全系统一体的访问控制保障模型

删除或更新信息，请邮件至freekaoyan#163.com(#换成@)

本站小编 Free考研考试/2020-04-15

李瑜 ^1,2,3 , 赵勇 ^2,3 , 郭晓栋 ¹ , 刘国乐 ¹
1. 国家保密科技测评中心, 北京 100044;
2. 北京工业大学计算机学院, 北京 100124;
3. 可信计算北京市重点实验室, 北京 100124

收稿日期：2016-03-16
基金项目：国家“八六三”高技术项目（2015AA016002）
作者简介：李瑜 (1983—), 男, 工程师, E-mail:liyue_mail@163.com

摘要：针对云平台各访问控制点的访问控制机制难以有效联动问题，该文提出了全系统一体的访问控制保障模型。首先，形式化定义了访问请求的等价关系及支撑关系，对访问请求的本质进行了描述；其次，给出了基于模型的访问控制保障算法，形式化证明了算法能够实现可信的访问控制请求传递；最后，从云平台的网络层、云应用层和操作系统核心层给出了模型的工程实施方法。结果表明：通过访问请求语义的传递，模型实现了全系统访问控制机制的联动，保证了访问请求信息的可信传递。
关键词：云安全访问控制保障模型一体化
An assurance model for accesscontrol on cloud computing systems
LI Yu^1,2,3, ZHAO Yong^2,3, GUO Xiaodong¹, LIU Guole¹
1.National Secrecy Science and Technology Evaluation Center, Beijing 100044, China;
2.College of Computer Science, Beijing University of Technology, Beijing 100124, China;
3.Beijing Key Laboratory of Trusted Computing, Beijing 100124, China

Abstract: An access control points in cloud computing are difficult to link. An assurance model for access control on the whole system was developed based on formal definitions of the access request equivalence relation and the support relation, the analysis formally proves that the assurance algorithm can ensure the credibility of access requests. The implementation methods are given for the network layer, application layer and operating system kernel layer in cloud computing. An access semantic encapsulation shows that the algorithm meets the access control linkage requirements and can ensure the credibility of access requests.
Key words: cloud computing securityaccess controlassurance modelaccess control linkage
云计算是一种新的按需服务的计算模式，因其资源池共享、弹性配置、简化管理等优势，在全球得到迅猛发展，云计算已成为信息化建设领域的最大热点之一^[1]。在云计算模式中，所有云租户数据的处理和存储都在云端，因此迫切需要设计相应的访问控制机制保护用户数据的机密性^[2-4]和完整性^[5-6]。
文[1]将云端对用户的访问控制需求定义为2个方面：1) 云基础设施中主机之间的网络访问控制^[7-8]；2) 云端存储的用户数据的访问控制^[9-10]。经典访问控制模型^[11-13]中的BLP (Bell-Lapadula) 模型^[14]、Biba模型^[15]通过对系统中的主客体进行安全标记，分别实现基于保密性和完整性的访问控制。RBAC (role-based access control) 模型^[16-21]通过分配和取消角色来完成用户的授权，访问控制过程分为2个部分，即访问权限与角色关联、角色与用户关联，从而实现了用户与访问权限的逻辑分离。基于属性的访问控制模型利用属性描述访问策略，以实体属性为基础进行授权，能够根据实体属性的动态变化适时更新访问控制决策。UCON (usage control)^[22-29]是在基于角色的访问控制模型的基础上，引入授权规则、条件及义务3大决策组件，通过主客体的属性、主体履行的义务行为、系统和环境的约束来决定请求是否被允许。虚拟化技术通过构造多个互相隔离的虚拟运行环境，为每个用户提供运行的操作系统软件环境。Java applet^[30-31]是系统层隔离技术应用的先驱，通过控制访问的资源实现其访问行为的隔离。Jail^[32-33]为FreeBSD提供了操作系统虚拟层技术，将对Jail的访问限定在Jail中，禁止Jail内外的信息流动，采用这种思想的还有Solaris Zone技术^[34-35]。然而，云计算系统异常庞大、复杂，涉及到网络层的访问控制、云应用系统的访问控制、主机操作系统层的访问控制，传统的单一访问控制模型不能适应云平台。
SOC (security operation center) 将整个系统中不同安全产品的管理进行集中，系统中所有的安全策略由策略配置管理平台集中管理，重点解决安全信息集中管理的问题。PMI (privilege management infrastructure) 通过属性证书存放实体的相关授权数据信息，以属性证书为基础将用户主体进行了统一，从而实施统一的授权管理和访问控制。但是，仅仅将安全产品进行集中管理，并不能适应云计算的访问控制需求，主要原因包括2个方面: 1) 云平台相对复杂，在某一点上只能实现单点的访问控制，由于某些语义不能有效传递，难以实现整个系统访问控制机制的联动。比如，一款木马的功能是在主机上窃取用户信息然后通过正常http访问的80网络端口将信息回传，而现有的SOC与PMI机制并不能根据木马的主机行为配置出甄别木马网络行为的细粒度网络访问控制策略，访问控制不能实现联动。2) 访问请求从用户发出后要经过诸多环节才能完成，一旦在某一环节被篡改，整个访问控制将失效。
针对上述问题，本文提出了全系统一体的访问控制保障模型 (integrated access control ensured model，IACEM)，通过对系统中各阶段访问请求信息语义的有效传递，实现了整个系统访问控制机制的联动，基于模型的符号定义和安全性质，形式化证明了采用模型的访问控制机制能够实现访问请求信息的可信传递。
1 基本符号定义定义1??访问请求集合REQ={S, O, P}，其中，
S：系统中的主体集合，包括用户、进程等；
O：系统中的客体集合，包括被访问的文件、信息流等；
P：系统中的操作集合，是主体对客体所实施的访问操作。
大写REQ表示访问请求集合，小写req表示单一一个访问请求，其他未作特殊说明的大小写符号均符合该约定。
定义2??本原请求与附加信息。
本原请求REQ_O：系统安全设计需求中最根本的符合安全策略的访问请求，与具体的实现机制和安全控制点无关，只与应用及系统设计的流程相关。
定义3??访问请求REQ上的等价关系“≈”，表示在不同的访问控制点上，访问请求的目标是一致的。
该定义描述了2个本质上一致的访问请求之间的关系。比如操作系统中用户打开文件的请求，应用层请求为req₁: file. Open (“c:\test.txt”, ...)，而核心层的操作请求为req₂: InitializeobjectAttributes (&h, “\??\c: \test.txt”, ...)，ZwCreateFile (&h, FILE_READ_DATA, ...)。req₁与req₂从本质上来说是一致的，其本原操作req_o是打开文件c:\test.txt，只不过req₁是应用层的访问请求，req₂是操作系统核心层的访问请求，因此满足等价关系，记为req₁≈req₂。
定义4
1) 附加信息i：为了能够对访问行为进行细粒度的访问控制，所必须获取的相关上下文信息。
2) 支撑关系⊥：附加信息i能够表示出访问请求req的本原请求req_O，记为i⊥req。
在某些访问控制点上，获取额外的附加信息是十分必要的。比如在云环境的网络层，往往难以获取登录操作系统的用户信息和发起访问请求的进程主体，这就给恶意代码模仿正常用户进程提供了可乘之机，如果能有必要的附加信息i，从而实现对数据包等的标识，就能够有效防止非法的破坏及干扰。
定义5??访问请求完整性验证函数$H = \sum\limits_{k = 1}^n {{\rm{hash}}({\rm{re}}{{\rm{q}}_k}} )$，表示在访问过程中对所有访问控制点的访问请求进行完整性验证。
定义6??访问请求的可信传递。
在访问控制过程中，如果下式成立

$\forall {\rm{req}} \in {\rm{REQ}} \Rightarrow \left\{ {\begin{array}{*{20}{l}}{\exists i,\;\;\;i \bot {\rm{req}};}\\{H({\rm{req}}){\rm{ = TRUE}}.}\end{array}} \right.$

则定义为可信的访问控制请求传递。
该定义给出了可信的访问控制请求传递的2个基本条件：1) 是附加信息i满足支撑关系⊥，即整个访问过程中对于任一访问请求req，都有相应的附加信息能够表示出该访问请求最本质的含义；2) 是访问请求在传递过程中，任一环节都没有被篡改。条件1) 保证了访问控制机制能有足够的信息作为判断依据，条件2) 保证了访问请求的真实性。
2 IACEM模型安全性质性质1???req₁, req₂∈REQ；req₁≈req₂?s₁≈s₂∧o₁≈o₂∧p₁≈p₂。
该性质表明，对于任意2个访问请求，如果其满足等价关系“≈”，那么这种等价关系也必然能够扩展到主体、客体和操作上。比如，用户读取ftp云服务上的一个文件，在网络层看到的是该用户发起的网络会话访问ftp网络服务进程，而在ftp服务器上看到的则是ftp本地进程读取用户所请求的文件，显然这2个访问请求是等价的，同时可以推理出在该访问过程中标识用户的网络会话与本地进程、ftp网络服务与用户所请求的文件、网络访问与本地读取都符合等价关系“≈”的延伸。
性质2???req₁, req₂∈REQ；req_O1=req_O2?req₁≈req₂。
该性质表明，对于任意2个访问请求，其本原请求相同表示系统中最根本的符合安全策略的访问请求相同，即访问请求的目标一致，根据定义3，二者满足等价关系“≈”；反之，由性质1，根据2个访问请求的等价关系“≈”能够推导出访问的主体、客体和操作满足等价关系，所以由定义2可知，二者的本原请求必然相同。
性质3 req=req∪i。
在模型中，访问请求的集合是原来的访问请求与附加信息的并集。根据定义4，整个系统要想实现细粒度的访问控制，必然有足够的附加信息使得系统的访问控制机制能够明确区分访问的主体、客体和操作等信息。
3 IACEM保障算法依据上述定义及性质，给出全系统一体的访问控制保障算法 (access control ensured algorithm，ACEA)。
步骤1：接收上层传来的信息f_enc=(req, h)；
步骤2：解封该访问请求信息f_dec (f_enc=(req, h))，获取req和h；
步骤3：验证hash (req)=h是否成立，如果访问请求被篡改则拒绝该请求；
步骤4：解析req={s, o, p}中的3个元素，并传递至访问控制监视器；
步骤5：访问控制监视器依据安全策略对访问请求做出判定。若拒绝，则直接返回；若允许，则根据上下文信息抽象必要的附加信息i′，满足i′⊥req_o；
步骤6：变换访问请求信息req′=req∪i′；
步骤7：计算h′=hash (req′)；
步骤8：重新封装访问请求信息f_enc′=(req′, h′)，并传递至下一个访问请求控制点；
步骤9：重复上述步骤，直至该访问控制过程完成。
4 模型安全定理定理1???req∈REQ, req={…, req_i, …, req_k, …}?req_Oi=req_Ok。
证明：反证法。假设req_Oi≠req_Ok，根据定义2可知下式成立，
^┐(s_i≈s_k)∨^┐(o_i≈o_k)∨^┐(p_i≈p_k)=TRUE。
又由性质1的逆否命题可得
^┐(s_i≈s_k)∨^┐(o_i≈o_k)∨^┐(p_i≈p_k)?^┐(req_i≈req_k)。
根据已知req={…，req_i, …, req_k，…}可得req_i≈req_k，故矛盾，假设不成立。
证毕。
该定理证明了对于同一访问请求，在整个系统访问控制监视器的各个不同控制点上，所看到的本原请求都是相同的。
定理2??req∈REQ, req={s, o, p}, req_O={s_O, o_O, p_O}?p?p_O。
证明：反证法。假设p?p_O不成立，则下式成立，
?p_k, p_k∈p∧p_k?p_O。
又由性质1，??^┐req≈req_O成立，这与已知矛盾，故假设不成立。
证毕。
该定理证明了任一访问行为必然是本原操作p_O的子集，即对于某一客体的访问行为必然受到本原操作的约束，不可能超越本原操作。该定理也从另一侧面证明模型中所有的行为都要符合本原操作的预期，这与TCG (trusted computing group) 中关于可信的定义“行为符合预期”是一致的。
定理3??算法ACEA是可信的访问控制请求传递。
证明：在ACEA算法中，$\forall {\rm{req}} \in \sum\limits_{k = 1}^n {({\rm{re}}{{\rm{p}}_k}{ \cup _i}^\prime )}$。
根据步骤5满足i′⊥req_O，即能够表示出req的本原请求req_O，满足定义6的条件1)。
算法步骤7是计算访问请求req的完整性摘要值，而步骤3的hash (req)=h则是对访问请求信息的验证，故h (req)=TRUE成立，由ACEA算法步骤9，$\forall h \in \sum\limits_{k = 1}^n {{\rm{hash}}({\rm{re}}{{\rm{p}}_k})}$上式皆成立，故H (req)=TRUE成立，满足定义6的条件2)。
故根据定义6，算法ACEA是可信的访问控制请求传递。
证毕。
该定理符合对可信访问控制请求传递的要求：1) 是通过合理的上下文信息维持其本原操作的语义，这是系统进行细粒度访问控制的必要前提；2) 是实现访问请求信息的安全传递，确保2个实体间信息流的可靠交互。
5 模型工程实施在基于云架构的系统中，通过3类访问控制点构建基于IACEM模型的访问控制机制，如图 1所示。

图 1 基于IACEM的访问控制

图选项

1) 网络层访问控制。
步骤1：开发新的网络协议栈，主要是与Winsock形式一致、参数不同的套接字编程接口，支持伪IPSec方式封装的网络数据包的机密性标签和完整性校验标签；
步骤2：用户发起网络访问时，调用新的网络协议栈，将每个访问请求的三元组req={s, o, p}填充到数据包中；
步骤3：在云应用的网络边界，对用户身份、用户访问云服务网络端口等实现基于单个数据包的访问控制。
2) 云应用程序访问控制。
步骤1：云应用解析用户数据包，根据三元组req={s, o, p}，做出应用层的访问控制；
步骤2：根据应用层语义，附加用户身份信息、应用层客体所对应的磁盘文件信息等，重新封装三元组req′={s′, o′, p′}；
步骤3：通过新开发的操作系统核心层调用接口，发出访问请求req′。
3) 操作系统核心层访问控制。
解封访问请求req′，根据安全策略，对用户身份、当前进程、访问操作、磁盘文件等做出操作系统层的访问控制。
经实验验证，基于IACEM模型的访问控制机制通过语义的传递，实现了整个系统访问控制机制联动。在云边界能够基于单个数据包进行访问控制，有效防止端口探测、cookie盗用、越权访问其他云应用服务等攻击；在操作系统核心层，一旦某一个进程由于程序设计漏洞或者恶意攻击发生缓冲区溢出，由于操作系统核心层调用接口保护且非授权程序不具备应用层附加的合法用户身份等信息，而IACEM模型的完整性验证机制也保证了攻击者不能对访问请求信息进行篡改，因此攻击者既不能访问到用户数据也不能篡改访问请求，同样，实验所采用的远程木马窃取用户数据、计算机病毒破坏用户数据均不能成功。
6 结??论云计算中全系统一体的访问控制保障模型，一方面通过对云平台中各阶段访问请求信息语义的有效传递，实现了整个系统访问控制机制的联动；另一方面通过对云平台各阶段访问请求信息的完整性验证，并形式化证明了采用模型的访问控制机制能够实现访问请求信息的可信传递，其访问控制的粒度能够细化到每个访问请求所对应的数据包。

参考文献

[1]	Journal of Central South University(Science and Technology), 41(2):649-654.-->俞能海, 郝卓, 徐甲甲, 等. 云安全研究进展综述[J]. 电子学报, 2013, 41(2): 371–381.YU Nenghai, HAO Zhuo, XU Jiajia, et al. Review of cloud computing security[J]. Acta Electronica Sinica, 2013, 41(2): 371–381. (in Chinese)
[2]	Journal of Central South University(Science and Technology), 41(2):649-654.--> Gentry C. Fully homomorphic encryption using ideal lattices[C]//Symposium on Theory of Computing, STOC 2009. New York, USA: ACM, 2009: 169-178.
[3]	Journal of Central South University(Science and Technology), 41(2):649-654.--> Dijk M V, Gentry C, Halevi S, et al. Fully homomorphic encryption over the integers[C]//Advances in Cryptology-EUROCRYPT 2010: 29th Annual International Conference on the Theory and Applications of Cryptographic Techniques. Berlin, Germany: Springer, 2010: 24-43.
[4]	Journal of Central South University(Science and Technology), 41(2):649-654.--> Gentry C. A Fully Homomorphic Encryption Scheme[D]. Palo Alto, USA: Stanford University, 2009. http://dl.acm.org/citation.cfm?id=1536414.1536440
[5]	Journal of Central South University(Science and Technology), 41(2):649-654.--> Amazon. Amazon simple storage service. (2012-10-07). >http://aws.amazon.com/s3/.
[6]	Journal of Central South University(Science and Technology), 41(2):649-654.--> Amazon. Amazon elastic block storage. (2012-10-07). http://aws.amazon.com/ebs/.
[7]	Journal of Central South University(Science and Technology), 41(2):649-654.--> Hao F, Lakshman T V, Mukherjee S, et al. Secure cloud computing with a virtualized network infrastructure[C]//Usenix Conference on Hot Topics in Cloud Computing. Berkeley, USA: USENIX Association, 2010: 57-61.
[8]	Journal of Central South University(Science and Technology), 41(2):649-654.--> Oberheide J, Cooke E, Jahanian F. Cloud AV: N-version antivirus in the network cloud[C]//Proceedings of the 17th Conference on Security Symposium. Berkeley, USA: USENIX Association, 2008: 91-106.
[9]	Journal of Central South University(Science and Technology), 41(2):649-654.--> Yu S, Wang C, Ren K, et al. Achieving secure, scalable, and fine-grained data access control in cloud computing[C]//Proceedings of the IEEE INFOCOM 2010. San Diego, USA: IEEE, 2010: 1-9.
[10]	Journal of Central South University(Science and Technology), 41(2):649-654.--> Wang G, Liu Q, Wu J. Hierarchical attribute-based encryption for fine-grained access control in cloud storage services[C]//Proceedings of the 2010 ACM Conference on Computer & Communications Security. New York, USA: ACM, 2010: 735-737.
[11]	Journal of Central South University(Science and Technology), 41(2):649-654.-->赵勇, 刘吉强, 韩臻, 等. 信息泄露防御模型在企业内网安全中的应用[J]. 计算机研究与发展, 2007, 44(5): 761–767.ZHAO Yong, LIU Jiqiang, HAN Zhen, et al. The application of information leakage defense model in enterprise intranet security[J]. Journal of Computer Research and Development, 2007, 44(5): 761–767. (in Chinese)
[12]	Journal of Central South University(Science and Technology), 41(2):649-654.-->石文昌, 孙玉芳, 梁洪亮. 经典BLP安全公理一种适应性标记实施方法及其正确性[J]. 计算机研究与发展, 2001, 38(11): 1366–1372.SHI Wenchang, SUN Yufang, LIANG Hongliang. An adaptable labeling enforcement approach and its correctness for the classical BLP security axioms[J]. Journal of Computer Research and Development, 2001, 38(11): 1366–1372. (in Chinese)
[13]	Journal of Central South University(Science and Technology), 41(2):649-654.-->郑志蓉, 蔡谊, 沈昌祥. 操作系统安全结构框架中应用类通信安全模型的研究[J]. 计算机研究与发展, 2005, 42(2): 322–328.ZHENG Zhirong, CAI Yi, SHEN Changxiang. Research on an application class communication security model on operating system security framework[J]. Journal of Computer Research and Development, 2005, 42(2): 322–328. (in Chinese)
[14]	Journal of Central South University(Science and Technology), 41(2):649-654.--> Bell D E, La Padula L J. Secure Computer System: Unified Exposition and Multics Interpretation. Technical Report ESD-TR-75-306[R]. Bedford, USA: Electronic Systems Division, 1977.
[15]	Journal of Central South University(Science and Technology), 41(2):649-654.--> Biba K J. Integrity Considerations for Secure Computer Systems. Technical Report ESD-TR-76-372[R]. Bedford, USA: Electronic Systems Division, 1977.
[16]	Journal of Central South University(Science and Technology), 41(2):649-654.-->Chadwick D W, Otenko A. The PERMIS X.509 role based privilege management infrastructure[J]. Future Generation Computer Systems, 2003, 19(2): 277–289. DOI:10.1016/S0167-739X(02)00153-X
[17]	Journal of Central South University(Science and Technology), 41(2):649-654.--> Nochta Z, Ebinger P, Abeck S. PAMINA: A certificate based privilege management system[C]//Proceedings of Network and Distributed System Security Symposium Conference, 2002. San Diego, USA: NDSS, 2002.
[18]	Journal of Central South University(Science and Technology), 41(2):649-654.-->Osborn S. Configuring role-based access control to enforce mandatory and discretionary access control policies[J]. ACM Transactions on Information & System Security, 2000, 3(2): 85–106.
[19]	Journal of Central South University(Science and Technology), 41(2):649-654.--> Jansen W A. A Revised Model for Role-based Access Control[R]. Gaithersburg, Maryland: NISTIR 6192, National Institute of Standards and Technology (NIST), 1998.
[20]	Journal of Central South University(Science and Technology), 41(2):649-654.-->Ahn G J. Role-based Authorization Constraints Specification[M]. Berlin Heidelberg, Germany: Springer, 2010.
[21]	Journal of Central South University(Science and Technology), 41(2):649-654.-->Park J S, Sandhu R, Ahn G J. Role-based access control on the web[J]. ACM Transactions on Information & System Security, 2001, 4(1): 37–71.
[22]	Journal of Central South University(Science and Technology), 41(2):649-654.-->Sandhu R, Park J. Usage Control: A Vision for Next Generation Access Control[M]. Berlin Heidelberg, Germany: Springer, 2003.
[23]	Journal of Central South University(Science and Technology), 41(2):649-654.--> Park J, Sandhu R. Towards usage control models: Beyond traditional access control[C]//Proceedings of the 7th ACM Symposium on Access Control Models and Technologies. New York, USA: ACM Press, 2002: 57-64.
[24]	Journal of Central South University(Science and Technology), 41(2):649-654.-->Park J, Sandhu R. The UCON ABC usage control model[J]. ACM Transactions on Information & System Security, 2004, 7(1): 128–174.
[25]	Journal of Central South University(Science and Technology), 41(2):649-654.--> Zhang X, Park J, Parisi-Presicce F, et al. A logical specification for usage control[C]//Proceedings of the 9th ACM Symposium on Access Control Models and Technologies. New York, USA: ACM, 2004: 2-12.
[26]	Journal of Central South University(Science and Technology), 41(2):649-654.--> Park J, Sandhu R. Originator control in usage control[C]//International Workshop on Policies for Distributed Systems and Networks, 2002. Monterey, USA: IEEE, 2002: 60-66.
[27]	Journal of Central South University(Science and Technology), 41(2):649-654.-->胡浩, 冯登国, 秦宇, 等. 分布式环境下可信使用控制实施方案[J]. 计算机研究与发展, 2011, 48(12): 2201–2211.HU Hao, FENG Dengguo, QIN Yu, et al. An approach of trusted usage control in distributed environment[J]. Journal of Computer Research and Development, 2011, 48(12): 2201–2211. (in Chinese)
[28]	Journal of Central South University(Science and Technology), 41(2):649-654.-->初晓博, 秦宇. 一种基于可信计算的分布式使用控制系统[J]. 计算机学报, 2010, 33(1): 93–102.CHU Xiaobo, QIN Yu. A distributed usage control system based on trusted computing[J]. Chinese Journal of Computers, 2010, 33(1): 93–102. (in Chinese)
[29]	Journal of Central South University(Science and Technology), 41(2):649-654.-->洪帆, 崔永泉, 崔国华, 等. 多域安全互操作的可管理使用控制模型研究[J]. 计算机科学, 2006, 33(3): 38–47.HONG Fan, CUI Yongquan, CUI Guohua, et al. Administrative usage control model for secure interoperability between administrative domains[J]. Computer Science, 2006, 33(3): 38–47. (in Chinese)
[30]	Journal of Central South University(Science and Technology), 41(2):649-654.--> Chiueh T C, Sankaran H, Neogi A. Spout: A transparent distributed execution engine for Java applets[C]//Proceedings of the 20th International Conference on Distributed Computing Systems (ICDCS' 00). Taipei, China: IEEE, 2000: 394-401.
[31]	Journal of Central South University(Science and Technology), 41(2):649-654.--> Malkhi D, Reiter M K. Secure execution of Java applets using a remote playground[C]//Proceedings of IEEE Symposium on Security and Privacy, 1998. Oakland, USA: IEEE, 2000: 40-51.
[32]	Journal of Central South University(Science and Technology), 41(2):649-654.--> Kamp P H, Watson R N. Jails: Confining the omnipotent root[C]//Proceedings of the 2nd International System Administration and Network Engineering Conference (SANE'00). Maastricht, The Netherlands: USENIX, 2000: 1-15.
[33]	Journal of Central South University(Science and Technology), 41(2):649-654.-->Evan S. Securing free BSD using jail[J]. Syst Admin, 2001, 10(5): 31–37.
[34]	Journal of Central South University(Science and Technology), 41(2):649-654.--> Price D, Tucker A. Solaris zones: Operating system support for consolidating commercial workloads[C]//Proceedings of the 18th Large Installation System Administration Conference (LISA'04). Atlanta, USA: USENIX, 2004: 241-254.
[35]	Journal of Central South University(Science and Technology), 41(2):649-654.--> Tucker A, Comay D. Solaris zones: Operating system support for server consolidation[C]//Proceedings of the 3rd Virtual Machine Research and Technology Symposium (VM'04). San Jose, USA: USENIX, 2004: 1-2.