论文部分内容阅读
保护内核的完整性是构建可信操作系统最根本的安全目标。至今通用操作系统仍因其自身的安全漏洞而频频受到恶意攻击。其中,内核模块的安全漏洞后果最为严重,给了攻击者可以破坏甚至控制整个操作系统的机会。可以说,没有操作系统内核的安全,其它的安全保障方案的实施都无法得以保证。 针对内核的完整性威胁,已经有了很多监控方面的工作,特别是基于硬件虚拟化技术的监控方案。然后,这些虚拟化监控大都基于已有的虚拟化技术方案,包括Xen、KVM等。这些虚拟化技术方案注重虚拟化而非安全监控本身,所以普遍存在效率、语义获取等方面的问题。有鉴于此,本文实现了基于内嵌式VMM的隔离方案HybridHP,并且解决了这种全新架构带来的相关问题,包括自我保护、策略更新等。 在操作系统安全性方面,一般认为微内核操作系统比宏内核操作系统更安全。宏内核操作系统,其不安全的核心问题在于现有宏内核操作系统都不符合最低授权原则POLA(Principle of LeastAuthority)。POLA要求系统划分组件的方式,应当使存在于某个组件中的缺陷,不至于波及其他组件。每个组件仅应该得到完成其本身工作所需的权限,不多不少。现有宏内核操作系统完全违反以上原则,结果就是造成众多可靠性及安全性问题,其中最大的肇事者莫过于内核驱动。微内核操作系统则不一样,设备驱动处于内核之上,运行在用户态,每个驱动都作为单独的进程运行,受到内存管理硬件的严格约束,只能访问自己拥有的内存。 如何基于HybridHP构建内核权能隔离方案,使得宏内核操作系统和微内核操作系统一样满足POLA是本文的研究重点。本文的主要成果和创新主要包括以下几个方面: 1.通过研究宏内核结构和主流的内核攻击方法,总结出操作系统内核的完整性保护机制和方法。 2.基于硬件虚拟化技术实现了一个轻型的虚拟机监控器HybridHP。HybridHP一方面具有和其他VMM相同的监控能力;另一方面,HybridHP特定的设计框架决定了它的高效性以及语义获取的便利性。HybridHP是整个工作的基础,为了确保其自身的安全,本文还对其进行了形式化验证。 3.基于HybridHP,提出了宏内核的权能隔离方案DcapISO。区别于其他的注重内核接口保护的驱动隔离方案,DcapISO以对象模型为基础,认为对象才是OS内核的核心,而包括内核本身、驱动等在内的内核主体,其实质都是围绕内核对象的操作。在现代的操作系统中,页表权限是对象权能的最直接体现,DcapISO通过页表标识内核主体,并且进行权限控制。从而达到权能隔离的目的。