一种轻量级安全可信的虚拟执行环境

针对传统TCB(trusted computing base)庞大复杂的问题,设计并实现了一个最小化的TCB系统架构.利用CPU的系统管理模式(SMM)提供的硬件隔离特性,通过将应用程序中对安全敏感的代码放入虚拟环境中执行,从而将应用程序本身非安全敏感部分代码、操作系统及其上运行的其他应用程序排除在TCB之外,使得TCB的软件部分只包含安全敏感代码和虚拟执行环境包含的少量代码,实现了TCB的最小化.本系统的强隔离性使得在操作系统和部分硬件(如DMA、硬件调试器等)被攻击者控制后,依然可以保证安全敏感代码执行过程的隐秘性和执行结果的完整性.同时,本系统还为执行结果提供了细粒度的可靠验证,保证结果是在本系统的保护下得到的,没有被任何恶意程序篡改.     

基于本地虚拟化技术的隔离执行模型研究

程序隔离执行是一种将被隔离代码的执行效果与其它应用隔离的安全机制.但是目前的相关研究无法在PC平台下兼顾操作系统隔离与被隔离代码的可用性.针对这个问题,文中提出并实现了一种新的名为SVEE(Safe Virtual Execution Environment)的隔离执行模型.SVEE具有两个关键特性:一是借助基于本地虚拟化技术的系统级虚拟机(SVEEVM)有效实现了非可信代码与宿主操作系统的隔离;二是利用本地虚拟化技术实现了宿主机计算环境在SVEEVM内的重现,保证了被隔离程序在SVEEVM中与在宿主操作系统内的执行效果的一致性.因此,SVEE在保护了宿主操作系统安全的同时,兼顾了隔离执行代码的可用性.测试证明,对于计算密集型应用SVEE虚拟机的性能达到了本地性能的91.23%～97.88%,具有很好的可用性.     

基于硬件虚拟化的安全高效内核监控模型

传统的基于虚拟化内核监控模型存在两个方面的不足:(1) 虚拟机监控器(virtual machine monitor,简称VMM)过于复杂,且存在大量攻击面(attack surface),容易受到攻击;(2) VMM执行过多虚拟化功能,产生严重的性能损耗.为此,提出了一种基于硬件虚拟化的安全、高效的内核监控模型HyperNE.HyperNE舍弃VMM中与隔离保护无关的虚拟化功能,允许被监控系统直接执行特权操作,而无需与VMM交互;同时,HyperNE利用硬件虚拟化中的新机制,在保证安全监控软件与被监控系统隔离的前提下,两者之间的控制流切换也无需VMM干预.这样,HyperNE一方面消除了VMM的攻击面,有效地削减了监控模型TCB(trusted computing base);另一方面也避免了虚拟化开销,显著提高了系统运行效率和监控性能.     

基于FreeBSD内核的Chamber技术

服务质量支持技术和安全隔离技术是当前服务器操作系统研究领域的热点，也是服务器之间竞争的关键技术。该文分析了一些重要的资源控制技术，并结合这些技术提出了在FreeBSD操作系统中的QoS支持和安全隔离技术——FreeBSD Chamber(FC)机制。FC机制包括了上层的虚拟执行环境和底层的资源管理框架，提供完全隔离的执行环境和系统服务质量支持。     

基于本地虚拟化技术的安全虚拟执行环境

程序隔离执行是一种将非可信代码的执行效果与其他应用隔离的安全机制。但是,目前的相关研究无法兼顾强隔离（即操作系统隔离）与被隔离代码的可用性（需要通过计算 环境的重现与提交隔离执行环境的执行效果来完成）。本文提出一种基于本地虚拟化技术的安全虚拟执行环境SVEE,并在Windows下实现了SVEE的原型系统。SVEE借助系统级虚拟化技术有效地实现了SVEE内程序与宿主操作系统的强隔离。SVEE的关键特性是利用本地虚拟化技术实现了宿主机计算环境在SVEE内的重现,使得程序在SVEE中与在宿主操操作系统内的执行效果一致。此外,SVEE还支持SVEE与宿主操作系统的差异对比,并利用比较结果选择合适的方法将SVEE内程序的执行效果提交到宿主操作系统。     

基于精化的TrustZone多安全分区建模与形式化验证

TrustZone作为ARM处理器上的可信执行环境技术,为设备上安全敏感的程序和数据提供一个隔离的独立执行环境.然而,可信操作系统与所有可信应用运行在同一个可信环境中,任意组件上的漏洞被利用都会波及系统中的其他组件.虽然ARM提出了S-EL2虚拟化技术,支持在安全世界建立多个隔离分区来缓解这个问题,但实际分区管理器中仍可能存在分区间信息泄漏等安全威胁.当前的分区管理器设计及实现缺乏严格的数学证明来保证隔离分区的安全性.详细研究了ARM TrustZone多隔离分区架构,提出一种基于精化的TrustZone多安全分区建模与安全性分析方法,并基于定理证明器Isabelle/HOL完成了分区管理器的建模和形式化验证.首先,基于逐层精化的方法构建了多安全分区模型RMTEE,使用抽象状态机描述系统运行过程和安全策略要求,建立多安全分区的抽象模型并实例化实现分区管理器的具体模型,遵循FF-A规范在具体模型中实现了事件规约;其次,针对现有分区管理器设计无法满足信息流安全性验证的不足,设计了基于DAC的分区间通信访问控制,并将其应用到TrustZone安全分区管理器的建模与验证中;再次,证明了具体模型...     

基于精化的可信执行环境内存隔离机制验证

可信执行环境(trusted execution environment, TEE)基于硬件隔离机制,为安全敏感应用提供隔离的执行环境,保护敏感数据的安全性.内存隔离机制是TEE的关键机制之一,用于对安全内存和非安全内存进行隔离,并对安全内存实施访问控制,如果其安全性不能保证,可能造成存储在安全内存中的敏感数据泄露.为验证TEE内存隔离机制的安全性,针对基于ARM TrustZone技术构建的TEE,提出一种基于精化的可信执行环境内存隔离机制安全性验证方法.建立抽象模型和具体模型,并定义两种模型之间的精化关系,在证明精化关系成立和抽象模型满足信息流安全性的前提下,验证具体模型的信息流安全性.具体模型建模了TEE内存隔离机制的关键硬件和软件,包括TrustZone地址空间控制器、MMU和TrustZone monitor等,在定理证明器Isabelle/HOL中,验证了该模型满足无干扰、无泄露、无影响等信息流安全属性.     

Windows NT程序的应用环境

WindowsNT是一种模块化操作系统，它由环境子系统、执行模块、管理模块、设备驱动模块、核心模块等组成。环境子系统的每个子系统为应用程序提供不同的操作环境。WindowsNT除了支持为自身设计的32位应用程序外，同时还支持在Windows3．1、DOS、16位OS／2foPOSIX环境下开发的应用程序。下图描述了WindowsNT的环境子系统的组成：下面的表列出了WindowsNT环境子系统中的各个子系统及所支持的应用程序。WindowsNT的执行模块是操作系统的核心部分，它管理进程的内存、进程可以看作是一组任务序列，执行一个进程．就是执行一组任务序列…     

恶意代码安全虚拟执行环境研究

入侵容忍的系统要求具有在现实环境中执行不安全程序且不遭受永久性伤害的能力.虚拟机技术提供了一种虚拟的可执行环境,能够满足这个需求.通过对操作系统调用接口资源的重命名的研究,在此基础上设计并实现了一种Windows平台下基于操作系统层的安全虚拟执行环境的体系结构.实验结果表明,该系统可以有效地模拟应用程序的各种运行行为和结果,并为后续分析提供充足的信息.经对比发现,基于操作系统资源虚拟化的安全执行环境技术比传统虚拟技术更灵活,消耗系统资源更少.     

扩展不干扰模型(ENISM)及基于CSP的描述和验证方法

在不干扰理论的基础上,提出扩展不干扰模型ENISM及其验证方法,用以描述和分析操作系统中的信息流策略.工作包括:(1)依据系统功能模块定义多个执行域,以即将执行的可能动作序列集合与可读取的数据存储值集合一同作为ENISM定义执行域安全状态的基础;(2)给出判定系统中不存在违反策略的执行轨迹和数据流动的条件ENISM-CC;(3)基于通信顺序进程给出ENISM-CC的语义及操作系统模块设计的形式化描述和验证方法.     

基于仿生控制机理的信息系统内生免疫体系研究

随着信息通信系统的架构日益复杂,承载的数据量呈指数级增长,现有的安全防护体系存在严重缺陷:先建网络、后做防护导致安全防护难以到位;集中式防御模式导致信息系统对外服务能力下降严重;防御机制与信息系统的安全状况关联不大导致防御效能低下.如何从根源上突破以上瓶颈成为未来信息系统安全的核心问题,需要改变被动式防御方式,实施主动...     

Executing secured virtual machines within a manycore architecture

Manycore processors are a way to face the always growing demand in digital data processing. However, by putting closer distinct and possibly private data, they open up new security breaches. Splitting the architecture into several partitions managed by a hypervisor is a way to enforce isolation between the running virtual machines. Thanks to their high number of cores, these architectures can mitigate the impact of dedicating cores both to the virtual machines and the hypervisor, while allowing an efficient execution of the virtualized operating systems. We present such an architecture allowing the execution of fully virtualized multicore operating systems benefiting of hardware cache coherence. The physical isolation is made by the means of address space via the introduction of a light hardware module similar to a memory-management unit at the network-on-chip entrance, but without the drawback of relying on a page table. We designed a cycle-accurate virtual prototype of the architecture, controlled by a light blind hypervisor with minimum rights, only able to start and stop virtual machines. Experiments made on our virtual prototype shows that our solution has a low time overhead – typically 3% on average.     

基于轻量操作系统的虚拟机内省与内存安全监测

针对在传统特权虚拟机中利用虚拟机内省实时监测其他虚拟机内存安全的方法不利于安全模块与系统其他部分的隔离,且会拖慢虚拟平台的整体性能的问题,提出基于轻量操作系统实现虚拟机内省的安全架构,并提出基于内存完整性度量的内存安全监测方案。通过在轻量客户机中实现内存实时检测与度量,减小了安全模块的可攻击面,降低了对虚拟平台整体性能的影响。通过无干涉的内存度量和自定义的虚拟平台授权策略增强了安全模块的隔离性。基于Xen中的小型操作系统Mini-OS实现了虚拟机内省与内存检测系统原型,评估表明该方案比在特权虚拟机中实现的同等功能减少了92%以上的性能损耗,有效提高了虚拟机内省与实时度量的效率。     

引入内可信基的应用程序保护方法

提出一种在不可信操作系统中保护应用程序的新方法AppISO.针对传统的虚拟化方法的高开销问题,AppISO在不可信操作系统的同一特权层引入内可信基,代替虚拟机监控器实施应用程序保护,避免了昂贵的特权层切换.同时利用硬件虚拟化,以及页表锁定、影子IDT、切换页面等软件技术保证内可信基的安全性.证明了所提内可信基方法与虚拟化方法具有同样的高安全性.实验和分析结果表明,内可信基方法可显著地提高系统性能.     

Remote Attestation on Legacy Operating Systems With Trusted Platform Modules

A lot of progress has been made to secure network communication, e.g., through the use of cryptographic algorithms. However, this offers only a partial solution as long as the communicating end points still suffer from security problems. A number of applications require remote verification of software executing on an untrusted platform. Trusted computing solutions propose to solve this problem through software and hardware changes, typically a secure operating system and the addition of a secure coprocessor respectively. On the other hand, timed execution of code checksum calculations aims for a solution on legacy platforms, but can not provide strong security assurance. We present a mixed solution by using the trusted computing hardware, namely the time stamping functionality of the trusted platform module, in combination with a timing based remote code integrity verification mechanism. In this way, we do not require a secure operating system, but at the same time the overall security of the timed execution scheme can be improved.     

基于圆锥曲线的XML数字签名应用研究

为实现高校教务管理系统中对学生成绩的数字签名,将基于环Zn上的圆锥曲线ElGamal型数字签名方案应用于XML数字签名领域,设计和实现了一个学生成绩XML数字签名系统.介绍了系统的数据流程、功能模块、关键算法以及新的XML签名文档结构,并对系统的安全性和运行效率等性能进行了分析和对比.实验结果表明,该系统达到了预期的功能,安全性和效率得到了进一步提高,圆锥曲线密码体制能够应用于XML数字签名领域.     

基于无干扰模型的操作系统结构化研究

操作系统结构化是目前安全领域的一大难题。以无干扰模型为基础,提出了一种基于分层隔离的进程环境安全模型,给出了进程环境安全的定义和条件。然后对系统结构化要求进行了形式化的描述,并证明通过提出的结构化方法可以获得安全的进程环境。最后结合经典无干扰理论,将本模型由进程环境扩展为适用于整个系统安全的模型。     

面向物联网设备安全的多层次内核访问控制方法

物联网设备受能耗、计算能力等因素限制, 通常采用轻量化的操作系统以及精简化的安全保护机制, 导致物联网设备的操作系统安全保护能力不足, 更容易被用户态程序攻破。为了增强操作系统的隔离能力, 现有的安全保护方法通常限制应用程序可访问的系统调用种类, 使其仅能访问运行所必须的系统调用, 从而缩小操作系统的攻击面。然而, 现有的动态或者静态程序分析方法无法准确获取目标程序运行所依赖的系统调用。动态跟踪方法通过跟踪程序执行过程中触发的系统调用, 仅能获取程序依赖系统调用的子集, 以此作为依据的访问控制可能会影响程序的正常执行。而静态分析方法通常构造程序及其依赖库的控制流图并分析其可达的系统调用, 然而由于静态分析无法精准构建控制流图, 仅能获取目标程序依赖系统调用的超集, 会在访问控制中引入多余的系统调用, 造成操作系统攻击面依然较大。针对现有系统调用访问控制面临的可用性以及精准度问题, 研究多层次的内核访问控制方法, 在现有系统调用访问控制的基础上, 引入了动态链接库的访问控制, 并提出了多层联动的动态安全分析机制, 以动态分析的方法排除由于静态分析不准确引入的额外系统调用, 从而进一步缩小物联网系统的攻击面, 提升物联网设备的隔离能力与安全性。实验结果表明, 相比于现有内核访问控制方法, 本文提出的方法能够抵御更多漏洞而且引入的实时负载更低。