專利名稱::用于在數(shù)據(jù)處理系統(tǒng)中將安全信息與信息對(duì)象關(guān)聯(lián)起來(lái)的系統(tǒng)和方法
技術(shù)領(lǐng)域:
:本發(fā)明一般地涉及改進(jìn)的數(shù)據(jù)處理系統(tǒng)和方法。更具體地,本發(fā)明涉及用于在數(shù)據(jù)處理系統(tǒng)中將安全信息與信息對(duì)象關(guān)聯(lián)起來(lái)的系統(tǒng)和方法。
背景技術(shù):
:引用監(jiān)控機(jī)是一種對(duì)源進(jìn)行授權(quán)以對(duì)目標(biāo)執(zhí)行特定動(dòng)作的授權(quán)和實(shí)行機(jī)制。很多引用監(jiān)控機(jī)使用訪問(wèn)控制列表(ACL)來(lái)執(zhí)行此類(lèi)授權(quán)。針對(duì)每個(gè)源,這些ACL標(biāo)識(shí)源可以訪問(wèn)的目標(biāo)以及該源被授權(quán)擁有的特定類(lèi)型的訪問(wèn),即該源可以對(duì)目標(biāo)執(zhí)行何種動(dòng)作。大多數(shù)現(xiàn)代引用監(jiān)控機(jī)和安全系統(tǒng)通過(guò)將"主體(subject)"安全屬性以及"目標(biāo),,安全屬性與安全策略規(guī)則集合相比較來(lái)做出授權(quán)決定。經(jīng)常將不同的數(shù)據(jù)類(lèi)型分配給主體和目標(biāo)安全屬性。在www.opengroup.org/onlinepubs/009609199/chap3.htm#tagfcjh_2處4葛述的ISO10181-3AccessControlFramework中提供了示出這些不同數(shù)據(jù)類(lèi)型的一個(gè)示例。在該示例架構(gòu)中,提供了四個(gè)不同的角色或數(shù)據(jù)類(lèi)型,即發(fā)起者(源)、目標(biāo)、訪問(wèn)控制實(shí)行功能以及訪問(wèn)控制決定功能。主體安全屬性和目標(biāo)安全屬性之間的這種差異將不必要的復(fù)雜性添加到安全策略評(píng)估過(guò)程中,在該過(guò)程中,主體和目標(biāo)安全屬性的每個(gè)可能組合必須配備安全策略規(guī)則,從而在運(yùn)行時(shí)間期間得到正確的評(píng)估。此外,目標(biāo)安全屬性數(shù)據(jù)類(lèi)型通常基于可以在目標(biāo)資源上執(zhí)行的操作集合。因此,目標(biāo)安全屬性類(lèi)型在管理目標(biāo)資源的應(yīng)用結(jié)構(gòu)和安全策略評(píng)估子系統(tǒng)的結(jié)構(gòu)之間造成了不必要的聯(lián)系。這繼而在安全策略評(píng)估子系統(tǒng)中造成了不必要的復(fù)雜性,因?yàn)榘踩呗袁F(xiàn)在必須考慮由應(yīng)用進(jìn)行的數(shù)據(jù)操縱的語(yǔ)義以及安全策略評(píng)估的語(yǔ)義。而且,區(qū)分主體安全屬性和目標(biāo)安全屬性的數(shù)據(jù)類(lèi)型在安全策略中造成了不對(duì)稱,其將安全評(píng)估子系統(tǒng)限制于控制從主體(源)到目標(biāo)(即,將接收信息的對(duì)象)的傳輸,但是不允許它控制從目標(biāo)到源的傳輸。換言之,必須針對(duì)每對(duì)主體和目標(biāo)之間的每個(gè)傳輸類(lèi)型建立獨(dú)立的策略,從而導(dǎo)致安全策略評(píng)估子系統(tǒng)更高的復(fù)雜性。例如,假設(shè)存在兩個(gè)對(duì)象A和B。為了覆蓋對(duì)象A和B之間的所有可能的傳輸,在控制信息的傳輸時(shí)必須建立和評(píng)估四個(gè)策略(1)A可以(或不可以)向B寫(xiě)入,(2)A可以(或不可以)從B讀取,(3)B可以(或不可以)從A讀取,以及(4)B可以(或不可以)向A寫(xiě)入。已經(jīng)針對(duì)控制數(shù)據(jù)處理系統(tǒng)的元素間的信息傳輸設(shè)計(jì)了很多不同的才幾制。例如,在授予RodneyBurnett的、名稱為"MethodforAttachmentandRecognitionofExternalAuthorizationPolicyonFileSystemResources"的美國(guó)專利No.6,766,314中,在文件系統(tǒng)中生成了包含對(duì)象的輔助屬性的外部安全數(shù)據(jù)庫(kù)。在文件訪問(wèn)嘗試期間,將文件的標(biāo)識(shí)符與安全數(shù)據(jù)庫(kù)中保護(hù)文件的集合進(jìn)行匹配。如果文件不在數(shù)據(jù)庫(kù)中,那么不存在對(duì)該文件的保護(hù),并且允許請(qǐng)求方訪問(wèn)該文件。如果在數(shù)據(jù)庫(kù)中存在匹配,則保護(hù)該文件并且基于在外部安全屬性中定義的安全規(guī)則集合來(lái)做出關(guān)于是否將允許請(qǐng)求方訪問(wèn)該文^f牛的確定。根據(jù)美國(guó)專利No.6,766,314的機(jī)制,資源管理器包括用于檢索安全策略的組件,用于介入對(duì)保護(hù)文件的訪問(wèn)的組件,以及收集諸如訪問(wèn)用戶和嘗試動(dòng)作之類(lèi)的訪問(wèn)條件的組件?;谠摪踩呗?、被訪問(wèn)的文件以及訪問(wèn)條件,提交有關(guān)于對(duì)文件訪問(wèn)的授權(quán)的決定。因此,在美國(guó)專利No.6,766,314的機(jī)制中,將對(duì)文件訪問(wèn)的授權(quán)與用戶身份和正在嘗試的動(dòng)作綁定。從而,將正在執(zhí)行的動(dòng)作與執(zhí)行該動(dòng)作的實(shí)體和正在被訪問(wèn)的文件綁定。如上所述,這在管理文件的應(yīng)用結(jié)構(gòu)和安全策略評(píng)估子系統(tǒng)的結(jié)構(gòu)之間造成了不必要的聯(lián)系。在美國(guó)專利No.5,765,153中描述了類(lèi)似^L制。在美國(guó)專利No.5,765,153中,提供一種引用監(jiān)控機(jī),其基于主體身份、對(duì)象名稱和由保護(hù)對(duì)象的接口定義的動(dòng)作來(lái)實(shí)行策略。而且,通過(guò)使授權(quán)決定基于實(shí)體的身份以及在一個(gè)已識(shí)別實(shí)體上由另一已識(shí)別實(shí)體正在執(zhí)行的動(dòng)作類(lèi)型,生成了不必要的聯(lián)系,該聯(lián)系使得安全策略評(píng)估子系統(tǒng)的實(shí)現(xiàn)復(fù)雜化。
發(fā)明內(nèi)容按照上述內(nèi)容,有益的是,就數(shù)據(jù)處理系統(tǒng)元素之間的信息傳輸來(lái)提供一種用于簡(jiǎn)化安全結(jié)構(gòu)的實(shí)現(xiàn)的機(jī)制。特別地,有益的是具有一種系統(tǒng)和方法,用于通過(guò)將安全策略應(yīng)用于公共安全屬性類(lèi)型來(lái)控制信息流,從而信息傳輸中包括的動(dòng)作不會(huì)使安全策略的應(yīng)用復(fù)雜化。說(shuō)明性實(shí)施方式提供此類(lèi)系統(tǒng)和方法。在一個(gè)說(shuō)明性實(shí)施方式中,提供一種用于對(duì)數(shù)據(jù)處理系統(tǒng)的設(shè)備之間的信息流進(jìn)行授權(quán)的方法,其中安全信息與信息對(duì)象相關(guān)聯(lián)。該方法可以包括基于信息對(duì)象生成哈希鍵,基于哈希鍵在哈希表中執(zhí)行查找操作,并且確定哈希表中對(duì)應(yīng)于哈希鍵的索引處的條目是否標(biāo)識(shí)信息對(duì)象的標(biāo)簽集合。該方法可以進(jìn)一步包括如果在哈希表中的條目中沒(méi)有標(biāo)識(shí)信息對(duì)象的標(biāo)簽集合,則將標(biāo)識(shí)信息對(duì)象敏感度的標(biāo)簽集合存儲(chǔ)在對(duì)應(yīng)于信息對(duì)象的哈希鍵的索引處的條目中。該方法可以進(jìn)一步包括基于在哈希表中對(duì)與信息對(duì)象相關(guān)聯(lián)的標(biāo)簽集合的查找以對(duì)涉及信息對(duì)象的信息流進(jìn)行授權(quán)。哈希表可以是多維哈希表,并且哈希鍵可以包括由多個(gè)哈希函數(shù)生成的多個(gè)哈希鍵,其中至少一個(gè)哈希函數(shù)和哈希鍵用于多維哈希表的每個(gè)維度??梢詫?duì)信息對(duì)象的內(nèi)容使用至少一個(gè)哈希函數(shù)來(lái)生成哈希鍵。信息對(duì)象可以是計(jì)算機(jī)文件。哈希表可以存儲(chǔ)在與信息對(duì)象的源分離的可信計(jì)算基礎(chǔ)中?;谠诠1碇袑?duì)與信息對(duì)象相關(guān)聯(lián)的標(biāo)簽集合的查找以對(duì)涉及信息對(duì)象的信息流進(jìn)行授權(quán)可以包括接收對(duì)從第一設(shè)備到第二設(shè)備的涉及信息對(duì)象的信息流進(jìn)行授權(quán)的請(qǐng)求并且從信息對(duì)象的源中檢索信息對(duì)象的內(nèi)容。對(duì)信息流進(jìn)行授權(quán)可以進(jìn)一步包括基于信息對(duì)象的內(nèi)容生成哈希鍵,基于哈希鍵在哈希表中執(zhí)行查找操作以識(shí)別與信息對(duì)象相關(guān)聯(lián)的標(biāo)簽集合,并且基于與信息對(duì)象相關(guān)聯(lián)的標(biāo)簽集合執(zhí)行一個(gè)或多個(gè)授權(quán)操作。執(zhí)行一個(gè)或多個(gè)授權(quán)操作可以包括將與信息對(duì)象相關(guān)聯(lián)的標(biāo)簽集合與具有與信息流的目標(biāo)相關(guān)聯(lián)的標(biāo)簽集合的信息對(duì)象的源的標(biāo)簽集合進(jìn)行比較。將與信息對(duì)象相關(guān)聯(lián)的標(biāo)簽集合與具有與信息流的目標(biāo)相關(guān)聯(lián)的標(biāo)簽集合的源的標(biāo)簽集合進(jìn)行比較可以包括對(duì)標(biāo)簽集合執(zhí)行至少一個(gè)集合論操作。至少一個(gè)集合論操作可以由在與信息對(duì)象相關(guān)聯(lián)的標(biāo)簽集合和與信息流的目標(biāo)相關(guān)聯(lián)的標(biāo)簽集合中標(biāo)識(shí)的至少一個(gè)安全策略模塊來(lái)執(zhí)行??梢院喜⒂芍辽僖粋€(gè)安全策略模塊中的每個(gè)生成的結(jié)果以生成指示信息流是否被授權(quán)的單個(gè)結(jié)果。將標(biāo)識(shí)信息對(duì)象敏感度的標(biāo)簽集合存儲(chǔ)在對(duì)應(yīng)于信息對(duì)象的哈希鍵的索引處的條目中可以包括將與信息對(duì)象的源相關(guān)聯(lián)的標(biāo)簽集合存儲(chǔ)在與信息對(duì)象相關(guān)聯(lián)的條目中。標(biāo)簽集合可以包括提供標(biāo)簽集合的一個(gè)或多個(gè)標(biāo)簽的標(biāo)簽列表元素。標(biāo)簽列表中的標(biāo)簽可以包括策略類(lèi)型和值。策略類(lèi)型可以標(biāo)識(shí)將要應(yīng)用于標(biāo)簽集合的安全策略,并且值可以標(biāo)識(shí)將要在評(píng)估由策略類(lèi)型所標(biāo)識(shí)的安全策略中使用的值。每個(gè)標(biāo)簽集合可以進(jìn)一步包括指示標(biāo)簽集合的版本的版本元素以及指示標(biāo)簽集合中包括的標(biāo)簽數(shù)量的計(jì)數(shù)元素。在另一個(gè)說(shuō)明性實(shí)施方式中,提供一種計(jì)算機(jī)程序產(chǎn)品,其包括計(jì)算機(jī)可用介質(zhì),該計(jì)算機(jī)可用介質(zhì)包括計(jì)算機(jī)可讀程序。當(dāng)計(jì)算機(jī)可讀程序在計(jì)算設(shè)備上執(zhí)行時(shí),計(jì)算機(jī)可讀程序使得計(jì)算設(shè)備基于信息對(duì)象生成哈希鍵,基于哈希鍵在哈希表中執(zhí)行查找操作,并且確定哈希表中對(duì)應(yīng)于哈希鍵的索引處的條目是否標(biāo)識(shí)信息對(duì)象的標(biāo)簽集合。該計(jì)算機(jī)可讀程序可以進(jìn)一步使得計(jì)算設(shè)備執(zhí)行以下操作如果在哈希表中的條目中沒(méi)有標(biāo)識(shí)信息對(duì)象的標(biāo)簽集合,則將標(biāo)識(shí)信息對(duì)象敏感度的標(biāo)簽集合存儲(chǔ)在對(duì)應(yīng)于信息對(duì)象的哈希鍵的索引處的條目中。該計(jì)算機(jī)可讀程序可以進(jìn)一步使得計(jì)算設(shè)備基于在哈希表中對(duì)與信息對(duì)象相關(guān)聯(lián)的標(biāo)簽集合的查找以對(duì)涉及信息對(duì)象的信息流進(jìn)行授權(quán)。該計(jì)算機(jī)可讀程序還可以使得計(jì)算設(shè)備執(zhí)行針對(duì)方法說(shuō)明性實(shí)施方式進(jìn)行的上述描述的各種其他操作。在另一個(gè)說(shuō)明性實(shí)施方式中,提供一種用于對(duì)數(shù)據(jù)處理系統(tǒng)的設(shè)備之間的信息流進(jìn)行授權(quán)的系統(tǒng)或裝置。該系統(tǒng)或裝置可以包括信息流居間器以及耦合至信息流居間器的標(biāo)簽集合存儲(chǔ)設(shè)備。信息流居間器可以基于信息對(duì)象生成哈希鍵,基于哈希鍵在哈希表中執(zhí)行查找操作,并且可以確定哈希表中對(duì)應(yīng)于哈希4建的索引處的條目是否標(biāo)識(shí)信息對(duì)象的標(biāo)簽集合。信,t、流居間器可以進(jìn)一步執(zhí)行以下操作如果在哈希表中的條目中沒(méi)有標(biāo)識(shí)信息對(duì)象的標(biāo)簽集合,則將標(biāo)識(shí)信息對(duì)象敏感度的標(biāo)簽集合存儲(chǔ)在對(duì)應(yīng)于信息對(duì)象的哈希鍵的索引處的條目中。信息流居間器可以進(jìn)一步基于在哈希表中對(duì)與信息對(duì)象相關(guān)聯(lián)的標(biāo)簽集合的查找以對(duì)涉及信息對(duì)象的信息流進(jìn)行授權(quán)。信,l流居間器可以通過(guò)以下操作基于在哈希表中對(duì)與信息對(duì)象相關(guān)聯(lián)的標(biāo)簽集合的查找以對(duì)涉及信息對(duì)象的信息流進(jìn)行授權(quán)接收對(duì)從第一設(shè)備到第二設(shè)備的涉及信息對(duì)象的信息流進(jìn)行授權(quán)的請(qǐng)求,從信息對(duì)象的源中檢索信息對(duì)象的內(nèi)容,基于信息對(duì)象的內(nèi)容生成哈希鍵,基于哈希鍵在哈希表中執(zhí)行查找操作以識(shí)別與信息對(duì)象相關(guān)聯(lián)的標(biāo)簽集合,并且基于與信息對(duì)象相關(guān)聯(lián)的標(biāo)簽集合執(zhí)行一個(gè)或多個(gè)授權(quán)操作。信息流居間器可以通過(guò)以下操作執(zhí)行一個(gè)或多個(gè)授權(quán)操作將與信息對(duì)象相關(guān)聯(lián)的標(biāo)簽集合與具有與信息流的目標(biāo)相關(guān)聯(lián)的標(biāo)簽集合的信息對(duì)象的源的標(biāo)簽集合進(jìn)行比較。信息流居間器可以通過(guò)對(duì)標(biāo)簽集合執(zhí)行至少一個(gè)集合論操作來(lái)將與信息對(duì)象相關(guān)聯(lián)的標(biāo)簽集合與具有與信息流的目標(biāo)相關(guān)聯(lián)的標(biāo)簽集合的源的標(biāo)簽集合進(jìn)行比較。至少一個(gè)集合論操作可以由在與信息對(duì)象相關(guān)聯(lián)的標(biāo)簽集合和與信息流的目標(biāo)相關(guān)聯(lián)的標(biāo)簽集合中標(biāo)識(shí)的至少一個(gè)安全策略模塊來(lái)執(zhí)行??梢院喜⒂芍辽僖粋€(gè)安全策略模塊中的每個(gè)生成的結(jié)果以生成指示信息流是否被授權(quán)的單個(gè)結(jié)果。信息流居間器可以通過(guò)將與信息對(duì)象相關(guān)聯(lián)的標(biāo)簽集合存儲(chǔ)在與信息對(duì)象相關(guān)聯(lián)的條目中來(lái)將標(biāo)簽集合存儲(chǔ)在對(duì)應(yīng)于信息對(duì)象的哈希鍵的索引處的條目中。本發(fā)明的這些和其他特征和優(yōu)勢(shì)將在本發(fā)明的示例性實(shí)施方式的以下詳細(xì)描述中進(jìn)行描述,或者根據(jù)本發(fā)明的示例性實(shí)施方式的以下詳細(xì)描述,本發(fā)明的這些和其他特征和優(yōu)勢(shì)對(duì)于本領(lǐng)域的技術(shù)人員將變得明顯?,F(xiàn)在將參考隨后附圖并僅通過(guò)示例的方式來(lái)描述本發(fā)明的實(shí)施方式圖1是可以在其中實(shí)現(xiàn)說(shuō)明性實(shí)施方式的示例性方面的分布式或網(wǎng)絡(luò)式數(shù)據(jù)處理系統(tǒng)的示例性框圖;圖2是可以在其中實(shí)現(xiàn)說(shuō)明性實(shí)施方式的示例性方面的服務(wù)器計(jì)算設(shè)備的示例性框圖;圖3是可以在其中實(shí)現(xiàn)說(shuō)明性實(shí)施方式的示例性方面的客戶端計(jì)算設(shè)備的示例性框圖;圖4是根據(jù)說(shuō)明性實(shí)施方式的架構(gòu)的示例性圖示;圖5是根據(jù)說(shuō)明性實(shí)施方式的引用監(jiān)控機(jī)的示例性圖示;圖6是示出了根據(jù)一個(gè)說(shuō)明性實(shí)施方式的標(biāo)簽集合的示例性定義的示例性圖示;圖7A是根據(jù)一個(gè)說(shuō)明性實(shí)施方式的第一標(biāo)簽集合的示例性圖示;ii圖7B是根據(jù)一個(gè)說(shuō)明性實(shí)施方式的第二標(biāo)簽集合的示例性圖示;圖8是示出了根據(jù)一個(gè)說(shuō)明性實(shí)施方式的第一示例情況的示例性圖示,其中哈希表用于將標(biāo)簽集合與資源關(guān)聯(lián)起來(lái)以確定允許或拒絕信息流請(qǐng)求;圖9是示出了根據(jù)一個(gè)說(shuō)明性實(shí)施方式的第二示例情況的示例性圖示,其中哈希表用于將標(biāo)簽集合與資源關(guān)聯(lián)起來(lái)以確定允許或拒絕信息流請(qǐng)求;圖IO是示出了用于向應(yīng)用、設(shè)備、系統(tǒng)等許可令牌(token)從而建立保護(hù)環(huán)境的示例性操作的流程圖;圖11是示出了根據(jù)說(shuō)明性實(shí)施方式的用于將資源與標(biāo)簽集合關(guān)聯(lián)起來(lái)的示例性操作的流程圖;以及圖12是示出了根據(jù)一個(gè)說(shuō)明性實(shí)施方式的用于對(duì)信息流請(qǐng)求進(jìn)行認(rèn)證的示例性操作的流程圖。具體實(shí)施方式說(shuō)明性實(shí)施方式涉及用于改進(jìn)源和目標(biāo)之間的信息流中的安全實(shí)現(xiàn)的機(jī)制。該說(shuō)明性實(shí)施方式的機(jī)制可以在全部發(fā)生在單個(gè)計(jì)算設(shè)備上的信息流上實(shí)現(xiàn),或者可以在計(jì)算設(shè)備之間的信息流上實(shí)現(xiàn),諸如在分布式或網(wǎng)絡(luò)式數(shù)據(jù)處理系統(tǒng)中。因此,下文提供圖1-3作為可以在其中實(shí)現(xiàn)說(shuō)明性實(shí)施方式的機(jī)制的數(shù)據(jù)處理環(huán)境的示例。圖1-3僅是說(shuō)明性的并且不旨在陳述或暗示對(duì)于可以在其中實(shí)現(xiàn)說(shuō)明性實(shí)施方式的機(jī)制的數(shù)據(jù)處理環(huán)境的類(lèi)型的任何限制。相反,在不脫離本發(fā)明的精神和范圍的情況下,可以對(duì)描述的數(shù)據(jù)處理環(huán)境做出很多修改。現(xiàn)在參考附圖,圖1示出了可以在其中實(shí)現(xiàn)說(shuō)明性實(shí)施方式的示例性方面的數(shù)據(jù)處理系統(tǒng)的網(wǎng)絡(luò)的圖示表示。網(wǎng)絡(luò)數(shù)據(jù)處理系統(tǒng)100是可以在其中實(shí)現(xiàn)本發(fā)明的計(jì)算機(jī)網(wǎng)絡(luò)。網(wǎng)絡(luò)數(shù)據(jù)處理系統(tǒng)100包含網(wǎng)絡(luò)102,該網(wǎng)絡(luò)102是用于在網(wǎng)絡(luò)數(shù)據(jù)處理系統(tǒng)100內(nèi)連接在一起的各種設(shè)備和計(jì)算機(jī)之間提供通信鏈路的介質(zhì)。網(wǎng)絡(luò)102可以包括諸如有線、無(wú)線通信鏈路或光纖線纜這樣的連接。在示出的示例中,服務(wù)器104以及存儲(chǔ)單元106連4妄至網(wǎng)絡(luò)102。此外,客戶端108、110和112連接至網(wǎng)絡(luò)102。這些客戶端108、110和112例如可以是個(gè)人計(jì)算機(jī)或網(wǎng)絡(luò)計(jì)算機(jī)。在示出的示例中,服務(wù)器104向客戶端108-112提供諸如引導(dǎo)文件、操作系統(tǒng)映像和應(yīng)用之類(lèi)的數(shù)據(jù)。客戶端108、IIO和112是服務(wù)器104的客戶端。網(wǎng)絡(luò)數(shù)據(jù)處理系統(tǒng)IOO可以包括附加的服務(wù)器、客戶端和其他未示出的設(shè)備。在示出的示例中,網(wǎng)絡(luò)數(shù)據(jù)處理系統(tǒng)IOO是因特網(wǎng),其中網(wǎng)絡(luò)102代表使用協(xié)議中的傳輸控制協(xié)議/因特網(wǎng)協(xié)議(TCP/IP)集來(lái)彼此通信的網(wǎng)絡(luò)和網(wǎng)關(guān)的世界范圍的集合。在因特網(wǎng)的核心處是主要節(jié)點(diǎn)或主計(jì)算機(jī)之間的高速數(shù)據(jù)通信線路骨干,包括數(shù)千路由數(shù)據(jù)及消息的商業(yè)、政府、教育和其他計(jì)算機(jī)系統(tǒng)。當(dāng)然,網(wǎng)絡(luò)數(shù)據(jù)處理系統(tǒng)IOO還可以實(shí)現(xiàn)為多個(gè)不同類(lèi)型的網(wǎng)絡(luò),例如企業(yè)內(nèi)部網(wǎng)、局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)。圖1旨在作為一個(gè)示例,并且不作為對(duì)本發(fā)明的架構(gòu)限制。參考圖2,其示出了可以在其中實(shí)現(xiàn)說(shuō)明性實(shí)施方式的示例性方面的數(shù)據(jù)處理系統(tǒng)的框圖,其中該數(shù)據(jù)處理系統(tǒng)可以實(shí)現(xiàn)為諸如圖1中的服務(wù)器104的服務(wù)器。數(shù)據(jù)處理系統(tǒng)200可以是對(duì)稱多處理器(SMP)系統(tǒng),其包括多個(gè)連接至系統(tǒng)總線206的處理器202和204??商鎿Q地,可以使用單個(gè)處理器系統(tǒng)。還連接至系統(tǒng)總線206的是存儲(chǔ)器控制器/高速緩存器208,其提供到本地存儲(chǔ)器209的接口。I/O總線橋210連接至系統(tǒng)總線206并且提供到I/O總線212的接口。如圖所示,存儲(chǔ)器控制器/高速緩存器208和I/O總線橋210可以集成。連接至I/O總線212的外圍組件互連(PCI)總線橋214提供到PCI本地總線216的接口。多個(gè)調(diào)制解調(diào)器可以連接至PCI本地總線216。典型的PCI總線實(shí)現(xiàn)將支持四個(gè)PCI擴(kuò)展插槽或插件連接器。圖l中到客戶端108-112的通信鏈路可以通過(guò)調(diào)制解調(diào)器218和通過(guò)插件連接器連接至PCI本地總線216的網(wǎng)絡(luò)適配器220來(lái)提供。附加PCI總線橋222和224為附加PCI本地總線226和228提供接口,從其可以支持附加的調(diào)制解調(diào)器或網(wǎng)絡(luò)適配器。這樣,數(shù)據(jù)處理系統(tǒng)200支持連接到多個(gè)網(wǎng)絡(luò)計(jì)算機(jī)。存儲(chǔ)器映射圖形適配器230和硬盤(pán)232也可以直接或間接地連接至示出的I/O總線212。本領(lǐng)域的技術(shù)人員應(yīng)該理解圖2中示出的硬件可以改變。例如,除了示出的硬件之外或替代示出的硬件,可以使用諸如光盤(pán)驅(qū)動(dòng)器等其他外圍設(shè)備。示出的示例不意味著暗示對(duì)本發(fā)明的架構(gòu)限制。圖2中示出了的數(shù)據(jù)處理系統(tǒng)例如可以是IBMeServerpSeries系統(tǒng),其是紐約Armonk國(guó)際商業(yè)機(jī)器公司的一種產(chǎn)品,該產(chǎn)品運(yùn)行高級(jí)交互式執(zhí)行(AIX)操作系統(tǒng)或LINUX操作系統(tǒng)?,F(xiàn)在參考圖3,其示出了描述可以在其中實(shí)現(xiàn)說(shuō)明性實(shí)施方式的示例性方面的數(shù)據(jù)處理系統(tǒng)的框圖。數(shù)據(jù)處理系統(tǒng)300是客戶端計(jì)算機(jī)的示例。數(shù)據(jù)處理系統(tǒng)300使用外圍組件互連(PCI)本地總線架構(gòu)。盡管示出的示例使用PCI總線,但是可以使用諸如加速圖像端口(AGP)以及工業(yè)標(biāo)準(zhǔn)架構(gòu)(ISA)之類(lèi)的其他總線架構(gòu)。處理器302和主存儲(chǔ)器304通過(guò)PCI橋308連接至PCI本地總線306。PCI橋308還可以包括用于處理器302的集成存儲(chǔ)器控制器和高速緩存存儲(chǔ)器。到PCI本地總線306的附加連接可以通過(guò)直接組件互連或通過(guò)插件板做出。在示出的示例中,局域網(wǎng)(LAN)適配器310、小型計(jì)算機(jī)系統(tǒng)接口(SCSI)主機(jī)總線適配器312以及擴(kuò)展總線接口314通過(guò)直接組件連接而連接至PCI本地總線306。相反,音頻適配器316、圖形適配器318和音頻/視頻適配器319通過(guò)插入到擴(kuò)展插槽的插件板連接至PCI本地總線306。擴(kuò)展總線接口314提供用于鍵盤(pán)與鼠標(biāo)適配器320、調(diào)制解調(diào)器322和附加存儲(chǔ)器324的連接。SCSI主機(jī)總線適配器312提供用于硬盤(pán)驅(qū)動(dòng)器326、磁帶驅(qū)動(dòng)器328以及CD-ROM驅(qū)動(dòng)器330的連接。典型的PCI本地總線實(shí)現(xiàn)將支持三個(gè)或四個(gè)PCI擴(kuò)展插槽或插件連接器。操作系統(tǒng)運(yùn)行在處理器302上并且用于協(xié)調(diào)和提供對(duì)圖3中數(shù)據(jù)處理系統(tǒng)300內(nèi)的各種組件的控制。該操作系統(tǒng)可以是商業(yè)上可獲取的操作系統(tǒng),諸如WindowsXP,該操作系統(tǒng)可從Microsoft公司獲得。諸如Java的面向?qū)ο蟮木幊滔到y(tǒng)可以與操作系統(tǒng)結(jié)合運(yùn)行并且從在數(shù)據(jù)處理系統(tǒng)300上執(zhí)行的Java程序或應(yīng)用提供對(duì)操作系統(tǒng)的調(diào)用。"Java"是SunMicrosystems公司的商標(biāo)。用于操作系統(tǒng)、面向?qū)ο缶幊滔到y(tǒng)和應(yīng)用或程序的指令位于諸如硬盤(pán)驅(qū)動(dòng)器326的存儲(chǔ)設(shè)備上,并且可以加載到主存儲(chǔ)器304中以便由處理器302執(zhí)行。本領(lǐng)域的技術(shù)人員應(yīng)該理解圖3中示出的硬件可以根據(jù)實(shí)現(xiàn)而改變。除了圖3示出的硬件之外或替代圖3示出的硬件,可以使用諸如閃存只讀存儲(chǔ)器(ROM)、等價(jià)的非易失性存儲(chǔ)器或光盤(pán)驅(qū)動(dòng)器等的其他內(nèi)部硬件或外圍設(shè)備。而且,本發(fā)明的過(guò)程可應(yīng)用于多處理器數(shù)據(jù)處理系統(tǒng)。作為另一個(gè)示例,數(shù)據(jù)處理系統(tǒng)300可以是配置為不依賴于某些類(lèi)型的網(wǎng)絡(luò)通信接口就可以啟動(dòng)的單獨(dú)系統(tǒng)。作為又一示例,數(shù)據(jù)處理系統(tǒng)300可以是個(gè)人數(shù)字助理(PDA)設(shè)備,其配置有ROM和/或閃存ROM,從而提供用于存儲(chǔ)操作系統(tǒng)文件和/或用戶生成的數(shù)據(jù)的非易失性存儲(chǔ)器。圖3中示出的示例和上述示例不意p木著暗示架構(gòu)限制。例如,除了采用PDA形式,數(shù)據(jù)處理系統(tǒng)300還可以是筆記本電腦或手持計(jì)算機(jī)。數(shù)據(jù)處理系統(tǒng)300還可以是咨詢服務(wù)站(kiosk)或Web裝置。說(shuō)明性實(shí)施方式提供用于控制計(jì)算設(shè)備的元素或計(jì)算設(shè)備的網(wǎng)絡(luò)之間的信息流的機(jī)制。對(duì)信息流的該控制可以完全在單個(gè)計(jì)算系統(tǒng)內(nèi)執(zhí)行,諸如可以完全在服務(wù)器104內(nèi)的元素之間或圖1的客戶端計(jì)算設(shè)備108-112內(nèi)的元素之間執(zhí)行。例如,說(shuō)明性實(shí)施方式的機(jī)制可以用于控制圖2中運(yùn)行在處理器202上的一個(gè)或多個(gè)應(yīng)用和運(yùn)行在處理器204上的一個(gè)或多個(gè)應(yīng)用之間的信息流,或者甚至控制圖3中運(yùn)行在處理器302上的一個(gè)應(yīng)用和運(yùn)行在處理器302上的另一個(gè)應(yīng)用之間的信息流。而且,說(shuō)明性實(shí)施方式的機(jī)制可以控制一個(gè)或多個(gè)應(yīng)用和其他資源之間的信息流,或者直接控制計(jì)算設(shè)備(例如部分存儲(chǔ)器、1/0控制器、網(wǎng)絡(luò)接口等)中的一個(gè)或多個(gè)資源之間的信息流。式或網(wǎng)絡(luò)數(shù)據(jù)處理環(huán)境中的計(jì)算設(shè)備或系統(tǒng)之間的信息流。因此,例如,說(shuō)明性實(shí)施方式的機(jī)制可以在諸如服務(wù)器104的服務(wù)器中提供,并且用于控制一個(gè)客戶端計(jì)算設(shè)備108和其他客戶端計(jì)算設(shè)備110、112或甚至存儲(chǔ)系統(tǒng)106之間的信息流。簡(jiǎn)而言之,說(shuō)明性實(shí)施方式的機(jī)制可以用于控制一個(gè)或多個(gè)數(shù)據(jù)處理設(shè)備的任何兩個(gè)軟件和/或石更件元素之間的信息流。通過(guò)說(shuō)明性實(shí)施方式的機(jī)制,數(shù)據(jù)處理系統(tǒng)的應(yīng)用、設(shè)備、系統(tǒng)以及其他軟件和/或硬件實(shí)體與還稱作"隔離"的保護(hù)環(huán)境相關(guān),其由p眷一的安全關(guān)聯(lián)(securityassociation)(SA)標(biāo)識(shí)。SA與安全信息數(shù)據(jù)結(jié)構(gòu)相關(guān),該數(shù)據(jù)結(jié)構(gòu)標(biāo)識(shí)將要應(yīng)用于進(jìn)出實(shí)體的信息流的安全策略,以及可以保持在每個(gè)實(shí)體中的信息項(xiàng)的敏感度。在說(shuō)明性實(shí)施方式中,這些安全信息數(shù)據(jù)結(jié)構(gòu)作為標(biāo)簽集合提供,盡管本發(fā)明不限于安全信息的此類(lèi)表示。相反,在不脫離本發(fā)明的精神和范圍的情況下,可以使用用于標(biāo)識(shí)將要應(yīng)用于信息流的安全策略的任何表示。此外,信息項(xiàng),即資源,可以使用哈希表格數(shù)據(jù)結(jié)構(gòu)來(lái)與標(biāo)簽集合相關(guān)聯(lián)??梢曰谫Y源的內(nèi)容生成哈希鍵。該哈希鍵用作哈希表數(shù)據(jù)結(jié)構(gòu)中的索引以標(biāo)識(shí)具有與資源相關(guān)聯(lián)的標(biāo)簽集合的條目。由說(shuō)明性實(shí)施方式生成的標(biāo)簽集合僅按照敏感度描述信息并且不按照用于轉(zhuǎn)換或傳輸信息的操作來(lái)描述信息。對(duì)關(guān)注的該分離支持通過(guò)將安全策略評(píng)估的語(yǔ)義從數(shù)據(jù)處理系統(tǒng)中的應(yīng)用、設(shè)備、系統(tǒng)和其他實(shí)體的數(shù)據(jù)操縱語(yǔ)義中解耦合來(lái)實(shí)現(xiàn)非常簡(jiǎn)單的策略決定機(jī)制。而且,標(biāo)簽集合的使用允許按照集合論操作(例如,集合合并、交叉和補(bǔ)操作)來(lái)定義安全策略和規(guī)則。安全策略和規(guī)則不關(guān)心在信息流中正執(zhí)行的特定動(dòng)作,而僅僅關(guān)心可以由涉及的實(shí)體所保持的信息敏感度以及作為該信息流主體的信息的敏感度。在對(duì)來(lái)自于數(shù)據(jù)處理系統(tǒng)中的實(shí)體的信,l流請(qǐng)求的處理中,用于源和目標(biāo)保護(hù)環(huán)境的標(biāo)簽集合可以被提供給策略框架,該策略框架解析該標(biāo)簽集合以識(shí)別該標(biāo)簽集合引用了哪些安全策略。與識(shí)別的安全策略相關(guān)聯(lián)的策略模塊繼而可以配備該標(biāo)簽集合,從而基于用于源和目標(biāo)保護(hù)環(huán)境的標(biāo)簽集合來(lái)評(píng)估該安全策略。每個(gè)策略模塊可以基于應(yīng)用于標(biāo)簽集合的其安全策略來(lái)生成決定,該決定有關(guān)于是對(duì)信息流請(qǐng)求進(jìn)行許可、拒絕還是不做決定。例如,可以通過(guò)使用集合論操作對(duì)源保護(hù)環(huán)境的標(biāo)簽集合以及目標(biāo)保護(hù)環(huán)境的標(biāo)簽集合進(jìn)行比較來(lái)做出決定??梢詫⒏鞣N決定提供給決定合并器,該決定合并器使用合并器規(guī)則合并各種決定并且生成關(guān)于是否應(yīng)該許可信息流請(qǐng)求的單個(gè)決定。如果信息流請(qǐng)求被許可,那么允許源和目標(biāo)保護(hù)環(huán)境之間的信息流。如果信息流請(qǐng)求被拒絕,那么阻擋到目標(biāo)保護(hù)環(huán)境的資源流并且可以返回4普誤消息o存在兩種可以被許可的信息流,"流(stream)"和"資源"。如果許可"資源"信息流,那么在源和目標(biāo)保護(hù)環(huán)境之間允許資源的單個(gè)轉(zhuǎn)移。如果許可"流,,信息流,那么允許信息作為流從源流向目標(biāo)直到流被拒絕,例如,因?yàn)橐帽O(jiān)控機(jī)中的某些事物已經(jīng)改變,其使得信息流被拒絕,或關(guān)閉流。例如,如果目標(biāo)保護(hù)環(huán)境已經(jīng)更新了它的標(biāo)簽集合以及對(duì)于信息流的拒絕的新標(biāo)簽集合評(píng)估,那么在初始地i午可流之后可以拒絕它。在一個(gè)說(shuō)明性實(shí)施方式中,資源可以使用哈希表數(shù)據(jù)結(jié)構(gòu)來(lái)與標(biāo)簽集合關(guān)聯(lián)起來(lái),其中哈希表數(shù)據(jù)結(jié)構(gòu)使用資源內(nèi)容的哈希作為哈希表數(shù)據(jù)結(jié)構(gòu)中的索引。在這樣的情況中,當(dāng)接收到信息流請(qǐng)求時(shí),可以從源保護(hù)環(huán)境中檢索作為信息流主體的資源并且使用一個(gè)或多個(gè)哈希函數(shù)來(lái)進(jìn)行散列。為了增加安全性,可以使用多維哈希和哈希表數(shù)據(jù)集結(jié)構(gòu)。生成的哈希值可以用于執(zhí)行對(duì)與哈希表數(shù)據(jù)結(jié)構(gòu)中的資源相對(duì)應(yīng)的標(biāo)簽集合的查找。如果基于哈希值在哈希表數(shù)據(jù)結(jié)構(gòu)中找到有效條目,則通過(guò)安全策略檢索并且使用相應(yīng)的標(biāo)簽集合。在一個(gè)說(shuō)明性實(shí)施方式中,用于資源的所檢索到的標(biāo)簽集合可以與用于源保護(hù)環(huán)境的標(biāo)簽集合合并以生成用于對(duì)目標(biāo)保護(hù)環(huán)境的標(biāo)簽集合進(jìn)行評(píng)估的有效標(biāo)簽集合。如果沒(méi)有找到有效條目,或如果正在請(qǐng)求"流"信息流,那么用于源保護(hù)環(huán)境的標(biāo)簽集合可通過(guò)說(shuō)明性實(shí)施方式的機(jī)制,標(biāo)簽集合完全保持在f1用監(jiān)控機(jī)內(nèi),并且因此不易受到無(wú)意的或惡意的改變。標(biāo)簽集合還提供從安全考慮消除數(shù)據(jù)操縱的語(yǔ)義的機(jī)制并且允許基于保護(hù)環(huán)境和信息流中包含的資源的敏感度來(lái)執(zhí)行安全考慮。結(jié)果,源和目標(biāo)保護(hù)環(huán)境合,從而降低創(chuàng)建以及使用安全策略和規(guī)則的復(fù)雜性。標(biāo)簽集合還允許將集合論操作用于執(zhí)行安全策略評(píng)估,從而再次簡(jiǎn)化安全策略和規(guī)則。而且,標(biāo)簽集合可以使用多維哈希數(shù)據(jù)結(jié)構(gòu)來(lái)與資源相關(guān)聯(lián),從而減少標(biāo)簽集合的無(wú)意或惡意改變的可能性,并且減少哈希沖突的可能性??傮w架構(gòu)說(shuō)明性實(shí)施方式的機(jī)制使用其中應(yīng)用/資源與保護(hù)環(huán)境相關(guān)聯(lián)的架構(gòu),以便根據(jù)建立的安全信息數(shù)據(jù)結(jié)構(gòu)來(lái)控制保護(hù)環(huán)境之間的信息流,其中該安全信息數(shù)據(jù)結(jié)構(gòu)標(biāo)識(shí)將要應(yīng)用于信息流的安全策略,例如標(biāo)簽集合。圖4是示出了根據(jù)一個(gè)說(shuō)明性實(shí)施方式的架構(gòu)400的示例性框圖。如圖4所示,架構(gòu)400包括多個(gè)保護(hù)環(huán)境410-430,也稱作"隔離",其可以經(jīng)由通信介質(zhì)440彼此通信。還在示出的架構(gòu)中提供了認(rèn)證器450和引用監(jiān)控機(jī)460。保護(hù)環(huán)境410-430或"隔離"可以包括一個(gè)或多個(gè)應(yīng)用、一個(gè)或多個(gè)數(shù)據(jù)處理設(shè)備、一個(gè)或多個(gè)數(shù)據(jù)處理系統(tǒng)、一個(gè)或多個(gè)數(shù)據(jù)處理設(shè)備資源等。在一個(gè)說(shuō)明性實(shí)施方式中,每個(gè)現(xiàn)有的應(yīng)用、設(shè)備、資源或系統(tǒng)都與分離的保護(hù)環(huán)境或"隔離"相關(guān)聯(lián),其充當(dāng)與引用監(jiān)控機(jī)460通信的代理。保護(hù)環(huán)境410-430是架構(gòu)400中的應(yīng)用、設(shè)備、系統(tǒng)和/或資源的邏輯表示。這些邏輯表示保持在引用監(jiān)控機(jī)460保護(hù)環(huán)境與另一個(gè)保護(hù)環(huán)境關(guān)于信,l流的交互。引用監(jiān)控機(jī)460居間調(diào)理保護(hù)環(huán)境410-430之間的所有通信。通信介質(zhì)440確保通過(guò)拒絕將通信直接從一個(gè)保護(hù)環(huán)境路由到另一個(gè)并且替代地要求所有通信流流經(jīng)引用監(jiān)控機(jī)460來(lái)在保護(hù)環(huán)境之間的所有通信上執(zhí)行該居間調(diào)理。為了確保所有通信流流經(jīng)引用監(jiān)控機(jī)460,可以在通信介質(zhì)440中提供路由機(jī)制,其使通信不被路由到目標(biāo)保護(hù)環(huán)境而重定向到引用監(jiān)控機(jī)460。通信介質(zhì)440可以包括任何類(lèi)型的通信基礎(chǔ)實(shí)施、協(xié)議等。例如,通信介質(zhì)440可以包括總線、路由器、網(wǎng)絡(luò)、緩沖存儲(chǔ)器、存儲(chǔ)設(shè)備、尋址機(jī)制等。并且協(xié)議包括TCP/IP、SCSI、PCI等。不論使用何種特定基礎(chǔ)實(shí)施或協(xié)議,配置通信介質(zhì)440以便保護(hù)環(huán)境410-430的所有外部通信在被路由到通信的目標(biāo)保護(hù)環(huán)境410-430之前首先流經(jīng)引用監(jiān)控機(jī)460。例如,在網(wǎng)絡(luò)環(huán)境中,所有保護(hù)環(huán)境410-430通過(guò)4丸行網(wǎng)絡(luò)業(yè)務(wù)路由的通信介質(zhì)440進(jìn)行通信。在簡(jiǎn)單的說(shuō)明性實(shí)施方式中,-各由器可以用于將業(yè)務(wù)從一個(gè)保護(hù)環(huán)境410-430路由到另一個(gè)。為了確保所有通信都由引用監(jiān)控機(jī)460居間調(diào)理,可以配置路由器以將所有傳入網(wǎng)絡(luò)業(yè)務(wù)限制為轉(zhuǎn)發(fā)到引用監(jiān)控機(jī)460并且所有傳出業(yè)務(wù)僅可以來(lái)自于引用監(jiān)控機(jī)460。需要與另一個(gè)保護(hù)環(huán)境410-430通信的保護(hù)環(huán)境410-430中的任何實(shí)體必須提交請(qǐng)求以與引用監(jiān)控機(jī)460進(jìn)行通信從而進(jìn)行授權(quán)。因此,對(duì)于單向的信息流,通信的源必須向引用監(jiān)控機(jī)460提交信息流請(qǐng)求,從而請(qǐng)求與通信的目標(biāo)進(jìn)行通信。對(duì)于雙向信息流,源和目標(biāo)(目標(biāo)將充當(dāng)反向中的源)都必須向引用監(jiān)控機(jī)460提交信息流請(qǐng)求。在雙向通信中對(duì)于兩個(gè)實(shí)體提交信息流請(qǐng)求的該要求基于以下事實(shí),即說(shuō)明性實(shí)施方式涉及控制信息流而不是正在執(zhí)行的特定動(dòng)作。因此,雖然可以向第一實(shí)體進(jìn)行授權(quán)以向第二實(shí)體發(fā)送信息,但是不能向該第二實(shí)體授權(quán)以將信息發(fā)回給第一實(shí)體。換言之,對(duì)一個(gè)方向的信息流的授權(quán)不必然意味著也對(duì)反向的信息流進(jìn)行授權(quán)。引用監(jiān)控機(jī)460可以使用與保護(hù)環(huán)境410-430相關(guān)聯(lián)的標(biāo)簽集合來(lái)確定允許或是不允許保護(hù)環(huán)境之間的哪個(gè)方向的信息流。在引用監(jiān)控機(jī)460的信任基礎(chǔ)外部,不允許訪問(wèn)這些標(biāo)簽集合。因此,不向保護(hù)環(huán)境410-430提供這些標(biāo)簽集合。為了響應(yīng)保護(hù)環(huán)境410-430的應(yīng)用、設(shè)備、系統(tǒng)和其它類(lèi)型的實(shí)體提交的認(rèn)證宣告,認(rèn)證器450對(duì)保護(hù)環(huán)境410-430的實(shí)體執(zhí)行認(rèn)證以核實(shí)稍后將向引用監(jiān)控機(jī)460提交信息流請(qǐng)求的實(shí)體是經(jīng)核實(shí)的保護(hù)環(huán)境410-430的被授權(quán)實(shí)體。此類(lèi)認(rèn)證可以采取以下形式密碼認(rèn)證、證書(shū)認(rèn)證或任何其他已知認(rèn)證才幾制。當(dāng)在故障之后恢復(fù)實(shí)體時(shí),例如可以在實(shí)體的初始化時(shí)間處由實(shí)體i故出iU正宣告。在認(rèn)證器450核實(shí)保護(hù)環(huán)境410-430中的實(shí)體的宣告時(shí),認(rèn)證器450向請(qǐng)求方發(fā)布令牌。該請(qǐng)求方繼而可以使用該令牌來(lái)請(qǐng)求引用監(jiān)控機(jī)460生成并且關(guān)聯(lián)用于保護(hù)環(huán)境410-430的標(biāo)簽集合?;谡J(rèn)證器450發(fā)布的令牌,引用監(jiān)控機(jī)460確定哪個(gè)標(biāo)簽集合與保護(hù)環(huán)境相關(guān)。例如,引用監(jiān)控機(jī)460可以向安全策略框架的每個(gè)安全策略模塊提供令牌,從而針對(duì)特定令牌從每個(gè)安全策略模塊獲取標(biāo)簽,或者如果沒(méi)有找到針對(duì)該令牌的專用標(biāo)簽,則可選地獲取默認(rèn)標(biāo)簽。一旦令牌用于生成標(biāo)簽集合,則該標(biāo)簽集合與引用監(jiān)控機(jī)460中的安全關(guān)聯(lián)相關(guān)聯(lián)。該安全關(guān)聯(lián)是特定保護(hù)環(huán)境或隔離與引用監(jiān)控才幾460之間的通信連接的唯一標(biāo)識(shí)符。用于生成該安全關(guān)聯(lián)的特定值取決于本發(fā)明的特定實(shí)現(xiàn)。例如,在一個(gè)說(shuō)明性實(shí)施方式中,例如TCP/IP地址、安全套4妄字標(biāo)識(shí)符和會(huì)話標(biāo)識(shí)符之類(lèi)的通信標(biāo)識(shí)符的組合可以用于生成唯一的安全關(guān)聯(lián)(SA)??蛇x地,僅安全套接字標(biāo)識(shí)符和會(huì)話標(biāo)識(shí)符可以用于生成用于特定保護(hù)環(huán)境或隔離的SA。一旦可以針對(duì)正由引用監(jiān)控機(jī)460管理的每個(gè)保護(hù)環(huán)境或隔離生成唯一的標(biāo)識(shí)符,就可以使用其他類(lèi)型的信息和信息的其他組合。在引用監(jiān)控機(jī)460內(nèi)生成該唯一的安全關(guān)聯(lián)并且在引用監(jiān)控機(jī)460的外部對(duì)該安全關(guān)聯(lián)不可訪問(wèn)。該SA與針對(duì)保護(hù)環(huán)境/隔離生成的標(biāo)簽集合相關(guān)聯(lián)地存儲(chǔ)在與引用監(jiān)控機(jī)460相關(guān)聯(lián)的數(shù)據(jù)結(jié)構(gòu)中。使用該安全關(guān)聯(lián),引用監(jiān)控機(jī)460可以迅速地確定與請(qǐng)求的源相關(guān)聯(lián)的標(biāo)簽集合。即,通過(guò)查看關(guān)于與源保護(hù)環(huán)境的通信連接的信息(其例如存在于請(qǐng)求的報(bào)頭信息中),引用監(jiān)控機(jī)460可以生成用于該請(qǐng)求的SA并且在數(shù)據(jù)結(jié)構(gòu)中執(zhí)行該SA的查找以獲取相關(guān)聯(lián)的標(biāo)簽集合。這樣,引用監(jiān)控機(jī)460用于處理來(lái)自保護(hù)環(huán)境410-430的信息流請(qǐng)求。令牌可以用于識(shí)別可由引用監(jiān)控機(jī)460識(shí)別的安全屬性。例如,用戶可以使用用戶ID和密碼利用認(rèn)證器450進(jìn)行認(rèn)證。認(rèn)證器可以提供具有以下屬性的令牌的保護(hù)環(huán)境(從該保護(hù)環(huán)境中接收用戶的認(rèn)證請(qǐng)求)"userc"。引用監(jiān)控機(jī)460可以接收令牌并且針對(duì)保護(hù)環(huán)境建立標(biāo)簽集合。例如,利用Group-DAC(群DAC)和BLP策略運(yùn)行的引用監(jiān)控機(jī)460已經(jīng)可以使與"IBM-GROUP"和"NEWHIER-GROUP"相關(guān)的userc作為Group-DAC分配并且"CONFIDENTIAL"作為BLP分配。可以將這些標(biāo)簽添加到用于保護(hù)環(huán)境的標(biāo)簽集合中。保護(hù)環(huán)境的SA繼而可以由引用監(jiān)控機(jī)460基于用于保護(hù)環(huán)境的連接信息而生成。然后,該SA與生成的標(biāo)簽集合關(guān)聯(lián)地存儲(chǔ)在引用監(jiān)控機(jī)460中。之后,當(dāng)從保護(hù)環(huán)境中接收到請(qǐng)求的時(shí)候,通過(guò)針對(duì)請(qǐng)求的連接信息生成SA并且將其用于檢索標(biāo)簽集合。從而標(biāo)識(shí)從其接收信息流請(qǐng)求的保護(hù)環(huán)境。例如,當(dāng)保護(hù)環(huán)境410-430連接至引用監(jiān)控機(jī)460時(shí),其提供保護(hù)環(huán)境名稱。該名稱可以與保護(hù)環(huán)境所關(guān)聯(lián)的唯一安全關(guān)聯(lián)(外部世界未知的)以及相關(guān)標(biāo)簽集合關(guān)聯(lián)地存儲(chǔ)在引用監(jiān)控機(jī)460中。保護(hù)環(huán)境名稱可以由源保護(hù)環(huán)境使用以標(biāo)識(shí)信息流請(qǐng)求中的目標(biāo)保護(hù)環(huán)境。例如,保護(hù)環(huán)境A可以連接至引用監(jiān)控機(jī)460并且將其名稱標(biāo)識(shí)為"PARTITIONA(隔離A)"(在本發(fā)明的上下文中,保護(hù)環(huán)境也可稱作"隔離")。保護(hù)環(huán)境B可以連接至引用監(jiān)控機(jī)460并且將其名稱標(biāo)識(shí)為"PARTITIONB(隔離B)"。如果保護(hù)環(huán)境A希望向保護(hù)環(huán)境B發(fā)送信息,則保護(hù)環(huán)境A向引用監(jiān)控機(jī)460發(fā)送信息流請(qǐng)求以指示信息流的目標(biāo)是"PARTITIONB"。然后,引用監(jiān)控才幾460將執(zhí)行適當(dāng)?shù)臉?biāo)簽集合查找,如下所述,并且執(zhí)行針對(duì)該信息流請(qǐng)求的授一又決定。標(biāo)簽集合允許引用監(jiān)控機(jī)460對(duì)源和目標(biāo)保護(hù)環(huán)境410-430的標(biāo)簽集合執(zhí)行集合論以確定允許哪些信息流以及拒絕哪些信息流,下文將對(duì)此進(jìn)行更詳細(xì)的描述?;谝帽O(jiān)控機(jī)460做出的關(guān)于是否允許信,t-流的決定,可以允許通信流經(jīng)目標(biāo)保護(hù)環(huán)境或可以由引用監(jiān)控才幾460阻擋它。引用監(jiān)控機(jī)架構(gòu)圖5是根據(jù)一個(gè)說(shuō)明性實(shí)施方式的引用監(jiān)控機(jī)500的示例性框圖。如圖5所示,引用監(jiān)控機(jī)500包括具有偵聽(tīng)器子組件512的通信管理器(CM)510、信息流居間器(IFM)520、具有決定合并器532和多個(gè)策略才莫塊534-538的策略框架530。此外,在運(yùn)行時(shí)間期間,保持保護(hù)環(huán)境標(biāo)簽集合數(shù)據(jù)結(jié)構(gòu)540和資源標(biāo)簽集合數(shù)據(jù)結(jié)構(gòu)550。偵聽(tīng)器512偵聽(tīng)來(lái)自于圖4中保護(hù)環(huán)境410-430的信息流請(qǐng)求。例如,偵聽(tīng)器512可以就信息流請(qǐng)求來(lái)偵聽(tīng)特定端口,其中該信息流請(qǐng)求通過(guò)保護(hù)環(huán)境410-430中的應(yīng)用、設(shè)備和/或系統(tǒng)被引導(dǎo)至該22端口。信息流請(qǐng)求例如可以是標(biāo)識(shí)下列的通信消息作為該信息流主體的源、從其獲取資源的信息流的源保護(hù)環(huán)境、以及向其提供資源的信息流的目標(biāo)保護(hù)環(huán)境。在一個(gè)說(shuō)明性實(shí)施方式中,信息流請(qǐng)求指定目標(biāo)保護(hù)環(huán)境的保護(hù)環(huán)境名稱。根據(jù)該保護(hù)環(huán)境名稱,與目標(biāo)保護(hù)環(huán)境相關(guān)聯(lián)的標(biāo)簽集合可以被檢索。根據(jù)在信息流請(qǐng)求中提供的或者從經(jīng)由其接收該信息流請(qǐng)求的端口、套接字等中固有地獲取的連接信息,引用監(jiān)控機(jī)可以生成針對(duì)該請(qǐng)求的SA并且使用該SA來(lái)檢索與源保護(hù)環(huán)境相關(guān)聯(lián)的標(biāo)簽集合。例如,信息流請(qǐng)求可以具有如下包括消息類(lèi)型和消息體的格式消息類(lèi)型消息體表1-信息流請(qǐng)求消息才各式消息類(lèi)型是向引用監(jiān)控機(jī)500發(fā)送或來(lái)自于引用監(jiān)控機(jī)500的消息的類(lèi)型,并且消息體包含對(duì)應(yīng)于該消息類(lèi)型的相關(guān)信息。響應(yīng)于接收到信息流請(qǐng)求,如果引用監(jiān)控機(jī)500配置在操作的詳細(xì)模式中,則可以用響應(yīng)消息進(jìn)行響應(yīng),如果引用監(jiān)控機(jī)500配置為不在操作的詳細(xì)模式中,則用應(yīng)答消息進(jìn)行響應(yīng)。這些不同的消息類(lèi)型格式化如下消息類(lèi)型消息體響應(yīng)<結(jié)^>〈i4笛ii響應(yīng)X^^苗ii響應(yīng)〉表2-引用監(jiān)控機(jī)響應(yīng)消息格式消息類(lèi)型消息體應(yīng)答<應(yīng)答消息〉表3-引用監(jiān)控機(jī)應(yīng)答消息格式在一個(gè)說(shuō)明性實(shí)施方式中,發(fā)送到引用監(jiān)控機(jī)500的消息的消息類(lèi)型可以是infoFlowRequestStreamOpen(信息流請(qǐng)求流打開(kāi))、infoFlowRequestStreamSend(信息流請(qǐng)求流發(fā)送)、infoFlowRequestStreamClose(信息流請(qǐng)求流關(guān)閉)或infoFlowR叫uestResource(信息流請(qǐng)求資源)。將在下文中描述這些信息流請(qǐng)求消息和引用監(jiān)控機(jī)500響應(yīng)或應(yīng)答消息中的每個(gè)。infoFlowR叫uestStreamOpen消息類(lèi)型用于使引用監(jiān)控機(jī)對(duì)IFM520進(jìn)行調(diào)用,該IFM520請(qǐng)求信息流請(qǐng)求決定以許可或拒絕從源保護(hù)環(huán)境到目標(biāo)保護(hù)環(huán)境的信息流。如果該信息流被許可,則將源和目標(biāo)安全關(guān)聯(lián)對(duì)添加到打開(kāi)信息流式流表中的條目,該條目用于確定引用監(jiān)控機(jī)是否可以將該信息流轉(zhuǎn)發(fā)到目標(biāo)保護(hù)環(huán)境。如果infoFlowRequestStreamOpen消息導(dǎo)致目標(biāo)保護(hù)環(huán)境的標(biāo)簽集合被更新,則引用監(jiān)控機(jī)500將關(guān)閉目標(biāo)保護(hù)環(huán)境的任何現(xiàn)有流,并且將在應(yīng)答消息類(lèi)型內(nèi)將該流關(guān)閉通知給所有的源保護(hù)環(huán)境。infoFlowR叫uestStreamOpen消息類(lèi)型具有標(biāo)識(shí)該目標(biāo)保護(hù)環(huán)境的相關(guān)聯(lián)消息體,其中將利用該目標(biāo)保護(hù)環(huán)境建立信息流。在說(shuō)明性實(shí)施方式中,消息體包括目標(biāo)保護(hù)環(huán)境令牌。為了響應(yīng)infoFlowRequestStreamOpen消息,引用監(jiān)控機(jī)500可以返回如下響應(yīng)消息中的一個(gè)消息類(lèi)型消息體響應(yīng)<結(jié)果><主描述響應(yīng)><次描述響應(yīng)〉響應(yīng)SUCCESSFLOW—GRANTED響應(yīng)SUCCESSFLOW—GRANTEDTARGET—LS—UPDATED響應(yīng)SUCCESSFLOW—DENIED響應(yīng)FAILUREINVALID—PARM響應(yīng)FAILUREMSG—OUT—OF—SEQ響應(yīng)FAILUREINTERNAL—ERROR響應(yīng)FAILURECOMPONET一BUSY表4—對(duì)infoFlowRequestStreamOpen消息的響應(yīng)消息具有包括產(chǎn)生自IFM520的"FLOW—GRANTED"的主描述響應(yīng)的消息導(dǎo)致源和目標(biāo)保護(hù)環(huán)境的安全關(guān)聯(lián)對(duì)的新條目被添加到由引用監(jiān)控機(jī)500保持的打開(kāi)信息流式流表格中。具有包括產(chǎn)生自IFM520的"FLOWDENIED"的主描述響應(yīng)的消息導(dǎo)致源和目標(biāo)保護(hù)環(huán)境安全關(guān)聯(lián)對(duì)不被添加到打開(kāi)信息流式流表格中。類(lèi)似地,具有"INVALID一PA固,,、"MSG—OUT—OF—SEQ,,、"INTERNAL—ERROR"、和"COMPONENT—BUSY"的主描述響應(yīng)的消息也導(dǎo)致安全關(guān)聯(lián)對(duì)不被添加到打開(kāi)信息流式流表格中。當(dāng)IFM520確定必須更新目標(biāo)標(biāo)簽集合并且與該目標(biāo)標(biāo)簽集合相關(guān)聯(lián)的流關(guān)閉時(shí),具有"TARGET—LS—UPDATED"的次描述響應(yīng)的消息是由引用監(jiān)控機(jī)500返回的消息。當(dāng)引用監(jiān)控機(jī)500處于詳細(xì)模式中并且當(dāng)流被引用監(jiān)控機(jī)500強(qiáng)迫關(guān)閉時(shí)(例如,當(dāng)infoFlowR叫uestStreamOpen導(dǎo)致目標(biāo)標(biāo)簽集合被更新時(shí)),將以下應(yīng)答消息發(fā)送到保護(hù)環(huán)境消息類(lèi)型消息體應(yīng)答<應(yīng)答消息>應(yīng)答referenceMonitorstreamClosed<目標(biāo)名稱>表5-流關(guān)閉應(yīng)答消息infoFIowRequestStreamSend消息類(lèi)型由源保護(hù)環(huán)境使用,從而一旦引用監(jiān)控機(jī)500已經(jīng)許可了信息流,就將信息發(fā)送到目標(biāo)保護(hù)環(huán)境。當(dāng)引用監(jiān)控機(jī)500接收該請(qǐng)求時(shí),引用監(jiān)控機(jī)500驗(yàn)證打開(kāi)信息流式流表中存在針對(duì)源和目標(biāo)保護(hù)環(huán)境的安全關(guān)聯(lián)對(duì)的條目,從而指示之前已經(jīng)許可了該流信息流。然后,引用監(jiān)控機(jī)500在應(yīng)答消息內(nèi)將該信息轉(zhuǎn)發(fā)到目標(biāo)保護(hù)環(huán)境。以下是infoFIowRequestStreamSend消息的格式消息類(lèi)型消息體infoFlowR叫uestStreamSend<目標(biāo)名稱><信息〉表6—infoFIowRequestStreamSend消息格式以下是引用監(jiān)控才幾響應(yīng)于infoFIowRequestStreamSend消息可以生成的各種類(lèi)型的響應(yīng)消息消息類(lèi)型消息體響應(yīng)<結(jié)果〉<主描述響應(yīng)〉<次描述響應(yīng)〉響應(yīng)SUCCESSSUCCESS響應(yīng)FAILUREINVALID—PARM響應(yīng)FAILUREMSGOUT—OF—SEQ響應(yīng)FAILUREREQ—DENIED響應(yīng)FAILUREINTERNAL—ERROR響應(yīng)FAILURECOMPONENT—BUSY表7—對(duì)infoFlowRequestStreamSend消息的響應(yīng)消息如果響應(yīng)消息具有產(chǎn)生自IFM520的"SUCCESS"的主描述響應(yīng),那么目標(biāo)保護(hù)環(huán)境從源保護(hù)環(huán)境接收信息。其他主描述響應(yīng)將導(dǎo)致目標(biāo)保護(hù)環(huán)境不從源保護(hù)環(huán)境接收信息。以下是響應(yīng)于infoFlowRequestStreamSend消息可以生成的應(yīng)答消息格式消息類(lèi)型消息體應(yīng)答<應(yīng)答消息>應(yīng)答<源名稱〉<信息〉表8—對(duì)infoFlowRequestStreamSend消息的應(yīng)答消息例如,引用監(jiān)控機(jī)500可以將該應(yīng)答消息用于將信息從源保護(hù)環(huán)境發(fā)送到目標(biāo)保護(hù)環(huán)境。infoFlowRequestStreamClose消息類(lèi)型由源4呆護(hù)環(huán)境4吏用以關(guān)閉打開(kāi)的到目標(biāo)保護(hù)環(huán)境的流。當(dāng)引用監(jiān)控機(jī)500接收到該請(qǐng)求時(shí),引用監(jiān)控機(jī)500中止從源保護(hù)環(huán)境到目標(biāo)保護(hù)環(huán)境的所有流信息流。然后,引用監(jiān)控機(jī)500從打開(kāi)信息流式流表中移除源和目標(biāo)保護(hù)環(huán)境的安全關(guān)聯(lián)對(duì)條目。infoFlowR叫uestStreamClose具有以下格式消息類(lèi)型消息體infoFlowRequestStreamClose<目才示名一爾>表9_infoFlowRequestStreamClose消息才各式引用監(jiān)控才凡500可以對(duì)infoFlowRequestStreamClose消息估文出的響應(yīng)基本上與上述表7中示出的相同,例外之處在于"REQ—DENIED"響應(yīng)消息將不由引用監(jiān)控機(jī)500返回。infoFlowRequestResource消息類(lèi)型由源保護(hù)環(huán)境使用以請(qǐng)求授權(quán)并且將資源(例如,文件、聊天文本或不是連續(xù)數(shù)據(jù)流的一部分的數(shù)據(jù)的其他類(lèi)型的打包部分)傳遞到目標(biāo)保護(hù)環(huán)境。當(dāng)引用監(jiān)控機(jī)500接收到該消息類(lèi)型時(shí),引用監(jiān)控機(jī)500對(duì)IFM520進(jìn)行調(diào)用,該IFM520請(qǐng)求信息流請(qǐng)求決定以許可或拒絕資源乂人源保護(hù)環(huán)境流動(dòng)到目標(biāo)保護(hù)環(huán)境。如果信息流被許可,那么在應(yīng)答消息類(lèi)型內(nèi)將該資源傳輸?shù)侥繕?biāo)保護(hù)環(huán)境。如果請(qǐng)求導(dǎo)致目標(biāo)保護(hù)環(huán)境的標(biāo)簽集合必須更新,則引用監(jiān)控機(jī)500將關(guān)閉目標(biāo)保護(hù)環(huán)境的現(xiàn)有的流,并且如果引用監(jiān)控機(jī)500配置在詳細(xì)模式中,則其在應(yīng)答消息類(lèi)型內(nèi)將該流的關(guān)閉通知給源保護(hù)環(huán)境。如果信息流被拒絕,則不將資源傳輸?shù)侥繕?biāo)保護(hù)環(huán)境。infoFlowRequestResource消息具有以下格式消息類(lèi)型消息體infoFlowRequestResource<目才示名-爾〉<二斧源>表10—infoFlowRequestResource消息格式從引用監(jiān)控機(jī)500對(duì)infoFlowRequestResource消息的可能響應(yīng)基本上與上述表4中示出的相同。當(dāng)引用監(jiān)控機(jī)500許可資源信息流時(shí),將以下應(yīng)答消息發(fā)送到保護(hù)環(huán)境消息類(lèi)型消息體應(yīng)答<應(yīng)答消息〉應(yīng)答<源名稱><資源>表11—對(duì)infoFlowRequestResource消息的應(yīng)答消息返回到圖5,當(dāng)引用監(jiān)控機(jī)500通過(guò)CM510的偵聽(tīng)器512從保護(hù)環(huán)境(例如保護(hù)環(huán)境410)接收到信息流請(qǐng)求時(shí),CM510向IFM520發(fā)送針對(duì)授權(quán)決定的請(qǐng)求。該授纟又決定是確定是否允許信息流從源保護(hù)環(huán)境(例如保護(hù)環(huán)境410)到目標(biāo)保護(hù)環(huán)境(例如,保護(hù)環(huán)境430)的一個(gè)決定。可以基于對(duì)目標(biāo)保護(hù)環(huán)境標(biāo)簽集合與源保護(hù)環(huán)境的標(biāo)簽集合和資源的標(biāo)簽集合中的一項(xiàng)或兩項(xiàng)的比較來(lái)做出該授權(quán)決定。在說(shuō)明性實(shí)施方式中,響應(yīng)于接收到對(duì)信息流纟受權(quán)的請(qǐng)求,27IFM520可以在^f呆護(hù)環(huán)境^t據(jù)結(jié)構(gòu)540中^M亍對(duì)標(biāo)識(shí)符的查找,例如查找源保護(hù)環(huán)境的SA和目標(biāo)保護(hù)環(huán)境的保護(hù)環(huán)境名稱。作為該查找操作的結(jié)果,IFM520從保護(hù)環(huán)境數(shù)據(jù)結(jié)構(gòu)540檢索源和目標(biāo)保護(hù)環(huán)境的相關(guān)聯(lián)標(biāo)簽集合,并且向策略框架530提供這些標(biāo)簽集合。如果查找操作導(dǎo)致源和目標(biāo)保護(hù)環(huán)境中的一個(gè)或多個(gè)不具有相關(guān)聯(lián)的標(biāo)簽集合,則可以拒絕該請(qǐng)求??商鎿Q地,可以將默認(rèn)標(biāo)簽集合用于不具有相關(guān)聯(lián)標(biāo)簽集合的保護(hù)環(huán)境。除了將標(biāo)簽集合與源和目標(biāo)保護(hù)環(huán)境關(guān)聯(lián)起來(lái)之外,引用監(jiān)控機(jī)500還可以使用資源標(biāo)簽集合數(shù)據(jù)結(jié)構(gòu)550將標(biāo)簽集合與信息的單獨(dú)項(xiàng)即信息對(duì)象關(guān)聯(lián)起來(lái)。如將在下文中更詳細(xì)討論的,在一個(gè)說(shuō)明性實(shí)施方式中,如果針對(duì)信息單獨(dú)項(xiàng)的標(biāo)簽集合存在于引用監(jiān)控機(jī)500中,則可以將目標(biāo)保護(hù)環(huán)境的標(biāo)簽集合與信息單獨(dú)項(xiàng)的標(biāo)簽集合或根據(jù)信息單獨(dú)項(xiàng)的標(biāo)簽集合以及源保護(hù)環(huán)境的標(biāo)簽集合生成的有效標(biāo)簽集合進(jìn)行比較。如果針對(duì)信息項(xiàng)的標(biāo)簽集合不存在于引用監(jiān)控機(jī)500中,則源保護(hù)環(huán)境的標(biāo)簽集合可以使用并且可以與信息項(xiàng)關(guān)聯(lián)起來(lái)。標(biāo)簽集合基本上定義了安全策略的列表,策略框架530對(duì)該安全策略的列表進(jìn)行解譯并且將其發(fā)送到合適的策略模塊534-538用于處理。策略模塊534-538可以使用不同類(lèi)型的算法中的任意一個(gè)來(lái)執(zhí)行對(duì)標(biāo)簽集合的評(píng)估,從而生成決定。例如,策略模塊534-538可以使用長(zhǎng)城算法(ChineseWallalgorithm),BellLaPadula強(qiáng)制訪問(wèn)控制(MAC)算法,群組自主訪問(wèn)控制(DAC)算法等等。一旦策略模塊534-538處理了所有單獨(dú)的評(píng)估,則策略框架530合并單獨(dú)的決定以生成最終的決定。策略框架530的決定合并器532服務(wù)于合并單獨(dú)策略模塊534-538的決定并且使用決定合并器532中提供的合并器策略(即,合并器規(guī)則集合)來(lái)產(chǎn)生一個(gè)決定,即"^午可或拒絕4言息流。例如,決定合并器532可以通過(guò)使用三重邏輯(ternary)來(lái)合并每個(gè)單獨(dú)策略模塊534-538的決定,從而評(píng)估來(lái)自于可以產(chǎn)生以下結(jié)果的每個(gè)策略模塊534-538的結(jié)果GRANTED,DENIED或NO—DECISION。決定合并器532可以基于包含一個(gè)或多個(gè)合并器策略的合并器策略文件進(jìn)行操作。默認(rèn)地,合并器策略文件可以包含如下所述的默認(rèn)的合并器策略((adminRESULT=GRANTED)OR(blpRESULT=GRANTED))其中admin和blp是兩個(gè)策略模塊并且合并器策略指示的是如果這些策略模塊中的任一個(gè)返回"GRANTED"結(jié)果,那么許可信自,'六,力u。合并器策略解析器來(lái)解譯<combinatorrule>::=<expression〉<expression>::=(NOT<expression>)i(<expression〉)|<<expression>AND<expressi〇n>)|(<exp;ression>OR<expression〉)|(<policymodulename〉RESULT=<result>)<result>::=GRANTED|DENIEDIMO—DECISION在做出關(guān)于將允許還是拒絕特定信息流的決定時(shí),說(shuō)明性實(shí)施方式的機(jī)制僅根據(jù)源保護(hù)環(huán)境、目標(biāo)保護(hù)環(huán)境的標(biāo)簽集合和信息的單獨(dú)項(xiàng)的標(biāo)簽集合(即資源標(biāo)簽集合,如果存在的話)。這樣,從說(shuō)明性實(shí)施方式中的評(píng)估中消除了在事務(wù)中正在執(zhí)行的"動(dòng)作",該"動(dòng)作"在已知系統(tǒng)中在確定兩個(gè)實(shí)體是否必須通信時(shí)必須考慮。實(shí)際上,說(shuō)明性實(shí)施方式的最低限度(minimalist)的引用監(jiān)控機(jī)500僅基于對(duì)象(即信息流中包含的信息項(xiàng))的敏感度以及主體(即源和目標(biāo)保護(hù)環(huán)境)的授權(quán)級(jí)別來(lái)做出決定。這允許引用監(jiān)控機(jī)500被看作"黑盒子",從而簡(jiǎn)化實(shí)現(xiàn)并且顯著地減小引用監(jiān)控機(jī)500的大小,因?yàn)椴皇敲繉?duì)源和目標(biāo)實(shí)體之間的每個(gè)可能的動(dòng)作都必須在引用監(jiān)控機(jī)500建立模型。此外,引用監(jiān)控機(jī)500的操作提供的安全級(jí)別不取決于所保護(hù)實(shí)體的安全級(jí)別。當(dāng)說(shuō)明性實(shí)施方式用于保護(hù)其安全級(jí)別很低或未知并且不能對(duì)其進(jìn)行修改以提供更好的安全的現(xiàn)有實(shí)體時(shí),這是特別重要的。換言之,因?yàn)闃?biāo)簽集合和它們的關(guān)聯(lián)完全保持在引用監(jiān)地影響引用監(jiān)控機(jī)500提供的安全性。引用監(jiān)控機(jī)500的安全性僅取決于標(biāo)簽集合中定義的安全級(jí)別。標(biāo)簽集合如上所述,說(shuō)明性實(shí)施方式的機(jī)制使用標(biāo)簽集合來(lái)監(jiān)管由策略框架530執(zhí)行的安全評(píng)估,其中標(biāo)簽集合可以與隔離名稱和安全關(guān)聯(lián)相關(guān)聯(lián)地存儲(chǔ)在保護(hù)環(huán)境數(shù)據(jù)結(jié)構(gòu)540中。引用監(jiān)控機(jī)500可以創(chuàng)建和管理這些標(biāo)簽集合,并且這些標(biāo)簽集合用于標(biāo)識(shí)需要知道的源和目標(biāo)安全特征從而針對(duì)信息流做出授權(quán)決定。類(lèi)似地,如上所述并且如下討論,可以針對(duì)信息的單獨(dú)項(xiàng)提供標(biāo)簽集合并且將其存儲(chǔ)在資源標(biāo)簽集合數(shù)據(jù)結(jié)構(gòu)550中。圖6是示出了根據(jù)一個(gè)說(shuō)明性實(shí)施方式的標(biāo)簽集合的示例性定義的示例性圖示。如圖6所示,該標(biāo)簽集合包括與指示〈labelset〉版本的版本元素<version〉相關(guān)聯(lián)的標(biāo)簽集合名稱元素<labelset>。版本元素是分配的數(shù)據(jù)結(jié)構(gòu)的版本號(hào)。該版本元素包括主元素〈major〉和次元素〈minor〉。主元素是分配的數(shù)據(jù)結(jié)構(gòu)或子結(jié)構(gòu)的主版本號(hào)。主元素的范圍是l到(264-1)。次元素是分配的數(shù)據(jù)結(jié)構(gòu)或子結(jié)構(gòu)的次版本號(hào)。次元素的范圍是O到(264-1)??梢员徽J(rèn)為類(lèi)似于軟件版本號(hào),例如MicrosoftWordTM10.6764,其中10是"主"版本并且6764是"次"版本。主元素和次元素用于確定標(biāo)簽集合的不同版本是否被比較。例如,引用監(jiān)控機(jī)500第一次啟動(dòng)時(shí),可以創(chuàng)建具有主版本l和次版本0(1.0)的標(biāo)簽集合。admin策略模塊可以是首次啟動(dòng)期間唯一可用的策略模塊。雖然引用監(jiān)控機(jī)500的初始啟動(dòng)打開(kāi)并且運(yùn)行,但是引用監(jiān)控才幾500管理員可以建立引用監(jiān)控機(jī)500以在引用監(jiān)控才幾500的下次啟動(dòng)時(shí)添加BLP策略沖莫塊。在系統(tǒng)重啟之前,管理員還可以添加資源,該資源為標(biāo)簽集合僅分配admin策略值,因?yàn)槠涫钱?dāng)時(shí)僅有的運(yùn)行的策略模塊并且獲得分配的主和次版本1.0。在系統(tǒng)重啟之后,添加BLP策略模塊。然后,第一保護(hù)環(huán)境(隔離A)可以嘗試向第二保護(hù)環(huán)境(隔離B)發(fā)送資源。由于已經(jīng)更新了策略模塊,所以新的主元素和次元素是"1"和"1"或1.1。因此,任何新生成的標(biāo)簽集合將具有"1.1"版本元素。由于試圖發(fā)送的資源標(biāo)簽集合是1.0,所以引用監(jiān)控機(jī)500知道在評(píng)估授權(quán)請(qǐng)求之前需要更新標(biāo)簽集合。還提供計(jì)數(shù)元素〈count〉指示包括在標(biāo)簽列表元素〈labellist〉中標(biāo)簽的數(shù)量。計(jì)數(shù)元素的范圍是從1到65535。標(biāo)簽列表元素〈labellist〉包括標(biāo)簽元素〈label〉,該標(biāo)簽元素〈labd〉進(jìn)而包括一個(gè)策略類(lèi)型元素〈policy—type〉和一個(gè)值元素<value>。策略類(lèi)型元素<policy—type〉是標(biāo)識(shí)與標(biāo)簽元素相關(guān)聯(lián)的安全策略的枚舉值。下面表1示出了可以與說(shuō)明性實(shí)施方式機(jī)制一起使用的策略類(lèi)型的示例列表。名稱值描述Blp1基于信息敏感度的BellLa-Padula安全模型Groupdac2基于群組成員的自主訪問(wèn)控制Cw3長(zhǎng)城安全模塊表1-示例策略類(lèi)型值元素是標(biāo)識(shí)策略值的枚舉值并且是特定于實(shí)現(xiàn)的。一個(gè)簡(jiǎn)單的示例是,對(duì)于BLP而言,策略值可以是l、2、3和4以分別表示UNCLASSIFIED(未分類(lèi))、CONFIDENTIAL(秘密)、SECRET(機(jī)密)和TOPSECRET(絕密)。例如,對(duì)于Groupdac,諸如IBM之類(lèi)的組織可以具有值l、2、3、4和5以分別表示IBMER(IBM人員)、CONTRACTOR(合同人員)、NEWHIRE(新雇人員)、MGR、EXECUTIVE(執(zhí)行人員)。作為IBM正式雇員以及最近新雇傭的人員將因此具有包括值1和3的標(biāo)簽集合。因此,policyjype標(biāo)識(shí)將應(yīng)用哪個(gè)策略并且該策略值標(biāo)識(shí)該策略評(píng)估哪些特定的策略值。策略類(lèi)型和策略值的合并對(duì)保護(hù)環(huán)境或資源的安全屬性做出了完整表示。例如,如果保護(hù)環(huán)境用于表示用戶,那么用戶的標(biāo)簽集合可以具有用于運(yùn)行BLP和GROUPDAC策略模塊的引用監(jiān)控機(jī)500的以下值策略類(lèi)型1(BLP)策略值3(機(jī)密)策略類(lèi)型:1(BLP)策略值2(秘密)策略類(lèi)型1(BLP)策略值1(未分類(lèi))策略類(lèi)型2(GROUPDAC)策略值.1(IBM人員)策略類(lèi)型2(GROUPDAC)策略值:3(新雇人員)根據(jù)該標(biāo)簽集合,可以確定用戶是IBM的常規(guī)雇員、新雇員,并且可對(duì)未分類(lèi)的、秘密的和機(jī)密的信息進(jìn)行訪問(wèn)。說(shuō)明性實(shí)施方式生成的標(biāo)簽集合僅按照敏感度而不是按照用于轉(zhuǎn)換或傳輸信息的操作來(lái)描述信息。對(duì)關(guān)注的該分離使得能夠通過(guò)將安全策略評(píng)估的語(yǔ)義從應(yīng)用的數(shù)據(jù)操縱語(yǔ)義中解耦合來(lái)實(shí)現(xiàn)非常簡(jiǎn)單的策略決定機(jī)制。此外,標(biāo)簽集合提供用于定義針對(duì)源和目標(biāo)的單個(gè)安全屬性類(lèi)型的機(jī)制,即包括一組安全屬性標(biāo)簽的標(biāo)簽集合。這樣,說(shuō)明性實(shí)施方式的機(jī)制消除了主動(dòng)主體和^皮動(dòng)資源之間的區(qū)別。說(shuō)明性實(shí)施方式的標(biāo)簽集合將它們的注意限制到源和目標(biāo)之間的信息流,每個(gè)信息流具有相同的抽象安全屬性類(lèi)型。在使用這些標(biāo)簽集合執(zhí)行關(guān)于是否對(duì)信息流進(jìn)行授權(quán)或拒絕的決定中,策略框架可以使用從利用集合合并、交叉和補(bǔ)操作的源和目標(biāo)標(biāo)簽集合構(gòu)建而來(lái)的相對(duì)簡(jiǎn)單的集合論組。因此,如果策略框架決定源和目標(biāo)標(biāo)簽集合是"兼容的",則策略框架允許該信息流。這樣,單個(gè)簡(jiǎn)單規(guī)則可以用于控制任何源和任何目標(biāo)之間從源到目標(biāo)的所有信息流。該相同規(guī)則還可以應(yīng)用于從任何目標(biāo)(其現(xiàn)在作為源來(lái)操作)到任何源(其現(xiàn)在作為目標(biāo)來(lái)操作)的反向流。按照規(guī)則應(yīng)用簡(jiǎn)單集合論以確定是否允許信息流。作為解釋可能通過(guò)使用標(biāo)簽集合在策略框架中產(chǎn)生的功能性的例子,考慮在圖7A和7B中提供的兩個(gè)示例標(biāo)簽集合。圖7A是根據(jù)一個(gè)說(shuō)明性實(shí)施方式的可以與第一保護(hù)環(huán)境相關(guān)聯(lián)的第一標(biāo)簽集合的示例性圖示。圖7B是根據(jù)一個(gè)說(shuō)明性實(shí)施方式的可以與第二保護(hù)環(huán)境相關(guān)聯(lián)的第二標(biāo)簽集合的示例性圖示。在圖7A的標(biāo)簽集合700中,提供具有三個(gè)標(biāo)簽720、730和740的標(biāo)簽列表710,因此,計(jì)數(shù)元素702設(shè)置為值"3"。三個(gè)標(biāo)簽720、730和740具有為"3"、"2"和T的枚舉值722、732和742。標(biāo)簽722對(duì)應(yīng)于"機(jī)密"的敏感度級(jí)別,標(biāo)簽732對(duì)應(yīng)于"秘密,,的敏感度級(jí)別,并且標(biāo)簽742對(duì)應(yīng)于"未分類(lèi),,的敏感度級(jí)別。此外,每個(gè)標(biāo)簽具有值為"1"的相關(guān)聯(lián)安全策略類(lèi)型724、734和744,這在該特定例子中例如對(duì)應(yīng)于"多級(jí)別,,或"MLS,,安全策略。在圖7B的標(biāo)簽集合750中,提供具有單個(gè)標(biāo)簽770的標(biāo)簽列表760,因此計(jì)數(shù)元素752設(shè)置為值"1"。標(biāo)簽770具有"1"的枚舉值772。因此,標(biāo)簽770對(duì)應(yīng)于"未分類(lèi),,的敏感度級(jí)別。類(lèi)似于標(biāo)簽集合700中的安全策略類(lèi)型,標(biāo)簽770具有安全策略類(lèi)型"1"。如關(guān)于圖5所討論的,為了響應(yīng)來(lái)自于源保護(hù)環(huán)境的信息流請(qǐng)求,引用監(jiān)控機(jī)500的信息流居間器520從保護(hù)環(huán)境數(shù)據(jù)結(jié)構(gòu)540和資源標(biāo)簽集合數(shù)據(jù)結(jié)構(gòu)550中檢索源保護(hù)環(huán)境、目標(biāo)保護(hù)環(huán)境以及可能的作為信息流主體的信息項(xiàng)的標(biāo)簽集合。在該特定示例中,將假設(shè)標(biāo)簽集合700對(duì)應(yīng)于源保護(hù)環(huán)境并且標(biāo)簽集合750對(duì)應(yīng)于目標(biāo)保護(hù)環(huán)境,并且沒(méi)有使用信息項(xiàng)的標(biāo)簽集合。將檢索到的標(biāo)簽集合700和750提供給解析標(biāo)簽集合700和750并且確定在標(biāo)簽集合的各種標(biāo)簽中標(biāo)識(shí)哪些策略類(lèi)型的策略框架。然后,將標(biāo)簽集合700和750提供給對(duì)應(yīng)于標(biāo)簽集合700和750中標(biāo)識(shí)的策略類(lèi)型的策略模塊534-538。然后,策略模塊534-538生成關(guān)于許可還是拒絕信息流的決定。將這些決定返回給使用決定合并器532來(lái)合并這些決定的策略框架530。決定合并器532合并各種決定以生成關(guān)于將許可還是拒絕該信息流的單個(gè)決定。將最終決定提供給通信管理器510,然后該管理器510操作以允許信息流繼續(xù)到目標(biāo)保護(hù)環(huán)境或阻止該信息流。在本示例中,策略框架530解析標(biāo)簽集合700和750并且確定由標(biāo)簽集合700和750中對(duì)應(yīng)于"MLS"安全策略的標(biāo)簽來(lái)使用安全策略類(lèi)型"1"。結(jié)果,策略框架530可以將標(biāo)簽集合700和750發(fā)送到對(duì)應(yīng)于"MLS"安全策略的策略模塊534。在本示例中,MLS安全策略包含規(guī)定如果符合以下條件則信息可以從源保護(hù)環(huán)境流向目標(biāo)保護(hù)環(huán)境的規(guī)則if(mlsvaluesofsource}is—subset一of(mlsvaluesoftarget}將該規(guī)則應(yīng)用于標(biāo)簽集合700和750導(dǎo)致拒絕從源保護(hù)環(huán)境到目標(biāo)保護(hù)環(huán)境的信息流。這是因?yàn)闃?biāo)簽集合700中的值不是標(biāo)簽集合750中的值的子集,即集合{3,2,1}不是集合{1}的子集。換言之,因?yàn)樾畔⒉荒軓臐撛诘臋C(jī)密源保護(hù)環(huán)境流向未分類(lèi)的保護(hù)環(huán)境,所以信息流纟皮阻止。另一方面,可以在相反方向(即從目標(biāo)保護(hù)環(huán)境(其現(xiàn)在充當(dāng)源)到源保護(hù)環(huán)境(其現(xiàn)在充當(dāng)目標(biāo)))上的相同MLS策略和規(guī)則下對(duì)信息流進(jìn)行授權(quán)。這是因?yàn)榧蟵1}是集合{3,2,1}的子集。換言之,信息可以從未分類(lèi)的源保護(hù)環(huán)境流向潛在的機(jī)密目標(biāo)保護(hù)環(huán)境。一旦已經(jīng)使用說(shuō)明性實(shí)施方式的引用監(jiān)控機(jī)500對(duì)信息流進(jìn)行了授權(quán),則可以繼續(xù)從源保護(hù)環(huán)境到目標(biāo)保護(hù)環(huán)境的信息流,而無(wú)需等到信息流的流出現(xiàn)不連續(xù)時(shí)才再次執(zhí)行授權(quán)。即,說(shuō)明性實(shí)施方式的機(jī)制可以用于對(duì)從源保護(hù)環(huán)境到目標(biāo)保護(hù)環(huán)境的信息流的流進(jìn)行授權(quán)??商鎿Q地,例如,說(shuō)明性實(shí)施方式的機(jī)制還可以用于對(duì)從源保護(hù)環(huán)境到目標(biāo)保護(hù)環(huán)境的信息的單個(gè)傳輸進(jìn)行授權(quán),諸如在文件傳輸?shù)那闆r中。對(duì)于該機(jī)制用于對(duì)信息流的流進(jìn)行授權(quán)或信息的單個(gè)傳輸進(jìn)行授權(quán),說(shuō)明性實(shí)施方式的機(jī)制基本上具有相同的操作。如上所述,不僅可以基于源和目標(biāo)保護(hù)環(huán)境的標(biāo)簽集合,而且可以基于正在傳輸?shù)男畔⒌奶囟?xiàng)的標(biāo)簽集合來(lái)建立策略規(guī)則以用于執(zhí)行授權(quán)。然而,應(yīng)該指出,甚至當(dāng)在授權(quán)操作中考慮信息項(xiàng)的標(biāo)簽集合時(shí),決定也僅基于信息項(xiàng)以及源和目標(biāo)保護(hù)環(huán)境的敏感度。即,源和目標(biāo)保護(hù)環(huán)境的標(biāo)簽集合是源和目標(biāo)保護(hù)環(huán)境可以保持的信息的敏感度的量度。信息項(xiàng)的標(biāo)簽集合是信息項(xiàng)的敏感度的量度。因此,關(guān)于許可還是拒絕信息流的決定基于包含在信息流中實(shí)體的敏感度,而不基于作為信息流一部分執(zhí)行的特定動(dòng)作,例如讀取、寫(xiě)入等。在一個(gè)說(shuō)明性實(shí)施方式中,當(dāng)使用與源和目標(biāo)保護(hù)環(huán)境以及信息項(xiàng)相關(guān)聯(lián)的標(biāo)簽集合時(shí),信息流居間器520首先嘗試從資源標(biāo)簽集合數(shù)據(jù)結(jié)構(gòu)550中檢索與信息項(xiàng)相關(guān)聯(lián)的標(biāo)簽集合。如果沒(méi)有建立針對(duì)該信息項(xiàng)的標(biāo)簽集合,那么在由策略框架530進(jìn)行的評(píng)估中使用針對(duì)源保護(hù)環(huán)境的標(biāo)簽集合,即根據(jù)可應(yīng)用的策略規(guī)則將源保護(hù)環(huán)境的標(biāo)簽集合與目標(biāo)保護(hù)環(huán)境的標(biāo)簽集合進(jìn)行比較以確定許可還是拒絕該信息流。如果針對(duì)信息項(xiàng)而言標(biāo)簽集合出現(xiàn)在資源標(biāo)簽集合數(shù)據(jù)結(jié)構(gòu)550中,那么該標(biāo)簽集合與源保護(hù)環(huán)境標(biāo)簽集合一起使用,并且因此由策略框架530將其與目標(biāo)保護(hù)環(huán)境標(biāo)簽集合進(jìn)行比較以確定許可還是拒絕該信息流。在可替換實(shí)施方式中,當(dāng)確定是許可還是拒絕信息流的時(shí)候,可以通過(guò)策略框架530來(lái)確定針對(duì)源保護(hù)環(huán)境、目標(biāo)保護(hù)環(huán)境和信息項(xiàng)的所有標(biāo)簽集合。例如,可以建立對(duì)所有三個(gè)集合執(zhí)行集合論操作的安全策略規(guī)則。當(dāng)然,此類(lèi)實(shí)施方式更復(fù)雜并且將需要額外的處理周期來(lái)執(zhí)行策略評(píng)估。然而,對(duì)信息流的更復(fù)雜的控制可以通過(guò)在策略評(píng)估中包括所有三個(gè)標(biāo)簽集合而變得可能。而且,在一個(gè)說(shuō)明性實(shí)施方式中,如果為作為該信息流主體的信息項(xiàng)提供標(biāo)簽集合,則可以根據(jù)與安全策略規(guī)則模塊相關(guān)聯(lián)的合并規(guī)則將該標(biāo)簽集合與源保護(hù)環(huán)境的標(biāo)簽集合進(jìn)行合并以生成有效的標(biāo)簽集合。該有效的標(biāo)簽集合繼而可以與策略框架的策略模塊中的目標(biāo)標(biāo)簽集合進(jìn)行比較以生成授權(quán)決定。因此,如上所示,說(shuō)明性實(shí)施方式的標(biāo)簽集合提供一種簡(jiǎn)單的機(jī)制,用于定義與所述標(biāo)簽集合相關(guān)聯(lián)的保護(hù)環(huán)境的敏感度。對(duì)這些標(biāo)簽集合的使用允許簡(jiǎn)化應(yīng)用于這些標(biāo)簽集合的安全策略,因?yàn)榇祟?lèi)安全策略僅需要如標(biāo)簽集合定義的那樣關(guān)注源、目標(biāo)以及可能的信息項(xiàng)的敏感度。因?yàn)樵谑跈?quán)過(guò)程期間將正在執(zhí)行的特定動(dòng)作從考慮中移除,所以該安全策略不需要具有監(jiān)管每個(gè)可能動(dòng)作的規(guī)則,其中該動(dòng)作可以由源和目標(biāo)的每種組合來(lái)執(zhí)行。安全策略評(píng)估的語(yǔ)義與數(shù)據(jù)操縱的語(yǔ)義的該解耦合極大地降低了組成安全策略的安全策略和規(guī)則的復(fù)雜性。而且,為了基于這些敏感度做出決定,可以將簡(jiǎn)單集合論操作用于定義對(duì)標(biāo)簽集合執(zhí)行操作的安全策略的規(guī)則。因?yàn)榘踩呗允褂眉险搧?lái)實(shí)現(xiàn)它們的相關(guān)算法,所以規(guī)則的相同小集合可以應(yīng)用于任何信,包,流請(qǐng)求而不論特定的源保護(hù)環(huán)境和目標(biāo)保護(hù)環(huán)境如何。而且,由于涉及信息流的所有實(shí)體(即,源和目標(biāo)保護(hù)環(huán)境以及信息項(xiàng))使用相同的安全屬性類(lèi)型(即,標(biāo)簽集合),所以避免了與區(qū)分在安全策略中必須支持的屬性類(lèi)型相關(guān)聯(lián)的問(wèn)題。因此,說(shuō)明性實(shí)施方式的機(jī)制極大地簡(jiǎn)化了用于監(jiān)管信息流的安全框架的實(shí)現(xiàn)。由于該簡(jiǎn)化,引用監(jiān)控機(jī)可以處理信息流的速率提高了。此外,因?yàn)闃?biāo)簽集合和安全策略完全保持在引用監(jiān)控機(jī)內(nèi),所以篡改36標(biāo)簽集合或安全策略變得更加困難,并且與安全機(jī)制的元素被分布到非安全計(jì)算設(shè)備的系統(tǒng)相比,該系統(tǒng)的整體安全性得到提升。關(guān)聯(lián)標(biāo)簽集合與資源再次參考圖5,諸如在資源標(biāo)簽集合數(shù)據(jù)結(jié)構(gòu)550中可以以很多不同的方式將安全標(biāo)簽與資源關(guān)聯(lián)起來(lái)。為了建立高度可保證的系統(tǒng),管理這些標(biāo)簽集合的機(jī)制(例如引用監(jiān)控機(jī)500)應(yīng)該避免在處理信息流請(qǐng)求時(shí)偶然地破壞標(biāo)簽集合。此外,系統(tǒng)應(yīng)該消除對(duì)標(biāo)簽集合進(jìn)行惡意改變的可能性,即使該修改是由具有特權(quán)的系統(tǒng)管理人員做出的。一個(gè)可能性是將標(biāo)簽集合信息與其所應(yīng)用于的資源一起存儲(chǔ),其中該資源是例如文件、聊天文本的一部分或不是連續(xù)數(shù)據(jù)流的一部分的數(shù)據(jù)的其他打包部分的信息項(xiàng),并且實(shí)現(xiàn)特定的特權(quán)和授權(quán)機(jī)制以限制對(duì)標(biāo)簽集合信息的訪問(wèn)。該方法存在兩個(gè)問(wèn)題。第一,管理信息項(xiàng)以及關(guān)聯(lián)標(biāo)簽集合信息的系統(tǒng)中的整體故障可以導(dǎo)致對(duì)標(biāo)簽集合的未授權(quán)改變。即,如果用戶可以改變文件系統(tǒng)上的文件,則他們也可以改變隨文件存儲(chǔ)在文件系統(tǒng)上的標(biāo)簽列表。根據(jù)這里的說(shuō)明性實(shí)施方式,盡管用戶能夠改變?cè)撐募到y(tǒng)上的文件,但是用戶不能改變引用監(jiān)控機(jī)500內(nèi)的標(biāo)簽集合,因?yàn)樵摌?biāo)簽集合在引用監(jiān)控機(jī)500的外部不可訪問(wèn)。第二,不能對(duì)沒(méi)有設(shè)計(jì)為支持標(biāo)簽集合的應(yīng)用進(jìn)行保護(hù)。即,在此類(lèi)實(shí)施方式中,因?yàn)榘踩珯C(jī)制(即引用監(jiān)控機(jī)500)期望應(yīng)用或保護(hù)環(huán)境將標(biāo)簽集合信息傳遞到安全機(jī)制,所以如果應(yīng)用或保護(hù)環(huán)境不支持標(biāo)簽集合信息的使用,則它不能向安全機(jī)制提供必要的標(biāo)簽集合信息。結(jié)果,安全機(jī)制不能訪問(wèn)用于應(yīng)用或保護(hù)環(huán)境的標(biāo)簽集合信息,并且因此不能確保來(lái)自于應(yīng)用或保護(hù)環(huán)境的信息流的安全。說(shuō)明性實(shí)施方式的機(jī)制通過(guò)使得能夠在可信計(jì)算基礎(chǔ)(即,引用監(jiān)控機(jī)500)內(nèi)存儲(chǔ)信息標(biāo)簽集合來(lái)解決這些問(wèn)題,其中可信計(jì)算基礎(chǔ)與存儲(chǔ)信息本身的庫(kù)(即保護(hù)環(huán)境中的庫(kù))分離開(kāi)來(lái)。說(shuō)明性實(shí)施方式的機(jī)制將標(biāo)簽集合與信息關(guān)聯(lián)起來(lái),例如通過(guò)使用可以在資源標(biāo)簽集合數(shù)據(jù)結(jié)構(gòu)550中提供的哈希表,標(biāo)簽集合引用該信息。例如,基于資源(例如,信息項(xiàng))的內(nèi)容由引用監(jiān)控機(jī)500的信息流居間器520生成哈希鍵。哈希鍵用作標(biāo)簽集合中表(例如,資源標(biāo)簽集合數(shù)據(jù)結(jié)構(gòu)550)的索引,并且可以用于檢索與作為哈希鍵基礎(chǔ)的信息的特定項(xiàng)相關(guān)聯(lián)的標(biāo)簽集合。引用監(jiān)控機(jī)500第一次遇到資源時(shí),引用監(jiān)控機(jī)500的信息流居間器520計(jì)算資源的哈希鍵并且將合適的標(biāo)簽集合以對(duì)應(yīng)于計(jì)算的哈希鍵的索引存儲(chǔ)在資源標(biāo)簽集合數(shù)據(jù)結(jié)構(gòu)550中。如果資源已經(jīng)由管理員寄存在引用監(jiān)控機(jī)500中,那么計(jì)算資源的哈希鍵將導(dǎo)致正被標(biāo)識(shí)的標(biāo)簽集合數(shù)據(jù)結(jié)構(gòu)550的匹配條目。如果資源還沒(méi)有由管理員寄存在引用監(jiān)控機(jī)500中,那么資源將采用與源保護(hù)環(huán)境相同的標(biāo)簽集合。作為哈希表中索引的哈希鍵的產(chǎn)生在本領(lǐng)域中是公知的,并且因此在此不提供散列的細(xì)節(jié)。一旦已經(jīng)為資源分配了標(biāo)簽集合,那么對(duì)該資源的任何重命名(例如,對(duì)文件的重命名)不影響哈希鍵與標(biāo)簽集合之間的關(guān)聯(lián),因?yàn)樵摴fI是基于資源的內(nèi)容生成的,該資源的內(nèi)容在該情況中沒(méi)有改變。因此,僅改變與資源相關(guān)的名稱不改變資源的哈希鍵,因此不改變與資源相關(guān)的標(biāo)簽集合。然而,從引用監(jiān)控機(jī)500的角度看來(lái),資源內(nèi)容中的任何改變都創(chuàng)建了新的資源、新的哈希鍵和新的標(biāo)簽集合關(guān)聯(lián)。因此,甚至于資源內(nèi)容中的單個(gè)比特的改變都使得針對(duì)資源創(chuàng)建了新的哈希表?xiàng)l目。哈希表允許可信計(jì)算基礎(chǔ)(例如,引用監(jiān)控機(jī)500)有效地識(shí)別資源并且在允許資源本身存儲(chǔ)在可信計(jì)算基礎(chǔ)之外時(shí)將它們的標(biāo)簽集合存儲(chǔ)在未修改的以及可能不可信任的應(yīng)用中。為了避免與偶然或惡意地引入的哈希沖突相關(guān)聯(lián)的問(wèn)題,可以在資源標(biāo)簽集合數(shù)據(jù)結(jié)構(gòu)550中使用多維哈希表。可以在多維哈希表的每個(gè)維度中使用不同的哈希函數(shù)。因此,產(chǎn)生將需要"偽造"標(biāo)簽集合的表索引沖突要求對(duì)方(adversary)發(fā)現(xiàn)其哈希映像與同時(shí)位于用于實(shí)現(xiàn)多維表的所有哈希函數(shù)中的所選資源的哈希映射相沖突的字符串。這是非常不可能的,并且這提供了關(guān)于哈希鍵與資源標(biāo)簽集合之間的關(guān)聯(lián)的極大的安全性。將哈希表用于將資源和標(biāo)簽集合進(jìn)行關(guān)聯(lián)確保了與特定數(shù)據(jù)相關(guān)聯(lián)的標(biāo)簽集合可以總是由可信計(jì)算基礎(chǔ)(引用監(jiān)控機(jī)500)恢復(fù),并且應(yīng)用的信息存儲(chǔ)格式不必改變以支持標(biāo)簽集合,因?yàn)闃?biāo)簽集合不隨它們所應(yīng)用至的信息一起存儲(chǔ)。而且,無(wú)論數(shù)據(jù)以何種方式改變,可信計(jì)算基礎(chǔ)(引用監(jiān)控機(jī)500)可以識(shí)別該改變,因?yàn)樾薷牡臄?shù)據(jù)將具有不同的散列,并且其可以確定新標(biāo)簽集合需要應(yīng)用于修改的數(shù)據(jù)。而且,起源于應(yīng)用或可信計(jì)算基礎(chǔ)外部任何地方的非整體故障或惡意動(dòng)作可以修改數(shù)據(jù)與其標(biāo)簽集合之間或標(biāo)簽集合本身之間的關(guān)聯(lián),因?yàn)殛P(guān)聯(lián)和標(biāo)簽集合兩者都存儲(chǔ)在可信計(jì)算基礎(chǔ)內(nèi)并且從來(lái)不向可信計(jì)算基礎(chǔ)外傳遞。圖8和圖9提供示出了在處理信息流請(qǐng)求時(shí)使用哈希表來(lái)關(guān)聯(lián)標(biāo)簽集合與資源的示例。圖8示出了在對(duì)應(yīng)于資源的條目出現(xiàn)在哈希表中時(shí)的示例。圖9示出了在對(duì)應(yīng)于資源的條目沒(méi)有出現(xiàn)在哈希表中時(shí)的示例。如圖8所示,應(yīng)用—2向資源—系統(tǒng)請(qǐng)求資源_2。因此,資源—系統(tǒng)將位于源保護(hù)環(huán)境810中,應(yīng)用—2將在目標(biāo)保護(hù)環(huán)境820中,并且資源一2是信息流的信息項(xiàng)。將該請(qǐng)求提供給可信計(jì)算基礎(chǔ)830,例如,其在說(shuō)明性實(shí)施方式中是引用監(jiān)控機(jī)500。雖然說(shuō)明性實(shí)施方式將可信計(jì)算基礎(chǔ)830考慮為引用監(jiān)控機(jī)500,但是本發(fā)明不限于此,并且在不偏離本發(fā)明的精神和范圍的情況下可以使用任何可信計(jì)算基礎(chǔ)??尚庞?jì)算基礎(chǔ)諸如經(jīng)由圖4中的通信介質(zhì)440截取該請(qǐng)求。該請(qǐng)求可以是諸如如上所述的信息流請(qǐng)求,其標(biāo)識(shí)目標(biāo)保護(hù)環(huán)境820的名稱。源保護(hù)環(huán)境的安全關(guān)聯(lián)和目標(biāo)保護(hù)環(huán)境的名稱可以與保護(hù)環(huán)境數(shù)據(jù)結(jié)構(gòu)840—起用于檢索與保護(hù)環(huán)境810和820相關(guān)聯(lián)的標(biāo)簽集合。為了響應(yīng)該信息流請(qǐng)求,可信計(jì)算基礎(chǔ)830從源保護(hù)環(huán)境810檢索信息項(xiàng)(即資源一2)的內(nèi)容,并且對(duì)該信息項(xiàng)的全部?jī)?nèi)容執(zhí)行合適的哈希函數(shù)。該哈希函數(shù)可以是單個(gè)哈希函數(shù),或在多維哈希表實(shí)施方式的情況中,該哈希函數(shù)可以是不同類(lèi)型的多個(gè)哈希函數(shù)。將作為結(jié)果的哈希鍵用于資源標(biāo)簽集合數(shù)據(jù)結(jié)構(gòu)850中的索引。在所述示例中,針對(duì)生成的哈希鍵的條目出現(xiàn)在資源標(biāo)簽集合數(shù)據(jù)結(jié)構(gòu)850中。結(jié)果,可信計(jì)算基礎(chǔ)830從資源標(biāo)簽集合數(shù)據(jù)結(jié)構(gòu)850中檢索標(biāo)簽集合—2,并且將該標(biāo)簽集合—2與源保護(hù)環(huán)境的標(biāo)簽集合結(jié)合(標(biāo)簽集合一l)使用以創(chuàng)建有效的標(biāo)簽集合。將該有效的標(biāo)簽集合與目標(biāo)保護(hù)環(huán)境820的標(biāo)簽集合(即基于信息流請(qǐng)求中提供的目標(biāo)保護(hù)環(huán)境820的名稱從保護(hù)環(huán)境數(shù)據(jù)結(jié)構(gòu)840中獲取的標(biāo)簽集合_4)進(jìn)行比較。如上所述,根據(jù)使用圖5中的策略框架530以及其相關(guān)聯(lián)策略模塊534-538和決定合并器532而在所檢索的標(biāo)簽集合中標(biāo)識(shí)的策略執(zhí)行該比較?;诒容^結(jié)果,許可或拒絕該信息流。如果許可,則將允許被請(qǐng)求的資源(即資源—2)流向目標(biāo)保護(hù)環(huán)境820。如果拒絕,則可信計(jì)算基礎(chǔ)830阻止被請(qǐng)求的信息流(即資源一2)到目標(biāo)保護(hù)環(huán)境820并且可以向請(qǐng)求方(例如,目標(biāo)保護(hù)環(huán)境820中的應(yīng)用—2)返回錯(cuò)誤消息。如圖9所示,在另一個(gè)示例中,執(zhí)行類(lèi)似的操作,其中應(yīng)用一l向資源—系統(tǒng)請(qǐng)求資源一l。在該示例中,應(yīng)用—1是目標(biāo)保護(hù)環(huán)境860并且資源—系統(tǒng)是源保護(hù)環(huán)境。資源一系統(tǒng)向可信計(jì)算基礎(chǔ)830發(fā)送信息流請(qǐng)求來(lái)請(qǐng)求將資源_1發(fā)送到應(yīng)用一l。在該情況中,當(dāng)從源保護(hù)環(huán)境810中檢索到資源一l時(shí),資源—1的全部?jī)?nèi)容的散列在資源標(biāo)簽集合數(shù)據(jù)結(jié)構(gòu)850中不具有相關(guān)條目。在該情況中,可信計(jì)算基礎(chǔ)830以對(duì)應(yīng)于針對(duì)資源—1的內(nèi)容計(jì)算的哈希鍵的索引將與源保護(hù)環(huán)境相關(guān)聯(lián)的標(biāo)簽集合(例如,標(biāo)簽集合一l)存儲(chǔ)在資源標(biāo)簽集合數(shù)據(jù)結(jié)構(gòu)850的哈希表的條目中。然后,可信計(jì)算基礎(chǔ)830將針對(duì)源保護(hù)環(huán)境810的標(biāo)簽集合(即,標(biāo)簽集合—1)與針對(duì)目標(biāo)保護(hù)環(huán)比較以確定將許可還是將拒絕該信息流請(qǐng)求。應(yīng)該指出,在上述操作中,標(biāo)簽集合的任何有關(guān)信息或?qū)?biāo)簽集合與資源關(guān)聯(lián)起來(lái)的任何有關(guān)信息在任何時(shí)刻都不從可信計(jì)算基礎(chǔ)830傳遞到可信計(jì)算基礎(chǔ)830之外的任何應(yīng)用、系統(tǒng)或保護(hù)環(huán)境。因此,確保了標(biāo)簽集合以及標(biāo)簽集合與資源的關(guān)聯(lián)相對(duì)于無(wú)意或惡意修改的安全性。還應(yīng)該指出,雖然所述示例示出了與資源相關(guān)聯(lián)的標(biāo)簽集合(例如信息項(xiàng))或源保護(hù)環(huán)境與目標(biāo)保護(hù)環(huán)境標(biāo)簽集合之間的比較,但是本發(fā)明不限于此。而是,如上所述,在更復(fù)雜的實(shí)施方式中,可以建立策略和^L則來(lái)比4交所有的三個(gè)標(biāo)簽集合以確定許可或拒絕信息流請(qǐng)求。因此,說(shuō)明性實(shí)施方式提供用于以安全方式將標(biāo)簽集合與資源和保護(hù)環(huán)境關(guān)聯(lián)起來(lái)并且使用這些具有策略的標(biāo)簽集合對(duì)信息流進(jìn)行授權(quán)或拒絕的機(jī)制。為了將標(biāo)簽集合與資源和保護(hù)環(huán)境關(guān)聯(lián)起來(lái)提供安全索引機(jī)制和令牌關(guān)聯(lián)機(jī)制。標(biāo)簽集合本身提供一種機(jī)制,用于通過(guò)允許按照將集合論操作應(yīng)用于標(biāo)簽集合以確定許可還是拒絕信息流以定義策略和規(guī)則來(lái)簡(jiǎn)化策略決定。圖10-12是示出了用于將標(biāo)簽集合與保護(hù)環(huán)境和資源關(guān)聯(lián)起來(lái)并且使用此類(lèi)標(biāo)簽集合對(duì)信息流請(qǐng)求執(zhí)行授權(quán)操作的說(shuō)明性實(shí)施方式的示例性操作的流程圖。應(yīng)該理解,可以通過(guò)計(jì)算機(jī)程序指令實(shí)現(xiàn)流程圖中的每個(gè)框以及流程圖中框的組合??梢詫⑦@些計(jì)算機(jī)程序指令提供給處理器或其他可編程數(shù)據(jù)處理裝置以制造機(jī)器,以便在處理器或其他可編程數(shù)據(jù)處理裝置上執(zhí)行的該指令創(chuàng)建用于實(shí)現(xiàn)在流程圖框或多個(gè)框中指定的功能的裝置。這些計(jì)算機(jī)程序指令還可以存儲(chǔ)在計(jì)算機(jī)可讀存儲(chǔ)器或存儲(chǔ)介質(zhì)中,其可以引導(dǎo)處理器或其他可編程數(shù)據(jù)處理裝置以特定的方式執(zhí)行功能,從而存儲(chǔ)在計(jì)算機(jī)可讀存儲(chǔ)器或存儲(chǔ)介質(zhì)中的指令生產(chǎn)產(chǎn)品,該產(chǎn)品包括實(shí)現(xiàn)在流程圖框或多個(gè)框中指定的功能的指令裝置。因而,流程圖的框支持用于執(zhí)行指定功能的裝置的組合、用以執(zhí)行指定功能的步驟組合以及用于執(zhí)行指定功能的程序指令裝置。還應(yīng)該理解,流程圖的每個(gè)框以及流程圖中的框的組合可以通過(guò)執(zhí)行特定功能或步驟的基于專用硬件的計(jì)算機(jī)系統(tǒng)或?qū)S糜布陀?jì)算機(jī)指令來(lái)實(shí)現(xiàn)。圖IO是示出了用于許可應(yīng)用、設(shè)備、系統(tǒng)等的令牌從而建立保護(hù)環(huán)境的示例性操作的流程圖。雖然在圖IO中示出的操作可以用于認(rèn)證并且生成用于信息流請(qǐng)求的應(yīng)用、設(shè)備、系統(tǒng)和其他源的保護(hù)環(huán)境,為了該描述的簡(jiǎn)化,假設(shè)認(rèn)證的實(shí)體是應(yīng)用。如圖IO所示,由從應(yīng)用接收認(rèn)證宣告的認(rèn)證器啟動(dòng)操作(步驟IOIO)。使用任何已知的認(rèn)證方法(例如,密碼認(rèn)證、安全證書(shū)等)對(duì)該應(yīng)用進(jìn)行認(rèn)證(步驟1020)。認(rèn)證器確定應(yīng)用是否已被成功認(rèn)證(步驟1030)。如果沒(méi)有,則認(rèn)證器不向該應(yīng)用發(fā)布令牌并且向該應(yīng)用返回4普誤消息(步驟1040)。如果應(yīng)用已經(jīng)被成功認(rèn)證,則認(rèn)證器向該應(yīng)用發(fā)布令牌(步驟1050)。還將令牌提供給引用監(jiān)控機(jī)(步驟1060),該引用監(jiān)控機(jī)使用該令牌以生成用于保護(hù)環(huán)境數(shù)據(jù)結(jié)構(gòu)中的應(yīng)用的合適的標(biāo)簽集合(步驟1070)?;谶B接信息生成用于保護(hù)環(huán)境的安全關(guān)聯(lián)并且然后將該安全關(guān)聯(lián)與生成的標(biāo)簽集合關(guān)聯(lián)地進(jìn)行存儲(chǔ)(步驟1080)。然后,操作終止。圖11是示出了用于根據(jù)說(shuō)明性實(shí)施方式將資源與標(biāo)簽集合關(guān)聯(lián)起來(lái)的示例性操作的流程圖。如圖ll所示,由接收資源內(nèi)容以及針對(duì)其生成并且關(guān)聯(lián)標(biāo)簽集合的安全屬性的引用監(jiān)控機(jī)啟動(dòng)操作(步驟1110)。引用監(jiān)控機(jī)通過(guò)對(duì)資源的全部?jī)?nèi)容執(zhí)行至少一個(gè)哈希函數(shù)來(lái)生成哈希鍵(步驟1120)。引用監(jiān)控機(jī)根據(jù)提供的安全屬性生成標(biāo)簽集合并且將資源的標(biāo)簽集合與生成的哈希鍵關(guān)聯(lián)起來(lái)(步驟1130),并且以對(duì)應(yīng)于哈希鍵的索引將標(biāo)簽集合存儲(chǔ)在哈希表數(shù)據(jù)集結(jié)構(gòu)中(步驟1140)。然后操作終止。圖12是示出了用于根據(jù)一個(gè)說(shuō)明性實(shí)施方式的對(duì)信息流請(qǐng)求進(jìn)行認(rèn)證的示例性操作的流程圖。如圖12所示,操作開(kāi)始于引用監(jiān)控機(jī)接收來(lái)自于保護(hù)環(huán)境的信息流請(qǐng)求(步驟1210)。引用監(jiān)控機(jī)基于針對(duì)源保護(hù)環(huán)境生成的安全關(guān)聯(lián)以及通過(guò)信息流請(qǐng)求傳遞的目標(biāo)保護(hù)環(huán)境的名稱從保護(hù)環(huán)境數(shù)據(jù)結(jié)構(gòu)中檢索用于源和目標(biāo)保護(hù)環(huán)境的標(biāo)簽集合(步驟1220)。引用監(jiān)控機(jī)從其源保護(hù)環(huán)境中檢索作為信息流請(qǐng)求主體的資源(步驟1230)??蛇x地,如果正在執(zhí)行單個(gè)信息傳輸,則引用監(jiān)控機(jī)可以通過(guò)使用針對(duì)所檢索資源的全部?jī)?nèi)容進(jìn)行的至少一個(gè)哈希函數(shù)來(lái)生成哈希值(步驟1240)。然后,引用監(jiān)控機(jī)可以可選地使用哈希值作為索引在資源標(biāo)簽集合數(shù)據(jù)結(jié)構(gòu)中執(zhí)行查找操作(步驟1250)。然后,引用監(jiān)控機(jī)可選地可以確定是否以對(duì)應(yīng)于哈希值的索引標(biāo)識(shí)了資源標(biāo)簽集合數(shù)據(jù)結(jié)構(gòu)中的有效條目(步驟1260)。如果是,則引用監(jiān)控機(jī)從資源標(biāo)簽集合數(shù)據(jù)結(jié)構(gòu)的標(biāo)識(shí)的條目中檢索標(biāo)簽集合(步驟1270)。如果不是,則引用監(jiān)控機(jī)從保護(hù)環(huán)境數(shù)據(jù)結(jié)構(gòu)中檢索源保護(hù)環(huán)境的標(biāo)簽集合(步驟1280)。然后,引用監(jiān)控機(jī)以對(duì)應(yīng)于生成的哈希值的索引在資源標(biāo)簽集合數(shù)據(jù)結(jié)構(gòu)中生成條目并且將源保護(hù)環(huán)境的標(biāo)簽集合存儲(chǔ)在該條目中(步驟1290)。應(yīng)該理解,如果正在執(zhí)行信息的單個(gè)傳輸,即資源正在源保護(hù)環(huán)境和目標(biāo)保護(hù)環(huán)境之間傳輸,則執(zhí)行步驟1230-1290。在流信息流的情況中,在圖12示出的操作中可以略過(guò)步驟1230-1290。引用監(jiān)控機(jī)解析源和目標(biāo)保護(hù)環(huán)境的標(biāo)簽集合,并且可選地解析資源的標(biāo)簽集合以識(shí)別標(biāo)簽集合中引用的安全策略(步驟1300)。引用監(jiān)控機(jī)識(shí)別哪些策略模塊對(duì)應(yīng)于識(shí)別的安全策略(步驟1310)并且將該標(biāo)簽集合發(fā)送到識(shí)別的策略模塊(步驟1320)。策略模塊可選地可以根據(jù)資源和源標(biāo)簽集合生成有效的標(biāo)簽集合,并且然后將該安全策略應(yīng)用于該標(biāo)簽集合以生成關(guān)于是否許可該信息流請(qǐng)求的決定(步驟1330)。決定合并器將來(lái)自于各種策略模塊的各種決定合并為關(guān)于是否應(yīng)該許可該信息流請(qǐng)求的單個(gè)決定(步驟1340)。引用監(jiān)控機(jī)確定是否應(yīng)該許可該信息流請(qǐng)求(步驟1350)。如果許可,則引用監(jiān)控機(jī)傳遞該資源或允許信息流到達(dá)目標(biāo)保護(hù)環(huán)境(步驟1360)。如果不許可,則引用監(jiān)控機(jī)阻止該資源或信息流傳遞到目標(biāo)保護(hù)環(huán)境并且向該信息流請(qǐng)求的提交者返回錯(cuò)誤消息(步驟1370)。然后操作終止。處理信息流請(qǐng)求的示例以下是處理信息流請(qǐng)求的示例。提供這些示例以示出各種可能的信息流處理操作,這些操作可以使用上述說(shuō)明性實(shí)施方式的機(jī)制來(lái)執(zhí)行。如上所述,存在兩個(gè)由說(shuō)明性實(shí)施方式的機(jī)制處理的信息流類(lèi)型信息流和資源傳輸。第一,討論處理信息流請(qǐng)求的示例之后將對(duì)處理資源信息流請(qǐng)求的示例進(jìn)行討論當(dāng)嘗試打開(kāi)信息流式流時(shí),保護(hù)環(huán)境中的請(qǐng)求實(shí)體可以使用信,包、流請(qǐng)求流打開(kāi)方法來(lái)請(qǐng)求打開(kāi)請(qǐng)求實(shí)體和目標(biāo)實(shí)體之間的信,包、流式流。為了響應(yīng)調(diào)用信息流請(qǐng)求流打開(kāi)方法,可能遇到三種情況(1)許可信息流請(qǐng)求流打開(kāi)請(qǐng)求;(2)拒絕信息流請(qǐng)求流打開(kāi)請(qǐng)求;(3)利用目標(biāo)標(biāo)簽集合更新來(lái)許可信息流請(qǐng)求流打開(kāi)請(qǐng)求。下面描述這些情況中的每一個(gè)。在第一種情況中,描述了利用詳細(xì)模式中的引用監(jiān)控機(jī)許可流打開(kāi)的成功的infoFlowRequestStreamOpen方法調(diào)用。在該示例中,第一保護(hù)環(huán)境(此后稱作"隔離")(即,隔離l)向引用監(jiān)控機(jī)的通信管理器發(fā)送具有目標(biāo)隔離名稱(隔離2)的infoFlowRequestStreamOpen請(qǐng)求。引用監(jiān)控機(jī)的通信管理器首先調(diào)用cm_check_partition—table()以確保源隔離在隔離表中具有條目,例如,可以在保護(hù)環(huán)境數(shù)據(jù)結(jié)構(gòu)540中提供該隔離表。接下來(lái),引用監(jiān)控才幾的通信管理器(CM)調(diào)用cm_get—target—security—association()以獲得目標(biāo)隔離的安全關(guān)聯(lián)。通過(guò)調(diào)用cm—check—exisiting—open—stream()進(jìn)^f亍最纟冬的#企查以確^f呆;庇已經(jīng)不存在。在這些一全查完成之后,CM通過(guò)利用源安全關(guān)聯(lián)和目標(biāo)安全關(guān)聯(lián)作為參數(shù)來(lái)調(diào)用ifm—authorize—stream—open(),從而對(duì)信息流居間器(IFM)進(jìn)行調(diào)用以請(qǐng)求對(duì)打開(kāi)信息流式流進(jìn)行授權(quán),并且等待響應(yīng)。IFM首先對(duì)ifm—get—labelset()進(jìn)行兩個(gè)獨(dú)立的內(nèi)部調(diào)用以獲得源和目標(biāo)隔離兩者的相關(guān)聯(lián)標(biāo)簽集合。這些標(biāo)簽集合可以從IFM隔離標(biāo)簽集合表(其例如也可以作為保護(hù)環(huán)境數(shù)據(jù)結(jié)構(gòu)540的一部分來(lái)提供)中檢索。接下來(lái),IFM調(diào)用pf—auth—decision()以向策略框架請(qǐng)授權(quán)決定。策略框架返回SUCCESS(成功)的結(jié)果碼以及指示流被許可的FLOW—GRANTED(流被許可)的主碼。NULL(空)作為用于新目標(biāo)標(biāo)簽集合的值返回,作為pf—auth—decision()調(diào)用的結(jié)果。IFM向CM發(fā)送成功響應(yīng)以指示"i午可信息流。當(dāng)調(diào)用成功完成時(shí),指示流被GRANTED(許可)的主理由碼包括在響應(yīng)中。然后,CM通過(guò)調(diào)用cm—add—open—steam—entry()將源和目標(biāo)安全關(guān)聯(lián)對(duì)添加到與CM關(guān)聯(lián)地保持的打開(kāi)信息流式流表中,并且向隔離1發(fā)送指示信息流被許可的成功消息。在第二種情況中,描述了拒絕流打開(kāi)的成功的infoFlowR叫uestStreamOpen方法調(diào)用。在該示例中,隔離1向CM發(fā)送具有目標(biāo)隔離名稱(隔離3)的infoFlowR叫uestStreamOpen請(qǐng)求。然后,CM進(jìn)行與關(guān)于第一情況描述的順序相同的檢查。在這些檢查完成之后,如上所述,CM接下來(lái)對(duì)IFM進(jìn)行調(diào)用以請(qǐng)求對(duì)打開(kāi)信息流進(jìn)行授權(quán)。然而,在該情況中,pf_auth—decision()返回SUCCESS的結(jié)果碼以及指示拒絕該流的FLOW_DENIED的主碼。NULL作為用于新目標(biāo)標(biāo)簽集合的值(指示對(duì)目標(biāo)標(biāo)簽集合沒(méi)有進(jìn)行更新)返回,作為pf—auth—decision()調(diào)用的結(jié)果。當(dāng)調(diào)用成功完成時(shí),指示流被拒絕的主理由碼包括在響應(yīng)中。由于來(lái)自于IFM的拒絕響應(yīng),CM不將該流添加到打開(kāi)信息流式流表中。取代的是,CM向隔離1發(fā)送指示信息流被拒絕的成功消息。在第三種情況中,描述了導(dǎo)致目標(biāo)隔離的安全屬性的更新的許可流打開(kāi)請(qǐng)求的成功的infoFlowRequestStreamOpen方法調(diào)用。此夕卜,將引用監(jiān)控機(jī)配置為詳細(xì)模式。在該示例中,隔離4向CM發(fā)送帶有目標(biāo)隔離名稱(P鬲離2)的infoFlowRequestStreamOpen請(qǐng)求。然后,CM進(jìn)行與關(guān)于第一情況描述的順序相同的檢查。在這些;f全查完成之后,CM對(duì)IFM進(jìn)行調(diào)用以請(qǐng)求對(duì)打開(kāi)信息流進(jìn)行授權(quán)。策略框架返回SUCCESS的結(jié)果碼以及指示允許該流的FLOW—GRANT的主碼。新的目標(biāo)標(biāo)簽集合也從pf—auth—decision()調(diào)用中返回。然后,IFM對(duì)ifm_update—partition—table()進(jìn)行內(nèi)部調(diào)用,其通過(guò)從pf_auth—decision()返回的新標(biāo)簽集合來(lái)更新目標(biāo)隔離條目。在更新過(guò)IFM隔離表之后,IFM向CM發(fā)送指示信息流^皮許可并且目標(biāo)標(biāo)簽集合^皮更新的成功響應(yīng)?,F(xiàn)在,已經(jīng)更新了目標(biāo)隔離標(biāo)簽集合,CM必須通過(guò)調(diào)用cm—close—existing—open—streamsJarget()和cm—close—existing—open—streams—source()來(lái)關(guān)閉"f壬"f可引用隔離2的打開(kāi)流。由于從源隔離(隔離1)到目標(biāo)隔離(隔離2)存在打開(kāi)流,所以CM通過(guò)在只tcm—close—existing—open—streamsjarget()的調(diào)用內(nèi)發(fā)送應(yīng)答消息來(lái)向隔離l通知關(guān)閉的流。CM繼而通過(guò)調(diào)用cm—add—open—stream—entry()而將新流添力口到打開(kāi)信息流式流表中,并且然后向隔離4發(fā)送指示信息流被許可的成功消息。在已經(jīng)打開(kāi)信息流式流之后,在稍后的時(shí)間可能需要關(guān)閉該流。說(shuō)明性實(shí)施方式的機(jī)制提供用于關(guān)閉打開(kāi)流的過(guò)程。作為示例,隔離1可以向CM發(fā)送具有目標(biāo)隔離名稱(隔離2)的infoFlowRequestStreamClose請(qǐng)求。CM首先調(diào)用cm—check_partition—table()以確保源隔離在隔離表中具有條目。接下來(lái),CM調(diào)用cm—get—target—security—association()以獲4尋目才示隔離的安全關(guān)聯(lián)。在這些調(diào)用成功完成之后,CM調(diào)用cm—delete—existing—open—stream(),其將該流從打開(kāi)流式流表中移除。然后,CM向隔離1發(fā)送成功消息。如上所述,除了提供用于信息流式流的功能,說(shuō)明性實(shí)施方式的機(jī)制還可以處理資源信,包、流請(qǐng)求,其中執(zhí)行源保護(hù)環(huán)境或隔離與目標(biāo)保護(hù)環(huán)境之間的單個(gè)資源傳輸。如通過(guò)上面討論的信息流式流,存在處理由說(shuō)明性實(shí)施方式所處理的信息流資源請(qǐng)求的三種情況(1)許可信息流資源請(qǐng)求;(2)拒絕信息流資源請(qǐng)求;以及(3)通過(guò)目標(biāo)標(biāo)簽集合更新來(lái)許可信息流資源請(qǐng)求。下面描述這些情況中的每一個(gè)。在信息流資源請(qǐng)求處理的第一種情況中,描述了利用詳細(xì)模式中的引用監(jiān)控機(jī)向目標(biāo)隔離發(fā)送資源的成功的infoFlowRequestResource方法調(diào)用。在該示例中,隔離1向CM發(fā)送具有目標(biāo)隔離名稱(隔離2)的infoFlowR叫uestResource請(qǐng)求。CM首先調(diào)用cm—check—partitionJable()以確保源隔離具有隔離表中的條目。4妄下來(lái),CM調(diào)用cm_get—target—security—association()以獲得目標(biāo)隔離的安全關(guān)聯(lián)。在這些檢查成功完成之后,CM通過(guò)將資源、源和目標(biāo)安全關(guān)聯(lián)作為參數(shù)對(duì)ifm_authorize—resource—flow()進(jìn)行調(diào)用來(lái)調(diào)用IFM以請(qǐng)求對(duì)發(fā)送信息流資源進(jìn)行授權(quán),并且等待響應(yīng)。IFM對(duì)ifm—getjabelset()進(jìn)行兩個(gè)獨(dú)立的內(nèi)部調(diào)用以獲得源和目標(biāo)隔離兩者的相關(guān)聯(lián)標(biāo)簽集合。這些標(biāo)簽集合可以從IFM隔離標(biāo)簽集合表中檢索。然后,IFM內(nèi)部調(diào)用ifm—get—resource—labelset()以獲得資源的標(biāo)簽集合。從IFM資源標(biāo)簽集合表檢索標(biāo)簽集合,例如,其可以作為資源標(biāo)簽集合數(shù)據(jù)結(jié)構(gòu)550的一部分來(lái)提供。然后,IFM調(diào)用pf—auth—decision()以向策略框架請(qǐng)求授權(quán)決定。策略框架返回SUCCESS的結(jié)果碼以及指示允許該流的FLOW_GRANTED的主碼。NULL作為用于新目標(biāo)標(biāo)簽集合的值(其指示的是對(duì)目標(biāo)標(biāo)簽集合沒(méi)有進(jìn)行更新)返回,作為pf—auth—decision()調(diào)用的結(jié)果。當(dāng)調(diào)用成功完成時(shí),指示流被許可的主理由碼包括在響應(yīng)中。然后CM調(diào)用cm—flow—information(),其在應(yīng)答消息類(lèi)型內(nèi)將信息轉(zhuǎn)發(fā)至目標(biāo)隔離并且向隔離1發(fā)送指示信息流被許可的成功消息。在第二種情況中,描述了利用詳細(xì)模式下的引用監(jiān)控機(jī)拒絕資源流的成功的infoFlowRequestResource方法調(diào)用。在該示例中,隔離1向CM發(fā)送具有目標(biāo)隔離名稱(隔離3)的infoFlowRequestResource請(qǐng)求。然后,CM進(jìn)行與上面參考信息流資源請(qǐng)求處理的第一情況描述的順序相同的檢查。在這些檢查完成之后,CM以與上述類(lèi)似的方式調(diào)用IFM以請(qǐng)求對(duì)發(fā)送資源信息流進(jìn)行授權(quán)。然而,在該情況中pf—auth—decision()返回SUCCESS的結(jié)果碼以及指示拒絕該流的FLOW—DENIED的主碼。NULL作為指示沒(méi)有對(duì)目標(biāo)標(biāo)簽集合進(jìn)行更新的新目標(biāo)標(biāo)簽集合的值纟皮返回。當(dāng)調(diào)用成功完成時(shí),指示流被拒絕的主理由碼包括在響應(yīng)中。由于來(lái)自于IFM的拒絕響應(yīng),CM不將資源轉(zhuǎn)發(fā)到目標(biāo)隔離。代替的是,CM將指示信息流被拒絕的成功消息發(fā)送給隔離1。在第三種情況中,描述了成功的infoFlowRequestResource方法調(diào)用,其許可導(dǎo)致對(duì)目標(biāo)隔離的安全屬性的更新的資源信息流請(qǐng)求。此外,將引用監(jiān)控機(jī)配置為詳細(xì)模式。在該示例中,隔離4向CM發(fā)送帶有目標(biāo)隔離名稱(P鬲離2)的infoFlowRequestResource請(qǐng)求。然后,CM進(jìn)行與上面參考信息流資源請(qǐng)求處理的第一情況描述的順序相同的4全查。在這些檢查完成之后,CM以如上所述的類(lèi)似方式對(duì)IFM進(jìn)行調(diào)用從而請(qǐng)求對(duì)發(fā)送資源信息流的授權(quán)。然而,在該情況中,pf—auth—decision()方法返回SUCCESS的結(jié)果碼以及指示允許該流的FLOW—GRANTED的主碼。新的目標(biāo)標(biāo)簽集合也從pf_auth_decision()調(diào)用返回。然后,IFM內(nèi)部調(diào)用ifm—update—partition—table(),其通過(guò)從pf—auth一decision()返回的新標(biāo)簽集合來(lái)更新目標(biāo)隔離條目。在更新了IFM隔離表之后,IFM向CM發(fā)送指示信息流;波允許并且更新了目標(biāo)標(biāo)簽集合的成功響應(yīng)。當(dāng)調(diào)用成功完成時(shí),具有TARGETJLS—UPDATED的次理由碼的指示允許流的主理由碼包括在響應(yīng)中?,F(xiàn)在,已經(jīng)更新了目標(biāo)隔離標(biāo)簽集合,CM必須通過(guò)調(diào)用cm_close—existing_open_streams—target()和cm—close—existing—open—streams—source()來(lái)關(guān)閉i"壬4可引用隔離2的打(隔離1)到目標(biāo)隔離(隔離2)存在打開(kāi)流,所以CM通過(guò)在乂寸cm_close—existing—open—streams—target()的調(diào)用內(nèi)發(fā)送應(yīng)答消息來(lái)向隔離l通知關(guān)閉的流。CM繼而調(diào)用cm—flow—information(),其將信息在應(yīng)答消息類(lèi)型內(nèi)發(fā)送到目標(biāo)隔離并且向隔離4發(fā)送指示信息流一皮允許的成功消息。通過(guò)上述情況,調(diào)用策略框架以執(zhí)行授權(quán)決定并且返回FLOW—GRANTED或FLOW_DENIED的結(jié)果。為了響應(yīng)pf_auth—decision()調(diào)用,策略框架首先調(diào)用pf—check—registered—modules—table()來(lái)檢查源、資源和目標(biāo)標(biāo)簽集合中的每一個(gè)包括對(duì)利用引用監(jiān)控機(jī)實(shí)例注冊(cè)的策略模塊的引用。然后,策略才匡架通過(guò)調(diào)用pf—create—evaluation—results—table()來(lái)創(chuàng)建臨時(shí)評(píng)估結(jié)果表。該表臨時(shí)地存儲(chǔ)由給定的策略模塊生成的評(píng)估結(jié)果并且該表將由決定合并器來(lái)使用以產(chǎn)生最終的認(rèn)證決定。然后,策略框架通過(guò)調(diào)用pf—extract—pmjabelset()來(lái)提取用于源、資源和目標(biāo)標(biāo)簽集合的獨(dú)立策略模塊標(biāo)簽集合。將提取的標(biāo)簽集合發(fā)送到合適的策略模塊以用于評(píng)估。然后,策略框架調(diào)用pm—evaluate()從而策略模塊將基于策略來(lái)評(píng)估用于源、資源和目標(biāo)標(biāo)簽集合的所提取的策略模塊標(biāo)簽集合,并且產(chǎn)生GRANTED(許可)或DENIED(拒纟色)的評(píng)估結(jié)果,以及如果可應(yīng)用的話還產(chǎn)生新的目標(biāo)標(biāo)簽集合。pm首先通過(guò)基于策略模塊的策略合并源和資源標(biāo)簽集合來(lái)調(diào)用pm—get—effective_labelset()以獲得有效的標(biāo)簽集合。接下來(lái),策略模塊調(diào)用pm—evaluate()來(lái)請(qǐng)求對(duì)有效標(biāo)簽集合以及目標(biāo)標(biāo)簽集合的評(píng)估的授權(quán)。PM基于該標(biāo)簽集合的評(píng)估返回SUCCESS的結(jié)果碼以及FLWO—GRANTED或FLOW_DENIED的主碼。如果可應(yīng)用的話,還可以返回新的目標(biāo)標(biāo)簽集合。然后,策略才莫塊i周用pf—update—temp—evaluation—results_table()以存儲(chǔ)由用于源、資源和目標(biāo)標(biāo)簽集合以及相應(yīng)新目標(biāo)標(biāo)簽集合(如果可用)的策略模塊生成的獨(dú)立評(píng)估結(jié)果。如果策略模塊沒(méi)有生成49新的目標(biāo)標(biāo)簽集合,則它將針對(duì)新的目標(biāo)標(biāo)簽集合返回NULL。一旦所有合適的策略模塊已經(jīng)產(chǎn)生了評(píng)估結(jié)果并且已經(jīng)存儲(chǔ)了相應(yīng)結(jié)果,則策略框架調(diào)用pf—generate—final_auth—decision()。在該調(diào)用中,決定合并器針對(duì)合并器策略來(lái)評(píng)估存儲(chǔ)在評(píng)估結(jié)果表中的結(jié)果并且生成GRANTED(許可)或DENIED(拒絕)的最終授權(quán)決定。在該決定合并器向策略框架返回GRANTED(許可)或DENIED(拒絕)的最終授權(quán)決定以及新的目標(biāo)標(biāo)簽集合(如果可用)之后,策略框架將最終結(jié)果發(fā)送給IFM。說(shuō)明性實(shí)施方式的示例性方面與已知方法的比較-說(shuō)明性實(shí)施方式的^i制在4艮多方面不同于已知方式和方法,將在下文中討論其中的某些方面。主要地,使用說(shuō)明性實(shí)施方式的機(jī)制獲得的益處如下。第一,標(biāo)簽集合完全保持在引用監(jiān)控機(jī)內(nèi),并且因此其不易受到無(wú)意的或惡意的改變的損害。第二,標(biāo)簽集合提供了用于從安全考慮消除數(shù)據(jù)操作語(yǔ)義的機(jī)制,并且允許基于包含在信息流中的保護(hù)環(huán)境和資源的敏感度執(zhí)行安全性確定。結(jié)果,源和目標(biāo)保護(hù)環(huán)境以及資源都可以利用公共安全屬性(即,標(biāo)簽集合)來(lái)進(jìn)行安全策略評(píng)估,從而降低創(chuàng)建和使用安全策略和規(guī)則的復(fù)雜性。第三,標(biāo)簽集合還允許使用集合論操作以執(zhí)行安全策略評(píng)估,從而再次簡(jiǎn)化了安全策略和規(guī)則。第四,可以使用多維哈希數(shù)據(jù)結(jié)果將標(biāo)簽集合與資源關(guān)聯(lián)起來(lái),從而降低對(duì)標(biāo)簽集合的無(wú)意或惡意改變的可能性并且降低哈希沖突的可能性。此外,已知系統(tǒng)要求居間設(shè)備執(zhí)行一個(gè)信息源到另一個(gè)信息源之間的傳輸。例如,在從一個(gè)文件服務(wù)器向另一個(gè)文件服務(wù)器的文件傳輸中,通常要求居間設(shè)備向第一文件服務(wù)器請(qǐng)求文件并且然后向第二文件服務(wù)器傳輸接收的文件。根據(jù)說(shuō)明性實(shí)施方式,因?yàn)樵摍C(jī)制在信息流上操作并且不關(guān)注信息流中執(zhí)行的特定動(dòng)作,所以可以在第一和第二文件服務(wù)器之間直接進(jìn)行文件傳輸,假設(shè)它們由引用監(jiān)控機(jī)實(shí)現(xiàn)的安全策略授權(quán)。重要的是,雖然已經(jīng)在能夠完全實(shí)現(xiàn)數(shù)據(jù)處理系統(tǒng)功能的上下文中描述了本發(fā)明,但是本領(lǐng)域的技術(shù)人員應(yīng)該理解能夠?qū)⒈景l(fā)明的過(guò)程以指令的計(jì)算機(jī)可讀介質(zhì)的形式以及各種形式進(jìn)行分發(fā),并且不論實(shí)際用于執(zhí)行該分發(fā)的信號(hào)承載介質(zhì)的特定類(lèi)型如何,本發(fā)明都可等同地使用。計(jì)算機(jī)可讀介質(zhì)的示例包括可記錄類(lèi)型介質(zhì)、諸如軟盤(pán)、硬盤(pán)驅(qū)動(dòng)器、RAM、CD-ROM、DVD-ROM以及傳輸類(lèi)型介質(zhì),諸如數(shù)字和模擬通信鏈路、使用傳輸形式的有線和無(wú)線通信鏈路,諸如射頻和光波傳輸。計(jì)算機(jī)可讀介質(zhì)可以采用編碼格式的形式,該編碼形式的格式可解碼用于特定數(shù)據(jù)處理系統(tǒng)中的實(shí)際使用。已經(jīng)出于說(shuō)明和描述的目的呈現(xiàn)了本發(fā)明的描述,并且本發(fā)明的描述不旨在窮舉或限制本發(fā)明于公開(kāi)的形式。很多修改和變形將對(duì)本領(lǐng)域的技術(shù)人員變得明顯。為了對(duì)本發(fā)明、特定應(yīng)用的原理進(jìn)行最好的解釋,并且為了使本領(lǐng)域的其他技術(shù)人員能夠針對(duì)適于構(gòu)且描述了實(shí)施方式。權(quán)利要求1.一種用于對(duì)數(shù)據(jù)處理系統(tǒng)的設(shè)備之間的信息流進(jìn)行授權(quán)的方法,所述方法包括基于信息對(duì)象生成哈希鍵;基于所述哈希鍵在哈希表中執(zhí)行查找操作;確定在所述哈希表中對(duì)應(yīng)于所述哈希鍵的索引處的條目是否標(biāo)識(shí)所述信息對(duì)象的標(biāo)簽集合;如果在所述哈希表中的所述條目中沒(méi)有標(biāo)識(shí)所述信息對(duì)象的標(biāo)簽集合,則將標(biāo)識(shí)所述信息對(duì)象敏感度的標(biāo)簽集合存儲(chǔ)在對(duì)應(yīng)于所述信息對(duì)象的所述哈希鍵的所述索引處的所述條目中;以及基于在所述哈希表中對(duì)與所述信息對(duì)象相關(guān)聯(lián)的所述標(biāo)簽集合的查找,對(duì)涉及所述信息對(duì)象的信息流進(jìn)行授權(quán)。2.根據(jù)權(quán)利要求1所述的方法,其中所述哈希表是多維哈希表,并且所述哈希鍵包括由多個(gè)哈希函數(shù)生成的多個(gè)哈希鍵,至少一個(gè)哈希函數(shù)和哈希鍵用于所述多維哈希表的每個(gè)維度。3.根據(jù)權(quán)利要求1所述的方法,其中對(duì)所述信息對(duì)象的內(nèi)容使用至少一個(gè)哈希函數(shù)來(lái)生成所述哈希鍵。4.根據(jù)權(quán)利要求1所述的方法,其中所述信息對(duì)象是計(jì)算機(jī)文件。5.根據(jù)權(quán)利要求1所述的方法,其中所述哈希表存儲(chǔ)在與所述信息對(duì)象的源分離的可信計(jì)算基礎(chǔ)中。6.根據(jù)權(quán)利要求1所述的方法,其中基于在所述哈希表中對(duì)與所述信息對(duì)象相關(guān)聯(lián)的所述標(biāo)簽集合的查找以對(duì)包含所述信息對(duì)象的信息流進(jìn)行授權(quán)包括接收對(duì)從第一設(shè)備到第二設(shè)備的涉及所述信息對(duì)象的信息流進(jìn)行:t更權(quán)的請(qǐng)求;從所述信息對(duì)象的源中檢索所述信息對(duì)象的內(nèi)容;基于所述信息對(duì)象的內(nèi)容生成哈希鍵;基于所述哈希鍵在所述哈希表中執(zhí)行查找操作以識(shí)別與所述信息對(duì)象相關(guān)聯(lián)的標(biāo)簽集合;以及基于與所述信息對(duì)象相關(guān)聯(lián)的所述標(biāo)簽集合執(zhí)行一個(gè)或多個(gè)授權(quán)操作。7.根據(jù)權(quán)利要求6所述的方法,其中執(zhí)行一個(gè)或多個(gè)授權(quán)操作包括將與所述信息對(duì)象相關(guān)聯(lián)的所述標(biāo)簽集合與具有與所述信息流的目標(biāo)相關(guān)聯(lián)的標(biāo)簽集合的所述信息對(duì)象的源的標(biāo)簽集合進(jìn)行比較。8.根據(jù)權(quán)利要求7所述的方法,其中將與所述信息對(duì)象相關(guān)聯(lián)的所述標(biāo)簽集合與具有與所述信息流的目標(biāo)相關(guān)聯(lián)的標(biāo)簽集合的所述源的所述標(biāo)簽集合進(jìn)行比較包括對(duì)所述標(biāo)簽集合執(zhí)行至少一個(gè)集合論操作。9.根據(jù)權(quán)利要求8所述的方法,其中所述至少一個(gè)集合論操作由在與所述信息對(duì)象相關(guān)聯(lián)的所述標(biāo)簽集合和與所述信息流的所述目標(biāo)相關(guān)聯(lián)的所述標(biāo)簽集合中標(biāo)識(shí)的至少一個(gè)安全策略模塊來(lái)執(zhí)行,并且其中合并由所述至少一個(gè)安全策略模塊中的每個(gè)生成的結(jié)果以生成指示所述信息流是否被授權(quán)的單個(gè)結(jié)果。10.根據(jù)權(quán)利要求1所述的方法,其中將標(biāo)識(shí)所述信息對(duì)象敏感度的標(biāo)簽集合存儲(chǔ)在對(duì)應(yīng)于所述信息對(duì)象的所述哈希鍵的所述索引處的所述條目中包括將與所述信息對(duì)象的源相關(guān)聯(lián)的標(biāo)簽集合存儲(chǔ)在與所述信息對(duì)象相關(guān)聯(lián)的所述條目中。11.根據(jù)權(quán)利要求1所述的方法,其中所述標(biāo)簽集合包括提供所述標(biāo)簽集合的一個(gè)或多個(gè)標(biāo)簽的標(biāo)簽列表元素。12.根據(jù)權(quán)利要求11所述的方法,其中所述標(biāo)簽列表中的所述標(biāo)簽包括策略類(lèi)型和值,其中所述策略類(lèi)型標(biāo)識(shí)將要應(yīng)用于所述標(biāo)簽集合的安全策略,并且所述值標(biāo)識(shí)將要在評(píng)估由所述策略類(lèi)型標(biāo)識(shí)的所述安全策略中使用的值。13.根據(jù)權(quán)利要求11所述的方法,其中每個(gè)標(biāo)簽集合進(jìn)一步包括指示所述標(biāo)簽集合的版本的版本元素以及指示所述標(biāo)簽集合中包括的標(biāo)簽數(shù)量的計(jì)數(shù)元素。14.一種計(jì)算機(jī)程序產(chǎn)品,包括計(jì)算機(jī)可用介質(zhì),所述介質(zhì)包括計(jì)算機(jī)可讀程序,其中當(dāng)所述計(jì)算機(jī)可讀程序在計(jì)算設(shè)備上執(zhí)行任意一項(xiàng)所述的步驟。15.—種用于對(duì)數(shù)據(jù)處理系統(tǒng)的設(shè)備之間的信息流進(jìn)行授權(quán)的裝置,所述裝置包括信息流居間器;以及標(biāo)簽集合存儲(chǔ)設(shè)備,其耦合至所述信息流居間器,其中所述信息流居間器可操作地執(zhí)行權(quán)利要求1到13中任意一項(xiàng)所述的步驟。16.—種用于對(duì)設(shè)備之間的信息流進(jìn)行授權(quán)的數(shù)據(jù)處理系統(tǒng),包括第一計(jì)算設(shè)備,其位于所述數(shù)據(jù)處理系統(tǒng)的第一隔離中,其中所述第一計(jì)算設(shè)備具有用于將信息傳遞到目標(biāo)元素的源元素;第二計(jì)算設(shè)備,其位于所述數(shù)據(jù)處理系統(tǒng)的第二隔離中,其中所述第二計(jì)算設(shè)備具有所述目標(biāo)元素;以及引用監(jiān)控機(jī),其耦合至所述第一計(jì)算設(shè)備和所述第二計(jì)算設(shè)備,其監(jiān)視所述第一隔離和所述第二隔離之間的信息流,其中所述引用監(jiān)控機(jī)基于信息對(duì)象生成哈希鍵;基于所述哈希鍵在哈希表中執(zhí)行查找操作;確定所述哈希表中對(duì)應(yīng)于所述哈希鍵的索引處的條目是否標(biāo)識(shí)所述信息對(duì)象的標(biāo)簽集合;如果在所述哈希表中的所述條目中沒(méi)有標(biāo)識(shí)所述信息對(duì)象的標(biāo)簽集合,則將標(biāo)識(shí)所述信息對(duì)象敏感度的標(biāo)簽集合存儲(chǔ)在對(duì)應(yīng)于所述信息對(duì)象的所述哈希鍵的所述索引處的所述條目中;以及基于在所述哈希表中對(duì)與所述信息對(duì)象相關(guān)聯(lián)的所述標(biāo)簽集合的查找,對(duì)涉及所述信息對(duì)象的信息流進(jìn)行授權(quán)。17.根據(jù)權(quán)利要求16所述的數(shù)據(jù)處理系統(tǒng),其中所述引用監(jiān)控機(jī)包括通信管理器,其具有偵聽(tīng)器,所述偵聽(tīng)器用于偵聽(tīng)來(lái)自于所述數(shù)據(jù)處理系統(tǒng)的元素的信息流請(qǐng)求;信息流居間器,其耦合至所述通信管理器,所述信息流居間器用于確定將對(duì)信息流進(jìn)行授權(quán)還是拒絕;安全數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)設(shè)備,其耦合至所述信息流居間器,所述安全數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)設(shè)備用于存儲(chǔ)用于所述數(shù)據(jù)處理系統(tǒng)的元素的安全信息;以及安全策略框架,其耦合至所述信息流居間器,所述安全策略框架用于將一個(gè)或多個(gè)安全策略應(yīng)用于所述數(shù)據(jù)處理系統(tǒng)的元素的安全信息。18.—種計(jì)算設(shè)備,包括處理器;以及存儲(chǔ)器,其中所述存儲(chǔ)器包含指令,當(dāng)所述處理器執(zhí)行所述指令時(shí),所述指令使得所述處理器執(zhí)行權(quán)利要求1到13中的任意一項(xiàng)所述的步驟。全文摘要在用于基于與信息對(duì)象相關(guān)聯(lián)的安全信息對(duì)信息流進(jìn)行授權(quán)的方法中,基于信息對(duì)象生成哈希鍵并且基于哈希鍵在哈希表中執(zhí)行查找操作。確定哈希表中對(duì)應(yīng)于哈希鍵的索引處的條目是否標(biāo)識(shí)信息對(duì)象的標(biāo)簽集合。如果信息對(duì)象的標(biāo)簽集合沒(méi)有在哈希表中的條目中標(biāo)識(shí)出來(lái),則將標(biāo)識(shí)信息對(duì)象敏感度的標(biāo)簽集合存儲(chǔ)在對(duì)應(yīng)于信息對(duì)象的哈希鍵的索引處的條目中?;趯?duì)哈希表中與信息對(duì)象相關(guān)聯(lián)的標(biāo)簽集合的查找,對(duì)涉及信息對(duì)象的信息流進(jìn)行授權(quán)。哈希表可以是多維哈希表。文檔編號(hào)G06F21/24GK101331496SQ200680047129公開(kāi)日2008年12月24日申請(qǐng)日期2006年11月24日優(yōu)先權(quán)日2005年12月15日發(fā)明者D·J·阿羅約,D·詹姆塞克,G·R·布萊克利三世,K·D·西蒙,R·B·威廉斯,S·穆皮迪申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司