CN102184373A - 基于保护模式与虚拟化机制实现操作系统安全核设计方法 - Google Patents
基于保护模式与虚拟化机制实现操作系统安全核设计方法 Download PDFInfo
- Publication number
- CN102184373A CN102184373A CN2011101409093A CN201110140909A CN102184373A CN 102184373 A CN102184373 A CN 102184373A CN 2011101409093 A CN2011101409093 A CN 2011101409093A CN 201110140909 A CN201110140909 A CN 201110140909A CN 102184373 A CN102184373 A CN 102184373A
- Authority
- CN
- China
- Prior art keywords
- safety
- safety kernel
- kernel
- operating system
- level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明是基于保护模式与虚拟化机制实现操作系统安全核设计方法,包括如下步骤:一、CPU保护模式提供了特权级0可以执行处理器的所有指令;非特权级1-N,只能执行处理器的部分指令;将操作系统划分成一个工作在特权级的安全核与工作在非特权级的若干个服务进程;二、安全核利用CPU保护模式,除安全核之外的进程只能做两件事:操纵自己的内存空间和向安全核发送消息。三、指定一个外存储区域存放安全核长久性数据,利用硬件虚拟化机制,保证只有安全核能访问这个区域,保障安全核的数据与代码的安全性。优点:安全核的数据与代码不会受到其它进程的破坏;资源访问都须在安全核的控制下进行;安全核非常小,便于进行形式化的描述与验证。
Description
技术领域
本发明涉及的是一种基于CPU的保护模式和虚拟化机制的实现操作系统安全核的设计方法,属于计算机应用技术领域。
技术背景
操作系统为用户程序提供了基础服务,为用户程序屏蔽了硬件平台的差异,用户程序利用操作系统提供标准服务来完成自身的任务。操作系统还必须提供驱动程序为用户程序提供各种硬件的接入服务。操作系统为了能够接入不断涌现的新设备,必须能够安装第三方开发的设备驱动程序使其成为操作系统的一部分。现有的操作系统是一个庞大的软件系统,其中还包括第三方开发的驱动程序,操作系统工作时可以执行任何指令。
操作系统及其庞大,各个模块相互依赖,相关数据结构被各个模块共享,现有的软件工程方法难以排除操作系统中存在的漏洞。操作系统的漏洞可能被攻击者利用来安插恶意的程序,达到各式各样的攻击目标。同样第三方开发的驱动程序也可能存在安全漏洞,它们的安全性更加难以控制。
操作系统提供的服务功能分别有不同的模块提供,对用户行为的控制涉及到操作系统的各个模块,在庞大的操作系统中分离对用户行为的控制和对用户服务请求的响应有着一定的难度。
发明内容
本发明提出的是一种基于CPU的保护模式和虚拟化机制的实现操作系统安全核的设计方法,旨在提供一个利用CPU保护模式的机制构造一个充分小的安全核,具有两条性质:(1)安全核之外的任何进程无法破坏安全核;(2)任意进程对任何资源的访问都必须受到安全核的控制。
本发明的技术解决方案:该方法包括如下步骤:
一、CPU保护模式提供了多个权限级0-N,其中权限级0称为特权级,其它权限级1-N称为非特权级,硬件规定了特权级可以执行处理器的所有指令,硬件又规定非特权级只能执行处理器的部分指令,即规定了一些指令只能有特权级执行;利用CPU的保护模式将操作系统划分成一个工作在特权级的安全核与工作在非特权级的操作系统的服务进程两个部分;
二、安全核利用CPU保护模式,使得安全核之外的进程具有性质:1) 未经安全核许可不能访问其它进程的地址空间;2)只能通过向安全核发送消息来访问其它系统资源;
三、指定一个安全核专用的外存储区域存放安全核使用的各种长久性数据,利用硬件虚拟化控制机制,使得当执行一个访问安全核专用的外存储区域的I/O时自动陷入到安全核中,阻止任何安全核之外的程序访问安全核专用的外存储区域,保障安全核的数据的安全性。
安全核提供物理内存分配、消息传递与中断处理服务、进程调度,安全核的物理内存分配服务确保一个进程与另一个进程间的内存空间是隔离的,使一个进程无法直接破坏另一个进程。
安全核提供息传递与中断处理服务,一个进程通过向安全核发送消息来访问除了自身内存地址之外的资源,安全核按照策略进行控制,安全核将消息转发给操作系统的相应的服务进程,由服务进程进行资源访问方面的信息管理工作,安全核只做策略控制,保持简洁性;一个进程通过向安全核发送消息来与另一个进程进行通信。
安全核进程调度服务确保进程调度过程中一个进程的上下文不会受到其它进程的破坏,确保的进程的静态完整性。
利用虚拟化机制使得即使在安全核休眠期间,任何访问安全核的专用存储区域的行为都激活安全核,并且在安全核允许的情况下才能实现访问。
由于将安全核设计成唯一的特权级的程序,安全核可以实现与其它进程的隔离,保证安全核代码的安全。由于安全核采用专用的外村粗区域,并且利用虚拟化机制进行实时监控,保证了安全核数据的安全。由于将安全核设计成了唯一的进程间的通信信道和访问设备的通道,所以任何进程访问系统资源的的行为都会受到安全核的控制。
本发明的优点:安全核本身不会受到其它进程的破坏;任何进程的资源访问都必须在安全核的控制下进行;安全核由几个非常小的独立程序组成,可以进行形式化的描述与验证。
附图说明
附图1是本发明的应用示例图。
具体实施方式
对照附图1,安全核的保护从内外两个方面进行。将安全核设计得充分的小,以便利用现有的软件工程的方法和形式化的方法可以验证安全的正确性,从内部保证安全核的安全性;利用CPU的硬件的保护模式的机制从外部保护安全核的安全性,安全核掌握了进程物理内存分配的权力,安全核在分配物理内存的时候确保安全核的内存空间与其它的任何进程的内存空间都是隔离的;另外安全核控制着进程的加载,这样安全核在非执行状态下其它的任何进程无法破坏安全核,在安全核恢复运行的过程中也可以准确地恢复原来的安全状态。
同样因为安全核在分配物理内存的时候确保安全核的内存空间与其它的任何进程的内存空间都是隔离的,其它的任何的进程都无法直接访问资源,也无法直接与其它进程进行通信。唯一的机制就是请求安全核向操作系统的某个服务进程转发服务请求消息,因此任意进程的对资源的访问都会受到安全核的控制。
CPU的保护模式使得拥有特权级的程序具有极强的控制能力,在非特权级上运行的程序只能遵循运行在特权级的程序者制定的策略运行,能否制定一个好的策略是操作系统能够安全的关键所在。建立一个运行在特权级的安全核,安全核实现物理内存分配、消息传递与中断处理、进程调度。操作系统的其它服务功能都放在若干个工作在非特权级的服务进程中完成。安全核利用物理内存分配的机制实现进程间内存地址隔离,利用进程调度的机制使得只有安全核工作在特权级,其它进程都工作在非特权级,这样,任何进程都无法破坏安全核。其次在进程隔离的基础上,安全核再提供消息传递与中断处理服务,任何进程访问资源或与其它的进程通信都必须通过向安全核发送消息,安全核根据策略进行控制,安全核将通过控制的请求转发给相应服务进程,安全核只做实质性的控制,复杂的数据分析工作交给操作系统的几个服务进程来完成,这样安全核可以逻辑清晰,代码量小,一般的实现可以在1万行之下,便于进行形式化的设计和验证。
本发明基于CPU的保护模式实现操作系统安全核提供物理内存分配的的服务、消息传递与中断服务、进程调度服务。一个运行在非特权机上的进程无法执行特权指令,特权指令的执行能力被安全核完全屏蔽,而在得到了安全核提供的上述3项服务之后,就可以完成任何用户进程可以完成的任务。
安全核提供的3项服务都是被中断激发的:物理内存的分配被软中断或异常激发、进程调度也是被软中断核异常激发、消息传递也是被软中断激发。
安全核对物理内存分配服务请求的响应安全核维护一个页表,利用CPU的MMU模块功能将一个进程的线性地址映射到物理内存地址,利用CPU的保护模式机制使得任何其它进程访问这个页表。当该模块收到了内存分配的请求后,就从空闲的物理内存空间为请求者分配地址并响应修改页表。当该模块收到了内存去配的请求后,就修改响应的页表核空闲物理内存空间的数据结构。安全核的物理内存分配使得除了安全核之外任何进程只可以做两件事:(1) 操纵自己的内存空间;(2)向安全核发送消息。
该物理内存分配方法旨在确保进程的内存空间的完全隔离。
安全核对消息传递与中断处理服务请求的响应安全核实现了系统能够产生的各种中断的处理程序,安全核截获所有的系统中断。当一个进程需要发出资源请求时通过软中断向安全核发出请求消息,安全核的中断处理程序截获了中断,安全核首先检查资源请求的合法性,如果合法就会调用消息传递的函数,将消息写入相应的服务进程的消息队列上,由操作系统的服务进程提供资源访问服务。当一个进程需要向另一个进程发送消息时,通过软中断向安全核发出请求消息,安全核仍然首先检查通信请求的合法性,如果合法就会调用消息传递的函数,将消息写入目标进程的消息队列上。如果硬件中断发生,也被设置成由安全核来响应,由安全核来控制输入资源。 安全核对进程调度服务请求的响应安全核为每一个进程维护一组描述进程的数据块队列,队列中的数据块描述进程当前的上下文,以便正确恢复进程的执行。当安全核收到进程切换的请求时,则(1)将当前进程的描述数据块放在队尾,并且把当前进程的上下文写入响应的描述数据块;(2)将队首的进程的描述数据块的上下文写入相应的寄存器等对象,使该进程运行。
该进程调度方法旨在提供进程调度的功能外确保进程的安全切换。
利用虚拟化机制保护安全核的专用的外存储区域CPU的虚拟化机制提供了将指定的特权指令设置成敏感指令,将安全核设置在根特权级(root-priority),其它的任何特权级的进程在执行敏感指令时都会陷入到指定的安全核中,安全核根据当前状态判断该操作是否可以被允许,阻止一切可能影响安全核安全的操作。
Claims (5)
1.基于CPU的保护模式和虚拟化机制实现操作系统安全核的设计方法,其特征是该方法包括如下步骤:
一、CPU保护模式提供了多个权限级0-N,其中权限级0称为特权级,其它权限级1-N称为非特权级,硬件规定了特权级可以执行处理器的所有指令,硬件又规定非特权级只能执行处理器的部分指令,即规定了一些指令只能有特权级执行;利用CPU的保护模式将操作系统划分成一个工作在特权级的安全核与工作在非特权级的操作系统的服务进程两个部分;
二、安全核利用CPU保护模式,使得安全核之外的进程具有性质:1) 未经安全核许可不能访问其它进程的地址空间;2)只能通过向安全核发送消息来访问其它系统资源;
三、指定一个安全核专用的外存储区域存放安全核使用的各种长久性数据,利用硬件虚拟化控制机制,使得当执行一个访问安全核专用的外存储区域的I/O时自动陷入到安全核中,阻止任何安全核之外的程序访问安全核专用的外存储区域,保障安全核的数据的安全性。
2.根据权利要求1所述的基于CPU的保护模式和虚拟化机制实现操作系统安全核的设计方法,其特征是安全核提供物理内存分配、消息传递与中断处理服务、进程调度,安全核的物理内存分配服务可以保证指定的两个进程内存空间是隔离的,使一个进程无法直接破坏另一个进程。
3.根据权利要求2所述的基于CPU的保护模式和虚拟化机制实现操作系统安全核的设计方法,其特征是安全核提供息传递与中断处理服务,一个进程通过向安全核发送消息来访问除了自身内存地址之外的系统资源,安全核按照策略进行控制,安全核将消息转发给操作系统的相应的服务进程,由服务进程进行资源访问方面的信息管理工作,安全核只做策略控制,保持简洁性;一个进程通过向安全核发送消息来与另一个进程进行通信。
4.根据权利要求1所述的基于CPU的保护模式和虚拟化机制实现操作系统安全核的设计方法,其特征是安全核进程调度服务确保进程调度过程中一个进程的上下文不会受到其它进程的破坏,确保的进程的静态完整性。
5.根据权利要求1所述的基于CPU的保护模式和虚拟化机制实现操作系统安全核的设计方法,其特征是安全核控制所依赖的策略信息存放在一个安全核专用的外存储区域,一个专用的硬盘或者一个专用的硬盘分区,安全核利用虚拟化机制,设置处理器硬件,使得任何访问这个专用的外存储区域的指令都会跳转到安全核中,有安全核判断是否合法,阻止任何对安全核的专用的外存储区域的破坏行为。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011101409093A CN102184373B (zh) | 2011-05-30 | 2011-05-30 | 基于保护模式与虚拟化机制实现操作系统安全核设计方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011101409093A CN102184373B (zh) | 2011-05-30 | 2011-05-30 | 基于保护模式与虚拟化机制实现操作系统安全核设计方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102184373A true CN102184373A (zh) | 2011-09-14 |
| CN102184373B CN102184373B (zh) | 2013-01-23 |
Family
ID=44570548
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011101409093A Expired - Fee Related CN102184373B (zh) | 2011-05-30 | 2011-05-30 | 基于保护模式与虚拟化机制实现操作系统安全核设计方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102184373B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104657193A (zh) * | 2013-11-21 | 2015-05-27 | 华为技术有限公司 | 一种访问物理资源的方法和装置 |
| CN105912936A (zh) * | 2016-04-11 | 2016-08-31 | 浪潮集团有限公司 | 一种提高sdn交换机性能及安全的方法 |
| CN106970823A (zh) * | 2017-02-24 | 2017-07-21 | 上海交通大学 | 高效的基于嵌套虚拟化的虚拟机安全保护方法及系统 |
| CN110879886A (zh) * | 2018-09-05 | 2020-03-13 | 西门子股份公司 | 用于运行网络服务器的方法 |
| CN111934860A (zh) * | 2020-08-06 | 2020-11-13 | 山东省计算中心(国家超级计算济南中心) | 一种用于移动端密钥存储的实现方法和系统 |
| CN112541166A (zh) * | 2019-09-20 | 2021-03-23 | 杭州中天微系统有限公司 | 一种方法、系统和计算机可读存储介质 |
| CN114186244A (zh) * | 2022-01-26 | 2022-03-15 | 中国电子信息产业集团有限公司 | 一种数据要素操作框架及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5146575A (en) * | 1986-11-05 | 1992-09-08 | International Business Machines Corp. | Implementing privilege on microprocessor systems for use in software asset protection |
| CN101226577A (zh) * | 2008-01-28 | 2008-07-23 | 南京大学 | 基于可信硬件与虚拟机的微内核操作系统完整性保护方法 |
| CN101477495A (zh) * | 2008-10-28 | 2009-07-08 | 北京航空航天大学 | 分布式内存虚拟化技术的实现方法 |
-
2011
- 2011-05-30 CN CN2011101409093A patent/CN102184373B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5146575A (en) * | 1986-11-05 | 1992-09-08 | International Business Machines Corp. | Implementing privilege on microprocessor systems for use in software asset protection |
| CN101226577A (zh) * | 2008-01-28 | 2008-07-23 | 南京大学 | 基于可信硬件与虚拟机的微内核操作系统完整性保护方法 |
| CN101477495A (zh) * | 2008-10-28 | 2009-07-08 | 北京航空航天大学 | 分布式内存虚拟化技术的实现方法 |
Non-Patent Citations (2)
| Title |
|---|
| 于淑英等: "微内核完整性保障研究与应用", 《计算机科学》, vol. 36, no. 1, 31 January 2009 (2009-01-31), pages 247 - 250 * |
| 管致锦等: "嵌入式操作系统EPOS的设计和实现", 《计算机与数字工程》, vol. 32, no. 4, 31 December 2004 (2004-12-31) * |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10180915B2 (en) | 2013-11-21 | 2019-01-15 | Huawei Technologies Co., Ltd. | Method and apparatus for accessing physical resources |
| WO2015074512A1 (zh) * | 2013-11-21 | 2015-05-28 | 华为技术有限公司 | 一种访问物理资源的方法和装置 |
| CN104657193A (zh) * | 2013-11-21 | 2015-05-27 | 华为技术有限公司 | 一种访问物理资源的方法和装置 |
| CN104657193B (zh) * | 2013-11-21 | 2018-07-20 | 华为技术有限公司 | 一种访问物理资源的方法和装置 |
| CN105912936A (zh) * | 2016-04-11 | 2016-08-31 | 浪潮集团有限公司 | 一种提高sdn交换机性能及安全的方法 |
| CN105912936B (zh) * | 2016-04-11 | 2018-09-21 | 浪潮集团有限公司 | 一种提高sdn交换机性能及安全的方法 |
| CN106970823A (zh) * | 2017-02-24 | 2017-07-21 | 上海交通大学 | 高效的基于嵌套虚拟化的虚拟机安全保护方法及系统 |
| CN106970823B (zh) * | 2017-02-24 | 2021-02-12 | 上海交通大学 | 高效的基于嵌套虚拟化的虚拟机安全保护方法及系统 |
| CN110879886A (zh) * | 2018-09-05 | 2020-03-13 | 西门子股份公司 | 用于运行网络服务器的方法 |
| CN112541166A (zh) * | 2019-09-20 | 2021-03-23 | 杭州中天微系统有限公司 | 一种方法、系统和计算机可读存储介质 |
| CN111934860A (zh) * | 2020-08-06 | 2020-11-13 | 山东省计算中心(国家超级计算济南中心) | 一种用于移动端密钥存储的实现方法和系统 |
| CN111934860B (zh) * | 2020-08-06 | 2024-01-05 | 山东省计算中心(国家超级计算济南中心) | 一种用于移动端密钥存储的实现方法和系统 |
| CN114186244A (zh) * | 2022-01-26 | 2022-03-15 | 中国电子信息产业集团有限公司 | 一种数据要素操作框架及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102184373B (zh) | 2013-01-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102184373B (zh) | 基于保护模式与虚拟化机制实现操作系统安全核设计方法 | |
| CN109918916B (zh) | 一种双体系可信计算系统及方法 | |
| CN103841198B (zh) | 一种净室云计算数据处理方法及系统 | |
| TWI570589B (zh) | 用以提供受信任計算之裝置 | |
| Gu et al. | Secure live migration of SGX enclaves on untrusted cloud | |
| CN102609298B (zh) | 基于硬件队列扩展的网卡虚拟化系统及其方法 | |
| CN103430185B (zh) | 用于在虚拟化系统操作与非虚拟化系统操作之间切换的方法 | |
| US9086913B2 (en) | Processor extensions for execution of secure embedded containers | |
| Levitin et al. | Co-residence based data vulnerability vs. security in cloud computing system with random server assignment | |
| US11295008B2 (en) | Graphics processing unit accelerated trusted execution environment | |
| CN109840430A (zh) | Plc的安全处理单元及其总线仲裁方法 | |
| CN101874245A (zh) | 用于从处理器向外围设备授予安全工作模式访问特权的方法和设备 | |
| CN101350044A (zh) | 一种虚拟环境信任构建方法 | |
| EP3842973B1 (en) | Security schemes for multiple trusted-execution-environments (tees) and multiple rich-execution-environments (rees) | |
| CN106462508A (zh) | 访问控制与代码调度 | |
| CN112817780B (zh) | 一种实现安全与高性能进程间通信的方法和系统 | |
| CN110851188B (zh) | 一种基于双体架构的国产plc可信链实现装置及方法 | |
| CN103455373A (zh) | 一种虚拟机动态迁移安全框架 | |
| CN110348223A (zh) | 基于双体系结构可信计算平台的静态度量方法 | |
| CN105404559A (zh) | 在数据处理装置中进行除错 | |
| CN112351022A (zh) | 信任区的安全防护方法及装置 | |
| CN104598842B (zh) | 一种虚拟机监控器信任域分割方法 | |
| CN108491249B (zh) | 一种基于模块权能的内核模块隔离方法及系统 | |
| Wang et al. | Secure and timely gpu execution in cyber-physical systems | |
| CN113779562A (zh) | 基于零信任的计算机病毒防护方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20170502 Address after: 238200 Ma'anshan province and County Economic Development Zone, Anhui, Yu River Road, No. 8 Patentee after: Anhui Caijing Optoelectronic Co., Ltd. Address before: 210093 Hankou Road, Jiangsu, China, No. 22, No. Patentee before: Nanjing University |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20170527 Address after: 238200 Ma'anshan province and County Economic Development Zone, Anhui, Yu River Road, No. 8 Patentee after: Anhui crystal Intelligent Equipment Technology Co., Ltd. Address before: 238200 Ma'anshan province and County Economic Development Zone, Anhui, Yu River Road, No. 8 Patentee before: Anhui Caijing Optoelectronic Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130123 Termination date: 20170530 |