多级安全工作流管理系统解析

### 多级安全工作流管理系统解析 #### 1. 多级安全工作流管理系统的技术方法 多级安全工作流管理系统（MLS WFMS）需要为不同权限的用户提供与单级工作流管理系统相当的功能，同时防止对资源的未授权访问。单个可能是单级的任务，但在不同的分类域中运行时，需要相互协作以完成更高级别的任务。 多级安全域的定义如下：存在一个具有排序关系 < 的分类域格 S。如果 Si ≥ Sj，则分类域 Si 支配域 Sj。有一个标记函数 L，它将每个用户、会话、任务和数据（对象）映射到一个分类域。用户可以访问的分类级别由其权限决定，并由底层的 MLS 架构强制执行。 在分布式和异构计算环境中提供 MLS 服务时，必须强制执行以下信息流要求： - 高级用户必须能够访问低级数据和低级资源。 - 高级进程必须能够访问低级数据。 - 高级数据不得泄露到低级系统或用户。 在过去 20 年的计算机安全历史中，开发能够在最低安全级别（未分类）和最高安全级别（绝密）信息之间提供隔离的高保证软件，在技术上具有挑战性且成本高昂。如今，技术的快速发展和使用商用现货（COTS）产品的需求，使得传统的 MLS 方法变得不可行。 为了使用架构方法实现 MLS 工作流管理系统，已确定以下技术方法： 1. 选择一个可以执行多个单级工作流的 MLS 分布式架构。 2. 选择一种将 MLS 工作流划分为多个单级工作流的策略。 3. 选择一个单级工作流管理系统，在每个分类域中执行单级工作流，并设计一种方法将单级工作流组合在一起，以提供多级功能。 4. 实现支持 MLS 工作流所需的工具。 5. 扩展单级工作流执行服务，以适应不同分类域中任务之间的通信。 #### 2. 通过多个单级工作流管理系统实现 MLS WFMS ##### 2.1 MLS 分布式架构 我们的方法依赖于 MLS 架构来分离多个单级工作流管理系统，以实现多级安全工作流管理系统。因此，多级安全不依赖于单个工作流管理系统，而是依赖于底层的 MLS 分布式架构。 MLS 分布式架构具有以下特点： - 由物理或逻辑上分离的多个单级网络组成，每个网络包含给定级别及以下的信息。 - 托管可以访问该级别及以下信息的单级应用程序和工作流。 - 提供通道，以便在不同分类域中的任务之间传递信息。 MLS 分布式架构基于一种安全工程理念：少数受信任的设备与信息发布和接收策略服务器相结合，以强制执行分类域之间的信息流策略；单级系统和单级工程解决方案用于提供其他功能，包括单级安全服务。 在这种架构中，交换式工作站（如 Starlight）使用户能够访问多个分类域中的资源，并在用户有权限访问的域中创建信息。单向设备（如 NRL Pump 这样的流量控制器）与信息发布和接收策略服务器一起，提供了一种安全的方式，将信息从一个分类域传递到另一个域。 工作流规范在每个分类级别上的规范，是从工作流设计人员通过 MLS 工作流构建器提供的 MLS 工作流规范中派生出来的。 以下是 MLS 分布式架构的 mermaid 流程图： ```mermaid graph LR classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px; A(单级网络 1):::process --> B(单级网络 2):::process A --> C(单级网络 3):::process B --> D(信息发布和接收策略服务器):::process C --> D D --> E(单向设备):::process E --> F(交换式工作站):::process ``` ##### 2.2 MLS 依赖关系和 MLS 工作流分解策略 MLS WFMS 应支持与单级工作流管理系统相同类型的任务间依赖关系。然而，MLS 工作流中的一些依赖关系可能是跨分类边界指定的，这些被称为 MLS 依赖关系。在工作流执行期间，状态信息和一些值可能需要跨分类边界移动。因此，了解漏洞是什么、是否容易被利用以及如何降低它是很重要的。 在我们的 MLS WFMS 中，所有需要跨分类域移动的信息都必须通过信息发布和接收策略服务器以及高保证流量控制器（如 Pu