響應(yīng)infoFlowRequestStreamOpen消息,引用監(jiān)控才幾500可以返回如下響應(yīng)消息中的一個消息類型消息體響應(yīng)<結(jié)果〉<主4苗述響應(yīng)〉<次4苗述響應(yīng)>響應(yīng)SUCCESSFLOWGRANTED響應(yīng)SUCCESSFLOW—GRANTEDTARGET—LS—UPDATED響應(yīng)SUCCESSFLOW—DENIED響應(yīng)FAILUREINVALID—PARM響應(yīng)FAILUREMSG—OUT—OF—SEQ響應(yīng)FAILUREINTERNAL—ERROR響應(yīng)FAILURECOMPONET—BUSY表4—只于infoFlowRequestStreamOpen消息的響應(yīng)消息具有包括產(chǎn)生自IFM520的"FLOW—GRANTED"的主描述響應(yīng)的消息導(dǎo)致源和目標保護環(huán)境的安全關(guān)聯(lián)對的新條目被添加到由引用監(jiān)控機500保持的打開信息流式流表格中。具有包括產(chǎn)生自IFM520的"FLOW—DENIED"的主描述響應(yīng)的消息導(dǎo)致源和目標保護環(huán)境安全關(guān)聯(lián)對不被添加到打開信息流式流表格中。類似地,具有"INVALID一PA腹"、"MSG—OUT—OFSEQ"、"INTERNAL—ERROR"、和"COMPONENT—BUSY"的主描述響應(yīng)的消息也導(dǎo)致安全關(guān)聯(lián)對不被添加到打開信息流式流表格中。當IFM520確定必須更新目標標簽集合并且與該目標標簽集合相關(guān)聯(lián)的流關(guān)閉時,具有"TARGET—LS—UPDATED"的次描述響應(yīng)的消息是由引用監(jiān)控機500返回的消息。當引用監(jiān)控機500處于詳細模式中并且當流被引用監(jiān)控機500強迫關(guān)閉時(例如,當infoFlowRequestStreamOpen導(dǎo)致目標標簽集合被更新時),將以下應(yīng)答消息發(fā)送到保護環(huán)境消息類型消息體應(yīng)答<應(yīng)答消息>應(yīng)答i'eferenceMonitorstreamClosed<目標名稱〉表5-流關(guān)閉應(yīng)答消息infoFlowRequestStreamSend消息類型由源保護環(huán)境4吏用,從而一旦引用監(jiān)控機500已經(jīng)許可了信息流,就將信息發(fā)送到目標保護環(huán)境。當引用監(jiān)控機500接收該請求時,引用監(jiān)控機500一驗證打開信息流式流表中存在針對源和目標保護環(huán)境的安全關(guān)聯(lián)對的條目,從而指示之前已經(jīng)許可了該流信息流。然后,引用監(jiān)控才幾500在應(yīng)答消息內(nèi)將該信息轉(zhuǎn)發(fā)到目標保護環(huán)境。以下是infoFlowRequestStreamSend消息的格式消息類型消息體infoFlowRequestStreamSend<目才示名稱〉<4言息、>表6—infoFlowRequestStreamSend消息格式以下是引用監(jiān)控機響應(yīng)于infoFlowRequestStreamSend消息可以生成的各種類型的響應(yīng)消息消息類型消息體響應(yīng)<結(jié)果〉<主描述響應(yīng)><次描述響應(yīng)>響應(yīng)SUCCESSSUCCESS響應(yīng)FAILUREINVALID—PARM響應(yīng)FAILUREMSG—OUT—OF—SEQ響應(yīng)FAILUREREQ—DENIED響應(yīng)FAILUREINTERNAL—ERROR響應(yīng)FAILURECOMPONENT—BUSY表7-對infoFlowRequestStreamSend消息的響應(yīng)消息如果響應(yīng)消息具有產(chǎn)生自IFM520的"SUCCESS"的主描述響應(yīng),那么目標保護環(huán)境從源保護環(huán)境接收信息。其他主描述響應(yīng)將導(dǎo)致目標保護環(huán)境不從源保護環(huán)境接收信息。以下是響應(yīng)于infoFlowRequestStreamSend消息可以生成的應(yīng)答消息格式消息類型消息體應(yīng)答<應(yīng)答消息〉應(yīng)答<源名稱〉<信息>表8-對infoFlowRequestStreamSend消息的應(yīng)答消息例如,引用監(jiān)控機500可以將該應(yīng)答消息用于將信息從源保護環(huán)境發(fā)送到目標保護環(huán)境。infoFlowRequestStreamClose消息類型由源4呆護環(huán)境4吏用以關(guān)閉打開的到目標保護環(huán)境的流。當引用監(jiān)控才幾50CU妻收到該請求時,引用監(jiān)控機500中止從源保護環(huán)境到目標保護環(huán)境的所有流信息流。然后,引用監(jiān)控機500從打開信息流式流表中移除源和目標保護環(huán)境的安全關(guān)耳關(guān)對條目。infoFlowR叫uestStreamClose具有以下格式消息類型消息體infoFlowRequestStreamClose<目標名稱>表9--infoFlowRequestStreamClose消息格式引用監(jiān)控4幾500可以對infoFlowRequestStreamClose消息估文出的響應(yīng)基本上與上述表7中示出的相同,例外之處在于"REQ—DENIED"響應(yīng)消息將不由引用監(jiān)控機500返回。infoFlowR叫uestResom'ce消息類型由源保護環(huán)境4吏用以請求授權(quán)并且將資源(例如,文件、聊天文本或不是連續(xù)數(shù)據(jù)流的一部分的數(shù)據(jù)的其他類型的打包部分)傳遞到目標保護環(huán)境。當引用監(jiān)控機500接收到該消息類型時,引用監(jiān)控機500對IFM520進行調(diào)用,該IFM520請求信息流請求決定以許可或拒絕資源從源保護環(huán)境流動到目標保護環(huán)境。如果信息流被許可,那么在應(yīng)答消息類型內(nèi)將該資源傳輸?shù)侥繕吮Wo環(huán)境。如果請求導(dǎo)致目標保護環(huán)境的標簽集合必須更新,則引用監(jiān)控機500將關(guān)閉目標保護環(huán)境的現(xiàn)有的流,并且如果引用監(jiān)控機500配置在詳細模式中,則其在應(yīng)答消息類型內(nèi)將該流的關(guān)閉通知給源保護環(huán)境。如果信息流被拒絕,則不將資源傳輸?shù)侥繕吮Wo環(huán)境。infoFlowRequestResource消息具有以下格式消息類型消息體infoFlowRequestResource<目標名稱〉<資源〉表10—infoFlowRequestResource消息格式從引用監(jiān)控機500對infoFlowRequestResource消息的可能響應(yīng)基本上與上述表4中示出的相同。當引用監(jiān)控機500許可資源信息流時,將以下應(yīng)答消息發(fā)送到保護環(huán)境消息類型消息體應(yīng)答<應(yīng)答消息〉應(yīng)答<源名稱〉<資源〉表11一對infoFlowRequestResource消息的應(yīng)答消息返回到圖5,當引用監(jiān)控^幾500通過CM510的偵聽器512從保護環(huán)境(例如保護環(huán)境410M姿收到信息流i青求時,CM510向IFM520發(fā)送針對授權(quán)決定的請求。該授權(quán)決定是確定是否允許信息流從源保護環(huán)境(例如保護環(huán)境410)到目標保護環(huán)境(例如,保護環(huán)境430)的一個決定??梢曰趯δ繕吮Wo環(huán)境標簽集合與源保護環(huán)境的標簽集合和資源的標簽集合中的一項或兩項的比較來做出該授權(quán)決定。在i兌明性實施方式中,響應(yīng)于接收到對信息流4受4又的請求,IFM520可以在保護環(huán)境數(shù)據(jù)結(jié)構(gòu)540中執(zhí)行對標識符的查找,例如查找源保護環(huán)境的SA和目標保護環(huán)境的保護環(huán)境名稱。作為該查找操作的結(jié)果,IFM520從保護環(huán)境數(shù)據(jù)結(jié)構(gòu)540檢索源和目標保護環(huán)境的相關(guān)聯(lián)標簽集合,并且向策略框架530提供這些標簽集合。如果查找操作導(dǎo)致源和目標保護環(huán)境中的一個或多個不具有相關(guān)聯(lián)的標簽集合,則可以拒絕該請求??商鎿Q地,可以將默認標簽集合用于不具有相關(guān)聯(lián)標簽集合的保護環(huán)境。除了將標簽集合與源和目標保護環(huán)境關(guān)聯(lián)起來之外,引用監(jiān)控機500還可以使用資源標簽集合數(shù)據(jù)結(jié)構(gòu)550將標簽集合與信息的單獨項即信息對象關(guān)聯(lián)起來。如將在下文中更詳細討i侖的,在一個說明性實施方式中,如果針對信息單獨項的標簽集合存在于引用監(jiān)控機500中,則可以將目標保護環(huán)境的標簽集合與信息單獨項的標簽集合或根據(jù)信息單獨項的標簽集合以及源保護環(huán)境的標簽集合生成的有效標簽集合進行比較。如果針對信息項的標簽集合不存在于引用監(jiān)控機500中,則源保護環(huán)境的標簽集合可以使用并且可以與信息項關(guān)聯(lián)起來。標簽集合基本上定義了安全策略的列表,策略框架530對該安于處理。策略模塊534-538可以使用不同類型的算法中的任意一個來4丸行對標簽集合的評估,從而生成決定。例如,策略才莫塊534-538可以使用長城算法(ChineseWallalgorithm),BellLaPadula強制訪問控制(MAC)算法,群組自主訪問控制(DAC)算法等等。一旦策略模塊534-538處理了所有單獨的評估,則策略框架530合并單獨的決定以生成最終的決定。策略對醫(yī)架530的決定合并器532服務(wù)于合并單獨策略模塊534-538的決定并且使用決定合并器532中提供的合并器策略(即,合并器規(guī)則集合)來產(chǎn)生一個決定,即許可或拒絕信息流。例如,決定合并器532可以通過使用三重邏輯(ternary)來合并每個單獨策略模塊534-538的決定,從而評估來自于可以產(chǎn)生以下結(jié)果的每個策略模塊534-538的結(jié)果GRANTED、DENIED或NO—DECISION。決定合并器532可以基于包含一個或多個合并器策略的合并器策略文件進行操作。默認地,合并器策略文件可以包含如下所述的默認的合并器策略((adminRESULT=GRANTED)OR(blpRESULT=GRANTED))其中admin和blp是兩個策略模塊并且合并器策略指示的是如果這些策略模塊中的任一個返回"GRANTED"結(jié)果,那么許可信息流。管理員可以使用以下語法對合并器策略文件進行定制,其將由32合并器策略解析器來解譯<combinato;r:rule>::=<expression><expression>::=(NOT<expression>)|(<expression>)|(<expression>AND<expression>)|(<expression>OR<expression>)|(<policymodulename>RESULT=<result>)<result>::=GRANTED|DENIEDINO—DECISION在做出關(guān)于將允許還是拒絕特定信息流的決定時,說明性實施方式的機制僅根據(jù)源保護環(huán)境、目標保護環(huán)境的標簽集合和信息的單獨項的標簽集合(即資源標簽集合,如果存在的話)。這樣,從說明性實施方式中的評估中消除了在事務(wù)中正在執(zhí)行的"動作",該"動作"在已知系統(tǒng)中在確定兩個實體是否必須通信時必須考慮。實際上,說明性實施方式的最低限度(minimalist)的引用監(jiān)控機500僅基于對象(即信息流中包含的信息項)的敏感度以及主體(即源和目標保護環(huán)境)的授權(quán)級別來做出決定。這允許引用監(jiān)控機500被看作"黑盒子,,,從而簡化實現(xiàn)并且顯著地減小引用監(jiān)控機500的大小,因為不是每對源和目標實體之間的每個可能的動作都必須在引用監(jiān)控機500建立模型。此外,引用監(jiān)控機500的操作提供的安全級別不取決于所保護知并且不能對其進行修改以提供更好的安全的現(xiàn)有實體時,這是特別重要的。換言之,因為標簽集合和它們的關(guān)聯(lián)完全保持在引用監(jiān)地影響引用監(jiān)控機500提供的安全性。引用監(jiān)控機500的安全性僅取決于標簽集合中定義的安全級別。標簽集合如上所述,說明性實施方式的機制使用標簽集合來監(jiān)管由策略框架530執(zhí)行的安全評估,其中標簽集合可以與隔離名稱和安全關(guān)聯(lián)相關(guān)聯(lián)地存儲在保護環(huán)境數(shù)據(jù)結(jié)構(gòu)540中。引用監(jiān)控機500可以創(chuàng)建和管理這些標簽集合,并且這些標簽集合用于標識需要知道的源和目標安全特征從而針對信息流啦文出授權(quán)決定。類似地,如上所述并且如下討論,可以針對信息的單獨項提供標簽集合并且將其存儲在資源標簽集合數(shù)據(jù)結(jié)構(gòu)550中。圖6是示出了根據(jù)一個說明性實施方式的標簽集合的示例性定義的示例性圖示。如圖6所示,該標簽集合包括與指示〈abelse^jf反本的W反本元素〈version〉相關(guān)聯(lián)的標簽集合名稱元素〈abelset〉。版本元素是分配的數(shù)據(jù)結(jié)構(gòu)的版本號。該版本元素包括主元素〈major〉和次元素〈minor:^主元素是分配的數(shù)據(jù)結(jié)構(gòu)或子結(jié)構(gòu)的主版本號。主元素的范圍是l到(264-1)。次元素是分配的數(shù)據(jù)結(jié)構(gòu)或子結(jié)構(gòu)的次版本號。次元素的范圍是O到(264-1)。W反本元素的主元素禾口次元素可以#皮{人為類似、于4欠4牛;反本號,例如MicrosoftWordTM10.6764,其中10是"主"版本并且6764是"次"版本。主元素和次元素用于確定標簽集合的不同版本是否被比較。例如,引用監(jiān)控機500第一次啟動時,可以創(chuàng)建具有主版本l和次版本0(1.0)的標簽集合。admin策略模塊可以是首次啟動期間唯一可用的策略模塊。雖然引用監(jiān)控4幾500的初始啟動打開并且運行,但是引用監(jiān)控機500管理員可以建立引用監(jiān)控機500以在引用監(jiān)控機500的下次啟動時添加BLP策略模塊。在系統(tǒng)重啟之前,管理員還可以添加資源,該資源為標簽集合僅分配admin策略值,因為其是當時僅有的運行的策略模塊并且獲得分配的主和次版本1.0。在系統(tǒng)重啟之后,添加BLP策略模塊。然后,第一保護環(huán)境(隔離A)可以嘗試向第二保護環(huán)境(隔離B)發(fā)送資源。由于已經(jīng)更新了策略模塊,所以新的主元素和次元素是"1"和"1"或1.1。因此,任何新生成的標簽集合將具有"1.1"版本元素。由于試圖發(fā)送的資源標簽集合是1.0,所以引用監(jiān)控機500知道在評估授權(quán)請求之前需要更新標簽集合。還才是供計數(shù)元素〈coun^指示包括在標簽列表元素〈abellist〉中標簽的數(shù)量。計數(shù)元素的范圍是從1到65535?!磍abel〉進而包括一個策略類型元素〈policy—type〉和一個值元素〈value〉。策略類型元素<policy—type〉是標識與標簽元素相關(guān)聯(lián)的安全策略的4丈舉值。下面表1示出了可以與說明性實施方式才幾制一起使用的策略類型的示例列表。名稱值描述Blp1基于信息敏感度的BellLa-Padula安全模型Groupdac2基于群組成員的自主訪問控制Cw3長i成安全沖莫塊表1-示例策略類型值元素是標識策略值的枚舉值并且是特定于實現(xiàn)的。一個簡單的示例是,對于BLP而言,策略值可以是l、2、3和4以分別表示UNCLASSIFIED(未分類)、CONFIDENTIAL(秘密)、SECRET(機密)和TOPSECRET(纟色密)。例如,對于Groupdac,諸如IBM之類的組織可以具有值l、2、3、4和5以分別表示IBMER(IBM人員)、CONTRACTOR(合同人員)、NEWHIRE(新雇人員)、MGR、EXECUTIVE(執(zhí)行人員)。作為IBM正式雇員以及最近新雇傭的人員將因此具有包括值1和3的標簽集合。因此,policy—type標識將應(yīng)用哪個策略并且該策略值標識該策略評估哪些特定的策略值。策略類型和策略值的合并對保護環(huán)境或資源的安全屬性做出了完整表示。例如,如果保護環(huán)境用于表示用戶,那么用戶的標簽集合可以具有用于運行BLP和GROUPDAC策i亥木亍簽元素略模塊的引用監(jiān)控機500的以下值:策略類型1(BIJP)策略值3(機密)策略類型1(BKP)策略值2(秘密)策略類型1(BLP)策略值1(未分類)策略類型2(GROUPDAC)策略值1(IBM人員)策略類型2(GROUPDAC)策略值3(新雇人員)根據(jù)該標簽集合,可以確定用戶是IBM的常規(guī)雇員、新雇員,并且可對未分類的、秘密的和機密的信息進行訪問。說明性實施方式生成的標簽集合僅按照敏感度而不是按照用于轉(zhuǎn)換或傳輸信息的操作來描述信息。對關(guān)注的該分離使得能夠通過將安全策略評估的語義從應(yīng)用的數(shù)據(jù)操縱語義中解耦合來實現(xiàn)非常簡單的策略決定機制。此外,標簽集合提供用于定義針對源和目標的單個安全屬性類型的機制,即包括一組安全屬性標簽的標簽集合。這樣,說明性實施方式的機制消除了主動主體和被動資源之間的區(qū)別。說明性實施方式的標簽集合將它們的注意限制到源和目標之間的信息流,每個信息流具有相同的抽象安全屬性類型。在使用這些標簽集合執(zhí)行關(guān)于是否對信息流進行授權(quán)或拒絕的決定中,策略框架可以使用從利用集合合并、交叉和補操作的源和目標標簽集合構(gòu)建而來的相對簡單的集合論組。因此,如果策略框架決定源和目標標簽集合是"兼容的",則策略框架允許該信息流。這樣,單個簡單規(guī)則可以用于控制任何源和任何目標之間從源到目標的所有信息流。該相同規(guī),則還可以應(yīng)用于AU壬何目標(其現(xiàn)在作為源來操作)到任何源(其現(xiàn)在作為目標來操作)的反向流。按照規(guī)則應(yīng)用簡單集合論以確定是否允許信息流。作為解釋可能通過使用標簽集合在策略框架中產(chǎn)生的功能性的例子,考慮在圖7A和7B中提供的兩個示例標簽集合。圖7A是根據(jù)一個說明性實施方式的可以與第一保護環(huán)境相關(guān)聯(lián)的第一標簽集合的示例性圖示。圖7B是根據(jù)一個說明性實施方式的可以與第二保護環(huán)境相關(guān)聯(lián)的第二標簽集合的示例性圖示。在圖7A的標簽集合700中,提供具有三個標簽720、730和740的標簽列表710,因此,計數(shù)元素702設(shè)置為值"3"。三個標簽720、730和740具有為"3"、"2"和T的枚舉值722、732和742。標簽722對應(yīng)于"機密,,的敏感度級別,標簽732對應(yīng)于"秘密"的敏感度級別,并且標簽742對應(yīng)于"未分類"的敏感度級別。此外,每個標簽具有值為"1"的相關(guān)聯(lián)安全策略類型724、734和744,這在該特定例子中例如對應(yīng)于"多級別,,或"MLS"安全策略。在圖7B的標簽集合750中,提供具有單個標簽770的標簽列表760,因此計數(shù)元素752設(shè)置為值"1"。標簽770具有'T,的枚舉值772。因此,標簽770對應(yīng)于"未分類"的敏感度級別。類似于標簽集合700中的安全策略類型,標簽770具有安全策略類型"1"。如關(guān)于圖5所討論的,為了響應(yīng)來自于源保護環(huán)境的信息流請求,引用監(jiān)控機500的信息流居間器520從保護環(huán)境數(shù)據(jù)結(jié)構(gòu)540和資源標簽集合數(shù)據(jù)結(jié)構(gòu)550中檢索源保護環(huán)境、目標保護環(huán)境以及可能的作為信息流主體的信息項的標簽集合。在該特定示例中,將假設(shè)標簽集合700對應(yīng)于源保護環(huán)境并且標簽集合750對應(yīng)于目標保護環(huán)境,并且沒有使用信息項的標簽集合。將檢索到的標簽集合700和750提供給解析標簽集合700和750并且確定在標簽集合的各種標簽中標識哪些策略類型的策略框架。然后,將標簽集合700和750提供給對應(yīng)于標簽集合700和750中標識的策略類型的策略模塊534-538。然后,策略才莫塊534-538生成關(guān)于許可還是拒絕信息流的決定。將這些決定返回給使用決定合并器532來合并這些決定的策略框架530。決定合并器532合并各種決定以生成關(guān)于將許可還是拒絕該信息流的單個決定。將最終決定提供給通信管理器510,然后該管理器510操作以允許信息流繼續(xù)到目標保護環(huán)境或阻止該信息流。在本示例中,策略框架530解析標簽集合700和750并且確定由標簽集合700和750中對應(yīng)于"MLS"安全策略的標簽來使用安全策略類型'T,。結(jié)果,策略框架530可以將標簽集合700和750發(fā)送到對應(yīng)于"MLS"安全策略的策略模塊534。在本示例中,MLS安全策略包含-見定如果符合以下條件則信息可以從源保護環(huán)境流向目標保護環(huán)境的規(guī)則if{mlsvaluesofsource}is—subset—of{mlsvaluesoftarget}將該規(guī)則應(yīng)用于標簽集合700和750導(dǎo)致拒絕從源保護環(huán)境到目標保護環(huán)境的信息流。這是因為標簽集合700中的值不是標簽集合750中的值的子集,即集合{3,2,1}不是集合{1}的子集。換言之,因為信息不能從潛在的機密源保護環(huán)境流向未分類的保護環(huán)境,所以信息流;f皮阻止。另一方面,可以在相反方向(即從目標保護環(huán)境(其現(xiàn)在充當源)到源保護環(huán)境(其現(xiàn)在充當目標))上的相同MLS策略和規(guī)則下對信息流進行授權(quán)。這是因為集合{1}是集合{3,2,1}的子集。換言之,信息可以從未分類的源保護環(huán)境流向潛在的機密目標保護環(huán)境。一旦已經(jīng)使用說明性實施方式的引用監(jiān)控機500對信息流進行了授權(quán),則可以繼續(xù)從源保護環(huán)境到目標保護環(huán)境的信息流,而無需等到信息流的流出現(xiàn)不連續(xù)時才再次執(zhí)行授權(quán)。即,說明性實施方式的機制可以用于對從源保護環(huán)境到目標保護環(huán)境的信息流的流進行授權(quán)。護環(huán)境到目標保護環(huán)境的信息的單個傳輸進行授權(quán),諸如在文件傳輸?shù)那闆r中。對于該機制用于對信,包、流的流進行授權(quán)或信息的單個傳輸進行授權(quán),說明性實施方式的機制基本上具有相同的操作。如上所述,不僅可以基于源和目標保護環(huán)境的標簽集合,而且可以基于正在傳輸?shù)男畔⒌奶囟椀臉撕灱蟻斫⒉呗砸?guī)則以用于執(zhí)行授權(quán)。然而,應(yīng)該指出,甚至當在授權(quán)操作中考慮信息項的標簽集合時,決定也僅基于信息項以及源和目標保護環(huán)境的敏感度。即,源和目標保護環(huán)境的標簽集合是源和目標保護環(huán)境可以保持的信息的敏感度的量度。信息項的標簽集合是信息項的敏感度的量度。因此,關(guān)于許可還是拒絕信息流的決定基于包含在信息流中實體的敏感度,而不基于作為信息流一部分執(zhí)行的特定動作,例如讀取、寫入等。在一個說明性實施方式中,當使用與源和目標保護環(huán)境以及信息項相關(guān)聯(lián)的標簽集合時,信息流居間器520首先嘗試從資源標簽集合數(shù)據(jù)結(jié)構(gòu)550中檢索與信息項相關(guān)聯(lián)的標簽集合。如果沒有建立針對該信息項的標簽集合,那么在由策略框架530.進行的評估中使用針對源保護環(huán)境的標簽集合,即根據(jù)可應(yīng)用的策略規(guī)則將源保護環(huán)境的標簽集合與目標保護環(huán)境的標簽集合進行比較以確定許可還是拒絕該信息流。如果針對信息項而言標簽集合出現(xiàn)在資源標簽集合數(shù)據(jù)結(jié)構(gòu)550中,那么該標簽集合與源保護環(huán)境標簽集合一起使用,并且因此由策略框架530將其與目標保護環(huán)境標簽集合進行比較以確定許可還是拒絕該信息流。在可替換實施方式中,當確定是許可還是拒絕信息流的時候,可以通過策略框架530來確定針對源保護環(huán)境、目標保護環(huán)境和信息項的所有標簽集合。例如,可以建立對所有三個集合執(zhí)行集合論操作的安全策略規(guī)則。當然,此類實施方式更復(fù)雜并且將需要額外的處理周期來執(zhí)行策略評估。然而,對信息流的更復(fù)雜的控制可以通過在策略評估中包括所有三個標簽集合而變得可能。而且,在一個說明性實施方式中,如果為作為該信息流主體的信息項提供標簽集合,則可以根據(jù)與安全策略規(guī)則模塊相關(guān)聯(lián)的合并規(guī)則將該標簽集合與源保護環(huán)境的標簽集合進行合并以生成有效的標簽集合。該有效的標簽集合繼而可以與策略框架的策略模塊中的目標標簽集合進行比較以生成授權(quán)決定。因此,如上所示,說明性實施方式的標簽集合提供一種簡單的機制,用于定義與所述標簽集合相關(guān)聯(lián)的保護環(huán)境的敏感度。對這些標簽集合的使用允許簡化應(yīng)用于這些標簽集合的安全策略,因為此類安全策略僅需要如標簽集合定義的那樣關(guān)注源、目標以及可能的信息項的敏感度。因為在授權(quán)過程期間將正在執(zhí)行的特定動作從考慮中移除,所以該安全策略不需要具有監(jiān)管每個可能動作的規(guī)則,其中該動作可以由源和目標的每種組合來執(zhí)行。安全策略評估的語義與數(shù)據(jù)操縱的語義的該解耦合極大地降低了組成安全策略的安全策略和規(guī)則的復(fù)雜性。而且,為了基于這些敏感度做出決定,可以將筒單集合論操作用于定義對標簽集合執(zhí)行操作的安全策略的規(guī)則。因為安全策略使用集合論來實現(xiàn)它們的相關(guān)算法,所以規(guī)則的相同小集合可以應(yīng)用于任何信息流請求而不論特定的源保護環(huán)境和目標保護環(huán)境如何。而且,由于涉及信息流的所有實體(即,源和目標保護環(huán)境以及信息項)使用相同的安全屬性類型(即,標簽集合),所以避免了與區(qū)分在安全策略中必須支持的屬性類型相關(guān)聯(lián)的問題。因此,說明性實施方式的機制極大地簡化了用于監(jiān)管信息流的安全框架的實現(xiàn)。由于該簡化,引用監(jiān)控機可以處理信息流的速率提高了。此外,因為標簽集合和安全策略完全保持在引用監(jiān)控機內(nèi),所以篡改標簽集合或安全策略變得更加困難,并且與安全機制的元素被分布到非安全計算設(shè)備的系統(tǒng)相比,該系統(tǒng)的整體安全性得到提升。關(guān)聯(lián)標簽集合與資源再次參考圖5,諸如在資源標簽集合數(shù)據(jù)結(jié)構(gòu)550中可以以很多不同的方式將安全標簽與資源關(guān)聯(lián)起來。為了建立高度可保證的系統(tǒng),管理這些標簽集合的機制(例如引用監(jiān)控機500)應(yīng)該避免在處理信息流請求時偶然地破壞標簽集合。此外,系統(tǒng)應(yīng)該消除對標簽集合進行惡意改變的可能性,即使該修改是由具有特權(quán)的系統(tǒng)管理人員做出的。一個可能性是將標簽集合信息與其所應(yīng)用于的資源一起存儲,其中該資源是例如文件、聊天文本的一部分或不是連續(xù)數(shù)據(jù)流的一部分的數(shù)據(jù)的其他打包部分的信息項,并且實現(xiàn)特定的特權(quán)和授權(quán)機制以限制對標簽集合信息的訪問。該方法存在兩個問題。第一,管理信息項以及關(guān)聯(lián)標簽集合信息的系統(tǒng)中的整體故障可以導(dǎo)致對標簽集合的未授權(quán)改變。即,如果用戶可以改變文件系統(tǒng)上的文件,則他們也可以改變隨文件存儲在文件系統(tǒng)上的標簽列表。根據(jù)這里的說明性實施方式,盡管用戶能夠改變該文件系統(tǒng)上的文件,但是用戶不能改變引用監(jiān)控機500內(nèi)的標簽集合,因為該標簽集合在引用監(jiān)控機500的外部不可訪問。第二,不能對沒有設(shè)計為支持標簽集合的應(yīng)用進行保護。即,在此類實施方式中,因為安全機制(即引用監(jiān)控機500)期望應(yīng)用或保護環(huán)境將標簽集合信息傳遞到安全機制,所以如果應(yīng)用或保護環(huán)境不支持標簽集合信息的使用,則它不能向安全機制提供必要的標簽集合信息。結(jié)果,安全機制不能訪問用于應(yīng)用或保護環(huán)境的標簽集合信息,并且因此不能確保來自于應(yīng)用或保護環(huán)境的信息流的安全。說明性實施方式的機制通過使得能夠在可信計算基礎(chǔ)(即,引用監(jiān)控機500)內(nèi)存儲信息標簽集合來解決這些問題,其中可信計算基礎(chǔ)與存儲信息本身的庫(即保護環(huán)境中的庫)分離開來。說明性實施方式的機制將標簽集合與信息關(guān)聯(lián)起來,例如通過使用可以在資源標簽集合數(shù)據(jù)結(jié)構(gòu)550中提供的哈希表,標簽集合引用該信息。例如,基于資源(例如,信息項)的內(nèi)容由引用監(jiān)控機500的信息流居間器520生成哈希鍵。哈希鍵用作標簽集合中表(例如,資源標簽集合數(shù)據(jù)結(jié)構(gòu)550)的索引,并且可以用于檢索與作為哈希鍵基礎(chǔ)的信息的特定項相關(guān)聯(lián)的標簽集合。引用監(jiān)控機500第一次遇到資源時,引用監(jiān)控機500的信息流居間器520計算資源的哈希鍵并且將合適的標簽集合以對應(yīng)于計算的哈希鍵的索引存儲在資源標簽集合數(shù)據(jù)結(jié)致正被標識的標簽集合數(shù)據(jù)結(jié)構(gòu)550的匹配條目。如果資源還沒有由管理員寄存在引用監(jiān)控機500中,那么資源將采用與源保護環(huán)境相同的標簽集合。作為哈希表中索引的哈希鍵的產(chǎn)生在本領(lǐng)域中是公知的,并且因此在此不提供散列的細節(jié)。一旦已經(jīng)為資源分配了標簽集合,那么對該資源的任何重命名(例如,對文件的重命名)不影響哈希鍵與標簽集合之間的關(guān)聯(lián),因為該哈希鍵是基于資源的內(nèi)容生成的,該資源的內(nèi)容在該情況中因此不改變與資源相關(guān)的標簽集合。然而,從引用監(jiān)控機500的角度看來,資源內(nèi)容中的任何改變都創(chuàng)建了新的資源、新的哈希鍵和新的標簽集合關(guān)聯(lián)。因此,甚至于資源內(nèi)容中的單個比特的改變都使得針對資源創(chuàng)建了新的哈希表條目。哈希表允許可信計算基礎(chǔ)(例如,引用監(jiān)控機500)有效地識別資源并且在允許資源本身存儲在可信計算基礎(chǔ)之外時將它們的標簽集合存儲在未修改的以及可能不可信任的應(yīng)用中。為了避免與偶然或惡意地引入的哈希沖突相關(guān)聯(lián)的問題,可以在資源標簽集合數(shù)據(jù)結(jié)構(gòu)550中使用多維哈希表??梢栽诙嗑S哈希表的每個維度中使用不同的哈希函數(shù)。因此,產(chǎn)生將需要"偽造"標簽集合的表索引沖突要求對方(adversary)發(fā)現(xiàn)其哈希映像與同時位于用于實現(xiàn)多維表的所有哈希函數(shù)中的所選資源的哈希映射相沖突的字符串。這是非常不可能的,并且這提供了關(guān)于哈希鍵與資源標簽集合之間的關(guān)聯(lián)的極大的安全性。將哈希表用于將資源和標簽集合進行關(guān)聯(lián)確保了與特定數(shù)據(jù)相關(guān)聯(lián)的標簽集合可以總是由可信計算基礎(chǔ)(引用監(jiān)控機500)恢復(fù),并且應(yīng)用的信息存儲格式不必改變以支持標簽集合,因為標簽集合不隨它們所應(yīng)用至的信息一起存儲。而且,無論數(shù)據(jù)以何種方式改變,可信計算基礎(chǔ)(引用監(jiān)控機500)可以識別該改變,因為修改的數(shù)據(jù)將具有不同的散列,并且其可以確定新標簽集合需要應(yīng)用于修改的數(shù)據(jù)。而且,起源于應(yīng)用或可信計算基礎(chǔ)外部任何地方的非整體故障或惡意動作可以修改數(shù)據(jù)與其標簽集合之間或標簽集合本身之間的關(guān)聯(lián),因為關(guān)聯(lián)和標簽集合兩者都存儲在可信計算基礎(chǔ)內(nèi)并且從來不向可信計算基礎(chǔ)外傳遞。圖8和圖9提供示出了在處理信息流請求時使用哈希表來關(guān)聯(lián)標簽集合與資源的示例。圖8示出了在對應(yīng)于資源的條目出現(xiàn)在哈希表中時的示例。圖9示出了在對應(yīng)于資源的條目沒有出現(xiàn)在哈希表中時的示例。如圖8所示,應(yīng)用一2向資源—系統(tǒng)請求資源_2。因此,資源—系統(tǒng)將位于源保護環(huán)境810中,應(yīng)用_2將在目標保護環(huán)境820中,并且資源_2是信息流的信息項。將該請求提供給可信計算基礎(chǔ)830,例如,其在說明性實施方式中是引用監(jiān)控才幾500。雖然說明性實施方式將可信計算基礎(chǔ)830考慮為引用監(jiān)控機500,但是本發(fā)明不限于此,并且在不偏離本發(fā)明的精神和范圍的情況下可以使用任何可信計算基礎(chǔ)??尚庞嬎慊A(chǔ)諸如經(jīng)由圖4中的通信介質(zhì)440截取該請求。該請求可以是諸如如上所述的信息流請求,其標識目標保護環(huán)境820的名稱。源保護環(huán)境的安全關(guān)聯(lián)和目標保護環(huán)境的名稱可以與保護環(huán)境數(shù)據(jù)結(jié)構(gòu)840—起用于纟全索與保護環(huán)境810和820相關(guān)聯(lián)的標簽集合。為了響應(yīng)該信息流請求,可信計算基礎(chǔ)830從源保護環(huán)境810檢索信息項(即資源一2)的內(nèi)容,并且對該信息項的全部內(nèi)容執(zhí)行合適的哈希函數(shù)。該哈希函數(shù)可以是單個哈希函數(shù),或在多維哈希表實施方式的情況中,該哈希函數(shù)可以是不同類型的多個哈希函數(shù)。將作為結(jié)果的哈希鍵用于資源標簽集合數(shù)據(jù)結(jié)構(gòu)850中的索引。在所述示例中,針對生成的哈希鍵的條目出現(xiàn)在資源標簽集合數(shù)據(jù)結(jié)構(gòu)850中。結(jié)果,可信計算基礎(chǔ)830從資源標簽集合數(shù)據(jù)結(jié)構(gòu)850中檢索標簽集合_2,并且將該標簽集合—2與源保護環(huán)境的標簽集合結(jié)合(標簽集合一l)使用以創(chuàng)建有效的標簽集合。將該有效的標簽集合與目標保護環(huán)境820的標簽集合(即基于信息流請求中提供的目標保護環(huán)境820的名稱從保護環(huán)境數(shù)據(jù)結(jié)構(gòu)840中獲取的標簽集合—4)進行比較。如上所述,根據(jù)使用圖5中的策略框架530以及其相關(guān)聯(lián)策略模塊534-538和決定合并器532而在所檢索的標簽集合中標識的策略執(zhí)行該比較?;诒容^結(jié)果,許可或拒絕該信息流。如果許可,則將允許被請求的資源(即資源—2)流向目標保護環(huán)境820。如果拒絕,則可信計算基礎(chǔ)830阻止被請求的信息流(即資源—2)到目標保護環(huán)境820并且可以向請求方(例如,目標保護環(huán)境820中的應(yīng)用—2)返回錯誤消息。如圖9所示,在另一個示例中,^丸行類似的操作,其中應(yīng)用—1向資源—系統(tǒng)請求資源—1。在該示例中,應(yīng)用—1是目標保護環(huán)境860并且資源—系統(tǒng)是源保護環(huán)境。資源—系統(tǒng)向可信計算基礎(chǔ)830發(fā)送信息流請求來請求將資源—1發(fā)送到應(yīng)用—1。在該情況中,當從源保護環(huán)境810中檢索到資源—1時,資源—1的全部內(nèi)容的散列在資源標簽集合數(shù)據(jù)結(jié)構(gòu)850中不具有相關(guān)條目。在該情況中,可信計算基礎(chǔ)830以對應(yīng)于針對資源—1的內(nèi)容計算的哈希鍵的索引將與源保護環(huán)境相關(guān)聯(lián)的標簽集合(例如,標簽集合—1)存儲在資源標簽集合數(shù)據(jù)結(jié)構(gòu)850的哈希表的條目中。然后,可信計算基礎(chǔ)830將針對源保護環(huán)境810的標簽集合(即,標簽集合一l)與針對目標保護環(huán)境860的標簽集合進行比較以確定將許可還是將拒絕該信息流請求。應(yīng)該指出,在上述操作中,標簽集合的任何有關(guān)信息或?qū)撕灱吓c資源關(guān)聯(lián)起來的任何有關(guān)信息在任何時刻都不從可信計算基礎(chǔ)830傳遞到可信計算基礎(chǔ)830之外的任何應(yīng)用、系統(tǒng)或^f呆護環(huán)境。因此,確保了標簽集合以及標簽集合與資源的關(guān)聯(lián)相對于無意或惡意修改的安全性。還應(yīng)該指出,雖然所述示例示出了與資源相關(guān)聯(lián)的標簽集合(例如信息項)或源保護環(huán)境與目標保護環(huán)境標簽集合之間的比較,但是本發(fā)明不限于此。而是,如上所述,在更復(fù)雜的實施方式中,可以建立策略和規(guī)則來比較所有的三個標簽集合以確定許可或拒絕信息流請求。因此,說明性實施方式提供用于以安全方式將標簽集合與資源和保護環(huán)境關(guān)聯(lián)起來并且使用這些具有策略的標簽集合對信息流進行授權(quán)或拒絕的機制。為了將標簽集合與資源和保護環(huán)境關(guān)聯(lián)起來提供安全索引機制和令牌關(guān)聯(lián)機制。標簽集合本身提供一種機制,用于通過允許按照將集合論操作應(yīng)用于標簽集合以確定許可還是拒絕信息流以定義策略和規(guī)則來簡化策略決定。圖10-12是示出了用于將標簽集合與保護環(huán)境和資源關(guān)聯(lián)起來并且使用此類標簽集合對信息流請求執(zhí)行4受權(quán)操作的說明性實施方式的示例性操作的流程圖。應(yīng)該理解,可以通過計算機程序指令實現(xiàn)流程圖中的每個框以及流程圖中框的組合??梢詫⑦@些計算^/L程序指令提供給處理器或其他可編程數(shù)據(jù)處理裝置以制造機器,以便在處理器或其他可編程數(shù)據(jù)處理裝置上執(zhí)行的該指令創(chuàng)建用于實現(xiàn)在流程圖框或多個框中指定的功能的裝置。這些計算機程序指令還可以存儲在計算機可讀存儲器或存儲介質(zhì)中,其可以引導(dǎo)處理器或其他可編程數(shù)據(jù)處理裝置以特定的方式執(zhí)行功能,從而存儲在計算機可讀存儲器或存儲介質(zhì)中的指令生產(chǎn)產(chǎn)品,該產(chǎn)品包括實現(xiàn)在流程圖框或多個框中指定的功能的指令裝置。因而,流程圖的框支持用于執(zhí)行指定功能的裝置的組合、用以執(zhí)行指定功能的步驟組合以及用于執(zhí)行指定功能的程序指令裝置。還應(yīng)該理解,流程圖的每個框以及流程圖中的框的組合可以通過執(zhí)行特定功能或步驟的基于專用硬件的計算機系統(tǒng)或?qū)S糜布陀嬎銠C指令來實現(xiàn)。圖IO是示出了用于許可應(yīng)用、設(shè)備、系統(tǒng)等的令牌從而建立保護環(huán)境的示例性操作的流程圖。雖然在圖IO中示出的操作可以用于認證并且生成用于信息流請求的應(yīng)用、設(shè)備、系統(tǒng)和其他源的保護環(huán)境,為了該描述的簡化,假設(shè)認證的實體是應(yīng)用。如圖IO所示,由從應(yīng)用接收認證宣告的認證器啟動操作(步驟IOIO)。使用任何已知的認證方法(例如,密碼認證、安全證書等)對該應(yīng)用進行認證(步驟1020)。認證器確定應(yīng)用是否已被成如果沒有,則認證器不向該應(yīng)用發(fā)布令牌并且向該應(yīng)用返回錯誤消息(步驟1040)。如果應(yīng)用已經(jīng)被成功認證,則認證器向該應(yīng)用發(fā)布令牌(步驟1050)。還將令牌提供給引用監(jiān)控機(步驟1060),該引用監(jiān)控機使用該令牌以生成用于保護環(huán)境數(shù)據(jù)結(jié)構(gòu)中的應(yīng)用的合適的標簽集合(步驟1070)。基于連接信息生成用于保護環(huán)境的安全關(guān)聯(lián)并且然后將該安全關(guān)聯(lián)與生成的標簽集合關(guān)聯(lián)地進行存儲(步驟1080)。然后,」操作終止。圖11是示出了用于根據(jù)說明性實施方式將資源與標簽集合關(guān)聯(lián)起來的示例性操作的流程圖。如圖11所示,由接收資源內(nèi)容以及針對其生成并且關(guān)聯(lián)標簽集合的安全屬性的引用監(jiān)控機啟動操作(步驟1110)。引用監(jiān)控機通過對資源的全部內(nèi)容執(zhí)行至少一個哈希函數(shù)來生成哈希鍵(步驟1120)。引用監(jiān)控機根據(jù)提供的安全屬性生成標簽集合并且將資源的標簽集合與生成的哈希鍵關(guān)聯(lián)起來(步驟1130),并且以對應(yīng)于哈希鍵的索引將標簽集合存儲在哈希表數(shù)據(jù)集結(jié)構(gòu)中(步驟1140)。然后操作終止。圖12是示出了用于根據(jù)一個說明性實施方式的對信息流請求進行認證的示例性操作的流程圖。如圖12所示,操作開始于引用監(jiān)控機接收來自于保護環(huán)境的信息流請求(步驟1210)。引用監(jiān)控機基于針對源保護環(huán)境生成的安全關(guān)聯(lián)以及通過信息流請求傳遞的目標保護環(huán)境的名稱從保護環(huán)境數(shù)據(jù)結(jié)構(gòu)中檢索用于源和目標保護環(huán)境的標簽集合(步驟1220)。引用監(jiān)控機從其源保護環(huán)境中檢索作為信息流請求主體的資源(步驟1230)。可選地,如果正在執(zhí)行單個信息傳輸,則引用監(jiān)控機可以通過使用針對所檢索資源的全部內(nèi)容進行的至少一個哈希函數(shù)來生成哈希值(步驟1240)。然后,引中執(zhí)行查找操作(步驟1250)。然后,引用監(jiān)控機可選地可以確定是否以對應(yīng)于哈希值的索引標識了資源標簽集合數(shù)據(jù)結(jié)構(gòu)中的有效條目(步驟1260)。如果是,則引用監(jiān)控機從資源標簽集合數(shù)據(jù)結(jié)構(gòu)的標識的條目中檢索標簽集合(步驟1270)。如果不是,則引用監(jiān)控機從保護環(huán)境數(shù)據(jù)結(jié)構(gòu)中檢索源保護環(huán)境的標簽集合(步驟1280)。然后,引用監(jiān)控機以對應(yīng)于生成的哈希值的索引在資源標簽集合數(shù)據(jù)結(jié)構(gòu)中生成條目并且將源保護環(huán)境的標簽集合存儲在該條目中(步驟1290)。應(yīng)該理解,如果正在執(zhí)行信息的單個傳輸,即資源正在源保護環(huán)境和目標保護環(huán)境之間傳輸,則扭J亍步驟1230-1290。在流信息流的情況中,在圖12示出的操作中可以略過步驟1230-1290。引用監(jiān)控機解析源和目標保護環(huán)境的標簽集合,并且可選地解析資源的標簽集合以識別標簽集合中引用的安全策略(步驟1300)。引用監(jiān)控機識別哪些策略模塊對應(yīng)于識別的安全策略(步驟1310)并且將該標簽集合發(fā)送到識別的策略模塊(步驟1320)。策略模塊可選地可以根據(jù)資源和源標簽集合生成有效的標簽集合,并且然后將該安全策略應(yīng)用于該標簽集合以生成關(guān)于是否許可該信息流請求的決定(步驟1330)。決定合并器將來自于各種策略模塊的各種決定合并為關(guān)于是否應(yīng)該許可該信息流請求的單個決定(步驟1340)。引用監(jiān)控機確定是否應(yīng)該許可該信息流請求(步驟1350)。如果許可,則引用監(jiān)控機傳遞該資源或允許信息流到達目標保護環(huán)境(步驟1360)。如果不許可,則引用監(jiān)控機阻止該資源或信息流傳遞到目標保護環(huán)境并且向該信息流請求的提交者返回錯誤消息(步驟1370)。然后操作終止。處理信,l流請求的示例以下是處理信息流請求的示例。提供這些示例以示出各種可能的信息流處理操作,這些操作可以使用上述說明性實施方式的機制來執(zhí)行。如上所述,存在兩個由說明性實施方式的機制處理的信息流類型信息流和資源傳輸。第一,討論處理信息流請求的示例之后將對處理資源信息流請求的示例進行討論當嘗試打開信息流式流時,保護環(huán)境中的請求實體可以使用,t、流請求流打開方法來請求打開請求實體和目標實體之間的信息流式流。為了響應(yīng)調(diào)用信息流請求流打開方法,可能遇到三種情況(1)許可信息流請求流打開請求;(2)拒絕信息流請求流打開請求;(3)利用目標標簽集合更新來許可信息流請求流打開請求。下面描述這些情況中的每一個。在第一種情況中,描述了利用詳細模式中的引用監(jiān)控機許可流打開的成功的infoFlowR叫uestStreamOpen方法調(diào)用。在該示例中,第一保護環(huán)境(此后稱作"隔離")(即,隔離l)向引用監(jiān)控機的通信管理器發(fā)送具有目標隔離名稱(隔離2)的infoFlowR叫uestStreamOpen請求。引用監(jiān)控機的通信管理器首先調(diào)用cm—check—partitionJable()以確保源隔離在隔離表中具有條目,例如,可以在保護環(huán)境數(shù)據(jù)結(jié)構(gòu)540中提供該隔離表。接下來,引用監(jiān)控才幾的通信管理器(CM)調(diào)用cm—get—target—security—association()以獲得目標隔離的安全關(guān)聯(lián)。通過調(diào)用cm—check—exisiting—open—stream()進^亍最終的^全查以確<呆;危已經(jīng)不存在。在這些纟全查完成之后,CM通過利用源安全關(guān)耳關(guān)和目標安全關(guān)聯(lián)作為參數(shù)來調(diào)用ifm—authorize—stream—open(),從而對信息流居間器(IFM)進行調(diào)用以請求對打開信息流式流進行授權(quán),并且等待響應(yīng)。IFM首先對ifm—getjabelset()進行兩個獨立的內(nèi)部調(diào)用以獲得源和目標隔離兩者的相關(guān)聯(lián)標簽集合。這些標簽集合可以從IFM隔離標簽集合表(其例如也可以作為保護環(huán)境數(shù)據(jù)結(jié)構(gòu)540的一部分來提供)中檢索。接下來,IFM調(diào)用pf_auth—decision()以向策略框架請授權(quán)決定。策略框架返回SUCCESS(成功)的結(jié)果碼以及指示流被許可的FLOW—GRANTED(流被許可)的主碼。NULL(空)作為用于新目標標簽集合的值返回,作為pf—auth—decision()調(diào)用的結(jié)果。IFM向CM發(fā)送成功響應(yīng)以指示許可信息流。當調(diào)用成功完成時,指示流被GRANTED(許可)的主理由碼包括在響應(yīng)中。然后,CM通過調(diào)用cm—add—open—steam—entry()將源和目標安全關(guān)聯(lián)對添加到與CM關(guān)聯(lián)地保持的打開信息流式流表中,并且向隔離1發(fā)送指示信息流被許可的成功消息。在第二種情況中,描述了拒絕流打開的成功的infoFlowRequestStreamOpen方法調(diào)用。在該示例中,隔離1向CM發(fā)送具有目標隔離名稱(隔離3)的infoFlowRequestStreamOpen請求。然后,CM進行與關(guān)于第一情況描述的順序相同的檢查。在這些檢查完成之后,如上所述,CM^妄下來對IFM進行調(diào)用以請求對打開信息流進行授權(quán)。然而,在該情況中,pf一auth—decision()返回SUCCESS的結(jié)果碼以及指示拒絕該流的FLOW—DENIED的主碼。NULL作為用于新目標標簽集合的值(指示對目標標簽集合沒有進4亍更新)返回,作為pf—auth—decision()調(diào)用的結(jié)果。當調(diào)用成功完成時,指示流被拒絕的主理由碼包括在響應(yīng)中。由于來自于IFM的拒絕響應(yīng),CM不〗奪該流添加到打開^[言息流式流表中。取代的是,CM向隔離1發(fā)送指示信息流被拒絕的成功消息。在第三種情況中,描述了導(dǎo)致目標隔離的安全屬性的更新的許可流打開請求的成功的infoFlowRequestStreamOpen方法調(diào)用。此夕卜,將引用監(jiān)控^^配置為詳細才莫式。在該示例中,隔離4向CM發(fā)送帶有目標隔離名稱(隔離2)的infoFlowRequestStreamOpen請求。然后,CM進行與關(guān)于第一情況描述的順序相同的檢查。在這些檢查完成之后,CM對IFM進行調(diào)用以請求對打開信息流進行授權(quán)。策略框架返回SUCCESS的結(jié)果碼以及指示允許該流的FLOW—GRANT的主碼。新的目標標簽集合也/人pf一auth—decision()調(diào)用中返回。然后,IFM對ifm—update_partition—table()進^亍內(nèi)部調(diào)用,其通過從pf一auth—decision()返回的新標簽集合來更新目標隔離條目。在更新過IFM隔離表之后,IFM向CM發(fā)送指示信息流被許可并且目標標簽集合被更新的成功響應(yīng)。現(xiàn)在,已經(jīng)更新了目標隔離標簽集合,CM必須通過調(diào)用cm—close—existing—open—streams—target()和cm—close—existing—open—streams—source()來關(guān)閉"j壬4可引用隔離2的4丁開流。由于從源隔離(隔離1)到目標隔離(隔離2)存在打開流,所以CM通過在只于cm—close—existing—open—streams—target()的調(diào)用內(nèi)發(fā)送應(yīng)答消息來向隔離l通知關(guān)閉的流。CM繼而通過調(diào)用cm—add—open—stream—entry()而將新流添力口到打開信息流式流表中,并且然后向隔離4發(fā)送指示信息流被許可的成功消息。在已經(jīng)打開信息流式流之后,在稍后的時間可能需要關(guān)閉該流。說明性實施方式的機制提供用于關(guān)閉打開流的過程。作為示例,隔離1可以向CM發(fā)送具有目標隔離名稱(隔離2)的infoFlowRequestStreamClose^青'i^。CM首先i周用cm—check—partitionJable()以確保源隔離在隔離表中具有條目。接下來,CM調(diào)用cm—get—target—security—association()以獲S尋目標隔離的安全關(guān)聯(lián)。在這些調(diào)用成功完成之后,CM調(diào)用cm—delete—existing—open—stream(),其將該流從打開流式流表中移除。然后,CM向隔離1發(fā)送成功消息。如上所述,除了提供用于信息流式流的功能,說明性實施方式的機制還可以處理資源信,l流請求,其中執(zhí)行源保護環(huán)境或隔離與目標保護環(huán)境之間的單個資源傳輸。如通過上面討論的信息流式流,存在處理由說明性實施方式所處理的信息流資源請求的三種情況(1)許可信息流資源請求;(2)拒絕信息流資源請求;以及(3)通過目標標簽集合更新來許可信息流資源請求。下面描述這些情況中的每一個。在信息流資源請求處理的第一種情況中,描述了利用詳細模式中的引用監(jiān)控機向目標隔離發(fā)送資源的成功的infoFlowRequestResource方法調(diào)用。在該示例中,隔離1向CM發(fā)送具有目標隔離名稱(隔離2)的infoFlowRequestResource請求。CM首先調(diào)用cm—check—partition—table()以確保源隔離具有隔離表中的條目。接下來,CM調(diào)用cm—get—target—security—association()以獲得目標隔離的安全關(guān)聯(lián)。在這些檢查成功完成之后,CM通過將資源、源和目標安全關(guān)50聯(lián)作為參數(shù)對ifm—authorize—resource—flow()進行調(diào)用來調(diào)用IFM以請求對發(fā)送信息流資源進行授權(quán),并且等待響應(yīng)。IFM對ifm—getJabelset()進行兩個獨立的內(nèi)部調(diào)用以獲得源和目標隔離兩者的相關(guān)聯(lián)標簽集合。這些標簽集合可以從IFM隔離標簽集合表中檢索。然后,IFM內(nèi)部調(diào)用ifm_get—resource—labelset()以獲得資源的標簽集合。從IFM資源標簽集合表檢索標簽集合,例如,其可以作為資源標簽集合數(shù)據(jù)結(jié)構(gòu)550的一部分來提供。然后,IFM調(diào)用pf—auth—decision()以向策略框架請求授權(quán)決定。策略框架返回SUCCESS的結(jié)果碼以及指示允許該流的FLOW—GRANTED的主碼。NULL作為用于新目標標簽集合的值(其指示的是對目標標簽集合沒有進行更新)返回,作為pf—auth—decision()調(diào)用的結(jié)果。當調(diào)用成功完成時,指示流-陂許可的主理由碼包4舌在響應(yīng)中。然后CM調(diào)用cm—flow—information(),其在應(yīng)答消息類型內(nèi)將信息轉(zhuǎn)發(fā)至目標隔離并且向隔離1發(fā)送指示信息流一皮許可的成功消息。在第二種情況中,描述了利用詳細模式下的引用監(jiān)控機拒絕資源流的成功的infoFlowRequestResom.ee方法調(diào)用。在該示例中,隔離1向CM發(fā)送具有目標隔離名稱(隔離3)的infoFlowR叫uestResource請求。然后,CM進行與上面參考信息流資源請求處理的第一情況描述的順序相同的檢查。在這些檢查完成之后,CM以與上述類似的方式調(diào)用IFM以請求對發(fā)送資源信息流進行授權(quán)。然而,在該情況中pf_auth—decision()返回SUCCESS的結(jié)果碼以及指示拒絕該流的FLOW—DENIED的主碼。NULL作為指示沒有對目標標簽集合進行更新的新目標標簽集合的值纟皮返回。當調(diào)用成功完成時,指示流被拒絕的主理由碼包括在響應(yīng)中。由于來自于TFM的拒絕響應(yīng),CM不將資源轉(zhuǎn)發(fā)到目標隔離。代替的是,CM將指示信息流被拒絕的成功消息發(fā)送給隔離1。在第三種情況中,描述了成功的infoFlowRequestResource方法調(diào)用,其許可導(dǎo)致對目標隔離的安全屬性的更新的資源信息流請求。此外,將引用監(jiān)控機配置為詳細模式。在該示例中,隔離4向CM發(fā)送帶有目標隔離名稱(隔離2)的infoFlowR叫uestResource請求。然后,CM進行與上面參考信息流資源請求處理的第一情況描述的順序相同的4企查。在這些檢查完成之后,CM以如上所述的類似方式對IFM進行調(diào)用從而請求對發(fā)送資源信息流的授4又。然而,在該情況中,pf—auth—decision()方法返回SUCCESS的結(jié)果碼以及指示允許該流的FLOW_GRANTED的主碼。新的目標標簽集合也從pf—auth—decision()調(diào)用返回。然后,IFM內(nèi)部調(diào)用ifm—update_partition—table(),其通過從pf一auth—decision()返回的新標簽集合來更新目標隔離條目。在更新了IFM隔離表之后,IFM向CM發(fā)送指示信息流凈皮允許并且更新了目標標簽集合的成功響應(yīng)。當調(diào)用成功完成時,具有TARGET一LS一UPDATED的次理由碼的指示允許流的主理由碼包括在響應(yīng)中?,F(xiàn)在,已經(jīng)更新了目標隔離標簽集合,CM必須通過調(diào)用cm—close—existing—open—streams—target()和cm—close—existing—open—streams—source()來關(guān)閉4壬"f可引用隔離2的打開流。由于從源隔離(隔離1)到目標隔離(隔離2)存在打開流,,斤以CM通過在乂于cm_close—existing—open—streams—target()的調(diào)用內(nèi)發(fā)送應(yīng)答消息來向隔離l通知關(guān)閉的流。CM繼而調(diào)用cm—flow—information(),其將信息在應(yīng)答消息類型內(nèi)發(fā)送到目標隔離并且向隔離4發(fā)送指示信息流:帔允i午的成功消息。通過上述情況,調(diào)用策略框架以執(zhí)行授權(quán)決定并且返回FLOW—GRANTED或FLOW—DENIED的結(jié)果。為了響應(yīng)pf_auth—decision()調(diào)用,策略框架首先調(diào)用pf—check—registered—modules—table()來檢查源、資源和目標標簽集合中的每一個包括對利用引用監(jiān)控機實例注冊的策略模塊的引用。然后,策略框架通過調(diào)用pf—create—evaluation—results—tabJe()來創(chuàng)建臨時評估結(jié)果表。該表臨時地存儲由給定的策略模塊生成的評估結(jié)果并且該表將由決定合并器來使用以產(chǎn)生最終的認證決定。然后,策略框架通過調(diào)用pf—extract_pm—labelset()來提取用于源、資源和目標標簽集合的獨立策略模塊標簽集合。將提取的標簽集合發(fā)送到合適的策略模塊以用于評估。然后,策略框架調(diào)用pm—evaluate()從而策略模塊將基于策略來評估用于源、資源和目標標簽集合的所提取的策略模塊標簽集合,并且產(chǎn)生GRANTED(許可)或DENIED(拒絕)的評估結(jié)果,以及如果可應(yīng)用的話還產(chǎn)生新的目標標簽集合。pm首先通過基于策略模塊的策略合并源和資源標簽集合來調(diào)用pm—get—effectiveJabelset()以獲得有效的標簽集合。接下來.,策略模塊調(diào)用pm—evaluate()來請求對有效標簽集合以及目標標簽集合的評估的授權(quán)。PM基于該標簽集合的評估返回SUCCESS的結(jié)果碼以及FLWO—GRANTED或FLOW—DENIED的主碼。如果可應(yīng)用的話,還可以返回新的目才示標金,然后,策略沖莫》炎i周用pf—update—temp—evaluation—results—table()以存儲由用于源、資源和目標標簽集合以及相應(yīng)新目標標簽集合(如果可用)的策略模塊生成的獨立評估結(jié)果。如果策略模塊沒有生成新的目標標簽集合,則它將針對新的目標標簽集合返回NULL。一旦所有合適的策略模塊已經(jīng)產(chǎn)生了評估結(jié)果并且已經(jīng)存儲了相應(yīng)結(jié)果,則策略框架調(diào)用pf—generate—final—auth—decision()。在該調(diào)用中,決定合并器針對合并器策略來評估存儲在評估結(jié)果表中的結(jié)果并且生成GRANTED(許可)或DENIED(拒絕)的最終4受權(quán)決定。在該決定合并器向策略框架返回GRANTED(許可)或DENIED(拒絕)的最終授權(quán)決定以及新的目標標簽集合(如果可用)之后,策略框架將最終結(jié)果發(fā)送給IFM。說明性實施方式的示例性方面與已知方法的比較"i兌明性實施方式的^^制在4艮多方面不同于已知方式和方法,將在下文中討論其中的某些方面。主要地,使用"i兌明性實施方式的機制獲得的益處如下。第一,標簽集合完全保持在引用監(jiān)控機內(nèi),并且因此其不易受到無意的或惡意的改變的損害。第二,標簽集合提供了用于從安全考慮消除數(shù)據(jù)操作語義的機制,并且允許基于包含在信息流中的保護環(huán)境和資源的敏感度執(zhí)行安全性確定。結(jié)果,源和目標保護環(huán)境以及資源都可以利用公共安全屬性(即,標簽集合)來進行安全策略評估,從而降低創(chuàng)建和使用安全策略和規(guī)則的復(fù)雜性。第三,標簽集合還允許使用集合論操作以執(zhí)行安全策略評估,從而再次簡化了安全策略和規(guī)則。第四,可以使用多維口合希數(shù)據(jù)結(jié)果將標簽.集合與資源關(guān)聯(lián)起來,從而降低對標簽集合的無意或惡意改變的可能性并且降低哈希沖突的可能性。此外,已知系統(tǒng)要求居間設(shè)備執(zhí)行一個信息源到另一個信息源之間的傳輸。例如,在從一個文件服務(wù)器向另一個文件服務(wù)器的文件傳輸中,通常要求居間設(shè)備向第一文件服務(wù)器請求文件并且然后向第二文件服務(wù)器傳輸接收的文件。根據(jù)說明性實施方式,因為該機制在信息流上操作并且不關(guān)注信息流中執(zhí)行的特定動作,所以可以在第一和第二文件服務(wù)器之間直接進行文件傳輸,假設(shè)它們由引用監(jiān)控機實現(xiàn)的安全策略授權(quán)。重要的是,雖然已經(jīng)在能夠完全實現(xiàn)數(shù)據(jù)處理系統(tǒng)功能的上下文中描述了本發(fā)明,但是本領(lǐng)域的技術(shù)人員應(yīng)該理解能夠?qū)⒈景l(fā)明的過程以指令的計算機可讀介質(zhì)的形式以及各種形式進行分發(fā),并且不論實際用于執(zhí)行該分發(fā)的信號承載介質(zhì)的特定類型如何,本發(fā)明都可等同地使用。計算機可讀介質(zhì)的示例包括可記錄類型介質(zhì)、諸如軟盤、硬盤驅(qū)動器、RAM、CD-ROM、DVD-ROM以及傳輸類型介質(zhì),諸如數(shù)字和模擬通信鏈路、使用傳輸形式的有線和無線通信鏈路,諸如射頻和光波傳輸。計算機可讀介質(zhì)可以采用編碼格式使用。已經(jīng)出于說明和描述的目的呈現(xiàn)了本發(fā)明的描述,并且本發(fā)明的描述不旨在窮舉或限制本發(fā)明于公開的形式。很多修改和變形將對本領(lǐng)域的技術(shù)人員變得明顯。為了對本發(fā)明、特定應(yīng)用的原理進行最好的解釋,并且為了使本領(lǐng)域的其他技術(shù)人員能夠針對適于構(gòu)思的特定使用的具有各種修改的各種實施方式理解本發(fā)明,選4奪并且描述了實施方式。權(quán)利要求1.一種用于對數(shù)據(jù)處理系統(tǒng)的元素之間的信息流進行授權(quán)的方法,所述方法包括將所述數(shù)據(jù)處理系統(tǒng)的元素與引用監(jiān)控機中的安全數(shù)據(jù)結(jié)構(gòu)關(guān)聯(lián)起來;從第一元素接收信息流請求以對從所述第一元素到第二元素的信息流進行授權(quán);檢索與所述第一元素相關(guān)聯(lián)的第一安全數(shù)據(jù)結(jié)構(gòu);檢索與所述第二元素相關(guān)聯(lián)的第二安全數(shù)據(jù)結(jié)構(gòu);以及對所述第一安全數(shù)據(jù)結(jié)構(gòu)和所述第二安全數(shù)據(jù)結(jié)構(gòu)執(zhí)行至少一個集合論操作,從而確定從所述第一元素到所述第二元素的信息流是否將被授權(quán)。2.根據(jù)權(quán)利要求1所述的方法,其中所述第一安全數(shù)據(jù)結(jié)構(gòu)和所述第二安全數(shù)據(jù)結(jié)構(gòu)是標簽集合,并且其中每個標簽集合包括提供所述標簽集合中的一個或多個標簽的標簽列表元素。3.根據(jù)權(quán)利要求2所述的方法,其中所述標簽列表中的所述標簽包括策略類型和值,其中所述策略類型標識將要應(yīng)用于所述標簽集合的安全策略,并且所述值標識將要在對由所述策略類型標識的安全策略進行評估時使用的值。4.根據(jù)權(quán)利要求2所述的方法,其中每個標簽集合進一步包括指示所述標簽集合的版本的版本元素,以及指示所述標簽集合包括的標簽數(shù)量的計數(shù)元素。5.根據(jù)權(quán)利要求1所述的方法,其中所述第一安全數(shù)據(jù)結(jié)構(gòu)和第二安全數(shù)據(jù)結(jié)構(gòu)是標簽集合,并且其中每個所述標簽集合包括標識信息對象敏感度級別的標簽,所述信息對象可以被接收并保持在相應(yīng)的元素中,而不論將要對所述信息對象執(zhí)行的特定動作如何。6.根據(jù)權(quán)利要求1所述的方法,其中對所述第一安全數(shù)據(jù)結(jié)構(gòu)和所述第二安全數(shù)據(jù)結(jié)構(gòu)執(zhí)行至少一個集合論操作包括使用集合合并、集合交叉或集合補操作來執(zhí)行至少一個集合論操作。7.根據(jù)權(quán)利要求3所述的方法,其中對所述第一標簽集合和所述第二標簽集合執(zhí)行至少一個集合論操作以確定從所述第一元素到所述第二元素的所述信息流是否將被授權(quán)包括解析所述第一標簽集合和第二標簽集合以識別在所述第一和第二標簽集合中標識的一個或多個安全策略;以及基于在所述第一和第二標簽集合中標識的所述安全策略向安全策略框架的一個或多個安全策略模塊提供所述第一標簽集合和第二標簽集合,其中所述一個或多個安全策略模塊基于與用于特定安全策略的所述標簽集合的所述策略類型元素相關(guān)聯(lián)的值對所述第一標簽集合和所述第二標簽集合執(zhí)行所迷至少一個集合論操作。8.根據(jù)權(quán)利要求1所述的方法,其中對所述第一安全數(shù)據(jù)結(jié)構(gòu)和所述第二安全數(shù)據(jù)結(jié)構(gòu)執(zhí)行至少一個集合論操作包括確定與目標元素相關(guān)聯(lián)的標簽集合是否是與作為所述信息流主體的信息對象的源元素相關(guān)聯(lián)的標簽集合的子集。9.根據(jù)權(quán)利要求1所述的方法,其中對所述第一安全數(shù)據(jù)結(jié)構(gòu)和所述第二安全數(shù)據(jù)結(jié)構(gòu)執(zhí)行至少一個集合論操作以確定從所述第一元素到所述第二元素的所述信息流是否將被授權(quán)進一步包括確定作為所述信息流主體的信息對象的安全數(shù)據(jù)結(jié)構(gòu);以及對所述第二安全數(shù)據(jù)結(jié)構(gòu)和基于所述信息對象的所述安全數(shù)據(jù)結(jié)構(gòu)和所述第一安全數(shù)據(jù)結(jié)構(gòu)而生成的有效安全數(shù)據(jù)結(jié)構(gòu)執(zhí)行集合論操作。10.根據(jù)權(quán)利要求9所述的方法,其中確定信息對象的標簽集合包括確定是否已經(jīng)建立了用于所述信息對象的安全數(shù)據(jù)結(jié)構(gòu);以及如果所述信息對象沒有建立的安全數(shù)據(jù)結(jié)構(gòu),則將所述信息對象的源元素的安全數(shù)據(jù)結(jié)構(gòu)與所述信息對象關(guān)聯(lián)起來。11.根據(jù)權(quán)利要求9所述的方法,其中所述信息對象的所述安全數(shù)據(jù)結(jié)構(gòu)標識所述信息對象的敏感度,所述第一安全數(shù)據(jù)結(jié)構(gòu)標識所述第一元素的授權(quán)級別,所述第二安全數(shù)據(jù)結(jié)構(gòu)標識所述第二元素的授權(quán)級別,并且對所述安全數(shù)據(jù)結(jié)構(gòu)執(zhí)行至少一個集合論操作以確定所述信息流是否將要被授權(quán)僅根據(jù)所述信息對象的敏感度和所述第一和第二元素的所述授權(quán)級別來確定所述信息是否將要被授權(quán),而不論作為所述信息流的一部分而要執(zhí)行的特定動作如何。12.根據(jù)權(quán)利要求1所述的方法,其中將相同的至少一個集合論操作應(yīng)用于所述第一安全數(shù)據(jù)結(jié)構(gòu)和所述第二安全數(shù)據(jù)結(jié)構(gòu),而不論所述信息流是從所述第一元素到所述第二元素還是從所述第二元素到所述第一元素。13.—種計算機程序產(chǎn)品,包括計算機可用介質(zhì),所述介質(zhì)包括計算機可讀程序,其中當所述計算機可讀程序在計算設(shè)備上執(zhí)行時,所述計算機可讀程序使得所述計算設(shè)備執(zhí)行權(quán)利要求1到12中任意一項所述的步驟。14.一種用于對數(shù)據(jù)處理系統(tǒng)的元素之間的信息流進行授權(quán)的裝置,包括通信管理器,其具有偵聽器,用于偵聽來自于所述數(shù)據(jù)處理系統(tǒng)的元素的信息流請求;信息流居間器,其耦合至所述通信管理器,所述信息流居間器用于確定將對信息流進行授權(quán)還是拒絕;安全數(shù)據(jù)結(jié)構(gòu)存儲設(shè)備,其耦合至所述信息流居間器,所述安全數(shù)據(jù)結(jié)構(gòu)存儲設(shè)備用于存儲用于所述數(shù)據(jù)處理系統(tǒng)的元素的安全信息;以及安全策略框架,其耦合至所述信息流居間器,其中所述信息流居間器將所述數(shù)據(jù)處理系統(tǒng)的元素與所述安全數(shù)據(jù)結(jié)構(gòu)存儲設(shè)備中的安全數(shù)據(jù)結(jié)構(gòu)關(guān)聯(lián)起來;所述通信管理器接收來自于第一元素的信息流請求以對從所述第一元素到第二元素的信息流進行授權(quán);所述信息流居間器檢索與所述第一元素相關(guān)聯(lián)的第一安全數(shù)據(jù)結(jié)構(gòu);所述信息流居間器檢索與所述第二元素相關(guān)聯(lián)的第二安全數(shù)據(jù)結(jié)構(gòu);以及所述安全策略框架對所述第一安全數(shù)據(jù)結(jié)構(gòu)和所述第二安全數(shù)據(jù)結(jié)構(gòu)執(zhí)行至少一個集合論操作以確定從所述第一元素到所述第二元素的所述信息流是否將被授權(quán)。15.根據(jù)權(quán)利要求14所述的裝置,其中所述第一安全數(shù)據(jù)結(jié)構(gòu)和所述第二安全數(shù)據(jù)結(jié)構(gòu)是標簽集合,并且其中每個標簽集合包括提供所述標簽集合的一個或多個標簽的標簽列表。16.根據(jù)權(quán)利要求15所述的裝置,其中所述標簽列表中的所述標簽包括策略類型和值,其中所述策略類型標識將要應(yīng)用于所述標簽集合的安全策略,并且所述值標識將要在對由所述策略類型標識的安全策略時使用的值。17.根據(jù)權(quán)利要求15所述的裝置,其中每個標簽集合進一步包括指示所述標簽集合的版本的版本元素以及指示在所述標簽集合包括的標簽數(shù)量的計數(shù)元素。18.根據(jù)權(quán)利要求14所述的裝置,其中所述第一安全數(shù)據(jù)結(jié)構(gòu)和第二安全數(shù)據(jù)結(jié)構(gòu)包括標識信息對象敏感度級別的標簽,所述信息對象可以被接收并保持在相應(yīng)的設(shè)備中,而不論將要對所述信息對象l丸行的特定動作如何。19.根據(jù)權(quán)利要求14所述的裝置,其中所述安全策略框架通過使用集合合并、集合交叉或集合補操作執(zhí)行至少一個集合論操作來對所述第一標簽集合和所述第二標簽集合執(zhí)行至少一個集合論操作。20.根據(jù)權(quán)利要求19所述的裝置,其中所述安全策略框架對所述第一安全數(shù)據(jù)結(jié)構(gòu)和所述第二安全數(shù)據(jù)結(jié)構(gòu)執(zhí)行至少一個集合論操作以通過如下操作來確定從所述第一元素到所述第二元素的所述信息流是否將被授權(quán)解析所述第一安全數(shù)據(jù)結(jié)構(gòu)和第二安全數(shù)據(jù)結(jié)構(gòu)以識別在所述第一和第二安全數(shù)據(jù)結(jié)構(gòu)中標識的一個或多個安全策略;以及基于在所述第一和第二安全數(shù)據(jù)結(jié)構(gòu)中標識的所述安全策略向所述安全策略框架的所述一個或多個安全策略模塊提供所述第一安全數(shù)據(jù)結(jié)構(gòu)和第二安全數(shù)據(jù)結(jié)構(gòu),其中所述一個或多個安全策略模型元素相關(guān)聯(lián)的值對所述第一安全數(shù)據(jù)結(jié)構(gòu)和所述第二安全數(shù)據(jù)結(jié)構(gòu)執(zhí)行所述至少一個集合論操作。21.根據(jù)權(quán)利要求14所述的裝置,其中所述安全策略框架通過以下操作來對所述第一安全數(shù)據(jù)結(jié)構(gòu)和所述第二安全數(shù)據(jù)結(jié)構(gòu)執(zhí)行至少一個集合論操作確定與目標元素相關(guān)聯(lián)的安全數(shù)據(jù)結(jié)構(gòu)是否是與作為所述信息流主體的信息對象的源元素相關(guān)聯(lián)的安全數(shù)據(jù)結(jié)構(gòu)的子集。22.根據(jù)權(quán)利要求14所述的裝置,其中所述信息流居間器確定作為所述信息流主體的信息對象的安全數(shù)據(jù)結(jié)構(gòu),并且所述安全策略框架對所述第二安全數(shù)據(jù)結(jié)構(gòu)和作為所述第一安全數(shù)據(jù)結(jié)構(gòu)和所執(zhí)行集合論操作。23.根據(jù)權(quán)利要求22所述的裝置,其中所述信息流居間器通過如下操作確定信息對象的安全數(shù)據(jù)結(jié)構(gòu)確定是否已經(jīng)建立了用于所述信息對象的安全數(shù)據(jù)結(jié)構(gòu);以及如果所述信息對象沒有建立的安全數(shù)據(jù)結(jié)構(gòu),則將所述信息對象的源元素的安全數(shù)據(jù)結(jié)構(gòu)與所述信息對象關(guān)聯(lián)起來。24.根據(jù)權(quán)利要求22所述的裝置,其中所述信息對象的所述安全數(shù)據(jù)結(jié)構(gòu)標識所述信息對象的敏感度,所述第一安全數(shù)據(jù)結(jié)構(gòu)標識所述第一設(shè)備的授權(quán)級別,所述第二安全數(shù)據(jù)結(jié)構(gòu)標識所述第二設(shè)備的授權(quán)級別,并且所述安全策略框架對所述安全數(shù)據(jù)結(jié)構(gòu)執(zhí)行至少一個集合論操作以確定所述信息流是否將要被授權(quán)僅根據(jù)所述信息對象的所述敏感度和所述第一和第二元素的所述授權(quán)級別來確定所述信息是否將要被授權(quán),而不論作為所述信息流的一部分而將要執(zhí)行的特定動作如何。25.—種用于對設(shè)備之間的信息流進行授權(quán)的數(shù)據(jù)處理系統(tǒng),包括第一計算設(shè)備,其位于所述數(shù)據(jù)處理系統(tǒng)的第一隔離中,其中所述第一計算設(shè)備具有用于將信息傳遞到目標元素的源元素;第二計算設(shè)備,其位于所述數(shù)據(jù)處理系統(tǒng)的第二隔離中,其中所述第二計算設(shè)備具有所述目標元素;引用監(jiān)控機,其耦合至所述第一計算設(shè)備和所述第二計算設(shè)備,其監(jiān)視所述第一隔離和所述第二隔離之間的信息流,其中所述引用監(jiān)控機:將所述第一隔離和所述第二隔離與安全數(shù)據(jù)結(jié)構(gòu)關(guān)聯(lián)起來,從所述源元素接收信,包、流請求以對乂人所述源元素到所述目標元素的信息流進行授權(quán),檢索與所述第一隔離相關(guān)聯(lián)的第一安全數(shù)據(jù)結(jié)構(gòu),檢索與所述第二隔離相關(guān)聯(lián)的第二安全數(shù)據(jù)結(jié)構(gòu),以及對所述第一安全數(shù)據(jù)結(jié)構(gòu)和所述第二安全數(shù)據(jù)結(jié)構(gòu)執(zhí)行至少一個集合論操作,從而確定從所述源元素到所述目標元素的信息流是否將纟皮授權(quán)。26.根據(jù)權(quán)利要求25所述的數(shù)據(jù)處理系統(tǒng),其中所述引用監(jiān)控機包括通信管理器,其具有偵聽器,所述偵聽器用于偵聽來自于所述數(shù)據(jù)處理系統(tǒng)的元素的信息流請求;信息流居間器,其耦合至所述通信管理器,所述信息流居間器用于確定將對信息流進行授權(quán)還是拒絕;安全數(shù)據(jù)結(jié)構(gòu)存儲設(shè)備,其耦合至所述信息流居間器,所述安信息;以及安全策略框架,其耦合至所述信息流居間器,所述安全策略框架用于將一個或多個安全策略應(yīng)用于所述數(shù)據(jù)處理系統(tǒng)的元素的安全信息。27.—種計算設(shè)備,包括處理器;以及存儲器,其中所述存儲器包含指令,當所述處理器執(zhí)行所述指令時,所述指令使得所述處理器執(zhí)行權(quán)利要求1到12中的任意一項所述的步驟。全文摘要在引用監(jiān)控機系統(tǒng)中,數(shù)據(jù)處理系統(tǒng)的元素與引用監(jiān)控機中的安全數(shù)據(jù)結(jié)構(gòu)相關(guān)聯(lián)。從第一元素接收信息流請求以對從該第一元素到第二元素的信息流進行授權(quán)。檢索與第一元素關(guān)聯(lián)的第一安全數(shù)據(jù)結(jié)構(gòu)和與第二元素關(guān)聯(lián)的第二安全數(shù)據(jù)結(jié)構(gòu)。然后,對第一安全數(shù)據(jù)結(jié)構(gòu)和第二安全數(shù)據(jù)結(jié)構(gòu)執(zhí)行至少一個集合論操作,從而確定從第一元素到第二元素的信息流是否將被授權(quán)。安全數(shù)據(jù)結(jié)構(gòu)可以是標簽集合,該標簽集合具有一個或多個標識將要應(yīng)用于涉及相關(guān)聯(lián)元素的信息流的安全策略的標簽。文檔編號G06F21/24GK101331495SQ200680047114公開日2008年12月24日申請日期2006年11月24日優(yōu)先權(quán)日2005年12月15日發(fā)明者D·J·阿羅約,D·詹姆塞克,G·R·布萊克利三世,K·D·西蒙,R·B·威廉斯,S·穆皮迪申請人:國際商業(yè)機器公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1