CN105678176A - 一种虚拟环境下的强制访问控制方法 - Google Patents

Abstract

本发明公开了一种虚拟环境下的强制访问控制方法，包括以下步骤：在Xen虚拟机系统中，以可信虚拟机为根，其它虚拟机作为它的子节点建立层次关系；可信虚拟机采用敏感标签对单个的虚拟机进行标识；通过可信虚拟机建立访问矩阵文件；当某一个虚拟机启动的时候，将它的敏感标签、ID号作为参数传到虚拟机监控器内部；当作为主体的虚拟机访问作为客体的虚拟机时，需要按照虚拟环境下BLP改进模型的安全策略来判断；如果上一步骤中允许进行访问，那么在作为主体的虚拟机的当前访问集合B中将这次的访问记录加入进去，当访问结束时，从当前访问集合B中将这次记录删除；本发明可以有效地增强虚拟机之间通信的保密性、完整性和可用性。

Description

一种虚拟环境下的强制访问控制方法

技术领域

本发明属于计算机信息安全技术领域，具体涉及一种虚拟环境下的强制访问控制方法。

背景技术

随着云计算的快速发展，虚拟化技术也受到了越来越多的关注。虚拟化技术实现了在一台物理机上同时运行多台虚拟机，在每台虚拟机中分别运行不同的应用程序和操作系统，并且虚拟机之间的隔离性良好。这些功能是通过硬件之上称为虚拟机监控器(VirtualMachineMonitor,VMM)的软件层来实现的。

虚拟机技术具有很多优点：1.虚拟机之间具有高度的隔离性，单个的虚拟机出现问题不会影响其它的虚拟机运行；2.便于计算机软件包括操作系统的测试和开发；3.同时在一台计算机硬件上运行不同版本的软件，降低了计算机系统的成本。

目前应用十分广泛的系统级虚拟机包括Xen，VMWare，VirtualBox等。Xen是由剑桥大学开发的开源虚拟机系统，性能与原生操作系统很接近，以其开源性和性能好受到业界广泛关注。Xen虚拟机系统主要由VMM、一个特权机Dom0以及若干虚拟机DomU组成，虚拟机称为域，Dom0是第一个启动的虚拟机，比其他的DomU拥有更高的权限。

由于不同的虚拟机可能同时运行在一台虚拟机监控器上，因此虚拟机之间进行通信是十分必要的。两台虚拟机之间是否能够相互进行访问，以及进行什么类型的访问，这需要有一个强制访问控制机制来管理。在虚拟机进行通信时，一台虚拟机是主体还是客体取决于通信过程中信息的流向，访问者为主体，被访问的对象为客体。

为了实现虚拟机之间的安全通信，有的研究人员以及进行了研究。IBM华生研究中心的研究人员ReinerSailer、TrentJaeger等提出了一个在Xen中的安全框架sHype/Xen，可以在虚拟机间执行强制访问控制。sHype/Xen支持两种安全策略：简单类型加强(SimpleTypeEnforcement，STE)策略和中国墙(ChineseWall,CW)策略。sHype框架将类型执行标签(TE-Types)和中国墙标签(CW-Types)赋予虚拟机，并定义了不同的类型执行标签集合和中国墙标签冲突集合。具有同一个类型执行标签集合中相同标签的虚拟机可以共享资源，而位于同一个中国墙标签冲突集合中的虚拟机不能运行在同一台虚拟机监控器之上。

但该方法存在如下缺点：1.不允许拥有不同安全级别标签的虚拟机进行通信，不能满足多级安全通信的要求；2.只可以控制虚拟机之间是否能够通信，对进行何种类型的通信不关注。

有的学者对BLP模型进行了改进，提出了Virt-BLP模型。BLP模型规定主体对客体访问时需要满足以下两个规则：仅当主体的保密级不低于客体的保密级并且主体的类别集合包含客体的类别集合时，才允许主体读客体；仅当主体的保密级不高于客体保密级并且客体的类别集合包含主体的类别集合时，才允许主体写客体。Virt-BLP模型虽然适应了虚拟机系统的需求，但对信息的完整性没有进行有效的保护

发明内容

为了克服现有技术的缺点和不足，本发明提供了一种虚拟环境下的强制访问控制方法，该方法可以有效地增强虚拟机之间通信的保密性、完整性和可用性。

本发明解决其技术问题所采用的技术方案是：一种虚拟环境下的强制访问控制方法，包括以下步骤：

a)、在Xen虚拟机系统中设置一台权限较高的虚拟机作为可信虚拟机来管理其它的虚拟机，以该可信虚拟机为根，以其它虚拟机作为子节点建立层次关系；

b)、可信虚拟机采用敏感标签对单个的虚拟机进行标识，所述的敏感标签包括安全密级、完整级以及安全范畴；

c)、通过可信虚拟机建立访问矩阵文件，该矩阵文件中的数据在虚拟机监控器启动的时候被加载到其内部，访问矩阵文件中有每个虚拟机对其它的虚拟机访问类型的集合，所述的访问类型包括读写、只读以及只写；

d)、当某一台虚拟机启动的时候将它的敏感标签和ID号作为参数传到虚拟机监控器内部，在虚拟机监控器内部将这些信息记录下来，并且为这个虚拟机建立一个当前访问集合B，该集合用来记录这个虚拟机作为主体时所有当前以某一种类型对作为客体的虚拟机的访问信息；

e)、当作为主体的虚拟机访问作为客体的虚拟机时，需要按照虚拟环境下BLP改进模型的安全策略来判断，如果符合安全策略，则允许访问，如果不符合，则拒绝访问；

f)、如果步骤e)中允许作为主体的虚拟机对作为客体的虚拟机进行访问，那么在作为主体的虚拟机的当前访问集合B中将这次的访问记录加入进去，当作为主体的虚拟机对作为客体的虚拟机的这次访问结束时，从当前访问集合B中将这次记录删除。

所述的一种虚拟环境下的强制访问控制方法，其步骤b)中的安全密级由2位二进制数来表示，其集合定义为C＝{C₁,C₂,C₃,C₄}，其中，C₁＞C₂＞C₃＞C₄。

所述的一种虚拟环境下的强制访问控制方法，其步骤b)中的完整级由2位二进制数来表示，其集合定义为C′＝{C₁,C₂,C₃,C₄}，其中，C₁＞C₂＞C₃＞C₄。

所述的一种虚拟环境下的强制访问控制方法，其步骤b)中的安全范畴由8位二进制表示，定义K＝{K₁,K₂,…,K₈}的任何一个子集为一个保密范畴，表示保密范畴的8位二进制位分别表示是否有特定的访问权限K₁,K₂...K₈。

所述的一种虚拟环境下的强制访问控制方法，其步骤c)中的矩阵文件以一维有序数组的形式存在，数组元素用五元组表示：SID用来标识主体，表示主体的ID号，用10位2进制数表示；OID用来标识客体，表示客体的ID号，用10为2进制数表示；W表示读写，用1位二进制数表示，W设置为1时，表示主体对客体有读写的属性，设置为0时表示没有；R表示只读，用1位2进制数表示；A表示只写，用1位2进制数表示；同一个虚拟机SID与OID是相等的。

所述的一种虚拟环境下的强制访问控制方法，其步骤d)中的当前访问集合B中的元素为(OID,X),OID表示作为客体的虚拟机的ID号，X∈{r,a,w}。

所述的一种虚拟环境下的强制访问控制方法，其步骤e)中虚拟环境下BLP改进模型的安全策略包括如下模型元素：

在虚拟化环境中，根据通信过程中数据的流向来判断虚拟机是当主体还是当客体，主体集合S和客体集合O代表相同的虚拟机集合,如果系统中有n个虚拟机，主体S_i(1≤i≤n)和客体O_i代表同一个虚拟机；

在虚拟化环境中，主体对客体访问方式集合A:＝{r,a,w}，其中，r表示只读不写，a表示只写不读，w表示读写；

虚拟化环境下，特权虚拟机作为可信虚拟机，当它作为主体时属于可信主体集合S_T，其它的虚拟机作为主体时属于不可信主体集合且当可信虚拟机作为客体时，可信虚拟机是客体层次关系的根节点，记为O_R,其它的虚拟机客体都是根节点的子节点，处于相同的层次，假设客体集合为{O_R,O₁,O₂,…O_n-1},对任何的i(1≤i≤n)，O_i都在H(O_R)中，且对任何i(1≤i≤n)和j(1≤j≤n),O_i都不在H(O_j)中；

保密性标识集合用L_C表示，L_C＝{(c,k)|c∈C,k∈K_c}，其中C表示保密性级别分类集合，K_C表示保密性范畴集合；如果l₁＝(c₁,k₁)∈L_c,l₂＝(c₂,k₂)∈L_c,l₁≥l₂当且仅当c₁≥c₂,

完整性标识集合用L_I表示，L_I＝{(i,k)|i∈I,k∈K_I}，其中I表示完整性级别分类集合，K_I表示完整性范畴集合；如果l₁＝(c₁,k₁)∈L_I,l₂＝(c₂,k₂)∈L_I,l₁≥l₂当且仅当c₁≥c₂,

系统状态集合为V,系统状态v表示V的一个元素；

v∈V＝{(B,M,F,I,H)|b∈B∧m∈M∧f∈F∧i∈I∧h∈H}

当前存取集用B表示，对于任何b＝(s×o×a)∈B,s∈S,o∈O,a∈A用来表示主体s使用a的方式对客体o进行访问；

存取控制矩阵用M表示,m_ij∈M表示主体s_i对o_j的访问权限的集合；

机密性等级函数用F表示,f由两个部分组成，f＝{f_s,f_o}，f_s(s)∈L_c表示主体机密级，f_o表示客体的客体机密级函数；同一台虚拟机不管作为主体还是客体，机密级是相等的，也就是1≤i≤n；

完整性等级函数用I表示,I由两个部分组成，I＝{I_s,I_o}，I_s(s)∈L_I表示主体完整级，I_o表示客体的客体完整级函数；同一台虚拟机不管作为主体还是客体，完整级是相等的，也就是1≤i≤n；主体的完整级是动态的，可信主体可以对其它主体的完整级进行动态调整。

所述的一种虚拟环境下的强制访问控制方法，其步骤e)中虚拟环境下BLP改进模型的安全策略包括简单安全规则：一个系统状态v＝{b,m,f,i,h}满足简单安全，当且仅当

所述的一种虚拟环境下的强制访问控制方法，其步骤e)中虚拟环境下BLP改进模型的安全策略包括读安全规则：对于非可信主体且一个系统状态v＝{b,m,f,i,h}满足读安全，当且仅当 $(s\×o\×r)\∈b\⇒f_s\left(s\right)\≥f_o\left(o\right).$

所述的一种虚拟环境下的强制访问控制方法，其步骤e)中虚拟环境下BLP改进模型的安全策略包括添加安全规则：对于非可信主体且一个系统状态v＝{b,m,f,i,h}满足添加安全，当且仅当。

所述的一种虚拟环境下的强制访问控制方法，其步骤e)中虚拟环境下BLP改进模型的安全策略包括写安全规则：对于非可信主体且一个系统状态v＝{b,m,f,i,h}满足写安全，当且仅当 $(s\×o\×w)\∈b\⇒f_s\left(s\right)\≥f_o\left(o\right).$

本发明的有益效果是：本发明采用保密级和完整级来标识虚拟机，有效地增强虚拟机之间通信的保密性、完整性和可用性，克服了现有技术只关注保密性，而完整性缺失的弱点；本发明对主体虚拟机访问客体虚拟机的类型进行了限制，一个主体可能有对客体的某种访问类型，但可能没有全部的访问类型。现有技术要么允许虚拟机之间进行任意类型的通信，要么禁止虚拟机之间进行任意类型的通信。

附图说明

图1为本发明虚拟机主体访问虚拟机客体的流程图。

具体实施方式

下面结合附图对本发明作进一步详细说明。

参照图1所示，本发明公开了一种虚拟环境下的强制访问控制方法，包括以下步骤：

a)、在Xen虚拟机系统中，有且只有一台虚拟机(特权机)权限高于其它虚拟机，该虚拟机可以作为可信虚拟机，用来管理其它的虚拟机，以这台可信虚拟机为根，其它虚拟机作为它的子节点建立层次关系。

b)、可信虚拟机采用敏感标签对单个的虚拟机(VM)进行标识，敏感标签包括保密级、完整级以及安全范畴。

在本实施例中，安全密级由2位二进制数来表示，安全密级集合定义为C＝{C₁,C₂,C₃,C₄}，其中，C₁＞C₂＞C₃＞C₄，因此可以定义C₁的二进制表示为11，C₂的二进制表示为10，C₃的二进制表示为01，C₄的二进制表示为00。

完整级也由2位二进制数来表示完整级集合定义为C′＝{C₁,C₂,C₃,C₄}，其中，C₁＞C₂＞C₃＞C₄。可以定义C₁的二进制表示为11，C₂的二进制表示为10，C₃的二进制表示为01，C₄的二进制表示为00。

安全范畴由8位二进制表示，定义K＝{K₁,K₂,…,K₈}的任何一个子集为一个保密范畴,表示保密范畴的8位二进制位分别表示是否有特定的访问权限K₁，K₂...K₈。如果第i位(1≤i≤8)为0表示没有特定的访问权限K_i,如果为1表示有特定的权限K_i。

c)、通过可信虚拟机建立访问矩阵文件，该矩阵文件中的数据在虚拟机监控器(VMM)启动的时候被加载到虚拟机监控器内部，访问矩阵文件中有每个虚拟机对其它的虚拟机访问类型的集合，访问的类型有三种：读写(w)、只读(r)以及只写(a)。

在本实施例中，访问矩阵文件以一维有序数组的形式存在，数组元素用五元组(SID，OID，W，R，A)表示：SID用来标识主体，表示主体的ID号，用10位2进制数表示；OID用来标识客体，表示客体的ID号，用10为2进制数表示；W表示读写，用1位二进制数表示，W设置为1时，表示主体(用SID标识)对客体(用OID表示)有读写的属性，设置为0时表示没有；R表示只读，用1位2进制数表示；A表示只写，用1位2进制数表示；同一个虚拟机SID与OID是相等的。

d)、当某一台虚拟机(VM)启动的时候将它的敏感标签和ID号作为参数传到虚拟机监控器(VMM)内部，在虚拟机监控器(VMM)内部将这些信息记录下来，并且为这个虚拟机(VM)建立一个当前访问集合B，该集合用来记录这个虚拟机(VM)作为主体时所有当前以某一种类型对作为客体的虚拟机(VM)的访问信息。

本实施例中，当前访问集合B中的元素为(OID,X),OID表示作为客体的虚拟机的ID号，X∈{r,a,w}。

e)、当作为主体的虚拟机(VM)访问作为客体的虚拟机(VM)时，需要按照虚拟环境下BLP改进模型的安全策略来判断，如果符合安全策略，则允许访问，如果不符合，则拒绝访问。

f)、如果步骤e)中允许作为主体的虚拟机(VM)对作为客体的虚拟机(VM)进行访问，那么在作为主体的虚拟机(VM)的当前访问集合B中将这次的访问记录加入进去，当作为主体的虚拟机(VM)对作为客体的虚拟机(VM)的这次访问结束时，从当前访问集合B中将这次记录删除。

上述步骤e)中虚拟环境下BLP改进模型的形式化描述如下所述：

(1)模型元素

在虚拟化环境中，根据通信过程中数据的流向来判断虚拟机是当主体还是当客体，因此每个虚拟机既可能当主体也可能当客体，主体集合S和客体集合O代表相同的虚拟机集合,如果系统中有n个虚拟机，主体S_i(1≤i≤n)和客体O_i代表同一个虚拟机；

在虚拟化环境中，主体对客体访问方式集合A:＝{r,a,w}，其中，r表示只读不写，a表示只写不读，w表示读写；

虚拟化环境下，特权虚拟机作为可信虚拟机，当它作为主体时属于可信主体集合S_T，其它的虚拟机作为主体时属于不可信主体集合且当可信虚拟机作为客体时，可信虚拟机是客体层次关系的根节点，记为O_R，其它的虚拟机客体都是根节点的子节点，处于相同的层次，假设客体集合为{O_R,O₁,O₂,…O_n-1},对任何的i(1≤i≤n)，O_i都在H(O_R)中，且对任何i(1≤i≤n)和j(1≤j≤n),O_i都不在H(O_j)中；

保密性标识集合用L_C表示，L_C＝{(c,k)|c∈C,k∈K_c}，其中C表示保密性级别分类集合，K_C表示保密性范畴集合；如果l₁＝(c₁,k₁)∈L_c,l₂＝(c₂,k₂)∈L_c,l₁≥l₂当且仅当c₁≥c₂,

完整性标识集合用L_I表示，L_I＝{(i,k)|i∈I,k∈K_I}，其中I表示完整性级别分类集合，K_I表示完整性范畴集合；如果l₁＝(c₁,k₁)∈L_I,l₂＝(c₂,k₂)∈L_I,l₁≥l₂当且仅当c₁≥c₂,

系统状态集合为V,系统状态v表示V的一个元素；

v∈V＝{(B,M,F,I,H)|b∈B∧m∈M∧f∈F∧i∈I∧h∈H}

当前存取集用B表示，对于任何b＝(s×o×a)∈B,s∈S,o∈O,a∈A用来表示主体s使用a的方式对客体o进行访问；

存取控制矩阵用M表示,m_ij∈M表示主体s_i对o_j的访问权限的集合；

机密性等级函数用F表示,f由两个部分组成，f＝{f_s,f_o}，f_s(s)∈L_c表示主体机密级，f_o表示客体的客体机密级函数；同一台虚拟机不管作为主体还是客体，机密级是相等的，也就是1≤i≤n；

完整性等级函数用I表示,I由两个部分组成，I＝{I_s,I_o}，I_s(s)∈L_I表示主体完整级，I_o表示客体的客体完整级函数；同一台虚拟机不管作为主体还是客体，完整级是相等的，也就是1≤i≤n；主体的完整级是动态的，可信主体可以对其它主体的完整级进行动态调整。

(2)安全规则

规则1

简单安全规则：一个系统状态v＝{b,m,f,i,h}满足简单安全，当且仅当

$(s_i\×o_j\×x)\∈b\⇒x\∈M_{ij}.$

规则2

读安全规则：对于非可信主体且一个系统状态v＝{b,m,f,i,h}满足读安全，当且仅当

$(s\×o\×r)\∈b\⇒f_s\left(s\right)\≥f_o\left(o\right).$

规则3

添加安全规则：

对于非可信主体且一个系统状态v＝{b,m,f,i,h}满足添加安全，当且仅当

规则4

写安全规则：

对于非可信主体且一个系统状态v＝{b,m,f,i,h}满足写安全，当且仅当

$(s\×o\×w)\∈b\⇒f_s\left(s\right)=f_o\left(o\right).$

本实施例中，作为主体的虚拟机访问作为客体的虚拟机的过程如图1所示。当主体请求访问客体时，首先检查访问控制矩阵中是否存在主体对客体的访问类型，接着检查主体和客体的安全范畴，最后检查主体和客体的保密级、完整级。只有三个检查都通过，才允许访问；如果有一个没有通过，则拒绝访问。

f)、如果步骤e)中允许作为主体的虚拟机对作为客体的虚拟机进行访问，那么在作为主体的虚拟机的当前访问集合B中将这次的访问记录加入进去，当作为主体的虚拟机对作为客体的虚拟机的这次访问结束时，从当前访问集合B中将这次记录删除。

上述实施例仅例示性说明本发明的原理及其功效，以及部分运用的实施例，对于本领域的普通技术人员来说，在不脱离本发明创造构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。

Claims (11)

1.一种虚拟环境下的强制访问控制方法，其特征在于：包括以下步骤

a)、在Xen虚拟机系统中设置一台权限较高的虚拟机作为可信虚拟机来管理其它的虚拟机，以该可信虚拟机为根，以其它虚拟机作为子节点建立层次关系；

b)、可信虚拟机采用敏感标签对单个的虚拟机进行标识，所述的敏感标签包括安全密级、完整级以及安全范畴；

c)、通过可信虚拟机建立访问矩阵文件，该矩阵文件中的数据在虚拟机监控器启动的时候被加载到其内部，访问矩阵文件中有每个虚拟机对其它的虚拟机访问类型的集合，所述的访问类型包括读写、只读以及只写；

d)、当某一台虚拟机启动的时候将它的敏感标签和ID号作为参数传到虚拟机监控器内部，在虚拟机监控器内部将这些信息记录下来，并且为这个虚拟机建立一个当前访问集合B，该集合用来记录这个虚拟机作为主体时所有当前以某一种类型对作为客体的虚拟机的访问信息；

e)、当作为主体的虚拟机访问作为客体的虚拟机时，需要按照虚拟环境下BLP改进模型的安全策略来判断，如果符合安全策略，则允许访问，如果不符合，则拒绝访问；

f)、如果步骤e)中允许作为主体的虚拟机对作为客体的虚拟机进行访问，那么在作为主体的虚拟机的当前访问集合B中将这次的访问记录加入进去，当作为主体的虚拟机对作为客体的虚拟机的这次访问结束时，从当前访问集合B中将这次记录删除。

2.根据权利要求1所述的一种虚拟环境下的强制访问控制方法，其特征在于，所述步骤b)中的安全密级由2位二进制数来表示，其集合定义为

C＝{C₁,C₂,C₃,C₄}，其中，C₁＞C₂＞C₃＞C₄。

3.根据权利要求1所述的一种虚拟环境下的强制访问控制方法，其特征在于，所述步骤b)中的完整级由2位二进制数来表示，其集合定义为

C′＝{C₁,C₂,C₃,C₄}，其中，C₁＞C₂＞C₃＞C₄。

4.根据权利要求1所述的一种虚拟环境下的强制访问控制方法，其特征在于，所述步骤b)中的安全范畴由8位二进制表示，定义K＝{K₁,K₂,…,K₈}的任何一个子集为一个保密范畴，表示保密范畴的8位二进制位分别表示是否有特定的访问权限K₁，K₂…K₈。

5.根据权利要求1所述的一种虚拟环境下的强制访问控制方法，其特征在于，所述步骤c)中的矩阵文件以一维有序数组的形式存在，数组元素用五元组表示：SID用来标识主体，表示主体的ID号，用10位2进制数表示；OID用来标识客体，表示客体的ID号，用10为2进制数表示；W表示读写，用1位二进制数表示，W设置为1时，表示主体对客体有读写的属性，设置为0时表示没有；R表示只读，用1位2进制数表示；A表示只写，用1位2进制数表示；同一个虚拟机SID与OID是相等的。

6.根据权利要求5所述的一种虚拟环境下的强制访问控制方法，其特征在于，所述步骤d)中的当前访问集合B中的元素为(OID,X),OID表示作为客体的虚拟机的ID号，X∈{r,a,w}。

7.根据权利要求1所述的一种虚拟环境下的强制访问控制方法，其特征在于，所述步骤e)中虚拟环境下BLP改进模型的安全策略包括如下模型元素：

在虚拟化环境中，根据通信过程中数据的流向来判断虚拟机是当主体还是当客体，主体集合S和客体集合O代表相同的虚拟机集合,如果系统中有n个虚拟机，主体S_i(1≤i≤n)和客体O_i代表同一个虚拟机；

在虚拟化环境中，主体对客体访问方式集合A:＝{r,a,w}，其中，r表示只读不写，a表示只写不读，w表示读写；

虚拟化环境下，特权虚拟机作为可信虚拟机，当它作为主体时属于可信主体集合S_T，其它的虚拟机作为主体时属于不可信主体集合且当可信虚拟机作为客体时，可信虚拟机是客体层次关系的根节点，记为O_R,其它的虚拟机客体都是根节点的子节点，处于相同的层次，假设客体集合为{O_R,O₁,O₂,…O_n-1},对任何的i(1≤i≤n)，O_i都在H(O_R)中，且对任何i(1≤i≤n)和j(1≤j≤n),O_i都不在H(O_j)中；

保密性标识集合用L_C表示，L_C＝{(c,k)|c∈C,k∈K_c}，其中C表示保密性级别分类集合，K_C表示保密性范畴集合；如果l₁＝(c₁,k₁)∈L_c,l₂＝(c₂,k₂)∈L_c,l₁≥l₂当且仅当c₁≥c₂,

完整性标识集合用L_I表示，L_I＝{(i,k)|i∈I,k∈K_I}，其中I表示完整性级别分类集合，K_I表示完整性范畴集合；如果l₁＝(c₁,k₁)∈L_I,l₂＝(c₂,k₂)∈L_I,l₁≥l₂当且仅当c₁≥c₂,

系统状态集合为V,系统状态v表示V的一个元素；

v∈V＝{(B,M,F,I,H)|b∈B∧m∈M∧f∈F∧i∈I∧h∈H}

当前存取集用B表示，对于任何b＝(s×o×a)∈B,s∈S,o∈O,a∈A用来表示主体s使用a的方式对客体o进行访问；

存取控制矩阵用M表示,m_ij∈M表示主体s_i对o_j的访问权限的集合；

机密性等级函数用F表示,f由两个部分组成，f＝{f_s,f_o}，f_s(s)∈L_c表示主体机密级，f_o表示客体的客体机密级函数；同一台虚拟机不管作为主体还是客体，机密级是相等的，也就是1≤i≤n；

完整性等级函数用I表示,I由两个部分组成，I＝{I_s,I_o}，I_s(s)∈L_I表示主体完整级，I_o表示客体的客体完整级函数；同一台虚拟机不管作为主体还是客体，完整级是相等的，也就是1≤i≤n；主体的完整级是动态的，可信主体可以对其它主体的完整级进行动态调整。

8.根据权利要求7所述的一种虚拟环境下的强制访问控制方法，其特征在于，所述步骤e)中虚拟环境下BLP改进模型的安全策略包括如下安全规则：一个系统状态v＝{b,m,f,i,h}满足简单安全，当且仅当

9.根据权利要求7所述的一种虚拟环境下的强制访问控制方法，其特征在于，所述步骤e)中虚拟环境下BLP改进模型的安全策略包括如下安全规则：对于非可信主体且一个系统状态v＝{b,m,f,i,h}满足读安全，当且仅当 $(s\×o\×r)\∈b\⇒f_s\left(s\right)\≥f_o\left(o\right).$

10.根据权利要求7所述的一种虚拟环境下的强制访问控制方法，其特征在于，所述步骤e)中虚拟环境下BLP改进模型的安全策略包括如下安全规则：对于非可信主体且一个系统状态v＝{b,m,f,i,h}满足添加安全，当且仅当

11.根据权利要求7所述的一种虚拟环境下的强制访问控制方法，其特征在于，所述步骤e)中虚拟环境下BLP改进模型的安全策略包括如下安全规则：对于非可信主体且一个系统状态v＝{b,m,f,i,h}满足写安全，当且仅当 $(s\×o\×w)\∈b\⇒f_s\left(s\right)\≥f_o\left(o\right).$