控制系统的稳态误差(基于软件定义网络的非集中式信息流控制系统)

近年来，数据泄露事件层出不穷。2011年3月，谷歌邮箱爆发大规模用户数据泄露，约15万名Gmail用户的所有邮件被删除，部分用户账户被重置。2013年3月，Evernote遭到黑客攻击，用户名、电子邮件地址和加密密码等信息被黑客窃取，迫使约5000万用户重设密码。敏感信息的丢失给用户和企业带来了巨大的损失，因此保护敏感信息的保密性和完整性是研究人员迫切需要解决的问题。针对对主机中敏感信息的保护，研究人员做了以下研究。1)自由访问控制和强制访问控制。访问控制是保护用户数据隐私的常用手段之一。访问控制主要用于保护对系统的信息和资源，防止未经授权的访问。传统的访问控制机制主要分为自主访问控制和强制访问控制[1]。经典的访问控制模型，如BLP(BellLaPudula)[2]和Biba模型，各有优缺点。BLP模型有效地解决了信息保密问题，但忽略了信息的完整性。然而，Biba模型在对，很难确认完整性标签，其分类和分级也没有相应的标准支持，不足以保护数据的一致性。此外，BLP[2]模型和Biba模型的访问控制粒度是用户级的，这是粗糙的。

2)信息流控制和分散信息流控制(DIFC)。为了解决经典访问控制模型中数据隐私保护粒度较粗的问题，对，研究者提出了信息流控制(IFC)模型[3]，但该模型采用集中式授权和控制策略，灵活性较低。分散信息流控制(DIFC)[1]是在国际金融公司的基础上提出的，它放弃了国际金融公司的集中授权和控制，由分布式数据所有者控制。数据所有者以标签的形式设置数据的安全级别和完整性级别，并通过使用可信程序将操作对数据的权力委托给其他程序，根据访问控制规则仲裁对数据流，拦截不安全数据流，释放安全数据流，并更新数据流中涉及的数据和程序的安全状态。信息泄漏不仅发生在主机中，也发生在网络中。然而，传统的信息流控制在网络中的发展不如在主机中的发展快，而且大多采用单一的防火墙策略，缺乏可控性和灵活性。造成这种现象的主要原因是难以界定网络的主体和客体以及网络和主机系统的自主性。例如，传统的网络控制代码和转发信息存储在交换机和其他设备中，因此开发人员无法灵活监控对的信息流

近年来，软件定义网络技术的出现为更好地控制敏感信息流提供了一个很好的机会。SDN的设计思想是将网络的控制平面和数据转发平面分开。逻辑上集中的控制平面可以支持网络资源的灵活调度，灵活开放的接口可以支持网络能力的按需调用，实现可编程控制，支持网络服务的创新。SDN的诸多优势促进了其快速发展。许多企事业单位在对参与了SDN的研究，建立了商业网络，其中最著名的是谷歌的B4网络。基于SDN，研究人员可以采用灵活的控制策略对对的敏感信息进行监控。以上研究在一定程度上实现了对对敏感信息的监控。但是，对主机和网络中敏感信息的监控是相互独立的，并不构成一个集成的监控系统。例如，主机可以使用DIFC来监控文件、进程和其他信息，但是当向网络发送机密文件时，它必须放弃这些信息的机密性。当网络信息流向主机时，信息流所承载的敏感性也被放弃，这是不可接受的。

针对对，的上述问题，提出了一种基于软件定义网络的分散式信息流控制系统—— SDIFC(基于软件定义网络的DIFC系统设计框架)，该系统能够更好地实现敏感信息的全局监控。1相关工作

针对对，的私人信息披露问题，研究员对DIFC进行了广泛而深入的研究，并已有许多可用的系统实现。DIFC系统实现有两种主要类型：基于语言的系统实现和基于操作系统的实现。基于操作系统的DIFC实现主要包括HiStar[5]、石棉[6]和dstar [7]。基于语言的系统实现主要包括JFlow及其后继的——JIF。请在英文加上JIF的全名[1]。