（计算机科学与技术专业论文）基于虚拟化的多域安全框架及其关键技术研究.pdf

国防科学技术大学研究生院t 学硕十学位论文 摘要 随着计算机技术的发展与网络的普及，p c 平台已经逐渐成为网络计算的基本 构成元素。互联网的普及，为p c 用户日常的工作、学习、娱乐提供了极大的便利， 但也带来了一些安全性问题。一方面，用户越来越依赖于从网上下载软件。这些 软件可能包含恶意代码，威胁系统安全。另一方面，由于现有操作系统安全性方 面的缺陷，黑客可以通过网络很轻易的绕过操作系统的安全机制，非法入侵用户 的p c 平台。 传统操作系统没有为用户提供较好的隔离机制。运行在操作系统中的用户重 要程序和数据受到系统中恶意代码以及网络攻击的严重威胁。为了保护用户重要 程序和数据安全，需要设计一个合理的安全体系结构。一方面能够有效地将用户 重要程序和数据与系统中的恶意代码以及网络攻击隔离开。另一方面能够满足用 户在系统可用性、灵活性、高效性等方面的需求。 本文针对传统操作系统体系结构在安全性方面的缺陷，以虚拟机技术为基础， 提出了多域安全虚拟个人计算机一一m u l t i - d o m a i ns e c u r i t yv i r t u a lp e r s o n n e l c o m p u t e r ( m d s v p c ) 的体系结构。 本文首先深入分析对比了现有隔离机制的在安全性和可用性等方面的优势与 不足，得出了基于虚拟机技术的隔离机制最能够满足用户需求。然后分析了现有 基于虚拟机技术的安全体系结构。这些安全体系结构在安全性等方面并不能完全 满足用户的需求。基于安全性、可用性、灵活性等方面的需求，本文给出了 m d s v p c 所应该满足的系统约束，提出了m d s v p c 安全模型。并从理论上证明 了m d s v p c 安全模型下，m d s v p c 各个计算域的安全性以及m d s v p c 自身的 安全性皆有所提高。基于此模型，提出了独立于操作系统实现的m d s v p c 的体 系结构，该体系结构独立于操作系统实现，具有很好的可移植性。 针对隔离机制无法防范来自于隔离的计算域内部的攻击，本文基于m d s v p c 体系结构，设计了m d s v p c 的行为监控模块。其中实现了两个功能隐蔽进 程检测和进程访存监视。 本文首先分析了现有隐蔽进程检测技术在隐蔽进程检测方面产生不精确的原 因。针对此原因，设计了基于m d s v p c 的隐蔽进程检测模型，并进行了代码实 现，一定程度上解决了检测的不精确性。同时设计了基于m d s v p c 的进程访存 监视模块，对进程的访存行为进行监视并记录。进程访存监视的开销往往比较大， 本文在记录的完整性和效率方面做了权衡，并尽量优化了模块的算法实现。通过 分析进程的访存记录，根据一定的判断策略便可以判断出进程的非法访存行为。 综上所述，本文针对在不影响系统可用性，高效性等前提下如何保证系统的 第i 页 国防科学技术大学研究生院t 学硕士学位论文 高安全性方面提出了有效的解决方案，对于提高p c 系统的安全性具有一定的理论 意义和应用价值。 主题词：多域安全，虚拟机，隔离机制，行为监控，安全体系结构 第i i 页 国防科学技术大学研究生院工学硕十学位论文 a b s t p a c t w i t ht h ed e v e l o p m e n to fc o m p u t e rt e c h n o l o g ya n dt h ep o p u l a r i z a t i o no fi n t e m e t ， p cp l a t f o r mh a sg r a d u a l l yb e c o m eab a s i cc o m p o n e n to fn e t w o r kc o m p u t i n g t h e p o p u l a r i t yo ft h ei n t e r a c tp r o v i d e sp cu s e r sag r e a tc o n v e n i e n c ei nd a i l yw o r k ，s t u d y ， e n t e r t a i n m e n t ，b u ti th a sa l s ob r o u g h ts o m es e c u r i t yi s s u e s o nt h eo n eh a n d ，u s e r s b e c o m em o r ea n dm o r ed e p e n d e n to nt od o w n l o a ds o f t w a r ef r o mt h ei n t e m e t i tm a y c o n t a i nm a l i c i o u sc o d ea n dt h r e a tt h es e c u r i t yo fs y s t e m o nt h eo t h e rh a n d ，b e c a u s et h e e x i s t i n go p e r a t i n gs y s t e mh a ss e c u r i t yf l a w si ns e c u r i t y , h a c k e rc a ne a s i l yb y p a s st h e o p e r a t i n gs y s t e m ss e c u r i t ym e c h a n i s m sa n di n v a d eu s e r s p cp l a t f o r mt h r o u g h n e t w o r k t r a d i t i o n a lo p e r a t i n gs y s t e md o e sn o tp r o v i d eu s e r sag o o di s o l a t i o nm e c h a n i s m u s e r s i m p o r t a n tp r o g r a m sa n dd a t ar u n n i n gi nt h eo p e r a t i n gs y s t e ma r eu n d e rt h et h r e a t o fm a l i c i o u sc o d ei ns y s t e ma n dn e t w o r ka t t a c k i no r d e rt op r o t e c tt h es e c u r i t yo fu s e r s i m p o r t a n tp r o g r a m sa n dd a t a , r e a s o n a b l es e c u r i t ya r c h i t e c t u r en e e dt ob ed e s i g n e d o n t h eo n eh a n d ，i tc a ni s o l a t eu s e r s i m p o r t a n tp r o g r a m sa n dd a t af r o mm a l i c i o u sc o d ea n d n e t w o r ka u a c k o nt h eo t h e rh a n d ，i tc a nm e e tt h eu s e r s n e e di na v a i l a b i l i t y ，f l e x i b i l i t y , e f f i c i e n c ya n ds oo n b e c a u s et h et r a d i t i o n a lo p e r a t i n gs y s t e mh a ss e c u r i t yf l a w si ns e c u r i t y ，t h i sp a p e r p r o p o s a lt h ea r c h i t e c t u r eo fm u l t id o m a i ns e c u r i t yv i r t u a lp e r s o n n e lc o m p u t e r , w h i c h i sb a s e do nv i r t u a l i z a t i o nt e c h n o l o g y f i r s t ，t h i sp a p e ra n a l y z e sa n dc o m p a r e st h ee x i s t i n gi s o l a t i o nm e c h a n i s m s a d v a n t a g ea n dd i s a d v a n t a g ei ns e c u r i t ya n da v a i l a b i l i t y c o n c l u d i n gt h a tt h ei s o l a t i o n m e c h a n i s mw i t c hi sb a s e do nv i r t u a l i z a t i o nc a nm e e tu s e r s n e e dm o s t l y s e c o n d ，t h i s p a p e ra n a l y z e st h ee x i s t i n g s e c u r i t y a r c h i t e c t u r e sf e a t u r e sw h i c ha r eb a s e do n v i r t u a l i z a t i o n t h e s es e c u r i t ya r c h i t e c t u r e sc a nn o tm e e tt h en e e d so fu s e r si ns e c u r i t y b a s e do nt h en e e di ns e c u r i t y ，a v a i l a b i l i t y ，f l e x i b i l i t y ，t h i sp a p e rp r o p o s a ls o m e c o n s t r a i n tm d s v - p cs h o u l ds a t i s f y a n dp r o p o s a lt h es e c u r i t ym o d e lo fm d s v p c t h i r d ，t h i sp a p e rp r o v e st h a tt h es e c u r i t yo fa l ld o m a i na n dm d s v p ci t s e l fh a v eb e e n i m p r o v e di nt h em d s v p cs e c u r i t ym o d e l f i n a l l y ，b a s e do nt h i sm o d e l ，t h i sp a p e r p r o p o s a lt h ea r c h i t e c t u r eo fm d s v - p cw h i c hi si n d e p e n d e n to ft h eo p e r a t i n gs y s t e m a n dh a v eg r e a tp o r t a b i l i t y b e c a u s et h ei s o l a t i o nm e c h a n i s mc a n td e f e n s ea t t a c k si n s i d ed o m a i n ，t h i sp a p e r d e s i g nab e h a v i o rm o n i t o r i n gm o d u l eb a s e do nm d s v - p cw h i c hh a st w of u n c t i o n s ， h i d d e np r o c e s sd e t e c t i o na n dp r o c e s sa c c e s sm e m o r ym o n i t o r t h i sp a p e rf i r s ta n a l y z e st h er e a s o n sw h ye x i s t i n gh i d d e np r o c e s sd e t e c t i o n t e c h n o l o g yc a n td e t e c th i d d e np r o c e s sa c c u r a t e l y b a s e do nt h e s er e a s o n s ，t h i sp a p e r d e s i g n e dah i d d e np r o c e s sd e t e c t i o nm o d u l ea n di m p r o v e di t sa c c u r a c y a tt h es a m e 第i i i 页 国防科学技术大学研究生院工学硕士学何论文 t i m e ，t h i sp a p e ra c h i e v e dt h ep r o c e s sa c c e s sm e m o r ym o n i t o r r e c o r dt h eb e h a v i o ro f t h em e m o r ya c c e s s t os u mu p ，t h i sp a p e rr e s e a r c h e sh o wt oi m p r o v et h es y s t e ms e c u r i t yb u tn o t r e d u c es y s t e ma v a i l a b i l i t ya n de f f i c i e n c y i th a ss o m ec e r t a i nt h e o r e t i c a la n da p p l i c a t i o n v a l u ei ni m p r o v i n gt h es e c u r i t yo fp cp l a t f o r m k e yw o r d s ：m u l t id o m a i ns e c u r i t y ，v i r t u a lm a c h i n e ，i s o l a t i o nm e c h a n i s m ， b e h a v i o rm o n i t o r ，s e c u r i t ya r c h i t e c t u r e 第i v 页 国防科学技术大学研究牛院工学硕士学位论文 表目录 表5 1r o o t k i t 检测结果4 9 第1 i l 页 国防科学技术大学研究生院工学硕士学位论文 图2 1 图2 2 图2 3 图2 4 图2 5 图3 1 图4 1 图4 2 图4 3 图4 4 图4 5 图4 6 图4 7 图 图 图 图 图5 5 图5 6 图目录 软件动态转换技术7 s t r a t a 的体系结构7 t e r r a 可信虚拟机计算机的体系结构1 0 s h y p e 的体系结构1 1 n g s c b 的体系结构12 m d s v p c 的体系结构1 8 x 8 6 架构的页表体系结构2 7 影子页表映射机制2 8 g u e s to s 与v m m 的切换3 2 集合之间的关系3 3 隐蔽进程检测的执行流程图。3 7 页面访问控制模块数据结构定4 l 页面访问控制模块实现流程图4 2 m d s v p c 的实现框图4 4 带外监控模块运行原理4 6 控制端运行隐藏进程4 8 从客户机显示全部进程4 8 行为监控模块看到的进程4 9 进程所占用的物理页面51 第1 v 页 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得的研 究成果尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已 经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它教育机构的学 位或证书而使用过的材料与我一同工作的同志对本研究所做的任何贡献均已在论文 中作了明确的说明并表示谢意 学位论文题目：基王虚拯丝的垒域童全攫袈区甚差链拉苤叠究 学位论文作者签名： 圣垒邀日期：弘，? 年ik 月“日 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留，使用学位论文的规定本人授权国 防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子文档，允 许论文被查阅和借阅；可以将学位论文的全部或部分内容编入有关数据库进行检索， 可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密学位论文在解密后适用本授权书) 学位论文题目：基王虚拯丝鲍垒缝塞全框苤丞甚差链拉盔煎究 学位论文作者签名：至绍日期：w 夕年i 二月“日 作者指导教师签名：星乏翌迮日期：汐孑年2 月日 国防科学技术大学研究生院t 学硕士学位论文 第一章绪论 网络化时代对p c 的安全性和易用性提出了越来越高的要求，传统的p c 系统 结构以效率优先而不是以安全优先原则设计的，因此现有的p c 系统越来越容易遭 受黑客、间谍软件和病毒的攻击。可信计算技术与终端平台虚拟化技术已经成为 当前i t 产业发展的热门技术领域，随着p c 硬件性能不断提高，通过虚拟机技术 建立多个相互隔离的安全计算域j 下成为未来个人计算机的一种重要发展趋势。 我国一直对国家信息安全保障体系建设非常重视，中办“关于发展国家信息 安全保障体系”的2 7 号文件明确提出了我国今后信息安全建设和发展的根本性指 导思想：“坚持积极防御、综合防范的方针，全面提高信息安全防护能力，以安 全促发展，在发展中求安全”。计算机主机系统是构成信息安全保障体系的基本 而重要部件，其应用涉及：电子政务、电子军务、电子商务、教育、医疗、家庭 等国民经济的各个领域。计算机系统平台安全保障问题无疑是国家信息安全保障 体系的关键问题之一，计算机主机系统的安全保障设施是国家信息安全保障体系 的安全堡垒。 作为国家信息安全保障体系的一部分，电子军务系统、电子商务系统中信息 安全基础设施中面临着严峻的主机安全性问题。电脑商用客户，包括大客户、行 业用户，中小企业用户等，对p c 的依赖性日益增加，一直以来有各种安全方面的 需求，包括网络和数据的安全保护方面。但是传统p c 系统结构以效率优先而不是 以安全优先原则设计的，因此现有的p c 系统越来越容易遭受黑客、间谍软件和病 毒的攻击，已成为p c 发展的制约因素。因此迫切需要从根本上改变现有p c 的系 统结构以适应我国对个人终端计算机系统的安全以及多域计算要求。 1 1 课题研究背景 目前，计算机领域存在着三大发展趋势：虚拟化技术日新月异；可信计算技 术日趋成熟；虚拟机安全技术全面发展。 虚拟化技术日新月异 国外著名的服务器厂商、软件公司以及相关组织非常关注虚拟化技术的发展。 硬件虚拟化方面，i n t e l 和a m d 分别推出了v t x 与p a c i f i c a 以支持c p u 的虚 拟化，实现更高的虚拟性能和不修改g u e s to s 的目的。为了支持m m u 的虚拟化， i n t e l 和a m d 相继推出了e p t 和n p t 。降低了m m u 虚拟化的复杂性，提高了效 率和安全性。为了实现更高效率的虚拟i o ，i n t e l 和a m d 分别推出了v t d ( v i r t u a l i z a t i o nt e c h n o l o g yf o rd i r e c t e di 0 ，定向i o 虚拟化技术) 和i o m m u ( i 0 第1 页 国防科学技术大学研究生院t 学硕十学1 1 c ) = 论文 m e m o 叫m a p p i n gu n i t ，i o 内存映射单元) 技术。 软件方面i b m 结合其在虚拟机领域的多年积累，在其p s e r i e s 高端服务器中引 入了动态逻辑分区概念，允许用户以更小的粒度从整个可用资源池中选择组件， 增加了运行的灵活性。 v m w a r e 公司在1 9 9 9 年推出了业界第一个基于x 8 6 的完全虚拟化的虚拟机 v m w a r ew o r k s t a t i o n 。2 0 0 1 年v m w a r e 推出了面向服务器市场的v m w a r ee s x s e r v e r 和v m w a r eg s xs e r v e r 。首次提出了称之为“气球 的内存管理技术以共享 虚拟机之间的物理内存。 x e n 引入了管理接口和事件机制，同时引入了客户机和v m m 之间的共享内 存数据交换机制。x e n 将客户机称之为虚拟域，其中虚拟域0 为服务域，拥有绝 大部分的i o 资源并向其它虚拟域提供设备模型以及控制平台。 可信计算技术日趋成熟 可信计算平台技术的目的是在计算和通信系统中广泛使用基于硬件安全模块 支持下的可信计算平台，以提高信息和信息系统的安全性。可信计算和安全领域 近年来正在蓬勃发展。 为了解决p c 机结构上的不安全问题，从根本上提高其可信性。t c g ( t r u s t e d c o m p u t i n gg r o u p ) 制定出一系列的技术规范，试图将可信计算平台技术扩展应用 到个人计算机、服务器、p d a 、移动电话、存储和其它计算平台上，并以可信网 络终端为基础建立可信网络连接( t n c ) 。相关厂商已经发布符合规范的t p m 芯 片和计算机硬件平台，比如i n t e l 、a m d 、a m t e l 、联想等。 为了促进可信计算平台技术的广泛应用，在相关的技术规范之上，一些著名 厂商和院校科研机构也着手可信系统和可信应用方面的研究，i n t e l 、a m d 和 m i c r o s o f t 相继提出基于可信计算平台技术的l t ( l a g r a n d et e c h n o l o g y ) 体系、s e m ( s e c u r ee x e c u t i o nm o d e ) 体系和下一代安全计算基( n g s c b ) 结构；以i b m 为 代表的一些研究在可信证明机制和策略方面也展开了广泛深入的研究；卡耐基梅 隆大学的研究人员甚至还提出全新的可信c p u 概念等等。 大量的技术和市场发展迹象表明，可信计算平台技术将要成为下一个安全产 业热点。据i d c 分析，到2 0 0 7 年全球2 亿1 千多万p c 发货量中超过8 0 的计算 机将采用可信计算平台技术硬件。 虚拟机安全技术全面发展 虚拟机的隔离性以及广泛应用于虚拟机安全领域。t e r r a 以虚拟机技术为，提 出了自己的可信计算体系结构。目标是支持具有不同安全需求的应用同时运行在 同一硬件平台之上。i b m 公司基于x e n 开发了支持强制访问控制的虚拟机系统。 旨在为服务器平台提供一个安全基础。i n t e l 也即将推出的v p r o 扩展平台技术， 第2 页 国防科学技术大学研究生院工学硕+ 学位论文 以力u 强虚拟化环境中的u j 信计算。i b m 公司开发了自己的v t p m 系统，实现了信 用链在v m m 中的安全传递。此外，基于虚拟机的行为监控技术也得到了广泛的 应用。例如基于虚拟机的入侵检测技术，基于虚拟机的攻击行为分析技术，基于 虚拟机的恶意软件检测技术以及蜜罐系统。 1 2 操作系统体系结构和安全防护机制的缺陷 传统操作系统在安全性方面存在着严重缺陷【4 6 1 。网络攻击和系统中的恶意程 序可以很轻易的绕过操作系统的安全机制获得系统权限，从而对系统进行破坏。 为了维护操作系统的安全性，各大操作系统厂商通过打补丁的方式不断修复系统 中的漏洞，同时通过在系统中添加一系列的安全机制来提高系统的安全性。但是 操作系统的安全性问题并没有因为操作系统厂商的这些努力而解决。例如：微软 在w i n d o wv i s t a 中宣称的绝对安全的“地址空间布局随机化”机制目前已被证明 可以轻易被绕过。传统操作系统的安全性很难克服，主要原因是： 第一，传统操作系统是一个及其复杂的程序，其内部包含了上百万行的代码 使得其很难为上层应用程序提供一个可靠的运行环境。要想在如此复杂的一个系 统之上建立一个简单的、具有高可靠性的应用程序是不可能的。因为其依赖的可 信计算基操作系统本身就是不可信的。 第二，传统操作系统不能够有效地将其上运行的应用程序隔离开。因此，任 意一个程序出问题都会威胁到整个系统的安全性。因此具有不同安全需求的应用 程序不能够运行在同一平台上。因为系统的安全级别由系统中最脆弱的程序来决 定。 第三，传统操作系统没有为用户和应用程序之间提供一个可信的通道。例如， 恶意软件可以通过伪造键盘消息来欺骗应用程序，而应用程序不具备分辨消息是 否是真伪的能力。同时，用户也无法分辨与其交互的程序是可信程序还是恶意软 件。 为了弥补操作系统的安全性问题，用户往往通过引入防火墙，杀毒软件等来 维护系统的安全性。防火墙虽然可以一定程度上组织网络攻击对系统的入侵。但 是对运行在系统内部的病毒，木马却无能为力。杀毒软件尽管能够一定程度上阻 止来自系统内部的攻击，但是判断任意一个程序是否包含恶意代码是一个不可判 定问题，依靠特征码识别恶意代码的方法无法检测新出现的病毒和木马。 1 3 研究内容和主要创新点 本课题的研究内容是探索如何使用虚拟化技术来构建具有多个相互隔离计算 第3 页 国防科学技术大学研究生院t 学硕士学位论文 域的终端计算机。首先根据多域安全虚拟机的应用需求，提出了多域安全虚拟机 应该满足的5 个约束条件，并提出了多域安全虚拟机的体系结构。然后在此结构 的基础之上研究了如何从v m m 层监视g u e s to s 层进行的行为。着重研究了对 g u e s to s 中隐蔽进程的检测以及进程对物理页面使用情况的检测。 首先，对多域安全虚拟机体系结构的研究。多域安全虚拟机的基础技术是隔 离技术。本文首先对比了现存的隔离技术，分析了其优缺点。然后对比了现在较 流行的几个安全体系结构。由于现有的安全体系结构不能够完全满足多域安全虚 拟机的需求，因此提出了多域安全虚拟机的体系结构。 其次，在多域安全体系结构下，着重研究了基于v m m 的隐蔽进程检测和内 存对物理页面使用情况的检测。 本文的主要创新点： 第一，提出了一种新的，基于虚拟机技术的，满足用户在安全性、性能、灵 活性等方面需求的体系结构m u l t i d o m a i ns e c u r i t yv i r t u a lp e r s o n n a lc o m p u t e r ( m d s v p c ) 。本文从理论上证明了在m d s v p c 模型下，各个计算域的安全性 都得到了有效的提高。通过对现有虚拟机模型的分析，提出了t y p ei 虚拟机模型 能够最有效的满足多域安全的需求。基于此模型，提出了m d s v p c 的体系结构。 该体系结构独立于操作系统的实现，具有很好的可移植性。 第二，设计了基于m d s v p c 体系结构的隐蔽进程检测模块。首先分析了现 有隐蔽进程检测方法的优缺点，分析了其产生不精确性的原因。基于此建立了自 己的隐蔽进程检测模型，提高了隐蔽进程检测的精确性，并进行了代码实现。 第三，设计了基于m d s v p c 体系结构的进程访存监控模块。通过适当的选 择对安全性起关键作用的信息以及优化算法，降低了监控机制对系统性能的影响。 1 4 论文的组织结构 全文共分为六章： 第一章：论述。首先阐述了本课题研究内容技术基础的发展状况。然后分析 了现有操作系统的安全缺陷以及安全防护机制的不足之处。最后介绍了论文的组 织结构。 第二章：相关研究。首先简述了现有的隔离机制的实现原理及其优缺点。其 次详细介绍了目前比较流行的几种基于虚拟机架构的安全体系结构。最后介绍了 目前存在的基于虚拟机的带外监控技术。 第三章：m d s v p c 体系结构研究。首先介绍了m d s v p c 的设计目标。根据 其设计目标提出了m d s v p c 必须满足的五点设计约束。提出了满足这五点设计 约束的m d s v p c 体系结构。并对m d s v p c 体系结构的安全性进行了定量的分析。 第4 页 国防科学技术大学研究生院工学硕十学位论文 第四章：基于m d s v p c 的行为监控技术研究。基于带外监控的思想，本节 实现了从v m m 对g u e s to s 层两方面的监控。一方面是检测g u e s to s 层中存在的 隐蔽进程；另一方面，对g u e s to s 中进程对物理页面的使用情况进行监视，从而 发现进程对页面的非法访问。 第五章：m d s v p c 的实现与测试。本章首先对m d s v p c 进行了实现。首先 选用了合适的操作系统作为m d s v p c 的g u e s to s 和h o s to s ，以及合适的虚拟 机监视器作为m d s v p c 的v m m 。接着对m d s v p c 的安全功能进行了实现。测 试方面，通过在g u e s to s 中植入r o o t k i t 测试了m d s v p c 的隐蔽进程检测功能。 接着测试了m d s v p c 的进程访存监视功能。 第六章：结束语。对课题研究工作进行总结，展望进一步研究的方向。 第5 页 国防科学技术大学研究生院丁学硕士学位论文 第二章相关研究 弟一早个日大研氕 2 1 隔离机制 隔离机制【i 】是维护系统安全的重要手段。一个程序是隔离的当且仅当这个程序 的运行不会影响到系统中的其它程序。传统操作系统存在的很大的安全隐患就是 不能够为系统中的程序提供一个有效的隔离机制。系统中的恶意代码往往能够突 破操作系统所提供的隔离机制来破坏系统中其他进程的运行。为了解决操作系统 自身隔离机制较弱的缺陷，人们提出了一系列相关的隔离技术，以弥补操作系统 在隔离性方面的缺陷，保护系统安全。 2 1 1 传统操作系统的隔离机制 传统操作系统为用户提供了最基本的隔离机制地址空间隔离。进程的地 址空间被分为两部分用户空间和内核空间。操作系统中的所有进程共享同一 个内核空间。也就是说对于内核空间的访问，相同的线性地址所获得的物理地址 是相同的。进程的用户空间相互之间是独立的，操作系统为每个进程分配了一套 独立的页表，用页表来完成线性地址到物理地址的转换。通过页表的映射机制， 不同用户空间的相同线性地址所获得的物理地址是不同的。同时内核空间是不能 够被运行在用户态的代码所访问的。由于内核地址空间的特权等级比用户态的代 码要高，因此当访问内核地址空间时，系统会自陷到操作系统代码中运行。操作 系统通过这种机制实现了进程之间的隔离。 但是传统操作系统为用户提供的隔离机制较弱。恶意代码可以轻易的获取系 统权限破坏其他进程的运行。传统操作系统隔离机制的问题在于：一方面，提供 隔离机制的操作系统本身存在着很多漏洞，这些漏洞的存在使得黑客和恶意代码 可以轻易的获得系统权限。另一方面，系统中大量共享资源的存在使得传统操作 系统的隔离机制大打折扣。例如w i n d o w s 和l i n u x 操作系统中广泛使用的共享库。 2 1 2 基于沙箱的隔离机制 在计算机安全领域，沙箱是一种用于安全的运行程序的机制。它常常用来执 行那些非可信的程序。非可信程序中的恶意代码对系统的影响将会被限制在沙箱 内而不会影响到系统的其它部分。沙箱技术按照一定的安全策略通过严格限制非 可信程序对系统资源的使用来实现隔离。 沙箱技术在实际应用中已经有多种实现方案。例如j a n u s l 2 ，c h a k r a v y u h a l 3 1 ， 第6 页 国防科学技术大学研究生院t 学硕十学位论文 b l u e b o x l4 | ，c e r b i5 j 等系统采用拦截系统调用的方式实王见沙箱。通过拦截系统调片j ， 限制沙箱中的程序对某些重要资源的使用。这些资源是指那些对系统安全期关键 作用的资源，一旦被非法使用，便会对系统安全造成严重影响。 s t r a t a 6 1 系统通过一种称之为软件动态转换( s o f t w a r ed y n a m i ct r a n s l a t i o n ) 的 技术实现沙箱。与拦截系统调用一样，软件动态转换的目的也是通过动态转换来 完成对沙箱中程序的资源使用进行限制。其实现如图2 1 所示： 上下文 切换捕获 s t r a t a 虚拟机 奈 早y 图2 1 软件动态转换技术6 1 s t r a t a 实际上构造了一种集成了安全验证机制的语言级虚拟机。其体系结构如 图2 2 所示： 上下文管理链搂器 内存管理 s t r a t a 虚拟机 处理器 缓存管理 目标指令接口 目标指令实现的相关函数 l宿主处理器l i ( 执行缓存中转换后的指令) i 图2 2s t r a t a 的体系结构6 1 沙箱技术按照安全策略来限制程序对系统资源的使用，进而防止其对系统进 行破坏，其有效性依赖于所使用的安全策略的有效性。由于沙箱技术是通过限制 第7 页 国防科学技术大学研究生院工学硕士学位论文 非可信程序刈某些资源的访i 、u j 米防止非可信程序对系统进行破坏。凶此，如果安 全策略过于严格，对非可信进程的行为限制过多，则会影响到非可信进程的运行。 如果安全策略过于简单，又无法有效的防范攻击。 2 1 3 基于虚拟机技术的隔离机制 近几年来，虚拟机技术在可信计算领域已经越来越受到重视。虚拟机在隔离 方面有着良好的性能。基于虚拟机技术的隔离机制，其隔离层v m m 有着体积小， 设计精良，接口简单等几大优势。与传统的运行在操作系统层中的隔离机制相比， 基于虚拟机技术的隔离机制拥有更高的可靠性。与此同时，虚拟机还具备其它方 面的优势，例如可扩展性等。 t h o m a sc b r e s s o u d 等人提出了一个基于虚拟机的容错系统的原型【7 】。他们认 为虚拟机监视器在安全性方面具备两个优势。一方面，由于虚拟机监视器实现的 功能较少，其稳定性和可靠性要远远高于传统操作系统。另一方面，由于虚拟机 监视器运行在操作系统底层，具有最高特权等级，这就使得它在安全性方面仅仅 依赖于硬件，而独立于操作系统。 斯坦福大学研制了d i s c o 系统【8 】，它支持在一个大规模的c c n u m a 结构计算 机上运行多个i r i x 操作系统。它屏蔽了底层硬件的复杂性，降低了系统软件的开 发复杂度。在此基础上，他们又与惠普实验室合作，于1 9 9 9 年提出了c e l l u l a rd i s c o 系统【9 】，该系统原型能在一台s g io r i g i n2 0 0 0 系统上构造一个虚拟集群，并利用 底层硬件的特点，对虚拟集群的资源进行共享和动态调配。 c o v i r t 1 0 】提出通过将大部分应用程序放在虚拟机中执行来提高系统的安全性， 防止不稳定代码以及非可信代码对系统造成破坏。r e n a t oj f i g u e i r e d o i 】，s r i y a s a n t h a n a m 1 2 j ，i v a nk r s u l u j 等也分别提出了基于虚拟机技术实现的g r i d 环境下的 隔离执行机制。 华盛顿大学提出了一个轻量级的v m m 系统：d e n a l i 1 4 】【1 5 】。该系统的设计目 标是，在一台x 8 6 系列的物理主机上部署一个虚拟的网络开发测试环境。d e n a l i 提 出了准虚拟化技术，即经过v m m 抽象的虚拟机体系结构与实际硬件略有不同， 并以此为代价降低v m m 本身的复杂性，同时获得更好的性能。 受到d e n a l i 的半虚拟化技术的启发，英国剑桥大学于2 0 0 3 年发布了著名的 x e n 1 6 】系统，它支持在x 8 6 计算机上运行多个l i n u x 操作系统。它通过修改g u e s t l i n u x 的部分内核源码，把涉及特权指令调用的部分改写为对虚拟层接口的调用， 使运行在x e n 上的客户操作系统表现出接近直接运行在裸机上的性能。 k v m 是继x e n 之后的虚拟机监视器。和x e n 不同的是，k v m 充分利用了 l i n u x 内核原有的功能，这使得k v m 在代码量方面相对于x e n 更为精简，有着 第8 页 国防科学技术人学研究生院工学硕士学位论文 更好的稳定性。 2 。1 4 现有隔离机制的分析比较 沙箱技术是通过限制非可信程序的对资源的访问来实现非可信程序与系统中 其它程序的隔离的。它存在如下几个缺点：第一，由于限制了非可信程序的行为， 一定程度上降低了非可信程序的可用性。第二，沙箱机制的安全性依赖于安全策 略的配置，而实际应用中，很难选择一个安全策略完全判断出一个程序的非法行 为。第三，沙箱技术的实现是基于操作系统的，操作系统作为沙箱的可信计算基， 由于其自身的安全性很难保证，因此一旦恶意代码进入内核态执行，则能够旁路 沙箱隔离机制。 与沙箱技术不同，虚拟化技术是通过对硬件进行虚拟化来实现操作系统之间 的隔离的。虚拟机技术旨在为用户提供一个真实的虚拟硬件环境，以尽量满足系 统的可用性。 基于硬件抽象层虚拟机的隔离机制可以有效的实现操作系统的隔离。一方面， 由于运行在系统最底层的虚拟机监视器，作为系统的可信计算基，其有着代码量 小，接口简单等优点。因此其具备着很高的安全性。恶意软件很难通过攻破虚拟 机监视器来破坏其隔离机制。另一方面，虚拟机具备很好的灵活性。目前的虚拟 机支持很多种主流的操作系统，用户可以根据自己的安全需求选择不同的操作系 统以及适应于操作系统的软件来运行。 2 2 基于虚拟机技术的安全体系结构 随着计算机的安全问题越来越突出，传统操作系统的安全性问题很难得到有 效的解决，近几年来越来越多的学者、厂商将目光投向了对系统体系结构的改造 上面来。其中基于虚拟机的体系结构是目前比较热点的一个技术。t e r r a 可信虚拟 机以及i b m 的s e c u r eh y p e r v i s o r 都采用了这种技术。同时微软的n g s c b 在实现 时也借鉴了虚拟机的设计思想。 2 2 - 1t e r r a 可信虚拟机技术 t e r r a 1 7 1 是一种基于虚拟机技术的安全体系结构。t e r r a 的虚拟机监视器t r u s t e d v i r t u a lm a c h i n em o n i t o r ( t v m m ) 可信虚拟机监视器是t e r r a 的核心组件。和其他 虚拟机监视器一样，t e r r a 通过将系统中的硬件资源虚拟化来支持多个虚拟机并发 的，独立的运行。同时t e r r a 还提供了附加的安全特性。例如对运行在虚拟机中的 软件进行完整性验证。t e r r a 为上层提供了两种虚拟机的抽象：o p e n b o xv m s 和 第9 页 国防科学技术大学研究生院工学硕士学位论文 c l o s e d b o xv m s 。o p e n b o xv m 对应于c o m m o nv i r t u a lm a c h i n e ( c v m ) ，而 c l o s e d b o xv m s 对应于s e c u r i t yv i r t u a lm a c h i n e ( s v m ) 。c l o s e d b o xv m s 是t e m 中的安全运行环境。c l o s e d b o x v m s 中的内容不能够被平台控制员探测或者操纵， 所以c l o s e d b o xv m s 中的程序和数据是安全的。除了c l o s e d b o xv m s 的构建者外， 系统中的其他主体是无法够探测或修改其内容的。 t e l l r a 为程序员开发应用程序提供了极大的灵活性。程序员在开发应用程序前 可以首先选择最适合于用应程序安全性、可移植性以及效率的硬件平台和操作系 统作为应用程的运行平台。运行在虚拟机中的操作系统可以像引导加载程序一样 的简单，也可以像传统操作系统那样的复杂。应用程序可以依据自身的安全需求 来裁剪操作系统的功能。 t e r r a 的可信虚拟机监视器不仅仅继承了传统虚拟机监视器在隔离性、可扩充 性、高效性、兼容性、安全性等五个方面的优点，同时还提供了根安全、认证机 制和安全通道三个安全特性。根安全使得即便是系统管理员也不能够破坏 c l o s e d b o xv m s 基本的隐私性和隔离性。认证使得运行在c l o s e d b o xv m s 中的应 用程序可以向远程应用程序认证自己的身份。而安全通道提供了用户和应用程序 之间的安全通道。防止