技術領域

本發明涉及虛擬機，以及更具體地，涉及虛擬機中的安全控制。

背景技術

由于軟件的生態系統趨于越來越復雜，對整個系統應用信息安全變得非常困難。實際上，如今機器軟件棧的構筑很少僅通過使用內部軟件，而是通常結合開源軟件、商用軟件以及內部方案，所有這些在安全開發和設計的知識和技術上都大相徑庭。因此，設計、開發、部署和維護活動中的單個失敗可能引起安全漏洞。此外，軟件的脆弱性在應用層愈加顯著，既在客戶端側(Flash插件、Acrobat閱讀器、互聯網瀏覽器、智能手機應用)也在服務器側(機器虛擬化、應用服務器(PHP、Java、.Net)、網絡中間件、數據庫)。

長期以來，自主訪問控制(DAC)一直被使用。此方法是基于用戶或角色的，因此如果根/管理員訪問被攻擊者獲得，總體的訪問控制就變成無用的。為解決這個問題，強制訪問控制(MAC)已經被設計。強制訪問控制是通過強迫做訪問請求檢查從而強制執行操作系統授權的安全方式。這是關于獨立于系統用戶的安全策略來完成的。

一種MAC實現，SElinux，可以在系統層應用來強制執行安全策略，無論用戶身份如何。甚至非法“根”(“root”)都可以被MAC阻止。視窗Vista和視窗7現在默認包含MAC，并且管理員任務必須顯式地被定義或被批準。

然而，這種訪問控制對確保虛擬機例如Java虛擬機(JVM)中的安全并不有效。實際上，JVM過程對系統而言如同黑盒子，因而系統常常不可能區分JVM中的惡意與合法的活動。Java認證和授權服務(JAAS)典型地用于保證在JVM中的安全，但是此安全機制不是強制性的，而且只是介于JVM和系統中間的周界防護。

發明內容

本發明的目標是描述其提供應用于虛擬機的強制訪問控制模型的安全模型。

為此目標，本發明提供用于通過強制訪問控制模塊來在適于運行面向對象程序和基于強類型語言的虛擬機中確保強制訪問控制的方法，該方法包括：

-使用訪問策略來配置強制訪問控制模塊；

-當接收到指示方法調用或對變量成員的訪問請求的事件時，根據調用方和被調用方的語言類型，向被稱為“調用方”(CalR)的對象和被稱為“被調用方”(CalE)的對象添加訪問控制標簽(LabE,LabR)，其中該調用方調用方法(Meth)或請求訪問，該被調用方被方法(Meth)調用或該被調用方的訪問被請求，該添加訪問控制標簽是根據該調用方和該被調用方的語言類型(Typ_CalR,Typ_CalE)；

-根據該訪問控制標簽、該調用方和該被調用方的實例數以及訪問策略而做出被稱為“否定決策”的阻止該方法的執行或對該變量成員的訪問的決策或者被稱為“肯定決策”的讓該虛擬機運行該方法或訪問該變量成員的決策；

-向該虛擬機傳輸該決策用于阻止或準許相應的訪問嘗試。

根據非限制性的實施例，該方法可以包括一個或多個以下附加特性：

-配置該強制訪問控制模塊的步驟是在當接收到指示該虛擬機的開始或初始化(VM_start,VM_init)的事件時被實現的。

-事件是激活回調功能的面向標準化檢測工具的事件。

-事件的接收直接修改虛擬機內部。

-配置該強制訪問控制模塊的步驟包括加載定義語言類型和訪問控制標簽之間的對應的標記策略文件，并且添加標簽的步驟通過所述標記策略文件而被實現。

-添加訪問控制標簽的步驟包括使用外部數據庫，該外部數據庫包括對象實例和訪問控制標簽之間的對應。

-做出決策的步驟通過該強制訪問控制模塊和外部決策引擎之間的協作來被實現。

-該方法包括在外部數據庫中記錄的步驟：

·關于被調用的方法的信息；

·關于該調用方和該被調用方的信息，例如它們的語言類型和它們的訪問控制標簽、它們的實例數；

·所做出的決策。

-該方法包括在否定決策的情況下由該虛擬機引發異常用于阻止被請求的方法的執行或對該變量成員的訪問。

此外，用于在適于運行面向對象程序和基于強類型語言的虛擬機中確保強制訪問控制的強制訪問控制模塊被提供，包括：

-參考監視器，其為用于方法調用和對變量成員的訪問的強制路徑，其適于向該虛擬機傳輸被稱為“否定決策”的阻止該方法的執行或對該變量成員的訪問的決策或被稱為“肯定決策”的讓該虛擬機運行該方法或訪問該變量成員的決策；