專利名稱::用于實行信息流策略的引用監(jiān)控機系統(tǒng)和方法
技術領域:
:本發(fā)明一般地涉及改進的數據處理系統(tǒng)和方法。更具體地,本發(fā)明涉及用于實行信息流策略的引用監(jiān)控機系統(tǒng)和方法。
背景技術:
:引用監(jiān)控機是一種對源進行授權以對目標執(zhí)行特定動作的授權和實行機制。很多引用監(jiān)控機使用訪問控制列表(ACL)來執(zhí)行此類授權。針對每個源,這些ACL標識源可以訪問的目標以及該源被授權擁有的特定類型的訪問,即該源可以對目標l丸^"何種動作。大多數現(xiàn)代引用監(jiān)控機和安全系統(tǒng)通過將"主體(subject)"安全屬性以及"目標"安全屬性與安全策略規(guī)則集合相比較來做出授權決定。經常將不同的數據類型分配給主體和目標安全屬性。在www.opengroup.org/onlinepubs/009609199/chap3.htm#tagfcjh—2處4苗述的ISO10181-3AccessControlFramework中提供了示出這些不同數據類型的一個示例。在該示例架構中,提供了四個不同的角色或數據類型,即發(fā)起者(源)、目標、訪問控制實行功能以及訪問控制決定功能。主體安全屬性和目標安全屬性之間的這種差異將不必要的復雜性添加到安全策略評估過程中,在該過程中,主體和目標安全屬性的每個可能組合必須配備安全策略規(guī)則,從而在運行時間期間得到正確的評估。此外,目標安全屬性數據類型通?;诳梢栽谀繕速Y源上執(zhí)行的操作集合。因此,目標安全屬性類型在管理目標資源的應用結構和安全策略評估子系統(tǒng)的結構之間造成了不必要的聯(lián)系。這繼而在安全策略評估子系統(tǒng)中造成了不必要的復雜性,因為安全策略現(xiàn)在必須考慮由應用進行的數據操縱的語義以及安全策略評估的語義。而且,區(qū)分主體安全屬性和目標安全屬性的數據類型在安全策略中造成了不對稱,其將安全評估子系統(tǒng)限制于控制從主體(源)到目標(即,將接收信息的對象)的傳輸,但是不允許它控制從目標到源的傳輸。換言之,必須針對每對主體和目標之間的每個傳輸類型建立獨立的策略,從而導致安全策略評估子系統(tǒng)更高的復雜性。例如,^^設存在兩個對象A和B。為了覆蓋,于象A和B之間的所有可能的傳輸,在控制信息的傳輸時必須建立和評估四個策略(1)A可以(或不可以)向B寫入,(2)A可以(或不可以)/人B讀取,(3)B可以(或不可以)從A讀耳又,以及(4)B可以(或不可以)向A寫入。已經針對控制數據處理系統(tǒng)的元素間的信息傳輸設計了很多不同的才幾制。例如,在授予RodneyBurnett的、名稱為"MethodforAttachmentandRecognitionofExternalAuthorizationPolicyonFileSystemResource"的美國專利No,6,766,314中,在文件系統(tǒng)中生成了包含對象的輔助屬性的外部安全數據庫。在文件訪問嘗試期間,將文件的標識符與安全數據庫中保護文件的集合進行匹配。如果文件不在數據庫中,那么不存在對該文件的保護,并且允許請求方訪問該文件。如果在數據庫中存在匹配,則保護該文件并且基于在外部安全屬性中定義的安全規(guī)則集合來做出關于是否將允許請求方訪問該文j牛的確定。根據美國專利No.6,766,314的機制,資源管理器包括用于檢索安全策略的組件,用于介入對保護文件的訪問的組件,以及收集諸如訪問用戶和嘗試動作之類的訪問條件的組件。基于該安全策略、被訪問的文件以及訪問條件,提交有關于對文件訪問的授權的決定。因此,在美國專利No.6,766,314的機制中,將對文件訪問的授權與用戶身份和正在嘗試的動作綁定。從而,將正在執(zhí)行的動作與^U亍該動作的實體和正在一皮訪問的文件綁定。如上所述,這在管理文件的應用結構和安全策略評估子系統(tǒng)的結構之間造成了不必要的聯(lián)系。在美國專利No.5,765,153中描述了類似機制。在美國專利No.5,765,153中,提供一種引用監(jiān)控機,其基于主體身份、對象名稱和由保護對象的接口定義的動作來實行策略。而且,通過使授權決定基于實體的身份以及在一個已識別實體上由另一已識別實體正在執(zhí)行的動作類型,生成了不必要的聯(lián)系,該聯(lián)系使得安全策略評估子系統(tǒng)的實現(xiàn)復雜化。
發(fā)明內容按照上述內容,有益的是,就數據處理系統(tǒng)元素之間的信息傳輸來提供一種用于簡化安全結構的實現(xiàn)的機制。特別地,有益的是具有一種系統(tǒng)和方法,用于通過將安全策略應用于公共安全屬性類型來控制信息流,從而信息傳輸中包括的動作不會使安全策略的應用復雜化。說明性實施方式提供此類系統(tǒng)和方法。在一個說明性實施方式中,提供一種用于對數據處理系統(tǒng)的元素之間的信息流進行授權的方法。該方法可以包括將數據處理系統(tǒng)的元素與引用監(jiān)控機中的安全數據結構關聯(lián)起來;以及,從第一元素接收信息流請求以對從第一元素到第二元素的信息流進行授權。該方法進一步包括檢索與第一元素相關聯(lián)的第一安全數據結構,檢索與第二元素相關聯(lián)的第二安全數據結構,以及,對第一安全數據結構和第二安全數據結構執(zhí)行至少一個集合論(settheory)操作,從而確定從第一元素到第二元素的信息流是否將一皮4受權。例如,第一和第二元素可以是一個或多個應用、一個或多個處理設備、一個或多個數據處理系統(tǒng)、一個或多個數據處理設備資源等等。第一安全數據結構和第二安全數據結構可以是標簽集合(labelset)。每個標簽集合可以包括提供一個或多個標簽集合中的標簽的標簽列表元素。標簽列表中的標簽可以包括策略類型和值。策略類型可以標識將要應用于標簽集合的安全策略并且值可以標識將要在評估由策略類型所標識的安全策略中使用的值。每個標簽集合可以進一步包括指示標簽集合版本的版本元素以及指示標簽集合中包括的標簽數量的計數元素。而且,每個標簽集合可以包括標識信息對象敏感度級別的標簽,可以在相應元素中接收并且保持該信息對象而不論對該信息對象將執(zhí)行的特定動作如何。對第一安全數據結構和第二安全數據結構執(zhí)行至少一個集合論操作可以包括使用集合并(union)、集合交叉(intersection)或集合補(complement)l喿作來^丸^f亍至少一個集合論操作。而且,對第一標簽集合和第二標簽集合執(zhí)行至少一個集合論操作以確定從第一元素到第二元素的信息流是否將^皮授權可以包括解析第一標簽集合和第二標簽集合以識別在第一和第二標簽集合中標識的一個或多個安全策略,以及,基于在第一和第二標簽集合中標識的安全策略向安全策略框架的一個或多個安全策略模塊提供第一標簽集合和第二標簽集合。一個或多個安全策略模塊可以基于與用于特定安全策略的標簽集合的策略類型元素相關聯(lián)的值來對第一標簽集合和第二標簽集合執(zhí)行至少一個集合論操作。對第一安全數據結構和第二安全數據結構執(zhí)行至少一個集合論操作可以包括確定與目標元素相關聯(lián)的標簽集合是否是與信息對象的源元素相關聯(lián)的標簽集合的子集,其中信息對象是該信息流的主體。而且,對第一安全數據結構和第二安全數據結構執(zhí)行至少一個集合論操作以確定從第一元素到第二元素的信息流是否將被授權,可以進一步包括確定作為信息流主體的信息對象的安全數據結構,以及,對第二安全數據結構和基于信息對象的安全數據結構和第一安全數據結構而生成的有效安全數據結構執(zhí)行集合論操作。確定信息對象的標簽集合可以包括確定是否已經建立了用于信息對象的安全數據結構,并且如果該信息對象沒有已建立的安全數據結構,則將該信息對象的源元素的安全數據結構與該信息對象關聯(lián)起來。信息對象的安全數據結構可以標識該信息對象的敏感度。第一安全數據結構可以標識第一元素的授權級別。第二安全數據結構可以標識第二元素的授權級別。對安全數據結構執(zhí)行至少一個集合論操作以確定信息流是否將要被授權可以僅根據信息對象的敏感度以及第一和第二元素的授權級別來確定信息是否將要被授權,而不管作為信,包、流的一部分而執(zhí)行的特定動作。相同的至少一個集合論操作可以應用于第一安全數據結構和第二安全數據結構,而不論信息流是從第一元素到第二元素還是從第二元素到第一元素。在另一說明性實施方式中,提供一種計算機程序產品,該計算機程序產品包括計算機可用介質,該介質包括計算機可讀程序。當該計算機可讀程序在計算設備上執(zhí)行時,使得該計算設備將數據處理系統(tǒng)的元素和引用監(jiān)控機中的標簽集合關聯(lián)起來,并且接收來自于第一元素的信息流請求以對從第一元素到第二元素的信息流進行授權。該計算機可讀程序可以進一步使得該計算設備檢索與第一元素相關聯(lián)的第一安全數據結構,檢索與第二元素相關聯(lián)的第二安全數據結構,并且對第一安全數據結構和第二安全數據結構執(zhí)行至少一個集合論操作以確定從第一元素到第二元素的信息流是否將被授4又。該計算才幾可讀程序可以進一步使得該計算設備執(zhí)4于就該方法的說明性實施方式在上面概括描述的其他4喿作。在其他說明性實施方式中,提供用于對數據處理系統(tǒng)的元素之間的信息流進行授權的系統(tǒng)或裝置。該系統(tǒng)或裝置可以包括具有偵聽器的通信管理器,其中偵聽器用于偵聽來自于數據處理系統(tǒng)的元素的信息流請求;耦合至通信管理器的信息流居間器,該居間器用于確定將對信息流進行授權還是拒絕;耦合至信息流居間器的安全數據結構存儲設備,其存儲用于數據處理系統(tǒng)的元素的安全信息;以及耦合至信息流居間器的安全策略框架。信息流居間器可以將數據處理系統(tǒng)的元素與安全數據結構存儲設備中的安全數據結構關聯(lián)起來。通信管理器可以接收來自于第一元素的信息流請求以對從第一元素到第二元素的信,t流進行授權。信息流居間器可以進一步檢索與第一元素相關聯(lián)的第一安全數據結構,并檢索與第二元素相關聯(lián)的第二安全數據結構。安全策略框架可以對第一安全數據結構和第二安全數據結構執(zhí)行至少一個集合論操作以確定從第一元素到第二元素的信息流是否將被授權。該系統(tǒng)或裝置的各種組件可以進一步配置為執(zhí)行就該方法的說明性實施方式而在上面概括描述的各種操作。例如,安全策略框架可以通過使用集合合并、集合交叉或集合補操作來執(zhí)行至少一個集合論操作來對第一標簽集合和第二標簽集合執(zhí)行至少一個集合論操作。安全策略框架可以對第一安全數據結構和第二安全數據結構執(zhí)行至少一個集合論操作,這是通過以下來執(zhí)行的解析第一安全數據結構和第二安全數據結構以識別第一和第二安全數據結構中標識的一個或多個安全策略,以及,基于第一和第二安全數據結構中標識的安全策略向安全策略框架的一個或多個安全策略模塊提供第一安全數據結構和第二安全數據結構。一個或多個安全策略模塊可以基于與用于特定安全策略的安全數椐結構的策略類型元素相關聯(lián)的值來對第一安全數據結構和第二安全數據結構執(zhí)行至少一個集合論:燥作。安全策略框架可以通過確定與目標元素相關聯(lián)的安全數據結構是否是與信息對象的源元素相關聯(lián)的安全數據結構的子集來對第一安全數據結構和第二安全數據結構執(zhí)行至少一個集合論操作,其中所述信息對象是該信息流的主體。作為又一示例,信息流居間器可以確定作為該信,包、流主體的信息對象的安全數據結構,并且安全策略框架向策略模塊分發(fā)第二安全數據結構和作為第一安全數據結構和該信息對象的安全數據結構的組合而生成的有效安全數據結構,從而執(zhí)行集合論操作。該信息流居間器可以確定信息對象的安全數據結構,這是通過下列來進行的確定是否已經建立了用于信息對象的安全數據結構,并且如果該信息對象沒有已建立的安全數據結構,則將該信息對象的源元素的安全數據結構與該信息對象關聯(lián)起來。本發(fā)明的這些和其他特征和優(yōu)勢將在本發(fā)明的示例性實施方式的以下詳細描述中進行描述,或者根據本發(fā)明的示例性實施方式的以下詳細描述,本發(fā)明的這些和其他特征和優(yōu)勢對于本領域的技術人員將變得明顯。現(xiàn)在將參考隨后附圖并僅通過示例的方式來描述本發(fā)明的實施方式圖1是可以在其中實現(xiàn)說明性實施方式的示例性方面的分布式或網絡式數據處理系統(tǒng)的示例性框圖;計算設備的示例性框圖;圖3是可以在其中實現(xiàn)說明性實施方式的示例性方面的客戶端計算設備的示例性框圖;圖4是根據說明性實施方式的架構的示例性圖示;圖5是根據說明性實施方式的引用監(jiān)控機的示例性圖示;圖6是示出了根據一個說明性實施方式的標簽集合的示例性定義的示例性圖示;圖7A是根據一個說明性實施方式的第一標簽集合的示例性圖示;圖7B是根據一個說明性實施方式的第二標簽集合的示例性圖示;圖8是示出了根據一個說明性實施方式的第一示例情況的示例性圖示,其中哈希表用于將標簽集合與資源關聯(lián)起來以確定允許或拒絕信息流請求;圖9是示出了根據一個說明性實施方式的第二示例情況的示例性圖示,其中哈希表用于將標簽集合與資源關聯(lián)起來以確定允許或拒絕信息流請求;圖IO是示出了用于向應用、設備、系統(tǒng)等許可令牌(token)從而建立保護環(huán)境的示例性操作的流程圖;圖11是示出了根據說明性實施方式的用于將資源與標簽集合關聯(lián)起來的示例性操作的流程圖;以及圖12是示出了根據一個說明性實施方式的用于對信息流請求進行認證的示例性操作的流程圖。具體實施方式說明性實施方式涉及用于改進源和目標之間的信息流中的安全實現(xiàn)的4幾制。該i兌明性實施方式的4幾制可以在全部發(fā)生在單個計算設備上的信息流上實現(xiàn),或者可以在計算設備之間的信息流上實現(xiàn),諸如在分布式或網絡式數據處理系統(tǒng)中。因此,下文提供圖l-3作為可以在其中實現(xiàn)說明性實施方式的機制的數據處理環(huán)境的示例。圖1-3僅是說明性的并且不旨在陳述或暗示對于可以在其中實現(xiàn)說明性實施方式的機制的數據處理環(huán)境的類型的任何限制。相反,在不脫離本發(fā)明的精神和范圍的情況下,可以對描述的數據處理環(huán)境做出很多修改。現(xiàn)在參考附圖,圖1示出了可以在其中實現(xiàn)說明性實施方式的示例性方面的數據處理系統(tǒng)的網絡的圖示表示。網絡數據處理系統(tǒng)100是可以在其中實現(xiàn)本發(fā)明的計算機網絡。網絡數據處理系統(tǒng)100包含網絡102,該網絡102是用于在網絡數據處理系統(tǒng)100內連接在一起的各種設備和計算機之間提供通信鏈路的介質。網絡102可以包括諸如有線、無線通信鏈路或光纖線纜這樣的連接。在示出的示例中,服務器104以及存儲單元106連接至網絡102。此外,客戶端108、110和112連4妻至網全各102。這些客戶端108、110和112例如可以是個人計算機或網絡計算機。在示出的示例中,服務器104向客戶端108-112提供諸如引導文件、操作系統(tǒng)映像和應用之類的數據??蛻舳?08、110和112是服務器104的客戶端。網絡數據處理系統(tǒng)100可以包括附加的服務器、客戶端和其他未示出的設備。在示出的示例中,網絡數據處理系統(tǒng)IOO是因特網,其中網絡102代表使用協(xié)議中的傳輸控制協(xié)議/因特網協(xié)議(TCP/IP)集來彼此通信的網絡和網關的世界范圍的集合。在因特網的核心處是主要節(jié)點或主計算機之間的高速數據通信線路骨干,包括數千路由數據及消息的商業(yè)、政府、教育和其他計算機系統(tǒng)。當然,網絡數據處理系統(tǒng)100還可以實現(xiàn)為多個不同類型的網絡,例如企業(yè)內部網、局域網(LAN)或廣域網(WAN)。圖1旨在作為一個示例,并且不作為對本發(fā)明的架構限制。參考圖2,其示出了可以在其中實現(xiàn)說明性實施方式的示例性方面的數據處理系統(tǒng)的框圖,其中該數據處理系統(tǒng)可以實現(xiàn)為諸如圖1中的服務器104的服務器。數據處理系統(tǒng)200可以是對稱多處理器(SMP)系統(tǒng),其包括多個連接至系統(tǒng)總線206的處理器202和204。可替換地,可以使用單個處理器系統(tǒng)。還連接至系統(tǒng)總線206的是存儲器控制器/高速緩存器208,其提供到本地存儲器209的接口。I/O總線橋210連接至系統(tǒng)總線206并且提供到I/O總線212的接口。如圖所示,存儲器控制器/高速緩存器208和I/O總線橋210可以集成。連接至I/O總線212的外圍組件互連(PCI)總線橋214提供到PCI本地總線216的接口。多個調制解調器可以連接至PCI本地總線216。典型的PCI總線實現(xiàn)將支持四個PCI擴展插槽或插件連接器。圖1中到客戶端108-112的通信鏈3各可以通過調制解調器218和通過插件連接器連接至PCI本地總線216的網絡適配器220來提供。附加PCI總線橋222和224為附加PCI本地總線226和228提供接口,從其可以支持附加的調制解調器或網絡適配器。這樣,數據處理系統(tǒng)200支持連接到多個網絡計算機。存儲器映射圖形適配器230和硬盤232也可以直接或間接地連接至示出的I/O總線212。本領域的^支術人員應該理解圖2中示出的石更件可以改變。例如,除了示出的硬件之外或替代示出的硬件,可以使用諸如光盤驅動器等其他外圍設備。示出的示例不意味著暗示對本發(fā)明的架構限制。圖2中示出了的數據處理系統(tǒng)例如可以是IBMeServerpSeries系統(tǒng),其是紐約Armonk國際商業(yè)機器公司的一種產品,該產品運行高級交互式執(zhí)行(AIX)操作系統(tǒng)或LINUX操作系統(tǒng)。以在其中實現(xiàn)說明性實施方式的示例性方面的數據處理系統(tǒng)的框圖。數據處理系統(tǒng)300是客戶端計算斗幾的示例。數據處理系統(tǒng)300使用外圍組件互連(PCI)本地總線架構。盡管示出的示例使用PCI總線,但是可以使用諸如加速圖像端口(AGP)以及工業(yè)標準架構(ISA)之類的其他總線架構。處理器302和主存儲器304通過PCI橋308連接至PCI本地總線306。PCI橋308還可以包括用于處理器302的集成存儲器控制器和高速緩存存儲器。到PCI本地總錢306的附加連接可以通過直接組件互連或通過插件板做出。在示出的示例中,局域網(LAN)適配器310、小型計算機系統(tǒng)接口(SCSI)主機總線適配器312以及擴展總線接口314通過直接組件連4妄而連接至PCI本地總線306。相反,音頻適配器316、圖形適配器318和音頻/視頻適配器319通過插入到擴展插槽的插件板連接至PCI本地總線306。擴展總線接口314提供用于鍵盤與鼠標適配器320、調制解調器322和附加存儲器324的連接。SCSI主機總線適配器312提供用于硬盤驅動器326、磁帶驅動器328以及CD-ROM驅動器330的連接。典型的PCI本地總線實現(xiàn)將支持三個或四個PCI擴展插槽或插件連接器。操作系統(tǒng)運行在處理器302上并且用于協(xié)調和提供對圖3中數據處理系統(tǒng)300內的各種組件的控制。該:操作系統(tǒng)可以是商業(yè)上可獲耳又的才喿作系統(tǒng),諸如WindowsXP,該l喿作系統(tǒng)可從Microsoft7〉司獲得。諸如Java的面向對象的編程系統(tǒng)可以與操作系統(tǒng)結合運行并且從在數據處理系統(tǒng)300上執(zhí)行的Java程序或應用提供對操作系統(tǒng)的調用。"Java"是SunMicrosystems公司的商標。用于操作系統(tǒng)、面向對象編程系統(tǒng)和應用或程序的指令位于諸如硬盤驅動器326的存儲設備上,并且可以加載到主存儲器304中以便由處理器302執(zhí)行,本領域的技術人員應該理解圖3中示出的硬件可以才艮據實現(xiàn)而改變。除了圖3示出的硬件之外或替代圖3示出的硬件,可以使用諸如閃存只讀存儲器(ROM)、等價的非易失性存儲器或光盤驅動器等的其他內部硬件或外圍設備。而且,本發(fā)明的過程可應用于多處理器數據處理系統(tǒng)。作為另一個示例,數據處理系統(tǒng)300可以是配置為不依賴于某些類型的網絡通信接口就可以啟動的單獨系統(tǒng)。作為又一示例,數據處理系統(tǒng)300可以是個人數字助理(PDA)設備,其配置有ROM和/或閃存ROM,從而提供用于存儲操作系統(tǒng)文件和/或用戶生成的數據的非易失性存儲器。圖3中示出的示例和上述示例不意味著暗示架構限制。例如,除了采用PDA形式,數據處理系統(tǒng)300還可以是筆記本電腦或手持計算機。數據處理系統(tǒng)300還可以是咨詢服務站(kiosk)或Web裝置。說明性實施方式提供用于控制計算設備的元素或計算設備的網絡之間的信息流的機制。對信息流的該控制可以完全在單個計算系統(tǒng)內執(zhí)行,諸如可以完全在服務器104內的元素之間或圖1的客戶端計算設備108-112內的元素之間執(zhí)行。例如,說明性實施方式的機制可以用于控制圖2中運行在處理器202上的一個或多個應用和運行在處理器204上的一個或多個應用之間的信息流,或者甚至控制圖3中運行在處理器302上的一個應用和運行在處理器302上的另一個應用之間的信息流。而且,說明性實施方式的才幾制可以控制一個或多個應用和其他資源之間的信息流,或者直接控制計算設備(例如部分存儲器、1/0控制器、網絡接口等)中的一個或多個資源之間的信息流。如圖l所示,說明性實施方式的機制還可以用于控制大型分布式或網絡數據處理環(huán)境中的計算設備或系統(tǒng)之間的信息流。因此,例如,說明性實施方式的機制可以在諸如服務器104的服務器中提供,并且用于控制一個客戶端計算設備108和其他客戶端計算設備110、112或甚至存儲系統(tǒng)106之間的信息流。簡而言之,說明性實施方式的機制可以用于控制一個或多個數據處理設備的任何兩個軟件和/或硬件元素之間的信息流。通過說明性實施方式的機制,數據處理系統(tǒng)的應用、設備、系統(tǒng)以及其他軟件和/或硬件實體與還稱作"隔離,,的保護環(huán)境相關,其由p舉一的安全關耳關(securityassociation)(SA)標識。SA與安全信息數據結構相關,該數據結構標識將要應用于進出實體的信息流的安全策略,以及可以保持在每個實體中的信息項的敏感度。在說明性實施方式中,這些安全信息數據結構作為標簽集合提供,盡管本發(fā)明不限于安全信息的此類表示。相反,在不脫離本發(fā)明的精神和范圍的情況下,可以使用用于標識將要應用于信息流的安全策略的任何表示。此外,信息項,即資源,可以使用哈希表格數據結構來與標簽集合相關聯(lián)??梢曰谫Y源的內容生成哈希鍵。該哈希鍵用作哈希表數據結構中的索引以標識具有與資源相關聯(lián)的標簽集合的條目。由說明性實施方式生成的標簽集合僅按照敏感度描述信息并且不按照用于轉換或傳輸信息的操作來描述信息。對關注的該分離支持通過將安全策略評估的語義從數據處理系統(tǒng)中的應用、設備、系統(tǒng)和其他實體的數據操縱語義中解耦合來實現(xiàn)非常簡單的策略決定機制。而且,標簽集合的使用允許按照集合論操作(例如,集合合并、交叉和補操作)來定義安全策略和規(guī)則。安全策略和規(guī)則不關心在信息流中正寺丸行的特定動作,而僅<又關心可以由涉及的實體所保持的信息敏感度以及作為該信息流主體的信息的敏感度。在對來自于數據處理系統(tǒng)中的實體的信息流請求的處理中,用于源和目標保護環(huán)境的標簽集合可以被提供給策略框架,該策略框架解析該標簽集合以識別該標簽集合引用了哪些安全策略。與識別的安全策略相關聯(lián)的策略模塊繼而可以配備該標簽集合,從而基于用于源和目標保護環(huán)境的標簽集合來評估該安全策略。每個策略模塊可以基于應用于標簽集合的其安全策略來生成決定,該決定有關于是對信息流請求進行許可、拒絕還是不做決定。例如,可以通過使用集合論操作對源保護環(huán)境的標簽集合以及目標保護環(huán)境的標簽集合進行比較來做出決定??梢詫⒏鞣N決定提供給決定合并器,該決定合并器使用合并器規(guī)則合并各種決定并且生成關于是否應該許可信息流請求的單個決定。如果信息流請求被許可,那么允許源和目標保護環(huán)境之間的信息流。如果信息流請求被拒絕,那么阻擋到目標保護環(huán)境的資源流并且可以返回錯誤消息。存在兩種可以被許可的信息流,"流(stream)"和"資源,,。如果許可"資源"信息流,那么在源和目標保護環(huán)境之間允許資源的單個轉移。如果許可"流"信息流,那么允許信息作為流從源流向目標直到流被拒絕,例如,因為引用監(jiān)控機中的某些事物已經改變,其使得信息流被拒絕,或關閉流。例如,如果目標保護環(huán)境已經更新了它的標簽集合以及對于信息流的拒絕的新標簽集合評估,那么在初始;i也許可流之后可以拒絕它。在一個說明性實施方式中,資源可以使用哈希表數據結構來與標簽集合關聯(lián)起來,其中哈希表數據結構使用資源內容的哈希作為哈希表數據結構中的索引。在這樣的情況中,當接收到信息流請求時,可以從源保護環(huán)境中檢索作為信息流主體的資源并且使用一個或多個哈希函數來進行散列。為了增加安全性,可以使用多維哈希結構中的資源相對應的標簽集合的查找。如果基于哈希值在哈希表數據結構中找到有效條目,則通過安全策略檢索并且使用相應的標簽集合。在一個說明性實施方式中,用于資源的所檢索到的標簽集合可以與用于源保護環(huán)境的標簽集合合并以生成用于對目標保護環(huán)境的標簽集合進行評估的有效標簽集合。如果沒有找到有效條目,或如果正在請求"流,,信息流,那么用于源保護環(huán)境的標簽集合可通過說明性實施方式的機制,標簽集合完全保持在51用監(jiān)控機內,并且因此不易受到無意的或惡意的改變。標簽集合還提供從安全考慮>'肖除數據操縱的語義的機制并且允許基于保護環(huán)境和信,&流中包含的資源的敏感度來執(zhí)行安全考慮。結果,源和目標保護環(huán)境以及資源都可以針對安全策略評估來使用公共安全屬性,即標簽集合,從而降低創(chuàng)建以及使用安全策略和規(guī)則的復雜性。標簽集合還允許將集合論操作用于執(zhí)行安全策略評估,從而再次簡化安全策略和規(guī)則。而且,標簽集合可以使用多維哈希數據結構來與資源相關聯(lián),從而減少標簽集合的無意或惡意改變的可能性,并且減少哈希沖突的可能性??傮w架構說明性實施方式的機制使用其中應用/資源與保護環(huán)境相關聯(lián)的架構,以便根據建立的安全信息數據結構來控制保護環(huán)境之間的信息流,其中該安全信息數據結構標識將要應用于信息流的安全策略,例如標簽集合。圖4是示出了根據一個說明性實施方式的架構400的示例性框圖。如圖4所示,架構400包括多個保護環(huán)境410-430,也稱作"隔離",其可以經由通信介質440彼此通信。還在示出的架構中提供了認證器450和引用監(jiān)控機460。保護環(huán)境410-430或"隔離,,可以包括一個或多個應用、一個或多個數據處理設備、一個或多個數據處理系統(tǒng)、一個或多個數據處理設備資源等。在一個說明性實施方式中,每個現(xiàn)有的應用、設備、資源或系統(tǒng)都與分離的保護環(huán)境或"隔離"相關聯(lián),其充當與引用監(jiān)控機460通信的代理。保護環(huán)境410-430是架構400中的應用、設備、系統(tǒng)和/或資源的邏輯表示。這些邏輯表示保持在引用監(jiān)控機460保護環(huán)境與另一個保護環(huán)境關于信,lr流的交互。引用監(jiān)控機460居間調理保護環(huán)境410-430之間的所有通信。通信介質440確保通過拒絕將通信直接從一個保護環(huán)境路由到另一個并且替代地要求所有通信流流經引用監(jiān)控機460來在保護環(huán)境之間的所有通信上執(zhí)行該居間調理。為了確保所有通信流流經引用監(jiān)控才幾460,可以在通信介質440中提供路由才幾制,其4吏通信不被路由到目標保護環(huán)境而重定向到引用監(jiān)控機460。通信介質440可以包括任何類型的通信基礎實施、協(xié)議等。例如,通信介質440可以包括總線、路由器、網絡、緩沖存儲器、存儲設備、尋址機制等。并且協(xié)議包括TCP/IP、SCSI、PCI等。不論使用何種特定基礎實施或協(xié)議,配置通信介質440以便保護環(huán)境410-430的所有外部通信在被路由到通信的目標保護環(huán)境410-430之前首先流經引用監(jiān)控機460。例如,在網絡環(huán)境中,所有保護環(huán)境410-430通過執(zhí)行網絡業(yè)務路由的通信介質440進行通信。在簡單的說明性實施方式中,路由器可以用于將業(yè)務從一個保護環(huán)境410-430路由到另一個。為了確保所有通信都由引用監(jiān)控才幾460居間調理,可以配置i各由器以將所有傳入網絡業(yè)務限制為轉發(fā)到引用監(jiān)控機460并且所有傳出業(yè)務僅可以來自于引用監(jiān)控機460。需要與另一個保護環(huán)境410-430通信的保護環(huán)境410-430中的任何實體必須提交請求以與引用監(jiān)控機460進行通信從而進行授權。因此,對于單向的信息流,通信的源必須向引用監(jiān)控機460提交信息流請求,從而請求與通信的目標進行通信。對于雙向信息流,源和目標(目標將充當反向中的源)都必須向引用監(jiān)控機460提交信息流請求。在雙向通信中對于兩個實體提交信息流請求的該要求基于以下事實,即說明性實施方式涉及控制信息流而不是正在執(zhí)行的特定動作。因此,雖然可以向第一實體進行授權以向第二實體發(fā)送信息,但是不能向該第二實體授權以將信息發(fā)回給第一實體。換言之,對一個方向的信息流的授權不必然意味著也對反向的信息流進行授權。引用監(jiān)控機460可以使用與保護環(huán)境410-430相關聯(lián)的標簽集合來確定允許或是不允許保護環(huán)境之間的哪個方向的信息流。在引用監(jiān)控機460的信任基礎外部,不允許訪問這些標簽集合。因此,不向保護環(huán)境410-430提供這些標簽集合。為了響應保護環(huán)境410-430的應用、設備、系統(tǒng)和其它類型的實體提交的認證宣告,認證器450對保護環(huán)境410-430的實體執(zhí)行認證以核實稍后將向引用監(jiān)控機460提交信息流請求的實體是經核實的保護環(huán)境410-430的被授權實體。此類認證可以采取以下形式密碼認證、證書認證或任何其他已知認證機制。當在故障之后恢復實體時,例如可以在實體的初始化時間處由實體估文出iU正宣告。在認證器450核實保護環(huán)境410-430中的實體的宣告時,認證器450向請求方發(fā)布令牌。該請求方繼而可以使用該令牌來請求引用監(jiān)控機460生成并且關聯(lián)用于保護環(huán)境410-430的標簽集合?;谡J證器450發(fā)布的令牌,引用監(jiān)控機460確定哪個標簽集合與保護環(huán)境相關。例如,引用監(jiān)控機460可以向安全策略框架的每個安全策略模塊提供令牌,從而針對特定令牌從每個安全策略模塊獲取標簽,或者如果沒有找到針對該令牌的專用標簽,則可選地獲取默認標簽。一旦令牌用于生成標簽集合,則該標簽集合與引用監(jiān)控機460中的安全關聯(lián)相關聯(lián)。該安全關聯(lián)是特定保護環(huán)境或隔離與引用監(jiān)控機460之間的通信連接的唯一標識符。用于生成該安全關聯(lián)的特定值取決于本發(fā)明的特定實現(xiàn)。例如,在一個說明性實施方式中,例如TCP/IP地址、安全套接字標識符和會話標識符之類的通信標識符的組合可以用于生成唯一的安全關聯(lián)(SA)。可選地,僅安全套接字標識符和會話標識符可以用于生成用于特定保護環(huán)境或隔離的SA。一旦可以針對正由引用監(jiān)控機460管理的每個保護環(huán)境或隔離生成唯一的標識符,就可以使用其他類型的信息和信息的其他組合。在引用監(jiān)控機460內生成該唯一的安全關聯(lián)并且在引用監(jiān)控機460的外部對該安全關聯(lián)不可訪問。該SA與針對保護環(huán)境/隔離生成的標簽集合相關聯(lián)地存儲在與引用監(jiān)控機460相關聯(lián)的數據結構中。使用該安全關聯(lián),引用監(jiān)控機460可以迅速地確定與請求的源相關聯(lián)的標簽集合。即,通過查看關于與源保護環(huán)境的通信連接的信息(其例如存在于請求的報頭信息中),引用監(jiān)控機460可以生成用于該請求的SA并且在數據結構中執(zhí)行該SA的查找以獲取相關聯(lián)的標簽集合。這樣,引用監(jiān)控機460用于處理來自保護環(huán)境410-430的"f言息流^"求。令牌可以用于識別可由引用監(jiān)控機460識別的安全屬性。例如,用戶可以使用用戶ID和密碼利用^人證器450進4亍認證。認證器可以提供具有以下屬性的令牌的保護環(huán)境(從該保護環(huán)境中接收用戶的認證請求)"userc"。引用監(jiān)控機460可以接收令牌并且針對保護環(huán)境建立標簽集合。例如,利用Group-DAC(群DAC)和BLP策略運行的引用監(jiān)控機460已經可以4吏與"IBM-GROUP"和"NEWHIER-GROUP,,相關的userc作為Group-DAC分配并且"CONFIDENTIAL"作為BLP分配??梢詫⑦@些標簽添加到用于保護環(huán)境的標簽集合中。保護環(huán)境的SA繼而可以由引用監(jiān)控機460基于用于保護環(huán)境的連接信息而生成。然后,該SA與生成的標簽集合關聯(lián)地存儲在引用監(jiān)控機460中。之后,當從保護環(huán)境中接收到請求的時候,通過針對請求的連接信息生成SA并且將其用于檢索標簽集合。SA基本上作為保護環(huán)境410-430的內部標識符,并且根據到引用監(jiān)控機460的連接來生成。該安全關聯(lián)可以在信息流請求中使用從而標識從其接收信息流請求的保護環(huán)境。例如,當保護環(huán)境410-430連接至引用監(jiān)控機460時,其提供保護環(huán)境名稱。該名稱可以與保護環(huán)境所關聯(lián)的唯一安全關聯(lián)(外部世界未知的)以及相關標簽集合關聯(lián)地存儲在引用監(jiān)控機460中。保護環(huán)境名稱可以由源保護環(huán)境使用以標識信息流請求中的目標保護環(huán)境。例如,保護環(huán)境A可以連接至引用監(jiān)控機460并且將其名稱標識為"PARTITIONA(隔離A)"(在本發(fā)明的上下文中,保護環(huán)境也可稱作"隔離")。保護環(huán)境B可以連接至引用監(jiān)控機460并且將其名稱標識為"PARTITIONB(隔離B)"。如果保護環(huán)境A希望向保護環(huán)境B發(fā)送信息,則保護環(huán)境A向引用監(jiān)控機460發(fā)送信息流請求以指示信息流的目標是"PARTITIONB"。然后,引用監(jiān)控機460將執(zhí)行適當的標簽集合查找,如下所述,并且執(zhí)行針對該信息流請求的授權決定。標簽集合允許引用監(jiān)控機460對源和目標保護環(huán)境410-430的標簽集合執(zhí)行集合論以確定允許哪些信,包-流以及拒絕哪些信息流,下文將對此進行更詳細的描述。基于引用監(jiān)控機460做出的關于是否允許信息流的決定,可以允許通信流經目標保護環(huán)境或可以由引用控才幾460阻擋它。引用監(jiān)控機架構圖5是根據一個說明性實施方式的引用監(jiān)控機500的示例性框圖。如圖5所示,引用監(jiān)控機500包括具有偵聽器子組件512的通信管理器(CM)510、信息流居間器(IFM)520、具有決定合并器532和多個策略才莫塊534-538的策略框架530。此外,在運行時間期間,保持保護環(huán)境標簽集合數據結構540和資源標簽集合數據結構550。偵聽器512偵聽來自于圖4中保護環(huán)境410-430的信息流請求。例如,偵聽器512可以就信息流請求來偵聽特定端口,其中該信息流請求通過保護環(huán)境410-430中的應用、設備和/或系統(tǒng)被引導至該端口。信息流請求例如可以是標識下列的通信消息作為該信息流主體的源、從其獲取資源的信息流的源保護環(huán)境、以及向其提供資源的信息流的目標保護環(huán)境。在一個說明性實施方式中,信息流請求指定目標保護環(huán)境的保護環(huán)境名稱。根據該保護環(huán)境名稱,與目標保護環(huán)境相關聯(lián)的標簽集合可以被檢索。根據在信息流請求中提供的或者從經由其接收該信息流請求的端口、套接字等中固有地獲取的連接信息,引用監(jiān)控機可以生成針對該請求的SA并且使用該SA來檢索與源保護環(huán)境相關聯(lián)的標簽集合。例如,信息流請求可以具有如下包括消息類型和消息體的格式消息類型消息體26表1-信息流請求消息才各式消息類型是向引用監(jiān)控機500發(fā)送或來自于引用監(jiān)控機500的消息的類型,并且消息體包含對應于該消息類型的相關信息。響應于接收到信息流請求,如果引用監(jiān)控機500配置在操作的詳細模式中,則可以用響應消息進行響應,如果引用監(jiān)控機500配置為不在操作的詳細模式中,則用應答消息進行響應。這些不同的消息類型格式化如下消息類型消息體響應<結果><主描述響應〉<次描述響應〉表2-引用監(jiān)控機響應消息格式消息類型消息體應答<應答消息〉表3-引用監(jiān)控機應答消息格式在一個說明性實施方式中,發(fā)送到引用監(jiān)控機500的消息的消息類型可以是infoFlowR叫uestStreamOpen(信息流請求流打開)、infoFlowRequestStreamSend(信息流請求流發(fā)送)、infoFlowRequestStreamClose("[言息;危"i青^^危關閉)或infoFlowR叫uestResource(信息流請求資源)。將在下文中描述這些信息流請求消息和引用監(jiān)控機500響應或應答消息中的每個。infoFlowRequestStreamOpen消息類型用于使引用監(jiān)控機對IFM520進行調用,該IFM520請求信息流請求決定以許可或拒絕從源保護環(huán)境到目標保護環(huán)境的信息流。如果該信息流被許可,則將源和目標安全關聯(lián)對添加到打開信息流式流表中的條目,該條目用于確定引用監(jiān)控機是否可以將該信息流轉發(fā)到目標保護環(huán)境。如杲infoFlowRequestStreamOpen消息導致目標保護環(huán)境的標簽集合^皮更新,則引用監(jiān)控機500將關閉目標保護環(huán)境的任何現(xiàn)有流,并且將在應答消息類型內將該流關閉通知給所有的源保護環(huán)境。infoFlowRequestStreamOpen消息類型具有標識該目標保護環(huán)境的相關聯(lián)消息體,其中將利用該目標保護環(huán)境建立信息流。在說明性實施方式中,消息體包括目標保護環(huán)境令牌。為了響應infoFlowRequestStreamOpen消息,引用監(jiān)控才幾500可以返回如下響應消息中的一個消息類型消息體響應<結果〉<主4苗述響應〉<次4苗述響應>響應SUCCESSFLOWGRANTED響應SUCCESSFLOW—GRANTEDTARGET—LS—UPDATED響應SUCCESSFLOW—DENIED響應FAILUREINVALID—PARM響應FAILUREMSG—OUT—OF—SEQ響應FAILUREINTERNAL—ERROR響應FAILURECOMPONET—BUSY表4—只于infoFlowRequestStreamOpen消息的響應消息具有包括產生自IFM520的"FLOW—GRANTED"的主描述響應的消息導致源和目標保護環(huán)境的安全關聯(lián)對的新條目被添加到由引用監(jiān)控機500保持的打開信息流式流表格中。具有包括產生自IFM520的"FLOW—DENIED"的主描述響應的消息導致源和目標保護環(huán)境安全關聯(lián)對不被添加到打開信息流式流表格中。類似地,具有"INVALID一PA腹"、"MSG—OUT—OFSEQ"、"INTERNAL—ERROR"、和"COMPONENT—BUSY"的主描述響應的消息也導致安全關聯(lián)對不被添加到打開信息流式流表格中。當IFM520確定必須更新目標標簽集合并且與該目標標簽集合相關聯(lián)的流關閉時,具有"TARGET—LS—UPDATED"的次描述響應的消息是由引用監(jiān)控機500返回的消息。當引用監(jiān)控機500處于詳細模式中并且當流被引用監(jiān)控機500強迫關閉時(例如,當infoFlowRequestStreamOpen導致目標標簽集合被更新時),將以下應答消息發(fā)送到保護環(huán)境消息類型消息體應答<應答消息>應答i'eferenceMonitorstreamClosed<目標名稱〉表5-流關閉應答消息infoFlowRequestStreamSend消息類型由源保護環(huán)境4吏用,從而一旦引用監(jiān)控機500已經許可了信息流,就將信息發(fā)送到目標保護環(huán)境。當引用監(jiān)控機500接收該請求時,引用監(jiān)控機500一驗證打開信息流式流表中存在針對源和目標保護環(huán)境的安全關聯(lián)對的條目,從而指示之前已經許可了該流信息流。然后,引用監(jiān)控才幾500在應答消息內將該信息轉發(fā)到目標保護環(huán)境。以下是infoFlowRequestStreamSend消息的格式消息類型消息體infoFlowRequestStreamSend<目才示名稱〉<4言息、>表6—infoFlowRequestStreamSend消息格式以下是引用監(jiān)控機響應于infoFlowRequestStreamSend消息可以生成的各種類型的響應消息消息類型消息體響應<結果〉<主描述響應><次描述響應>響應SUCCESSSUCCESS響應FAILUREINVALID—PARM響應FAILUREMSG—OUT—OF—SEQ響應FAILUREREQ—DENIED響應FAILUREINTERNAL—ERROR響應FAILURECOMPONENT—BUSY表7-對infoFlowRequestStreamSend消息的響應消息如果響應消息具有產生自IFM520的"SUCCESS"的主描述響應,那么目標保護環(huán)境從源保護環(huán)境接收信息。其他主描述響應將導致目標保護環(huán)境不從源保護環(huán)境接收信息。以下是響應于infoFlowRequestStreamSend消息可以生成的應答消息格式消息類型消息體應答<應答消息〉應答<源名稱〉<信息>表8-對infoFlowRequestStreamSend消息的應答消息例如,引用監(jiān)控機500可以將該應答消息用于將信息從源保護環(huán)境發(fā)送到目標保護環(huán)境。infoFlowRequestStreamClose消息類型由源4呆護環(huán)境4吏用以關閉打開的到目標保護環(huán)境的流。當引用監(jiān)控才幾50CU妻收到該請求時,引用監(jiān)控機500中止從源保護環(huán)境到目標保護環(huán)境的所有流信息流。然后,引用監(jiān)控機500從打開信息流式流表中移除源和目標保護環(huán)境的安全關耳關對條目。infoFlowR叫uestStreamClose具有以下格式消息類型消息體infoFlowRequestStreamClose<目標名稱>表9--infoFlowRequestStreamClose消息格式引用監(jiān)控4幾500可以對infoFlowRequestStreamClose消息估文出的響應基本上與上述表7中示出的相同,例外之處在于"REQ—DENIED"響應消息將不由引用監(jiān)控機500返回。infoFlowR叫uestResom'ce消息類型由源保護環(huán)境4吏用以請求授權并且將資源(例如,文件、聊天文本或不是連續(xù)數據流的一部分的數據的其他類型的打包部分)傳遞到目標保護環(huán)境。當引用監(jiān)控機500接收到該消息類型時,引用監(jiān)控機500對IFM520進行調用,該IFM520請求信息流請求決定以許可或拒絕資源從源保護環(huán)境流動到目標保護環(huán)境。如果信息流被許可,那么在應答消息類型內將該資源傳輸到目標保護環(huán)境。如果請求導致目標保護環(huán)境的標簽集合必須更新,則引用監(jiān)控機500將關閉目標保護環(huán)境的現(xiàn)有的流,并且如果引用監(jiān)控機500配置在詳細模式中,則其在應答消息類型內將該流的關閉通知給源保護環(huán)境。如果信息流被拒絕,則不將資源傳輸到目標保護環(huán)境。infoFlowRequestResource消息具有以下格式消息類型消息體infoFlowRequestResource<目標名稱〉<資源〉表10—infoFlowRequestResource消息格式從引用監(jiān)控機500對infoFlowRequestResource消息的可能響應基本上與上述表4中示出的相同。當引用監(jiān)控機500許可資源信息流時,將以下應答消息發(fā)送到保護環(huán)境消息類型消息體應答<應答消息〉應答<源名稱〉<資源〉表11一對infoFlowRequestResource消息的應答消息返回到圖5,當引用監(jiān)控^幾500通過CM510的偵聽器512從保護環(huán)境(例如保護環(huán)境410M姿收到信息流i青求時,CM510向IFM520發(fā)送針對授權決定的請求。該授權決定是確定是否允許信息流從源保護環(huán)境(例如保護環(huán)境410)到目標保護環(huán)境(例如,保護環(huán)境430)的一個決定??梢曰趯δ繕吮Wo環(huán)境標簽集合與源保護環(huán)境的標簽集合和資源的標簽集合中的一項或兩項的比較來做出該授權決定。在i兌明性實施方式中,響應于接收到對信息流4受4又的請求,IFM520可以在保護環(huán)境數據結構540中執(zhí)行對標識符的查找,例如查找源保護環(huán)境的SA和目標保護環(huán)境的保護環(huán)境名稱。作為該查找操作的結果,IFM520從保護環(huán)境數據結構540檢索源和目標保護環(huán)境的相關聯(lián)標簽集合,并且向策略框架530提供這些標簽集合。如果查找操作導致源和目標保護環(huán)境中的一個或多個不具有相關聯(lián)的標簽集合,則可以拒絕該請求??商鎿Q地,可以將默認標簽集合用于不具有相關聯(lián)標簽集合的保護環(huán)境。除了將標簽集合與源和目標保護環(huán)境關聯(lián)起來之外,引用監(jiān)控機500還可以使用資源標簽集合數據結構550將標簽集合與信息的單獨項即信息對象關聯(lián)起來。如將在下文中更詳細討i侖的,在一個說明性實施方式中,如果針對信息單獨項的標簽集合存在于引用監(jiān)控機500中,則可以將目標保護環(huán)境的標簽集合與信息單獨項的標簽集合或根據信息單獨項的標簽集合以及源保護環(huán)境的標簽集合生成的有效標簽集合進行比較。如果針對信息項的標簽集合不存在于引用監(jiān)控機500中,則源保護環(huán)境的標簽集合可以使用并且可以與信息項關聯(lián)起來。標簽集合基本上定義了安全策略的列表,策略框架530對該安于處理。策略模塊534-538可以使用不同類型的算法中的任意一個來4丸行對標簽集合的評估,從而生成決定。例如,策略才莫塊534-538可以使用長城算法(ChineseWallalgorithm),BellLaPadula強制訪問控制(MAC)算法,群組自主訪問控制(DAC)算法等等。一旦策略模塊534-538處理了所有單獨的評估,則策略框架530合并單獨的決定以生成最終的決定。策略對醫(yī)架530的決定合并器532服務于合并單獨策略模塊534-538的決定并且使用決定合并器532中提供的合并器策略(即,合并器規(guī)則集合)來產生一個決定,即許可或拒絕信息流。例如,決定合并器532可以通過使用三重邏輯(ternary)來合并每個單獨策略模塊534-538的決定,從而評估來自于可以產生以下結果的每個策略模塊534-538的結果GRANTED、DENIED或NO—DECISION。決定合并器532可以基于包含一個或多個合并器策略的合并器策略文件進行操作。默認地,合并器策略文件可以包含如下所述的默認的合并器策略((adminRESULT=GRANTED)OR(blpRESULT=GRANTED))其中admin和blp是兩個策略模塊并且合并器策略指示的是如果這些策略模塊中的任一個返回"GRANTED"結果,那么許可信息流。管理員可以使用以下語法對合并器策略文件進行定制,其將由32合并器策略解析器來解譯<combinato;r:rule>::=<expression><expression>::=(NOT<expression>)|(<expression>)|(<expression>AND<expression>)|(<expression>OR<expression>)|(<policymodulename>RESULT=<result>)<result>::=GRANTED|DENIEDINO—DECISION在做出關于將允許還是拒絕特定信息流的決定時,說明性實施方式的機制僅根據源保護環(huán)境、目標保護環(huán)境的標簽集合和信息的單獨項的標簽集合(即資源標簽集合,如果存在的話)。這樣,從說明性實施方式中的評估中消除了在事務中正在執(zhí)行的"動作",該"動作"在已知系統(tǒng)中在確定兩個實體是否必須通信時必須考慮。實際上,說明性實施方式的最低限度(minimalist)的引用監(jiān)控機500僅基于對象(即信息流中包含的信息項)的敏感度以及主體(即源和目標保護環(huán)境)的授權級別來做出決定。這允許引用監(jiān)控機500被看作"黑盒子,,,從而簡化實現(xiàn)并且顯著地減小引用監(jiān)控機500的大小,因為不是每對源和目標實體之間的每個可能的動作都必須在引用監(jiān)控機500建立模型。此外,引用監(jiān)控機500的操作提供的安全級別不取決于所保護知并且不能對其進行修改以提供更好的安全的現(xiàn)有實體時,這是特別重要的。換言之,因為標簽集合和它們的關聯(lián)完全保持在引用監(jiān)地影響引用監(jiān)控機500提供的安全性。引用監(jiān)控機500的安全性僅取決于標簽集合中定義的安全級別。標簽集合如上所述,說明性實施方式的機制使用標簽集合來監(jiān)管由策略框架530執(zhí)行的安全評估,其中標簽集合可以與隔離名稱和安全關聯(lián)相關聯(lián)地存儲在保護環(huán)境數據結構540中。引用監(jiān)控機500可以創(chuàng)建和管理這些標簽集合,并且這些標簽集合用于標識需要知道的源和目標安全特征從而針對信息流啦文出授權決定。類似地,如上所述并且如下討論,可以針對信息的單獨項提供標簽集合并且將其存儲在資源標簽集合數據結構550中。圖6是示出了根據一個說明性實施方式的標簽集合的示例性定義的示例性圖示。如圖6所示,該標簽集合包括與指示〈abelse^jf反本的W反本元素〈version〉相關聯(lián)的標簽集合名稱元素〈abelset〉。版本元素是分配的數據結構的版本號。該版本元素包括主元素〈major〉和次元素〈minor:^主元素是分配的數據結構或子結構的主版本號。主元素的范圍是l到(264-1)。次元素是分配的數據結構或子結構的次版本號。次元素的范圍是O到(264-1)。W反本元素的主元素禾口次元素可以#皮{人為類似、于4欠4牛;反本號,例如MicrosoftWordTM10.6764,其中10是"主"版本并且6764是"次"版本。主元素和次元素用于確定標簽集合的不同版本是否被比較。例如,引用監(jiān)控機500第一次啟動時,可以創(chuàng)建具有主版本l和次版本0(1.0)的標簽集合。admin策略模塊可以是首次啟動期間唯一可用的策略模塊。雖然引用監(jiān)控4幾500的初始啟動打開并且運行,但是引用監(jiān)控機500管理員可以建立引用監(jiān)控機500以在引用監(jiān)控機500的下次啟動時添加BLP策略模塊。在系統(tǒng)重啟之前,管理員還可以添加資源,該資源為標簽集合僅分配admin策略值,因為其是當時僅有的運行的策略模塊并且獲得分配的主和次版本1.0。在系統(tǒng)重啟之后,添加BLP策略模塊。然后,第一保護環(huán)境(隔離A)可以嘗試向第二保護環(huán)境(隔離B)發(fā)送資源。由于已經更新了策略模塊,所以新的主元素和次元素是"1"和"1"或1.1。因此,任何新生成的標簽集合將具有"1.1"版本元素。由于試圖發(fā)送的資源標簽集合是1.0,所以引用監(jiān)控機500知道在評估授權請求之前需要更新標簽集合。還才是供計數元素〈coun^指示包括在標簽列表元素〈abellist〉中標簽的數量。計數元素的范圍是從1到65535?!磍abel〉進而包括一個策略類型元素〈policy—type〉和一個值元素〈value〉。策略類型元素<policy—type〉是標識與標簽元素相關聯(lián)的安全策略的4丈舉值。下面表1示出了可以與說明性實施方式才幾制一起使用的策略類型的示例列表。名稱值描述Blp1基于信息敏感度的BellLa-Padula安全模型Groupdac2基于群組成員的自主訪問控制Cw3長i成安全沖莫塊表1-示例策略類型值元素是標識策略值的枚舉值并且是特定于實現(xiàn)的。一個簡單的示例是,對于BLP而言,策略值可以是l、2、3和4以分別表示UNCLASSIFIED(未分類)、CONFIDENTIAL(秘密)、SECRET(機密)和TOPSECRET(纟色密)。例如,對于Groupdac,諸如IBM之類的組織可以具有值l、2、3、4和5以分別表示IBMER(IBM人員)、CONTRACTOR(合同人員)、NEWHIRE(新雇人員)、MGR、EXECUTIVE(執(zhí)行人員)。作為IBM正式雇員以及最近新雇傭的人員將因此具有包括值1和3的標簽集合。因此,policy—type標識將應用哪個策略并且該策略值標識該策略評估哪些特定的策略值。策略類型和策略值的合并對保護環(huán)境或資源的安全屬性做出了完整表示。例如,如果保護環(huán)境用于表示用戶,那么用戶的標簽集合可以具有用于運行BLP和GROUPDAC策i亥木亍簽元素略模塊的引用監(jiān)控機500的以下值:策略類型1(BIJP)策略值3(機密)策略類型1(BKP)策略值2(秘密)策略類型1(BLP)策略值1(未分類)策略類型2(GROUPDAC)策略值1(IBM人員)策略類型2(GROUPDAC)策略值3(新雇人員)根據該標簽集合,可以確定用戶是IBM的常規(guī)雇員、新雇員,并且可對未分類的、秘密的和機密的信息進行訪問。說明性實施方式生成的標簽集合僅按照敏感度而不是按照用于轉換或傳輸信息的操作來描述信息。對關注的該分離使得能夠通過將安全策略評估的語義從應用的數據操縱語義中解耦合來實現(xiàn)非常簡單的策略決定機制。此外,標簽集合提供用于定義針對源和目標的單個安全屬性類型的機制,即包括一組安全屬性標簽的標簽集合。這樣,說明性實施方式的機制消除了主動主體和被動資源之間的區(qū)別。說明性實施方式的標簽集合將它們的注意限制到源和目標之間的信息流,每個信息流具有相同的抽象安全屬性類型。在使用這些標簽集合執(zhí)行關于是否對信息流進行授權或拒絕的決定中,策略框架可以使用從利用集合合并、交叉和補操作的源和目標標簽集合構建而來的相對簡單的集合論組。因此,如果策略框架決定源和目標標簽集合是"兼容的",則策略框架允許該信息流。這樣,單個簡單規(guī)則可以用于控制任何源和任何目標之間從源到目標的所有信息流。該相同規(guī),則還可以應用于AU壬何目標(其現(xiàn)在作為源來操作)到任何源(其現(xiàn)在作為目標來操作)的反向流。按照規(guī)則應用簡單集合論以確定是否允許信息流。作為解釋可能通過使用標簽集合在策略框架中產生的功能性的例子,考慮在圖7A和7B中提供的兩個示例標簽集合。圖7A是根據一個說明性實施方式的可以與第一保護環(huán)境相關聯(lián)的第一標簽集合的示例性圖示。圖7B是根據一個說明性實施方式的可以與第二保護環(huán)境相關聯(lián)的第二標簽集合的示例性圖示。在圖7A的標簽集合700中,提供具有三個標簽720、730和740的標簽列表710,因此,計數元素702設置為值"3"。三個標簽720、730和740具有為"3"、"2"和T的枚舉值722、732和742。標簽722對應于"機密,,的敏感度級別,標簽732對應于"秘密"的敏感度級別,并且標簽742對應于"未分類"的敏感度級別。此外,每個標簽具有值為"1"的相關聯(lián)安全策略類型724、734和744,這在該特定例子中例如對應于"多級別,,或"MLS"安全策略。在圖7B的標簽集合750中,提供具有單個標簽770的標簽列表760,因此計數元素752設置為值"1"。標簽770具有'T,的枚舉值772。因此,標簽770對應于"未分類"的敏感度級別。類似于標簽集合700中的安全策略類型,標簽770具有安全策略類型"1"。如關于圖5所討論的,為了響應來自于源保護環(huán)境的信息流請求,引用監(jiān)控機500的信息流居間器520從保護環(huán)境數據結構540和資源標簽集合數據結構550中檢索源保護環(huán)境、目標保護環(huán)境以及可能的作為信息流主體的信息項的標簽集合。在該特定示例中,將假設標簽集合700對應于源保護環(huán)境并且標簽集合750對應于目標保護環(huán)境,并且沒有使用信息項的標簽集合。將檢索到的標簽集合700和750提供給解析標簽集合700和750并且確定在標簽集合的各種標簽中標識哪些策略類型的策略框架。然后,將標簽集合700和750提供給對應于標簽集合700和750中標識的策略類型的策略模塊534-538。然后,策略才莫塊534-538生成關于許可還是拒絕信息流的決定。將這些決定返回給使用決定合并器532來合并這些決定的策略框架530。決定合并器532合并各種決定以生成關于將許可還是拒絕該信息流的單個決定。將最終決定提供給通信管理器510,然后該管理器510操作以允許信息流繼續(xù)到目標保護環(huán)境或阻止該信息流。在本示例中,策略框架530解析標簽集合700和750并且確定由標簽集合700和750中對應于"MLS"安全策略的標簽來使用安全策略類型'T,。結果,策略框架530可以將標簽集合700和750發(fā)送到對應于"MLS"安全策略的策略模塊534。在本示例中,MLS安全策略包含-見定如果符合以下條件則信息可以從源保護環(huán)境流向目標保護環(huán)境的規(guī)則if{mlsvaluesofsource}is—subset—of{mlsvaluesoftarget}將該規(guī)則應用于標簽集合700和750導致拒絕從源保護環(huán)境到目標保護環(huán)境的信息流。這是因為標簽集合700中的值不是標簽集合750中的值的子集,即集合{3,2,1}不是集合{1}的子集。換言之,因為信息不能從潛在的機密源保護環(huán)境流向未分類的保護環(huán)境,所以信息流;f皮阻止。另一方面,可以在相反方向(即從目標保護環(huán)境(其現(xiàn)在充當源)到源保護環(huán)境(其現(xiàn)在充當目標))上的相同MLS策略和規(guī)則下對信息流進行授權。這是因為集合{1}是集合{3,2,1}的子集。換言之,信息可以從未分類的源保護環(huán)境流向潛在的機密目標保護環(huán)境。一旦已經使用說明性實施方式的引用監(jiān)控機500對信息流進行了授權,則可以繼續(xù)從源保護環(huán)境到目標保護環(huán)境的信息流,而無需等到信息流的流出現(xiàn)不連續(xù)時才再次執(zhí)行授權。即,說明性實施方式的機制可以用于對從源保護環(huán)境到目標保護環(huán)境的信息流的流進行授權。護環(huán)境到目標保護環(huán)境的信息的單個傳輸進行授權,諸如在文件傳輸的情況中。對于該機制用于對信,包、流的流進行授權或信息的單個傳輸進行授權,說明性實施方式的機制基本上具有相同的操作。如上所述,不僅可以基于源和目標保護環(huán)境的標簽集合,而且可以基于正在傳輸的信息的特定項的標簽集合來建立策略規(guī)則以用于執(zhí)行授權。然而,應該指出,甚至當在授權操作中考慮信息項的標簽集合時,決定也僅基于信息項以及源和目標保護環(huán)境的敏感度。即,源和目標保護環(huán)境的標簽集合是源和目標保護環(huán)境可以保持的信息的敏感度的量度。信息項的標簽集合是信息項的敏感度的量度。因此,關于許可還是拒絕信息流的決定基于包含在信息流中實體的敏感度,而不基于作為信息流一部分執(zhí)行的特定動作,例如讀取、寫入等。在一個說明性實施方式中,當使用與源和目標保護環(huán)境以及信息項相關聯(lián)的標簽集合時,信息流居間器520首先嘗試從資源標簽集合數據結構550中檢索與信息項相關聯(lián)的標簽集合。如果沒有建立針對該信息項的標簽集合,那么在由策略框架530.進行的評估中使用針對源保護環(huán)境的標簽集合,即根據可應用的策略規(guī)則將源保護環(huán)境的標簽集合與目標保護環(huán)境的標簽集合進行比較以確定許可還是拒絕該信息流。如果針對信息項而言標簽集合出現(xiàn)在資源標簽集合數據結構550中,那么該標簽集合與源保護環(huán)境標簽集合一起使用,并且因此由策略框架530將其與目標保護環(huán)境標簽集合進行比較以確定許可還是拒絕該信息流。在可替換實施方式中,當確定是許可還是拒絕信息流的時候,可以通過策略框架530來確定針對源保護環(huán)境、目標保護環(huán)境和信息項的所有標簽集合。例如,可以建立對所有三個集合執(zhí)行集合論操作的安全策略規(guī)則。當然,此類實施方式更復雜并且將需要額外的處理周期來執(zhí)行策略評估。然而,對信息流的更復雜的控制可以通過在策略評估中包括所有三個標簽集合而變得可能。而且,在一個說明性實施方式中,如果為作為該信息流主體的信息項提供標簽集合,則可以根據與安全策略規(guī)則模塊相關聯(lián)的合并規(guī)則將該標簽集合與源保護環(huán)境的標簽集合進行合并以生成有效的標簽集合。該有效的標簽集合繼而可以與策略框架的策略模塊中的目標標簽集合進行比較以生成授權決定。因此,如上所示,說明性實施方式的標簽集合提供一種簡單的機制,用于定義與所述標簽集合相關聯(lián)的保護環(huán)境的敏感度。對這些標簽集合的使用允許簡化應用于這些標簽集合的安全策略,因為此類安全策略僅需要如標簽集合定義的那樣關注源、目標以及可能的信息項的敏感度。因為在授權過程期間將正在執(zhí)行的特定動作從考慮中移除,所以該安全策略不需要具有監(jiān)管每個可能動作的規(guī)則,其中該動作可以由源和目標的每種組合來執(zhí)行。安全策略評估的語義與數據操縱的語義的該解耦合極大地降低了組成安全策略的安全策略和規(guī)則的復雜性。而且,為了基于這些敏感度做出決定,可以將筒單集合論操作用于定義對標簽集合執(zhí)行操作的安全策略的規(guī)則。因為安全策略使用集合論來實現(xiàn)它們的相關算法,所以規(guī)則的相同小集合可以應用于任何信息流請求而不論特定的源保護環(huán)境和目標保護環(huán)境如何。而且,由于涉及信息流的所有實體(即,源和目標保護環(huán)境以及信息項)使用相同的安全屬性類型(即,標簽集合),所以避免了與區(qū)分在安全策略中必須支持的屬性類型相關聯(lián)的問題。因此,說明性實施方式的機制極大地簡化了用于監(jiān)管信息流的安全框架的實現(xiàn)。由于該簡化,引用監(jiān)控機可以處理信息流的速率提高了。此外,因為標簽集合和安全策略完全保持在引用監(jiān)控機內,所以篡改標簽集合或安全策略變得更加困難,并且與安全機制的元素被分布到非安全計算設備的系統(tǒng)相比,該系統(tǒng)的整體安全性得到提升。關聯(lián)標簽集合與資源再次參考圖5,諸如在資源標簽集合數據結構550中可以以很多不同的方式將安全標簽與資源關聯(lián)起來。為了建立高度可保證的系統(tǒng),管理這些標簽集合的機制(例如引用監(jiān)控機500)應該避免在處理信息流請求時偶然地破壞標簽集合。此外,系統(tǒng)應該消除對標簽集合進行惡意改變的可能性,即使該修改是由具有特權的系統(tǒng)管理人員做出的。一個可能性是將標簽集合信息與其所應用于的資源一起存儲,其中該資源是例如文件、聊天文本的一部分或不是連續(xù)數據流的一部分的數據的其他打包部分的信息項,并且實現(xiàn)特定的特權和授權機制以限制對標簽集合信息的訪問。該方法存在兩個問題。第一,管理信息項以及關聯(lián)標簽集合信息的系統(tǒng)中的整體故障可以導致對標簽集合的未授權改變。即,如果用戶可以改變文件系統(tǒng)上的文件,則他們也可以改變隨文件存儲在文件系統(tǒng)上的標簽列表。根據這里的說明性實施方式,盡管用戶能夠改變該文件系統(tǒng)上的文件,但是用戶不能改變引用監(jiān)控機500內的標簽集合,因為該標簽集合在引用監(jiān)控機500的外部不可訪問。第二,不能對沒有設計為支持標簽集合的應用進行保護。即,在此類實施方式中,因為安全機制(即引用監(jiān)控機500)期望應用或保護環(huán)境將標簽集合信息傳遞到安全機制,所以如果應用或保護環(huán)境不支持標簽集合信息的使用,則它不能向安全機制提供必要的標簽集合信息。結果,安全機制不能訪問用于應用或保護環(huán)境的標簽集合信息,并且因此不能確保來自于應用或保護環(huán)境的信息流的安全。說明性實施方式的機制通過使得能夠在可信計算基礎(即,引用監(jiān)控機500)內存儲信息標簽集合來解決這些問題,其中可信計算基礎與存儲信息本身的庫(即保護環(huán)境中的庫)分離開來。說明性實施方式的機制將標簽集合與信息關聯(lián)起來,例如通過使用可以在資源標簽集合數據結構550中提供的哈希表,標簽集合引用該信息。例如,基于資源(例如,信息項)的內容由引用監(jiān)控機500的信息流居間器520生成哈希鍵。哈希鍵用作標簽集合中表(例如,資源標簽集合數據結構550)的索引,并且可以用于檢索與作為哈希鍵基礎的信息的特定項相關聯(lián)的標簽集合。引用監(jiān)控機500第一次遇到資源時,引用監(jiān)控機500的信息流居間器520計算資源的哈希鍵并且將合適的標簽集合以對應于計算的哈希鍵的索引存儲在資源標簽集合數據結致正被標識的標簽集合數據結構550的匹配條目。如果資源還沒有由管理員寄存在引用監(jiān)控機500中,那么資源將采用與源保護環(huán)境相同的標簽集合。作為哈希表中索引的哈希鍵的產生在本領域中是公知的,并且因此在此不提供散列的細節(jié)。一旦已經為資源分配了標簽集合,那么對該資源的任何重命名(例如,對文件的重命名)不影響哈希鍵與標簽集合之間的關聯(lián),因為該哈希鍵是基于資源的內容生成的,該資源的內容在該情況中因此不改變與資源相關的標簽集合。然而,從引用監(jiān)控機500的角度看來,資源內容中的任何改變都創(chuàng)建了新的資源、新的哈希鍵和新的標簽集合關聯(lián)。因此,甚至于資源內容中的單個比特的改變都使得針對資源創(chuàng)建了新的哈希表條目。哈希表允許可信計算基礎(例如,引用監(jiān)控機500)有效地識別資源并且在允許資源本身存儲在可信計算基礎之外時將它們的標簽集合存儲在未修改的以及可能不可信任的應用中。為了避免與偶然或惡意地引入的哈希沖突相關聯(lián)的問題,可以在資源標簽集合數據結構550中使用多維哈希表??梢栽诙嗑S哈希表的每個維度中使用不同的哈希函數。因此,產生將需要"偽造"標簽集合的表索引沖突要求對方(adversary)發(fā)現(xiàn)其哈希映像與同時位于用于實現(xiàn)多維表的所有哈希函數中的所選資源的哈希映射相沖突的字符串。這是非常不可能的,并且這提供了關于哈希鍵與資源標簽集合之間的關聯(lián)的極大的安全性。將哈希表用于將資源和標簽集合進行關聯(lián)確保了與特定數據相關聯(lián)的標簽集合可以總是由可信計算基礎(引用監(jiān)控機500)恢復,并且應用的信息存儲格式不必改變以支持標簽集合,因為標簽集合不隨它們所應用至的信息一起存儲。而且,無論數據以何種方式改變,可信計算基礎(引用監(jiān)控機500)可以識別該改變,因為修改的數據將具有不同的散列,并且其可以確定新標簽集合需要應用于修改的數據。而且,起源于應用或可信計算基礎外部任何地方的非整體故障或惡意動作可以修改數據與其標簽集合之間或標簽集合本身之間的關聯(lián),因為關聯(lián)和標簽集合兩者都存儲在可信計算基礎內并且從來不向可信計算基礎外傳遞。圖8和圖9提供示出了在處理信息流請求時使用哈希表來關聯(lián)標簽集合與資源的示例。圖8示出了在對應于資源的條目出現(xiàn)在哈希表中時的示例。圖9示出了在對應于資源的條目沒有出現(xiàn)在哈希表中時的示例。如圖8所示,應用一2向資源—系統(tǒng)請求資源_2。因此,資源—系統(tǒng)將位于源保護環(huán)境810中,應用_2將在目標保護環(huán)境820中,并且資源_2是信息流的信息項。將該請求提供給可信計算基礎830,例如,其在說明性實施方式中是引用監(jiān)控才幾500。雖然說明性實施方式將可信計算基礎830考慮為引用監(jiān)控機500,但是本發(fā)明不限于此,并且在不偏離本發(fā)明的精神和范圍的情況下可以使用任何可信計算基礎??尚庞嬎慊A諸如經由圖4中的通信介質440截取該請求。該請求可以是諸如如上所述的信息流請求,其標識目標保護環(huán)境820的名稱。源保護環(huán)境的安全關聯(lián)和目標保護環(huán)境的名稱可以與保護環(huán)境數據結構840—起用于纟全索與保護環(huán)境810和820相關聯(lián)的標簽集合。為了響應該信息流請求,可信計算基礎830從源保護環(huán)境810檢索信息項(即資源一2)的內容,并且對該信息項的全部內容執(zhí)行合適的哈希函數。該哈希函數可以是單個哈希函數,或在多維哈希表實施方式的情況中,該哈希函數可以是不同類型的多個哈希函數。將作為結果的哈希鍵用于資源標簽集合數據結構850中的索引。在所述示例中,針對生成的哈希鍵的條目出現(xiàn)在資源標簽集合數據結構850中。結果,可信計算基礎830從資源標簽集合數據結構850中檢索標簽集合_2,并且將該標簽集合—2與源保護環(huán)境的標簽集合結合(標簽集合一l)使用以創(chuàng)建有效的標簽集合。將該有效的標簽集合與目標保護環(huán)境820的標簽集合(即基于信息流請求中提供的目標保護環(huán)境820的名稱從保護環(huán)境數據結構840中獲取的標簽集合—4)進行比較。如上所述,根據使用圖5中的策略框架530以及其相關聯(lián)策略模塊534-538和決定合并器532而在所檢索的標簽集合中標識的策略執(zhí)行該比較。基于比較結果,許可或拒絕該信息流。如果許可,則將允許被請求的資源(即資源—2)流向目標保護環(huán)境820。如果拒絕,則可信計算基礎830阻止被請求的信息流(即資源—2)到目標保護環(huán)境820并且可以向請求方(例如,目標保護環(huán)境820中的應用—2)返回錯誤消息。如圖9所示,在另一個示例中,^丸行類似的操作,其中應用—1向資源—系統(tǒng)請求資源—1。在該示例中,應用—1是目標保護環(huán)境860并且資源—系統(tǒng)是源保護環(huán)境。資源—系統(tǒng)向可信計算基礎830發(fā)送信息流請求來請求將資源—1發(fā)送到應用—1。在該情況中,當從源保護環(huán)境810中檢索到資源—1時,資源—1的全部內容的散列在資源標簽集合數據結構850中不具有相關條目。在該情況中,可信計算基礎830以對應于針對資源—1的內容計算的哈希鍵的索引將與源保護環(huán)境相關聯(lián)的標簽集合(例如,標簽集合—1)存儲在資源標簽集合數據結構850的哈希表的條目中。然后,可信計算基礎830將針對源保護環(huán)境810的標簽集合(即,標簽集合一l)與針對目標保護環(huán)境860的標簽集合進行比較以確定將許可還是將拒絕該信息流請求。應該指出,在上述操作中,標簽集合的任何有關信息或將標簽集合與資源關聯(lián)起來的任何有關信息在任何時刻都不從可信計算基礎830傳遞到可信計算基礎830之外的任何應用、系統(tǒng)或^f呆護環(huán)境。因此,確保了標簽集合以及標簽集合與資源的關聯(lián)相對于無意或惡意修改的安全性。還應該指出,雖然所述示例示出了與資源相關聯(lián)的標簽集合(例如信息項)或源保護環(huán)境與目標保護環(huán)境標簽集合之間的比較,但是本發(fā)明不限于此。而是,如上所述,在更復雜的實施方式中,可以建立策略和規(guī)則來比較所有的三個標簽集合以確定許可或拒絕信息流請求。因此,說明性實施方式提供用于以安全方式將標簽集合與資源和保護環(huán)境關聯(lián)起來并且使用這些具有策略的標簽集合對信息流進行授權或拒絕的機制。為了將標簽集合與資源和保護環(huán)境關聯(lián)起來提供安全索引機制和令牌關聯(lián)機制。標簽集合本身提供一種機制,用于通過允許按照將集合論操作應用于標簽集合以確定許可還是拒絕信息流以定義策略和規(guī)則來簡化策略決定。圖10-12是示出了用于將標簽集合與保護環(huán)境和資源關聯(lián)起來并且使用此類標簽集合對信息流請求執(zhí)行4受權操作的說明性實施方式的示例性操作的流程圖。應該理解,可以通過計算機程序指令實現(xiàn)流程圖中的每個框以及流程圖中框的組合。可以將這些計算^/L程序指令提供給處理器或其他可編程數據處理裝置以制造機器,以便在處理器或其他可編程數據處理裝置上執(zhí)行的該指令創(chuàng)建用于實現(xiàn)在流程圖框或多個框中指定的功能的裝置。這些計算機程序指令還可以存儲在計算機可讀存儲器或存儲介質中,其可以引導處理器或其他可編程數據處理裝置以特定的方式執(zhí)行功能,從而存儲在計算機可讀存儲器或存儲介質中的指令生產產品,該產品包括實現(xiàn)在流程圖框或多個框中指定的功能的指令裝置。因而,流程圖的框支持用于執(zhí)行指定功能的裝置的組合、用以執(zhí)行指定功能的步驟組合以及用于執(zhí)行指定功能的程序指令裝置。還應該理解,流程圖的每個框以及流程圖中的框的組合可以通過執(zhí)行特定功能或步驟的基于專用硬件的計算機系統(tǒng)或專用硬件和計算機指令來實現(xiàn)。圖IO是示出了用于許可應用、設備、系統(tǒng)等的令牌從而建立保護環(huán)境的示例性操作的流程圖。雖然在圖IO中示出的操作可以用于認證并且生成用于信息流請求的應用、設備、系統(tǒng)和其他源的保護環(huán)境,為了該描述的簡化,假設認證的實體是應用。如圖IO所示,由從應用接收認證宣告的認證器啟動操作(步驟IOIO)。使用任何已知的認證方法(例如,密碼認證、安全證書等)對該應用進行認證(步驟1020)。認證器確定應用是否已被成如果沒有,則認證器不向該應用發(fā)布令牌并且向該應用返回錯誤消息(步驟1040)。如果應用已經被成功認證,則認證器向該應用發(fā)布令牌(步驟1050)。還將令牌提供給引用監(jiān)控機(步驟1060),該引用監(jiān)控機使用該令牌以生成用于保護環(huán)境數據結構中的應用的合適的標簽集合(步驟1070)?;谶B接信息生成用于保護環(huán)境的安全關聯(lián)并且然后將該安全關聯(lián)與生成的標簽集合關聯(lián)地進行存儲(步驟1080)。然后,」操作終止。圖11是示出了用于根據說明性實施方式將資源與標簽集合關聯(lián)起來的示例性操作的流程圖。如圖11所示,由接收資源內容以及針對其生成并且關聯(lián)標簽集合的安全屬性的引用監(jiān)控機啟動操作(步驟1110)。引用監(jiān)控機通過對資源的全部內容執(zhí)行至少一個哈希函數來生成哈希鍵(步驟1120)。引用監(jiān)控機根據提供的安全屬性生成標簽集合并且將資源的標簽集合與生成的哈希鍵關聯(lián)起來(步驟1130),并且以對應于哈希鍵的索引將標簽集合存儲在哈希表數據集結構中(步驟1140)。然后操作終止。圖12是示出了用于根據一個說明性實施方式的對信息流請求進行認證的示例性操作的流程圖。如圖12所示,操作開始于引用監(jiān)控機接收來自于保護環(huán)境的信息流請求(步驟1210)。引用監(jiān)控機基于針對源保護環(huán)境生成的安全關聯(lián)以及通過信息流請求傳遞的目標保護環(huán)境的名稱從保護環(huán)境數據結構中檢索用于源和目標保護環(huán)境的標簽集合(步驟1220)。引用監(jiān)控機從其源保護環(huán)境中檢索作為信息流請求主體的資源(步驟1230)??蛇x地,如果正在執(zhí)行單個信息傳輸,則引用監(jiān)控機可以通過使用針對所檢索資源的全部內容進行的至少一個哈希函數來生成哈希值(步驟1240)。然后,引中執(zhí)行查找操作(步驟1250)。然后,引用監(jiān)控機可選地可以確定是否以對應于哈希值的索引標識了資源標簽集合數據結構中的有效條目(步驟1260)。如果是,則引用監(jiān)控機從資源標簽集合數據結構的標識的條目中檢索標簽集合(步驟1270)。如果不是,則引用監(jiān)控機從保護環(huán)境數據結構中檢索源保護環(huán)境的標簽集合(步驟1280)。然后,引用監(jiān)控機以對應于生成的哈希值的索引在資源標簽集合數據結構中生成條目并且將源保護環(huán)境的標簽集合存儲在該條目中(步驟1290)。應該理解,如果正在執(zhí)行信息的單個傳輸,即資源正在源保護環(huán)境和目標保護環(huán)境之間傳輸,則扭J亍步驟1230-1290。在流信息流的情況中,在圖12示出的操作中可以略過步驟1230-1290。引用監(jiān)控機解析源和目標保護環(huán)境的標簽集合,并且可選地解析資源的標簽集合以識別標簽集合中引用的安全策略(步驟1300)。引用監(jiān)控機識別哪些策略模塊對應于識別的安全策略(步驟1310)并且將該標簽集合發(fā)送到識別的策略模塊(步驟1320)。策略模塊可選地可以根據資源和源標簽集合生成有效的標簽集合,并且然后將該安全策略應用于該標簽集合以生成關于是否許可該信息流請求的決定(步驟1330)。決定合并器將來自于各種策略模塊的各種決定合并為關于是否應該許可該信息流請求的單個決定(步驟1340)。引用監(jiān)控機確定是否應該許可該信息流請求(步驟1350)。如果許可,則引用監(jiān)控機傳遞該資源或允許信息流到達目標保護環(huán)境(步驟1360)。如果不許可,則引用監(jiān)控機阻止該資源或信息流傳遞到目標保護環(huán)境并且向該信息流請求的提交者返回錯誤消息(步驟1370)。然后操作終止。處理信,l流請求的示例以下是處理信息流請求的示例。提供這些示例以示出各種可能的信息流處理操作,這些操作可以使用上述說明性實施方式的機制來執(zhí)行。如上所述,存在兩個由說明性實施方式的機制處理的信息流類型信息流和資源傳輸。第一,討論處理信息流請求的示例之后將對處理資源信息流請求的示例進行討論當嘗試打開信息流式流時,保護環(huán)境中的請求實體可以使用,t、流請求流打開方法來請求打開請求實體和目標實體之間的信息流式流。為了響應調用信息流請求流打開方法,可能遇到三種情況(1)許可信息流請求流打開請求;(2)拒絕信息流請求流打開請求;(3)利用目標標簽集合更新來許可信息流請求流打開請求。下面描述這些情況中的每一個。在第一種情況中,描述了利用詳細模式中的引用監(jiān)控機許可流打開的成功的infoFlowR叫uestStreamOpen方法調用。在該示例中,第一保護環(huán)境(此后稱作"隔離")(即,隔離l)向引用監(jiān)控機的通信管理器發(fā)送具有目標隔離名稱(隔離2)的infoFlowR叫uestStreamOpen請求。引用監(jiān)控機的通信管理器首先調用cm—check—partitionJable()以確保源隔離在隔離表中具有條目,例如,可以在保護環(huán)境數據結構540中提供該隔離表。接下來,引用監(jiān)控才幾的通信管理器(CM)調用cm—get—target—security—association()以獲得目標隔離的安全關聯(lián)。通過調用cm—check—exisiting—open—stream()進^亍最終的^全查以確<呆;危已經不存在。在這些纟全查完成之后,CM通過利用源安全關耳關和目標安全關聯(lián)作為參數來調用ifm—authorize—stream—open(),從而對信息流居間器(IFM)進行調用以請求對打開信息流式流進行授權,并且等待響應。IFM首先對ifm—getjabelset()進行兩個獨立的內部調用以獲得源和目標隔離兩者的相關聯(lián)標簽集合。這些標簽集合可以從IFM隔離標簽集合表(其例如也可以作為保護環(huán)境數據結構540的一部分來提供)中檢索。接下來,IFM調用pf_auth—decision()以向策略框架請授權決定。策略框架返回SUCCESS(成功)的結果碼以及指示流被許可的FLOW—GRANTED(流被許可)的主碼。NULL(空)作為用于新目標標簽集合的值返回,作為pf—auth—decision()調用的結果。IFM向CM發(fā)送成功響應以指示許可信息流。當調用成功完成時,指示流被GRANTED(許可)的主理由碼包括在響應中。然后,CM通過調用cm—add—open—steam—entry()將源和目標安全關聯(lián)對添加到與CM關聯(lián)地保持的打開信息流式流表中,并且向隔離1發(fā)送指示信息流被許可的成功消息。在第二種情況中,描述了拒絕流打開的成功的infoFlowRequestStreamOpen方法調用。在該示例中,隔離1向CM發(fā)送具有目標隔離名稱(隔離3)的infoFlowRequestStreamOpen請求。然后,CM進行與關于第一情況描述的順序相同的檢查。在這些檢查完成之后,如上所述,CM^妄下來對IFM進行調用以請求對打開信息流進行授權。然而,在該情況中,pf一auth—decision()返回SUCCESS的結果碼以及指示拒絕該流的FLOW—DENIED的主碼。NULL作為用于新目標標簽集合的值(指示對目標標簽集合沒有進4亍更新)返回,作為pf—auth—decision()調用的結果。當調用成功完成時,指示流被拒絕的主理由碼包括在響應中。由于來自于IFM的拒絕響應,CM不〗奪該流添加到打開^[言息流式流表中。取代的是,CM向隔離1發(fā)送指示信息流被拒絕的成功消息。在第三種情況中,描述了導致目標隔離的安全屬性的更新的許可流打開請求的成功的infoFlowRequestStreamOpen方法調用。此夕卜,將引用監(jiān)控^^配置為詳細才莫式。在該示例中,隔離4向CM發(fā)送帶有目標隔離名稱(隔離2)的infoFlowRequestStreamOpen請求。然后,CM進行與關于第一情況描述的順序相同的檢查。在這些檢查完成之后,CM對IFM進行調用以請求對打開信息流進行授權。策略框架返回SUCCESS的結果碼以及指示允許該流的FLOW—GRANT的主碼。新的目標標簽集合也/人pf一auth—decision()調用中返回。然后,IFM對ifm—update_partition—table()進^亍內部調用,其通過從pf一auth—decision()返回的新標簽集合來更新目標隔離條目。在更新過IFM隔離表之后,IFM向CM發(fā)送指示信息流被許可并且目標標簽集合被更新的成功響應?,F(xiàn)在,已經更新了目標隔離標簽集合,CM必須通過調用cm—close—existing—open—streams—target()和cm—close—existing—open—streams—source()來關閉"j壬4可引用隔離2的4丁開流。由于從源隔離(隔離1)到目標隔離(隔離2)存在打開流,所以CM通過在只于cm—close—existing—open—streams—target()的調用內發(fā)送應答消息來向隔離l通知關閉的流。CM繼而通過調用cm—add—open—stream—entry()而將新流添力口到打開信息流式流表中,并且然后向隔離4發(fā)送指示信息流被許可的成功消息。在已經打開信息流式流之后,在稍后的時間可能需要關閉該流。說明性實施方式的機制提供用于關閉打開流的過程。作為示例,隔離1可以向CM發(fā)送具有目標隔離名稱(隔離2)的infoFlowRequestStreamClose^青'i^。CM首先i周用cm—check—partitionJable()以確保源隔離在隔離表中具有條目。接下來,CM調用cm—get—target—security—association()以獲S尋目標隔離的安全關聯(lián)。在這些調用成功完成之后,CM調用cm—delete—existing—open—stream(),其將該流從打開流式流表中移除。然后,CM向隔離1發(fā)送成功消息。如上所述,除了提供用于信息流式流的功能,說明性實施方式的機制還可以處理資源信,l流請求,其中執(zhí)行源保護環(huán)境或隔離與目標保護環(huán)境之間的單個資源傳輸。如通過上面討論的信息流式流,存在處理由說明性實施方式所處理的信息流資源請求的三種情況(1)許可信息流資源請求;(2)拒絕信息流資源請求;以及(3)通過目標標簽集合更新來許可信息流資源請求。下面描述這些情況中的每一個。在信息流資源請求處理的第一種情況中,描述了利用詳細模式中的引用監(jiān)控機向目標隔離發(fā)送資源的成功的infoFlowRequestResource方法調用。在該示例中,隔離1向CM發(fā)送具有目標隔離名稱(隔離2)的infoFlowRequestResource請求。CM首先調用cm—check—partition—table()以確保源隔離具有隔離表中的條目。接下來,CM調用cm—get—target—security—association()以獲得目標隔離的安全關聯(lián)。在這些檢查成功完成之后,CM通過將資源、源和目標安全關50聯(lián)作為參數對ifm—authorize—resource—flow()進行調用來調用IFM以請求對發(fā)送信息流資源進行授權,并且等待響應。IFM對ifm—getJabelset()進行兩個獨立的內部調用以獲得源和目標隔離兩者的相關聯(lián)標簽集合。這些標簽集合可以從IFM隔離標簽集合表中檢索。然后,IFM內部調用ifm_get—resource—labelset()以獲得資源的標簽集合。從IFM資源標簽集合表檢索標簽集合,例如,其可以作為資源標簽集合數據結構550的一部分來提供。然后,IFM調用pf—auth—decision()以向策略框架請求授權決定。策略框架返回SUCCESS的結果碼以及指示允許該流的FLOW—GRANTED的主碼。NULL作為用于新目標標簽集合的值(其指示的是對目標標簽集合沒有進行更新)返回,作為pf—auth—decision()調用的結果。當調用成功完成時,指示流-陂許可的主理由碼包4舌在響應中。然后CM調用cm—flow—information(),其在應答消息類型內將信息轉發(fā)至目標隔離并且向隔離1發(fā)送指示信息流一皮許可的成功消息。在第二種情況中,描述了利用詳細模式下的引用監(jiān)控機拒絕資源流的成功的infoFlowRequestResom.ee方法調用。在該示例中,隔離1向CM發(fā)送具有目標隔離名稱(隔離3)的infoFlowR叫uestResource請求。然后,CM進行與上面參考信息流資源請求處理的第一情況描述的順序相同的檢查。在這些檢查完成之后,CM以與上述類似的方式調用IFM以請求對發(fā)送資源信息流進行授權。然而,在該情況中pf_auth—decision()返回SUCCESS的結果碼以及指示拒絕該流的FLOW—DENIED的主碼。NULL作為指示沒有對目標標簽集合進行更新的新目標標簽集合的值纟皮返回。當調用成功完成時,指示流被拒絕的主理由碼包括在響應中。由于來自于TFM的拒絕響應,CM不將資源轉發(fā)到目標隔離。代替的是,CM將指示信息流被拒絕的成功消息發(fā)送給隔離1。在第三種情況中,描述了成功的infoFlowRequestResource方法調用,其許可導致對目標隔離的安全屬性的更新的資源信息流請求。此外,將引用監(jiān)控機配置為詳細模式。在該示例中,隔離4向CM發(fā)送帶有目標隔離名稱(隔離2)的infoFlowR叫uestResource請求。然后,CM進行與上面參考信息流資源請求處理的第一情況描述的順序相同的4企查。在這些檢查完成之后,CM以如上所述的類似方式對IFM進行調用從而請求對發(fā)送資源信息流的授4又。然而,在該情況中,pf—auth—decision()方法返回SUCCESS的結果碼以及指示允許該流的FLOW_GRANTED的主碼。新的目標標簽集合也從pf—auth—decision()調用返回。然后,IFM內部調用ifm—update_partition—table(),其通過從pf一auth—decision()返回的新標簽集合來更新目標隔離條目。在更新了IFM隔離表之后,IFM向CM發(fā)送指示信息流凈皮允許并且更新了目標標簽集合的成功響應。當調用成功完成時,具有TARGET一LS一UPDATED的次理由碼的指示允許流的主理由碼包括在響應中。現(xiàn)在,已經更新了目標隔離標簽集合,CM必須通過調用cm—close—existing—open—streams—target()和cm—close—existing—open—streams—source()來關閉4壬"f可引用隔離2的打開流。由于從源隔離(隔離1)到目標隔離(隔離2)存在打開流,,斤以CM通過在乂于cm_close—existing—open—streams—target()的調用內發(fā)送應答消息來向隔離l通知關閉的流。CM繼而調用cm—flow—information(),其將信息在應答消息類型內發(fā)送到目標隔離并且向隔離4發(fā)送指示信息流:帔允i午的成功消息。通過上述情況,調用策略框架以執(zhí)行授權決定并且返回FLOW—GRANTED或FLOW—DENIED的結果。為了響應pf_auth—decision()調用,策略框架首先調用pf—check—registered—modules—table()來檢查源、資源和目標標簽集合中的每一個包括對利用引用監(jiān)控機實例注冊的策略模塊的引用。然后,策略框架通過調用pf—create—evaluation—results—tabJe()來創(chuàng)建臨時評估結果表。該表臨時地存儲由給定的策略模塊生成的評估結果并且該表將由決定合并器來使用以產生最終的認證決定。然后,策略框架通過調用pf—extract_pm—labelset()來提取用于源、資源和目標標簽集合的獨立策略模塊標簽集合。將提取的標簽集合發(fā)送到合適的策略模塊以用于評估。然后,策略框架調用pm—evaluate()從而策略模塊將基于策略來評估用于源、資源和目標標簽集合的所提取的策略模塊標簽集合,并且產生GRANTED(許可)或DENIED(拒絕)的評估結果,以及如果可應用的話還產生新的目標標簽集合。pm首先通過基于策略模塊的策略合并源和資源標簽集合來調用pm—get—effectiveJabelset()以獲得有效的標簽集合。接下來.,策略模塊調用pm—evaluate()來請求對有效標簽集合以及目標標簽集合的評估的授權。PM基于該標簽集合的評估返回SUCCESS的結果碼以及FLWO—GRANTED或FLOW—DENIED的主碼。如果可應用的話,還可以返回新的目才示標金,然后,策略沖莫》炎i周用pf—update—temp—evaluation—results—table()以存儲由用于源、資源和目標標簽集合以及相應新目標標簽集合(如果可用)的策略模塊生成的獨立評估結果。如果策略模塊沒有生成新的目標標簽集合,則它將針對新的目標標簽集合返回NULL。一旦所有合適的策略模塊已經產生了評估結果并且已經存儲了相應結果,則策略框架調用pf—generate—final—auth—decision()。在該調用中,決定合并器針對合并器策略來評估存儲在評估結果表中的結果并且生成GRANTED(許可)或DENIED(拒絕)的最終4受權決定。在該決定合并器向策略框架返回GRANTED(許可)或DENIED(拒絕)的最終授權決定以及新的目標標簽集合(如果可用)之后,策略框架將最終結果發(fā)送給IFM。說明性實施方式的示例性方面與已知方法的比較"i兌明性實施方式的^^制在4艮多方面不同于已知方式和方法,將在下文中討論其中的某些方面。主要地,使用"i兌明性實施方式的機制獲得的益處如下。第一,標簽集合完全保持在引用監(jiān)控機內,并且因此其不易受到無意的或惡意的改變的損害。第二,標簽集合提供了用于從安全考慮消除數據操作語義的機制,并且允許基于包含在信息流中的保護環(huán)境和資源的敏感度執(zhí)行安全性確定。結果,源和目標保護環(huán)境以及資源都可以利用公共安全屬性(即,標簽集合)來進行安全策略評估,從而降低創(chuàng)建和使用安全策略和規(guī)則的復雜性。第三,標簽集合還允許使用集合論操作以執(zhí)行安全策略評估,從而再次簡化了安全策略和規(guī)則。第四,可以使用多維口合希數據結果將標簽.集合與資源關聯(lián)起來,從而降低對標簽集合的無意或惡意改變的可能性并且降低哈希沖突的可能性。此外,已知系統(tǒng)要求居間設備執(zhí)行一個信息源到另一個信息源之間的傳輸。例如,在從一個文件服務器向另一個文件服務器的文件傳輸中,通常要求居間設備向第一文件服務器請求文件并且然后向第二文件服務器傳輸接收的文件。根據說明性實施方式,因為該機制在信息流上操作并且不關注信息流中執(zhí)行的特定動作,所以可以在第一和第二文件服務器之間直接進行文件傳輸,假設它們由引用監(jiān)控機實現(xiàn)的安全策略授權。重要的是,雖然已經在能夠完全實現(xiàn)數據處理系統(tǒng)功能的上下文中描述了本發(fā)明,但是本領域的技術人員應該理解能夠將本發(fā)明的過程以指令的計算機可讀介質的形式以及各種形式進行分發(fā),并且不論實際用于執(zhí)行該分發(fā)的信號承載介質的特定類型如何,本發(fā)明都可等同地使用。計算機可讀介質的示例包括可記錄類型介質、諸如軟盤、硬盤驅動器、RAM、CD-ROM、DVD-ROM以及傳輸類型介質,諸如數字和模擬通信鏈路、使用傳輸形式的有線和無線通信鏈路,諸如射頻和光波傳輸。計算機可讀介質可以采用編碼格式使用。已經出于說明和描述的目的呈現(xiàn)了本發(fā)明的描述,并且本發(fā)明的描述不旨在窮舉或限制本發(fā)明于公開的形式。很多修改和變形將對本領域的技術人員變得明顯。為了對本發(fā)明、特定應用的原理進行最好的解釋,并且為了使本領域的其他技術人員能夠針對適于構思的特定使用的具有各種修改的各種實施方式理解本發(fā)明,選4奪并且描述了實施方式。權利要求1.一種用于對數據處理系統(tǒng)的元素之間的信息流進行授權的方法,所述方法包括將所述數據處理系統(tǒng)的元素與引用監(jiān)控機中的安全數據結構關聯(lián)起來;從第一元素接收信息流請求以對從所述第一元素到第二元素的信息流進行授權;檢索與所述第一元素相關聯(lián)的第一安全數據結構;檢索與所述第二元素相關聯(lián)的第二安全數據結構;以及對所述第一安全數據結構和所述第二安全數據結構執(zhí)行至少一個集合論操作,從而確定從所述第一元素到所述第二元素的信息流是否將被授權。2.根據權利要求1所述的方法,其中所述第一安全數據結構和所述第二安全數據結構是標簽集合,并且其中每個標簽集合包括提供所述標簽集合中的一個或多個標簽的標簽列表元素。3.根據權利要求2所述的方法,其中所述標簽列表中的所述標簽包括策略類型和值,其中所述策略類型標識將要應用于所述標簽集合的安全策略,并且所述值標識將要在對由所述策略類型標識的安全策略進行評估時使用的值。4.根據權利要求2所述的方法,其中每個標簽集合進一步包括指示所述標簽集合的版本的版本元素,以及指示所述標簽集合包括的標簽數量的計數元素。5.根據權利要求1所述的方法,其中所述第一安全數據結構和第二安全數據結構是標簽集合,并且其中每個所述標簽集合包括標識信息對象敏感度級別的標簽,所述信息對象可以被接收并保持在相應的元素中,而不論將要對所述信息對象執(zhí)行的特定動作如何。6.根據權利要求1所述的方法,其中對所述第一安全數據結構和所述第二安全數據結構執(zhí)行至少一個集合論操作包括使用集合合并、集合交叉或集合補操作來執(zhí)行至少一個集合論操作。7.根據權利要求3所述的方法,其中對所述第一標簽集合和所述第二標簽集合執(zhí)行至少一個集合論操作以確定從所述第一元素到所述第二元素的所述信息流是否將被授權包括解析所述第一標簽集合和第二標簽集合以識別在所述第一和第二標簽集合中標識的一個或多個安全策略;以及基于在所述第一和第二標簽集合中標識的所述安全策略向安全策略框架的一個或多個安全策略模塊提供所述第一標簽集合和第二標簽集合,其中所述一個或多個安全策略模塊基于與用于特定安全策略的所述標簽集合的所述策略類型元素相關聯(lián)的值對所述第一標簽集合和所述第二標簽集合執(zhí)行所迷至少一個集合論操作。8.根據權利要求1所述的方法,其中對所述第一安全數據結構和所述第二安全數據結構執(zhí)行至少一個集合論操作包括確定與目標元素相關聯(lián)的標簽集合是否是與作為所述信息流主體的信息對象的源元素相關聯(lián)的標簽集合的子集。9.根據權利要求1所述的方法,其中對所述第一安全數據結構和所述第二安全數據結構執(zhí)行至少一個集合論操作以確定從所述第一元素到所述第二元素的所述信息流是否將被授權進一步包括確定作為所述信息流主體的信息對象的安全數據結構;以及對所述第二安全數據結構和基于所述信息對象的所述安全數據結構和所述第一安全數據結構而生成的有效安全數據結構執(zhí)行集合論操作。10.根據權利要求9所述的方法,其中確定信息對象的標簽集合包括確定是否已經建立了用于所述信息對象的安全數據結構;以及如果所述信息對象沒有建立的安全數據結構,則將所述信息對象的源元素的安全數據結構與所述信息對象關聯(lián)起來。11.根據權利要求9所述的方法,其中所述信息對象的所述安全數據結構標識所述信息對象的敏感度,所述第一安全數據結構標識所述第一元素的授權級別,所述第二安全數據結構標識所述第二元素的授權級別,并且對所述安全數據結構執(zhí)行至少一個集合論操作以確定所述信息流是否將要被授權僅根據所述信息對象的敏感度和所述第一和第二元素的所述授權級別來確定所述信息是否將要被授權,而不論作為所述信息流的一部分而要執(zhí)行的特定動作如何。12.根據權利要求1所述的方法,其中將相同的至少一個集合論操作應用于所述第一安全數據結構和所述第二安全數據結構,而不論所述信息流是從所述第一元素到所述第二元素還是從所述第二元素到所述第一元素。13.—種計算機程序產品,包括計算機可用介質,所述介質包括計算機可讀程序,其中當所述計算機可讀程序在計算設備上執(zhí)行時,所述計算機可讀程序使得所述計算設備執(zhí)行權利要求1到12中任意一項所述的步驟。14.一種用于對數據處理系統(tǒng)的元素之間的信息流進行授權的裝置,包括通信管理器,其具有偵聽器,用于偵聽來自于所述數據處理系統(tǒng)的元素的信息流請求;信息流居間器,其耦合至所述通信管理器,所述信息流居間器用于確定將對信息流進行授權還是拒絕;安全數據結構存儲設備,其耦合至所述信息流居間器,所述安全數據結構存儲設備用于存儲用于所述數據處理系統(tǒng)的元素的安全信息;以及安全策略框架,其耦合至所述信息流居間器,其中所述信息流居間器將所述數據處理系統(tǒng)的元素與所述安全數據結構存儲設備中的安全數據結構關聯(lián)起來;所述通信管理器接收來自于第一元素的信息流請求以對從所述第一元素到第二元素的信息流進行授權;所述信息流居間器檢索與所述第一元素相關聯(lián)的第一安全數據結構;所述信息流居間器檢索與所述第二元素相關聯(lián)的第二安全數據結構;以及所述安全策略框架對所述第一安全數據結構和所述第二安全數據結構執(zhí)行至少一個集合論操作以確定從所述第一元素到所述第二元素的所述信息流是否將被授權。15.根據權利要求14所述的裝置,其中所述第一安全數據結構和所述第二安全數據結構是標簽集合,并且其中每個標簽集合包括提供所述標簽集合的一個或多個標簽的標簽列表。16.根據權利要求15所述的裝置,其中所述標簽列表中的所述標簽包括策略類型和值,其中所述策略類型標識將要應用于所述標簽集合的安全策略,并且所述值標識將要在對由所述策略類型標識的安全策略時使用的值。17.根據權利要求15所述的裝置,其中每個標簽集合進一步包括指示所述標簽集合的版本的版本元素以及指示在所述標簽集合包括的標簽數量的計數元素。18.根據權利要求14所述的裝置,其中所述第一安全數據結構和第二安全數據結構包括標識信息對象敏感度級別的標簽,所述信息對象可以被接收并保持在相應的設備中,而不論將要對所述信息對象l丸行的特定動作如何。19.根據權利要求14所述的裝置,其中所述安全策略框架通過使用集合合并、集合交叉或集合補操作執(zhí)行至少一個集合論操作來對所述第一標簽集合和所述第二標簽集合執(zhí)行至少一個集合論操作。20.根據權利要求19所述的裝置,其中所述安全策略框架對所述第一安全數據結構和所述第二安全數據結構執(zhí)行至少一個集合論操作以通過如下操作來確定從所述第一元素到所述第二元素的所述信息流是否將被授權解析所述第一安全數據結構和第二安全數據結構以識別在所述第一和第二安全數據結構中標識的一個或多個安全策略;以及基于在所述第一和第二安全數據結構中標識的所述安全策略向所述安全策略框架的所述一個或多個安全策略模塊提供所述第一安全數據結構和第二安全數據結構,其中所述一個或多個安全策略模型元素相關聯(lián)的值對所述第一安全數據結構和所述第二安全數據結構執(zhí)行所述至少一個集合論操作。21.根據權利要求14所述的裝置,其中所述安全策略框架通過以下操作來對所述第一安全數據結構和所述第二安全數據結構執(zhí)行至少一個集合論操作確定與目標元素相關聯(lián)的安全數據結構是否是與作為所述信息流主體的信息對象的源元素相關聯(lián)的安全數據結構的子集。22.根據權利要求14所述的裝置,其中所述信息流居間器確定作為所述信息流主體的信息對象的安全數據結構,并且所述安全策略框架對所述第二安全數據結構和作為所述第一安全數據結構和所執(zhí)行集合論操作。23.根據權利要求22所述的裝置,其中所述信息流居間器通過如下操作確定信息對象的安全數據結構確定是否已經建立了用于所述信息對象的安全數據結構;以及如果所述信息對象沒有建立的安全數據結構,則將所述信息對象的源元素的安全數據結構與所述信息對象關聯(lián)起來。24.根據權利要求22所述的裝置,其中所述信息對象的所述安全數據結構標識所述信息對象的敏感度,所述第一安全數據結構標識所述第一設備的授權級別,所述第二安全數據結構標識所述第二設備的授權級別,并且所述安全策略框架對所述安全數據結構執(zhí)行至少一個集合論操作以確定所述信息流是否將要被授權僅根據所述信息對象的所述敏感度和所述第一和第二元素的所述授權級別來確定所述信息是否將要被授權,而不論作為所述信息流的一部分而將要執(zhí)行的特定動作如何。25.—種用于對設備之間的信息流進行授權的數據處理系統(tǒng),包括第一計算設備,其位于所述數據處理系統(tǒng)的第一隔離中,其中所述第一計算設備具有用于將信息傳遞到目標元素的源元素;第二計算設備,其位于所述數據處理系統(tǒng)的第二隔離中,其中所述第二計算設備具有所述目標元素;引用監(jiān)控機,其耦合至所述第一計算設備和所述第二計算設備,其監(jiān)視所述第一隔離和所述第二隔離之間的信息流,其中所述引用監(jiān)控機:將所述第一隔離和所述第二隔離與安全數據結構關聯(lián)起來,從所述源元素接收信,包、流請求以對乂人所述源元素到所述目標元素的信息流進行授權,檢索與所述第一隔離相關聯(lián)的第一安全數據結構,檢索與所述第二隔離相關聯(lián)的第二安全數據結構,以及對所述第一安全數據結構和所述第二安全數據結構執(zhí)行至少一個集合論操作,從而確定從所述源元素到所述目標元素的信息流是否將纟皮授權。26.根據權利要求25所述的數據處理系統(tǒng),其中所述引用監(jiān)控機包括通信管理器,其具有偵聽器,所述偵聽器用于偵聽來自于所述數據處理系統(tǒng)的元素的信息流請求;信息流居間器,其耦合至所述通信管理器,所述信息流居間器用于確定將對信息流進行授權還是拒絕;安全數據結構存儲設備,其耦合至所述信息流居間器,所述安信息;以及安全策略框架,其耦合至所述信息流居間器,所述安全策略框架用于將一個或多個安全策略應用于所述數據處理系統(tǒng)的元素的安全信息。27.—種計算設備,包括處理器;以及存儲器,其中所述存儲器包含指令,當所述處理器執(zhí)行所述指令時,所述指令使得所述處理器執(zhí)行權利要求1到12中的任意一項所述的步驟。全文摘要在引用監(jiān)控機系統(tǒng)中,數據處理系統(tǒng)的元素與引用監(jiān)控機中的安全數據結構相關聯(lián)。從第一元素接收信息流請求以對從該第一元素到第二元素的信息流進行授權。檢索與第一元素關聯(lián)的第一安全數據結構和與第二元素關聯(lián)的第二安全數據結構。然后,對第一安全數據結構和第二安全數據結構執(zhí)行至少一個集合論操作,從而確定從第一元素到第二元素的信息流是否將被授權。安全數據結構可以是標簽集合,該標簽集合具有一個或多個標識將要應用于涉及相關聯(lián)元素的信息流的安全策略的標簽。文檔編號G06F21/24GK101331495SQ200680047114公開日2008年12月24日申請日期2006年11月24日優(yōu)先權日2005年12月15日發(fā)明者D·J·阿羅約,D·詹姆塞克,G·R·布萊克利三世,K·D·西蒙,R·B·威廉斯,S·穆皮迪申請人:國際商業(yè)機器公司