亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

基于可信硬件與虛擬機(jī)的微內(nèi)核操作系統(tǒng)完整性保護(hù)方法

文檔序號:6458626閱讀:244來源:國知局
專利名稱:基于可信硬件與虛擬機(jī)的微內(nèi)核操作系統(tǒng)完整性保護(hù)方法
技術(shù)領(lǐng)域
本發(fā)明涉及的是基于可信硬件平臺(tái)與虛擬機(jī)的微內(nèi)核操作系統(tǒng)完整性 保護(hù)方法,屬于計(jì)算機(jī)應(yīng)用技術(shù)領(lǐng)域。 技術(shù)背景系統(tǒng)運(yùn)行過程中,操作系統(tǒng)很難保證自身服務(wù)及應(yīng)用軟件的安全,雖然 微內(nèi)核操作系統(tǒng)可以通過在微內(nèi)核中增加引用監(jiān)視器來監(jiān)控服務(wù)和應(yīng)用的 行為,但是其仍無法對部分資源訪問行為,尤其是進(jìn)程內(nèi)的內(nèi)存訪問進(jìn)行監(jiān) 控。除外微內(nèi)核自身的安全性沒有有效的措施進(jìn)行保護(hù)。目前的可信度量只 是系統(tǒng)開機(jī)時(shí)的系統(tǒng)資源靜態(tài)完整性度量,只能確保系統(tǒng)開機(jī)時(shí)的系統(tǒng)資源 靜態(tài)完整性,尚不能確保系統(tǒng)工作后的動(dòng)態(tài)可信性。缺少軟件的動(dòng)態(tài)可信性 的度量方法。本發(fā)明的目的旨在提供一種微內(nèi)核可信操作系統(tǒng)中的系統(tǒng)完整性保護(hù)的 方法,通過虛擬機(jī)捕獲和監(jiān)控關(guān)鍵的資源訪問操作,以保護(hù)系統(tǒng)內(nèi)核的完整 性,保證服務(wù)和應(yīng)用執(zhí)行安全策略規(guī)定范圍以內(nèi)的內(nèi)存訪問。本發(fā)明的技術(shù)解決方案基于可信硬件平臺(tái)與虛擬機(jī)的微內(nèi)核操作系統(tǒng) 完整性的保護(hù)方法是采用兩層保護(hù)機(jī)制通過虛擬機(jī)和微內(nèi)核來確保操作系 統(tǒng)自身以及上層服務(wù)和應(yīng)用的完整性。利用可信平臺(tái)硬件實(shí)現(xiàn)操作系統(tǒng)運(yùn)行 過程中的動(dòng)態(tài)度量,實(shí)現(xiàn)對系統(tǒng)運(yùn)行過程中的關(guān)鍵模塊的數(shù)據(jù)和操作序列進(jìn) 行完整性驗(yàn)證。所述的可信硬件平臺(tái)、虛擬機(jī)作為微內(nèi)核可信操作系統(tǒng)的安全基礎(chǔ),其中的可信硬件平臺(tái)是由可信根CTRM、可信平臺(tái)模塊TPM、可信BI0S/EFI構(gòu) 成。所述的兩層保護(hù)機(jī)制,其第一層利用硬件虛擬化技術(shù),使得處于root模 式的虛擬機(jī)能夠捕獲處于non-root模式的微內(nèi)核或其它服務(wù)進(jìn)程和用戶進(jìn) 程的關(guān)鍵內(nèi)存訪問,確保它們不會(huì)受到任何篡改;第二層利用微內(nèi)核的隔離 機(jī)制和安全監(jiān)控模塊的控制機(jī)制來保障系統(tǒng)程序和用戶程序的完整性。所述的利用可信平臺(tái)實(shí)現(xiàn)操作系統(tǒng)運(yùn)行過程中的動(dòng)態(tài)度量,在TPM中 設(shè)定"執(zhí)行表達(dá)式",利用TPM的硬件安全特性保證"執(zhí)行表達(dá)式"不會(huì)被 修改,通過計(jì)算實(shí)際運(yùn)行軌跡并于TPM中設(shè)定的"執(zhí)行表達(dá)式"進(jìn)行比較 來動(dòng)態(tài)地度量系統(tǒng)的安全狀態(tài)。本發(fā)明的優(yōu)點(diǎn)通過虛擬機(jī)技術(shù),操作系統(tǒng)內(nèi)核、服務(wù)及應(yīng)用的資源 訪問操作得以有效監(jiān)控。通過虛擬機(jī)捕獲和監(jiān)控關(guān)鍵的資源訪問操作,以保 護(hù)系統(tǒng)內(nèi)核的完整性,保證服務(wù)和應(yīng)用執(zhí)行安全策略規(guī)定范圍以內(nèi)的內(nèi)存訪 問。受虛擬機(jī)監(jiān)控和保護(hù)的系統(tǒng)內(nèi)核又可監(jiān)控上層服務(wù)與應(yīng)用的資源訪問操 作,以保證服務(wù)和應(yīng)用自身的完整性及執(zhí)行的合法性??尚挪僮飨到y(tǒng)可信鏈 建立和完善,尤其是運(yùn)行過程中的動(dòng)態(tài)度量過程得以實(shí)現(xiàn)。在TPM的支持下, 除了能夠?qū)崿F(xiàn)其他可信操作系統(tǒng)己實(shí)現(xiàn)的由可信根(CRTM)、 BI0S、操作系統(tǒng) 加載器(OS loader)構(gòu)成的系統(tǒng)啟動(dòng)前的可信鏈條,更可以實(shí)現(xiàn)系統(tǒng)啟動(dòng) 過程中的操作系統(tǒng)加載器對操作系統(tǒng)內(nèi)核(kernel),以及操作系統(tǒng)內(nèi)核對 上層服務(wù)和應(yīng)用的的完整性驗(yàn)證。更重要的是,本方法可以實(shí)現(xiàn)在系統(tǒng)執(zhí)行 過程中,對系統(tǒng)內(nèi)核及關(guān)鍵服務(wù)、應(yīng)用行為的動(dòng)態(tài)度量和驗(yàn)證,使得可信鏈能夠進(jìn)一步延續(xù)。


附圖1是可信操作系統(tǒng)及硬件平臺(tái)的結(jié)構(gòu)示意圖。附圖2是可信操作系統(tǒng)的結(jié)構(gòu)示意圖。附圖3是未引入虛擬層的處理機(jī)系統(tǒng)結(jié)構(gòu)示意圖。附圖4是引入虛擬層后的處理機(jī)系統(tǒng)構(gòu)示意圖。 附圖5是實(shí)現(xiàn)硬件虛擬化的結(jié)構(gòu)框圖。
具體實(shí)施方式
對照附圖l,其結(jié)構(gòu)包括可信硬件平臺(tái)(可信根CTRM、可信平臺(tái)模塊 TPM、 BI0S)、可信虛擬機(jī)(TV醒)、可信操作系統(tǒng)(NUT0S)。由可信硬件平 臺(tái)可以保證虛擬機(jī)加載時(shí)的完整性;安全的的虛擬機(jī)又可以保證在其上加載 的可信操作系統(tǒng)的完整性,并在運(yùn)行過程中監(jiān)控微內(nèi)核的行為,并借助TPM 度量和驗(yàn)證操作系統(tǒng)的動(dòng)態(tài)完整性和安全性。擴(kuò)展了可信操作系統(tǒng)的可信鏈,可信鏈條的建立包括以下環(huán)節(jié)主板建 有唯——個(gè)CRTM (Core Root of Trust Measurement),除廠商外,任何主 體無法更改CRTM。系統(tǒng)每次啟動(dòng)時(shí),以CRTM為起點(diǎn),在TPM的支持下,由 CRTM度量BIOS/EFI (Extended Firmware Interface)的完整性,而由 BIOS/EFI度量OS Loader的完整性,之后由OS Loader度量OS Kernel的完 整性,再由OS Kernel靜態(tài)度量本地應(yīng)用程序或遠(yuǎn)程應(yīng)用程序的完整性,最 后再動(dòng)態(tài)地度量系統(tǒng)運(yùn)行過程。從而建立一條信任鏈,包含靜態(tài)度量和動(dòng)態(tài) 度量。OS Loader之前的部分和部分度量過程已有文獻(xiàn)或?qū)@懻撨^,所以 本發(fā)明的關(guān)注重點(diǎn)主要集中在信任鏈中OS Loader以后的部分,特別是動(dòng)態(tài)度量部分。OS Loader首先度量TV麗的完整性,OS Loader再調(diào)用TPM的接 口,依次計(jì)算要加載的TV讓各模塊的代碼的、配置文件、環(huán)境數(shù)據(jù)的哈希 值,以及計(jì)算啟動(dòng)過程的哈希值,并與期望值作比較,如果不相符,則拒絕 繼續(xù)加載下一個(gè)模塊。當(dāng)TV醒的所有模塊都加載并啟動(dòng)完畢,則認(rèn)為TVMM 是可信的。OS Loader將OS kernel的控制和度量權(quán)交由TV麗,TVMM則可以 通過調(diào)用TPM的接口度量OS kernel各模塊的代碼完整性、數(shù)據(jù)完整性和啟 動(dòng)過程的完整性,與此同時(shí)加載和啟動(dòng)內(nèi)核模塊。在虛擬層構(gòu)造系統(tǒng)監(jiān)控器,獨(dú)立于上層操作系統(tǒng),避免上層操作系統(tǒng)行 為對它的影響,利用它監(jiān)視上層操作系統(tǒng)的區(qū)域隔離狀態(tài),保證上層操作系 統(tǒng)內(nèi)核和操作系統(tǒng)引用監(jiān)視器的完整性。對照附圖2,其結(jié)構(gòu)包括微內(nèi)核、設(shè)備驅(qū)動(dòng)、安全服務(wù)器、服務(wù)進(jìn)程 (進(jìn)程管理、存儲(chǔ)管理等)、上層應(yīng)用。安全服務(wù)器是引用監(jiān)視器(Reference Monitor)的關(guān)鍵部分,與其它進(jìn)程有頻繁的交互。我們的系統(tǒng)基于微內(nèi)核 結(jié)構(gòu),安全微內(nèi)核運(yùn)行于內(nèi)核特權(quán)模式,提供基本的功能和安全機(jī)制,系統(tǒng) 的大部分功能通過運(yùn)行在用戶模式的系統(tǒng)功能服務(wù)進(jìn)程實(shí)現(xiàn)。系統(tǒng)功能服務(wù) 進(jìn)程包括進(jìn)程管理、資源管理和安全服務(wù)器及單獨(dú)的驅(qū)動(dòng)程序。該系統(tǒng)可以 有效地實(shí)現(xiàn)操作系統(tǒng)自身的完整性保護(hù),并且可以為上層應(yīng)用提供細(xì)粒度的 靈活的強(qiáng)制訪問控制框架,為應(yīng)用層提供完整性和機(jī)密性保障服務(wù)。進(jìn)程管 理主要負(fù)責(zé)管理系統(tǒng)中的進(jìn)程的加載、調(diào)度、運(yùn)行、交互、結(jié)束等過程。資 源管理器管理系統(tǒng)中的資源如文件、設(shè)備、網(wǎng)絡(luò)socket等并對訪問加以控 制。安全服務(wù)器則負(fù)責(zé)整個(gè)系統(tǒng)的安全決策及安全策略信息的維護(hù)。驅(qū)動(dòng)程 序進(jìn)程與設(shè)備交互。各個(gè)模塊實(shí)現(xiàn)了權(quán)限上的劃分,每個(gè)模塊只擁有完成自己工作的那些權(quán)限。有效的實(shí)現(xiàn)操作系統(tǒng)各功能模塊之間的職責(zé)分離和最小特權(quán)原則。微內(nèi)核和虛擬機(jī)共同處于執(zhí)行安全級O級,而處于non-root 模式的微內(nèi)核的完整性受處于root模式的虛擬機(jī)保護(hù)和監(jiān)控;同時(shí)微內(nèi)核 監(jiān)控處于執(zhí)行安全級3級的設(shè)備驅(qū)動(dòng)、安全服務(wù)器、服務(wù)進(jìn)程(進(jìn)程管理、 存儲(chǔ)管理等)的行為,并利用TPM驗(yàn)證其完整性;服務(wù)進(jìn)程為上層應(yīng)用服務(wù), 上層應(yīng)用同樣受到微內(nèi)核和安全服務(wù)器的管理和監(jiān)控。依據(jù)上述結(jié)構(gòu)可采用兩層保護(hù)機(jī)制來確保操作系統(tǒng)自身以及上層服務(wù) 和應(yīng)用的完整性,第一層利用硬件虛擬化技術(shù),使得處于root模式的虛擬 機(jī)能夠捕獲處于non-root模式的微內(nèi)核或其它服務(wù)進(jìn)程和用戶進(jìn)程的關(guān)鍵 內(nèi)存訪問,確保它們不會(huì)受到任何篡改;第二層利用微內(nèi)核的隔離機(jī)制和安 全監(jiān)控模塊的控制機(jī)制來保障系統(tǒng)程序和用戶程序的完整性。對照附圖3,對于未引入虛擬層的客戶機(jī)系統(tǒng),應(yīng)用服務(wù)程序不能直接 訪問硬件資源,只有運(yùn)行在0級的操作系統(tǒng)內(nèi)核和設(shè)備驅(qū)動(dòng)程序可以通過調(diào) 用硬件抽象層來實(shí)現(xiàn)對物理硬件的間接訪問。對照附圖4,對于引入虛擬層的處理機(jī)系統(tǒng),不允許客戶系統(tǒng)繞過虛擬 層,直接訪問物理硬件資源。我們又希望虛擬機(jī)的引入對操作系統(tǒng)是透明的, 即操作系統(tǒng)仍然運(yùn)行在0級但又必須通過虛擬層來執(zhí)行特權(quán)指令。利用 Intel和AMD的硬件虛擬技術(shù)的支持,引入VMX-root和VMX-non-root兩種 運(yùn)行模式。并使得虛擬機(jī)運(yùn)行在VMX-root模式下,客戶系統(tǒng)內(nèi)核運(yùn)行在 VMX-non-root模式下。運(yùn)行在VMX-non-root模式下的程序執(zhí)行特權(quán)指令, 即使特權(quán)級是0也會(huì)被虛擬機(jī)trap到,從而實(shí)現(xiàn)對客戶系統(tǒng)的指令虛擬。 而對客戶系統(tǒng)來說,就像它直接執(zhí)行特權(quán)指令一樣。對照圖5,在Intel和AMD的硬件虛擬技術(shù)的支持下,實(shí)現(xiàn)硬件虛擬化 包括以下三個(gè)方面的基本內(nèi)容內(nèi)存管理,CPU虛擬化和設(shè)備I/0虛擬化。① CPUIntel的Vanderpool技術(shù)定義了從VMX-root到VMX-non-root的 VMentry操作和從VMX-non-root返回VMX-root的VMexit的操作。客戶操作 系統(tǒng)執(zhí)行CPU訪問指令都會(huì)觸發(fā)VMexit操作,并轉(zhuǎn)向執(zhí)行虛擬機(jī)中斷處理 程序,從而為虛擬機(jī)監(jiān)控客戶操作系統(tǒng)提供了條件。VMentry和VMexit操作 還實(shí)現(xiàn)了模式切換所必需的虛擬地址空間重新加載、保存與恢復(fù)虛擬機(jī)的上 下文、激活虛擬機(jī)相應(yīng)的處理程序等功能。② 內(nèi)存管理本發(fā)明描述的虛擬機(jī)內(nèi)存管理只支持分頁的客戶機(jī)操作系統(tǒng)。 Intel-Vanderpool技術(shù)給x86 CPU的MOV from CR3, MOV to CR3, INLVPG 等相關(guān)特權(quán)指令的執(zhí)行,增加了可以觸發(fā)VMexit操作的機(jī)制。CR3保存著頁 目錄地址,虛擬機(jī)為每一個(gè)客戶操作系統(tǒng)提供了虛擬的CR3,并通過控制客 戶操作系統(tǒng)對實(shí)際的CR3的訪問,來控制客戶機(jī)的地址映射過程,實(shí)現(xiàn)對客 戶機(jī)內(nèi)存的管理,提供區(qū)域隔離關(guān)鍵的機(jī)制。③ 設(shè)備I/O虛擬機(jī)為每一個(gè)客戶系統(tǒng)都虛擬了一套設(shè)備1/0。如下圖所示,當(dāng)虛擬 機(jī)捕獲到客戶機(jī)內(nèi)核或客戶機(jī)的硬件抽象層執(zhí)行的1/0操作指令后,便會(huì)調(diào) 用虛擬機(jī)的設(shè)備驅(qū)動(dòng)或硬件抽象層訪問實(shí)際的物理設(shè)備,為上層客戶機(jī)操 作系統(tǒng)提供I/0服務(wù)。虛擬機(jī)對客戶系統(tǒng)是透明的,每一個(gè)客戶系統(tǒng)都以為 自己直接運(yùn)行在物理平臺(tái)上。利用可信平臺(tái)實(shí)現(xiàn)操作系統(tǒng)運(yùn)行過程中的動(dòng)態(tài)度量,是在TPM中設(shè)定 "執(zhí)行表達(dá)式",利用TPM的硬件安全特性保證"執(zhí)行表達(dá)式"不會(huì)被修改, 通過計(jì)算實(shí)際運(yùn)行軌跡并于TPM中設(shè)定的"執(zhí)行表達(dá)式"進(jìn)行比較來動(dòng)態(tài) 地度量系統(tǒng)的安全狀態(tài)。系統(tǒng)運(yùn)行過程中的動(dòng)態(tài)度量包括對靜態(tài)數(shù)據(jù)的完整性度量和對關(guān)鍵模 塊執(zhí)行完整性的度量。對靜態(tài)數(shù)據(jù)的度量主要包括TVMM、 OS Kernel和上層服務(wù)和應(yīng)用程序的 代碼,以及代碼執(zhí)行所依賴的動(dòng)態(tài)庫文件、環(huán)境配置文件、數(shù)據(jù)輸入文件等 的完整性進(jìn)行度量。由于系統(tǒng)資源在兩級引用監(jiān)視的控制之下,因此,度量 的頻率不需要很高,具體頻率依模塊的安全級別而定。虛擬機(jī)、微內(nèi)核、系統(tǒng)服務(wù),以及應(yīng)用程序都由很多進(jìn)程組成。如果進(jìn) 程的執(zhí)行違背了安全策略的要求,則很可能破壞自身模塊的執(zhí)行,甚至間接 干擾其他交互模塊的執(zhí)行,產(chǎn)生安全問題。因此,對執(zhí)行完整性的的動(dòng)態(tài)度 量主要指度量進(jìn)程執(zhí)行是否符合預(yù)定的設(shè)計(jì);關(guān)鍵模塊是否被旁路;多個(gè)模 塊并行執(zhí)行時(shí)是否存在互相干擾的情況等。由于存儲(chǔ)空間的限制和對時(shí)間開銷的考慮,我們不可能將所有正確的執(zhí) 行路徑都列舉并保存起來以考察實(shí)際的執(zhí)行路徑是否在這個(gè)龐大的集合里 面。但是我們通過進(jìn)程代數(shù)的方法將每一個(gè)模塊的中行為軌跡描述成表達(dá) 式,以及通過作用于表達(dá)式間的代數(shù)算子,將多個(gè)模塊的表達(dá)式連接起來可 以描述一個(gè)進(jìn)程的表達(dá)式。對于我們自行設(shè)計(jì)和實(shí)現(xiàn)的操作系統(tǒng)和軟件,描 述是可行而方便的。而對于其他系統(tǒng)或軟件,則需要通過分析其設(shè)計(jì)文檔或通過跟蹤學(xué)習(xí)的方式了解并描述其行為軌跡。模塊的表達(dá)式如同代碼一樣,在其加載之后是不會(huì)改變,考慮到TPM中 PCR的存儲(chǔ)容量的限制,我們將這些表達(dá)式以文件的形式保存在磁盤上,并 利用操作系統(tǒng)的簽名私鑰對其簽名,在操作系統(tǒng)裝載之前度量并驗(yàn)證其完整 性。當(dāng)系統(tǒng)啟動(dòng)之后,模塊表達(dá)式會(huì)被讀取到內(nèi)存中,該內(nèi)存頁設(shè)為只讀, 受OS kernel保護(hù),且其校驗(yàn)碼會(huì)在讀入內(nèi)存之后被擴(kuò)展入TPM的PCR中。在系統(tǒng)運(yùn)行過程中,當(dāng)一個(gè)進(jìn)程被創(chuàng)建時(shí),操作系統(tǒng)的動(dòng)態(tài)度量模塊會(huì) 根據(jù)進(jìn)程執(zhí)行的代碼,讀取相應(yīng)的模塊表達(dá)式,從而創(chuàng)建進(jìn)程表達(dá)式,進(jìn)程 表達(dá)式也會(huì)被存儲(chǔ)在一塊受保護(hù)的內(nèi)存空間中,除了動(dòng)態(tài)度量模塊都不可以 讀取這塊區(qū)域(這可以由上文提到的虛擬機(jī)技術(shù)和多保護(hù)域機(jī)制保證)。同 時(shí)將進(jìn)程表達(dá)式擴(kuò)展入PCR中,在創(chuàng)建進(jìn)程表達(dá)式之前,動(dòng)態(tài)度量模塊會(huì)首 先驗(yàn)證模塊表達(dá)式的完整性和簽名。當(dāng)進(jìn)程執(zhí)行時(shí),動(dòng)態(tài)度量模塊會(huì)記錄進(jìn) 程的執(zhí)行日志到日志中,并會(huì)定期的對該進(jìn)程進(jìn)行度量,度量方法是通過 進(jìn)程代數(shù)的方法將記錄中未度量的實(shí)際路徑與進(jìn)程表達(dá)式做關(guān)于實(shí)際路徑 的后繼操作(即計(jì)算執(zhí)行了該路徑之后的進(jìn)程表達(dá)式),如果運(yùn)算結(jié)果仍是 一個(gè)可執(zhí)行的表達(dá)式,則通過本地驗(yàn)證,并將新的表達(dá)式替換原有的進(jìn)程表 達(dá)式,否則轉(zhuǎn)到錯(cuò)誤處理模塊。在計(jì)算出新的進(jìn)程表達(dá)式時(shí),為了便于度量, 還需將表達(dá)式的校驗(yàn)碼同時(shí)存入存儲(chǔ)度量日志SML,以及擴(kuò)展到PCR中。以 進(jìn)程代數(shù)CSP為例進(jìn)程表達(dá)式<formula>formula see original document page 10</formula> 實(shí)際路徑<formula>formula see original document page 10</formula>路徑i的驗(yàn)證<formula>formula see original document page 10</formula>實(shí)際路徑<formula>formula see original document page 10</formula>路徑2的驗(yàn)證<formula>formula see original document page 10</formula>顯然F是可執(zhí)行序列,而F'不是,所以執(zhí)行路徑2不能通過驗(yàn)證并繼續(xù) 執(zhí)行。對動(dòng)態(tài)度量值的報(bào)告和驗(yàn)證過程與靜態(tài)度量值的報(bào)告和驗(yàn)證機(jī)制類似。報(bào)告之前,度量模塊要首先度量當(dāng)前的執(zhí)行狀態(tài),擴(kuò)展SML記錄和TPM的相 關(guān)PCR值。接著,將SML, PCR的簽名、模塊表達(dá)式和進(jìn)程表達(dá)式的簽名報(bào) 告給驗(yàn)證方。驗(yàn)證方首先驗(yàn)證簽名,再利用模塊表達(dá)式和進(jìn)程表達(dá)式、SML 以及PCR值驗(yàn)證當(dāng)前執(zhí)行狀態(tài)沒有背離模塊表達(dá)式的行為軌跡定義,從而認(rèn) 為被驗(yàn)證方當(dāng)前的執(zhí)行狀態(tài)是可信的。保證執(zhí)行完整度量可用性的兩個(gè)關(guān)鍵問題是如何選擇構(gòu)成度量表達(dá)式 的事件和度量的頻率。本發(fā)明主要考慮將執(zhí)行完整度量用在對完整性要求很 高的操組系統(tǒng)內(nèi)核模塊或服務(wù)模塊,由于操作系統(tǒng)也是由本項(xiàng)組設(shè)計(jì)和實(shí) 現(xiàn),因此對模塊行為的描述和分析是可行的。而對于復(fù)雜的操作系統(tǒng)服務(wù)模 塊,以及運(yùn)行在其上的大量應(yīng)用軟件,我們也會(huì)通過采取剪枝、抽象等方法 嘗試分析其行為軌跡的完整性特征。除外,對于構(gòu)成模塊表達(dá)式的度量事件 我們也會(huì)根據(jù)安全需求進(jìn)行選擇和裁減,以降低度量的空間和時(shí)間復(fù)雜度, 主要以系統(tǒng)調(diào)用,讀寫操作,跳轉(zhuǎn)指令等為主。度量頻率則根據(jù)模塊安全級 別的不同而分別考察和定義。
權(quán)利要求
1、基于可信硬件與虛擬機(jī)的微內(nèi)核操作系統(tǒng)完整性保護(hù)方法,其特征是采用可信硬件平臺(tái)、虛擬機(jī)作為微內(nèi)核可信操作系統(tǒng)的安全基礎(chǔ);采用兩層保護(hù)機(jī)制通過虛擬機(jī)和微內(nèi)核來確保操作系統(tǒng)自身以及上層服務(wù)和應(yīng)用的完整性;利用可信平臺(tái)實(shí)現(xiàn)操作系統(tǒng)運(yùn)行過程中的動(dòng)態(tài)度量。
2、根據(jù)權(quán)利要求1所述的基于可信硬件與虛擬機(jī)的微內(nèi)核操作系統(tǒng)完 整性保護(hù)方法,其特征是所述的可信硬件平臺(tái)、虛擬機(jī)作為微內(nèi)核可信操作 系統(tǒng)的安全基礎(chǔ),其中的可信硬件平臺(tái)是由可信根CTRM、可信平臺(tái)模塊TPM、 可信BI0S/EFI構(gòu)成。
3、根據(jù)權(quán)利要求1所述的基于可信硬件與虛擬機(jī)的微內(nèi)核操作系統(tǒng)完整 性保護(hù)方法,其特征是所述的兩層保護(hù)機(jī)制,其第一層利用硬件虛擬化技術(shù), 使得處于root模式的虛擬機(jī)能夠捕獲處于non-root模式的微內(nèi)核或其它服 務(wù)進(jìn)程和用戶進(jìn)程的關(guān)鍵內(nèi)存訪問,確保它們不會(huì)受到任何篡改;第二層利 用微內(nèi)核的隔離機(jī)制和安全監(jiān)控模塊的控制機(jī)制來保障系統(tǒng)程序和用戶程 序的完整性。
4、根據(jù)權(quán)利要求1所述的基于可信硬件與虛擬機(jī)的微內(nèi)核操作系統(tǒng)完 整性保護(hù)方法,其特征是所述的利用可信平臺(tái)實(shí)現(xiàn)操作系統(tǒng)運(yùn)行過程中的動(dòng) 態(tài)度量,在TPM中設(shè)定"執(zhí)行表達(dá)式",利用TPM的硬件安全特性保證"執(zhí) 行表達(dá)式"不會(huì)被修改,通過計(jì)算實(shí)際運(yùn)行軌跡并于TPM中設(shè)定的"執(zhí)行 表達(dá)式"進(jìn)行比較來動(dòng)態(tài)地度量系統(tǒng)的安全狀態(tài)。
全文摘要
本發(fā)明涉及的是基于可信硬件與虛擬機(jī)的微內(nèi)核操作系統(tǒng)完整性保護(hù)方法,采用可信硬件平臺(tái)、虛擬機(jī)作為微內(nèi)核可信操作系統(tǒng)的安全基礎(chǔ);采用兩層保護(hù)機(jī)制通過虛擬機(jī)和微內(nèi)核來確保操作系統(tǒng)自身以及上層服務(wù)和應(yīng)用的完整性;利用可信平臺(tái)實(shí)現(xiàn)操作系統(tǒng)運(yùn)行過程中的動(dòng)態(tài)度量。優(yōu)點(diǎn)通過虛擬機(jī)技術(shù),操作系統(tǒng)內(nèi)核、服務(wù)及應(yīng)用的資源訪問操作得以有效監(jiān)控。通過虛擬機(jī)捕獲和監(jiān)控關(guān)鍵的資源訪問操作,以保護(hù)系統(tǒng)內(nèi)核的完整性。受虛擬機(jī)監(jiān)控和保護(hù)的系統(tǒng)內(nèi)核又可監(jiān)控上層服務(wù)與應(yīng)用的資源訪問操作,以保證服務(wù)和應(yīng)用自身的完整性及執(zhí)行的合法性。實(shí)現(xiàn)在系統(tǒng)執(zhí)行過程中,對系統(tǒng)內(nèi)核及關(guān)鍵服務(wù)、應(yīng)用行為的動(dòng)態(tài)度量和驗(yàn)證,使得可信鏈能夠進(jìn)一步延續(xù)。
文檔編號G06F21/00GK101226577SQ20081001885
公開日2008年7月23日 申請日期2008年1月28日 優(yōu)先權(quán)日2008年1月28日
發(fā)明者雋 崔, 皓 黃, 黃松華 申請人:南京大學(xué)
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會(huì)獲得點(diǎn)贊!
1