CN105912892B - 一种基于云计算的进程保护系统及其方法 - Google Patents
一种基于云计算的进程保护系统及其方法 Download PDFInfo
- Publication number
- CN105912892B CN105912892B CN201610218629.2A CN201610218629A CN105912892B CN 105912892 B CN105912892 B CN 105912892B CN 201610218629 A CN201610218629 A CN 201610218629A CN 105912892 B CN105912892 B CN 105912892B
- Authority
- CN
- China
- Prior art keywords
- security domain
- security
- domain
- information
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 95
- 230000008569 process Effects 0.000 title claims abstract description 76
- 238000002955 isolation Methods 0.000 claims abstract description 14
- 238000011112 process operation Methods 0.000 claims abstract description 10
- 238000012546 transfer Methods 0.000 claims description 6
- 230000009471 action Effects 0.000 claims description 3
- 238000012790 confirmation Methods 0.000 claims 1
- 238000012360 testing method Methods 0.000 abstract description 3
- 238000005516 engineering process Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 238000012550 audit Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000007596 consolidation process Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/48—Program initiating; Program switching, e.g. by interrupt
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于云计算的进程保护方法及其架构,属于进程管理领域,本发明要解决的技术问题为由于缺乏有效的错误隔离机制,与用户进程无法的代码漏洞也影响用户进程的运行安全,采用的技术方案为:(1)、一种基于云计算的进程保护方法,该方法引入安全域的概念,以安全域作为进程保护的最小构成单元,将进程以及进程依赖的环境纳入安全域,建立安全域构建规则,为进程提供安全的初始化运行环境,确保进程运行初始化安全;在安全域的基础上,建立安全域之间的信息交换规则,保护进程以及进程依赖的环境运行过程中的信息流安全。(2)、一种基于云计算的进程保护架构,该架构包括约束控制模块、客户操作系统以及若干安全域。
Description
技术领域
本发明涉及进程管理领域,具体地说是一种基于云计算的进程保护系统及其方法。
背景技术
云计算利用系统架构技术把成千上万台服务器整合起来,为用户提供灵活的资源分配和任务调度能力。虚拟化技术是云计算中的关键技术之一,通过在服务器上安装虚拟化软件,运行虚拟化监控软件VMM(Virtual Machine Monitor)来访问服务器上的所有硬件设备。虚拟化监控软件为虚拟机分配适量的网络、CPU、磁盘和内存等物理资源,同时为虚拟机加载客户操作系统。虚拟化技术通过对底层硬件的抽象,为虚拟机提供统一的视图,使多个虚拟机能够运行在同一硬件平台上,极大的提高了硬件资源的利用率。
作为虚拟化技术的特点之一,不同用户的进程运行在同一硬件平台上,给用户进程的运行安全带来了隐患。作为虚拟化软件成员的虚拟监控软件在设计的时候,通过内存以及底层硬件资源的虚拟隔离,能够在一定程度上确保用户进程不受到其他虚拟运行环境的威胁。但是根据架构的特殊性,系统管理域具有很高的权限,攻击者可以通过攻击管理域从而达到攻击用户进程,同时由于缺乏有效的错误隔离机制,与用户进程无法的代码漏洞也影响用户进程的运行安全。
专利号为CN 101071388 B的专利文献公开了一种进程隔离控制方法及系统,该进程隔离控制系统连接进程和操作系统,包括:用于判断请求跨进程内存操作的进程操作请求是否符合要求的模块;和根据判断结果对进程操作请求只想相应的处理的模块具体包括:在进程操作请求符合安全策略要求是,将进程操作请求发送给操作系统的单元;和在进程操作请求不符合安全策略的要求时,发送拒绝请求消息给第一进程的单元。但是该专利存在操作复杂,使用不便,成本高等缺点。
发明内容
本发明的技术任务是提供一种基于云计算的进程保护系统及其方法,来解决由于缺乏有效的错误隔离机制,与用户进程无法的代码漏洞也影响用户进程的运行安全的问题。
本发明的技术任务是按以下方式实现的,一种基于云计算的进程保护方法,该方法引入安全域(SD,Security Domain)的概念,以安全域作为进程保护的最小构成单元,将进程以及进程依赖的环境纳入安全域,建立安全域构建规则,为进程提供安全的初始化运行环境,确保进程运行初始化安全;
在安全域的基础上,建立安全域之间的信息交换规则,保护进程以及进程依赖的环境运行过程中的信息流安全,确保安全域之间的信息交换安全。
一种基于云计算的进程保护系统,该系统包括约束控制模块(ICM,InformationControl Module)、客户操作系统(Guest OS)以及若干安全域(SD,Security Domain);
安全域是该系统的核心,所有的安全域均具有相同特权级别和保护级别,由存在依赖关系的一系列进程和数据构成;不同的安全域拥有相同的特权级别,安全域之间的信息交换遵循域间信息约束规则,保证安全域的隔离性;
约束控制模块是域间信息约束规则的具体实现,负责安全域之间信息流的控制和审计;
用户操作系统是用户虚拟机运行的操作系统,为目标安全域提供运行基础,同时虚拟机受到虚拟机管理软件的支持。
其中,域间信息约束规则:
安全域(SD,Security Domain)是用户程序保护的基本构成单元,系统运行过程中,不同安全域之间必然存在着依赖关系和信息流的交换,只有给出相应的安全规则对交互信息进行约束。域间信息约束规则要满足:(1)域间信息约束规则能够反映不用安全域之间依赖关系的强弱;(2)、域间信息约束规则能够反映相邻安全域之间信息流的流向和调用关系;(3)判定安全域的安全性必须要有一个安全起点,即安全域的安全应该有一个TCB作为支撑。
作为优选,所述安全域在系统启动的情况下,从安全域的行为表现、相关进程以及数据行为,安全域的定义如下:
定义1:安全域αi是一个六元组,αi={Ai,Pi,Di,Si,Ii,Oi},其中,0≤i≤232;
在定义1中,Ai为安全域αi依赖的所有安全域的集合;Pi是保护αi尽享信息流交换的安全规则;Di是构成αi的数据和相关代码;Si是执行安全域αi执行动作的所有规则的集合;Ii是安全域的输入集;Oi是安全域的输出集;
定义2:系统TCB是一个特殊的安全域,记作:
α0={A0,P0,D0,S0,I0,O0};
在计算的虚拟化环境下,系统TCB由独立的硬件芯片、可信固件、安全芯片和得到安全确认的系统软件构成,安全性得以保证;
定义3:α0是无条件可信的;
定义4:若安全域α和安全域β之间存在直接的安全传递关系,则称β强依赖与α,记作α=>β;
定义5:β从α处获得信息或者β调用α中的函数,记为τ;
定义6:若存在α到β的信息流,则称β弱依赖与α,记为
定义7:安全域是安全可达的,当且仅当α0=>αi,或者系统中∑L={α0,α1,···,αk,αk+1,···,αi},其中L表示一条强依赖关系的传递链,0≤i≤232;
其中,定义4和5反映了依赖关系的强弱,定义6描述了信息流的方向,定义7确保系统中所有安全域的初始安全性,系统中的安全域直接由TCB支撑或者是一个以系统TCB为支撑的强依赖传递链。
更优地,所述域间信息约束规则包括如下内容:
规则1:如果信息流τ是安全的,那么该信息流必须满足:τ∈Pi,其中,0≤i≤232;
规则2:如果安全域αi是信息流安全的,那么和当前安全域之间所有的信息交互必须满足:∨αi∈Ai,αi→ταj∩τ∈Pi,其中,0≤i≤232,0≤j≤232;
规则3:安全域是αi执行安全的,当且仅当:
(1)、α0是可信的;
(2)、∨αi∈Ai,αi与α0存在强依赖关系;
(3)、αi是信息流安全的。
其中,约束控制模块(ICM)安全判定方法:
在安全域和域间信息约束规则下,系统的安全还依赖与安全约束的正确执行,约束控制模块(ICM)就是策略执行的安全判定方法。从信息流的角度看,域间信息约束规则所规定的是不同安全域所属对象与对象之间的访问规则,根据定义4,α与β之间存在的信息流可以用τ表示,系统中不同安全域之间的信息流交换实质上是不同对象之间的读写或调用关系τ。因此可以将约束控制模块(ICM)获得不同对象之间信息交换的信息流表示成一个有向图G=(V,E),其中V为系统中所有对象的集合,E为所有存在直接信息流关系的对象构成的有向边τ的集合。通过确定不同的对象所属的安全域,并将对象按照安全域进行分类,从而构建安全域之间的信息流图。在构建了安全域之间的信息流图之后,约束控制模块(ICM)就可以很清楚地获得不同的安全域之间存在的直接信息流和间接数据流.直接信息流就是对象之间存在直接的数据读写关系或者函数调用关系;间接信息流就是信息经过若干个对象传递,起始对象与目标对象之间并不存在直接的读写调用关系.通过获取系统中不同安全域之间存在的直接信息流,就可以构建出特定安全域的信息流冲突图G′=(V,E),从而利用图论里面的连通性算法可以判断安全策略执行是否符合规则所定义的规则。
本发明的一种基于云计算的进程保护系统及其方法具有以下优点:本发明是通过进程隔离保护来实现进程运行安全,将用户进程及其依赖环境作为整体,构成安全域,通过建立安全域之间的强依赖关系和限制安全域之间的信息流交换规则,有效的保护进程初始化环境安全和进程运行过程中的隔离性,从而达到保护用户进程的作用。
故本发明具有设计合理、结构简单、易于加工、体积小、使用方便、一物多用等特点,因而,具有很好的推广使用价值。
附图说明
下面结合附图对本发明进一步说明。
附图1为一种基于云计算的进程保护系统的架构图。
具体实施方式
参照说明书附图和具体实施例对本发明的一种基于云计算的进程保护系统及其方法作以下详细地说明。
实施例1:
本发明的一种基于云计算的进程保护方法,该方法采用进程隔离保护的方法,包括进程运行初始化安全和进程运行过程中安全域之间信息交流安全。该方法引入安全域的概念,以安全域作为进程保护的最小构成单元,将进程以及进程依赖的环境纳入安全域,建立安全域构建规则,为进程提供安全的初始化运行环境,确保进程运行初始化安全;在安全域的基础上,建立安全域之间的信息交换规则,保护进程以及进程依赖的环境运行过程中的信息流安全,确保安全域之间的信息交换安全。
实施例2
如附图1所示,本发明的一种基于云计算的进程保护系统,该系统包括约束控制模块(ICM,Information Control Module)、客户操作系统(Guest OS)以及若干安全域(SD,Security Domain);安全域是该系统的核心,所有的安全域均具有相同特权级别和保护级别,由存在依赖关系的一系列进程和数据构成;不同的安全域拥有相同的特权级别,安全域之间的信息交换遵循域间信息约束规则,保证安全域的隔离性;约束控制模块是域间信息约束规则的具体实现,负责安全域之间信息流的控制和审计;用户操作系统是用户虚拟机运行的操作系统,为目标安全域提供运行基础,同时虚拟机受到虚拟机管理软件的支持。
其中,安全域在系统启动的情况下,从安全域的行为表现、相关进程以及数据行为,安全域的定义如下:
定义1:安全域αi是一个六元组,αi={Ai,Pi,Di,Si,Ii,Oi},,其中,0≤i≤232;
在定义1中,Ai为安全域αi依赖的所有安全域的集合;Pi是保护αi尽享信息流交换的安全规则;Di是构成αi的数据和相关代码;Si是执行安全域αi执行动作的所有规则的集合;Ii是安全域的输入集;Oi是安全域的输出集;
定义2:系统TCB是一个特殊的安全域,记作:
α0={A0,P0,D0,S0,I0,O0};
在计算的虚拟化环境下,系统TCB由独立的硬件芯片、可信固件、安全芯片和得到安全确认的系统软件构成,安全性得以保证;
定义3:α0是无条件可信的;
定义4:若安全域α和安全域β之间存在直接的安全传递关系,则称β强依赖与α,记作α=>β;
定义5:β从α处获得信息或者β调用α中的函数,记为τ;
定义6:若存在α到β的信息流,则称β弱依赖与α,记为
定义7:安全域是安全可达的,当且仅当α0=>αi,或者系统中ΕL={α0,α1,···,αk,αk+1,···,αi},其中L表示一条强依赖关系的传递链,0≤i≤232;
其中,定义4和5反映了依赖关系的强弱,定义6描述了信息流的方向,定义7确保系统中所有安全域的初始安全性,系统中的安全域直接由TCB支撑或者是一个以系统TCB为支撑的强依赖传递链。
其中,域间信息约束规则包括如下内容:
规则1:如果信息流τ是安全的,那么该信息流必须满足:τ∈Pi,
规则2:如果安全域αi是信息流安全的,那么和当前安全域之间所有的信息交互必须满足:∨αi∈Ai,αi→ταj∩τ∈Pi,,其中,0≤i≤232,0≤j≤232;
规则3:安全域是αi执行安全的,当且仅当:
(1)、α0是可信的;
(2)、∨αi∈Ai,αi与α0存在强依赖关系;
(3)、αi是信息流安全的。
通过上面具体实施方式,所述技术领域的技术人员可容易的实现本发明。但是应当理解,本发明并不限于上述的两种具体实施方式。在公开的实施方式的基础上,所述技术领域的技术人员可任意组合不同的技术特征,从而实现不同的技术方案。
除说明书所述的技术特征外,均为本专业技术人员的已知技术。
Claims (3)
1.一种基于云计算的进程保护系统,其特征在于:该系统包括约束控制模块、客户操作系统以及若干安全域;
安全域是该系统的核心,所有的安全域均具有相同特权级别和保护级别,由存在依赖关系的一系列进程和数据构成;不同的安全域拥有相同的特权级别,安全域之间的信息交换遵循域间信息约束规则,保证安全域的隔离性;
约束控制模块是域间信息约束规则的具体实现,负责安全域之间信息流的控制和审计;
客户操作系统是用户虚拟机运行的操作系统,为目标安全域提供运行基础,同时虚拟机受到虚拟机管理软件的支持;
安全域在系统启动的情况下,从安全域的行为表现、相关进程以及数据行为,安全域的定义如下:
定义1:安全域αi是一个六元组,αi={Ai,Pi,Di,Si,Ii,Oi},其中,0≤i≤232;
在定义1中,Ai为安全域αi依赖的所有安全域的集合;Pi是保护αi尽享信息流交换的安全规则;Di是构成αi的数据和相关代码;Si是执行安全域αi执行动作的所有规则的集合;Ii是安全域的输入集;Oi是安全域的输出集;
定义2:系统TCB是一个特殊的安全域,记作:
α0={A0,P0,D0,S0,I0,O0};
在计算的虚拟化环境下,系统TCB由独立的硬件芯片、可信固件、安全芯片和得到安全确认的系统软件构成,安全性得以保证;
定义3:α0是无条件可信的;
定义4:若安全域α和安全域β之间存在直接的安全传递关系,则称β强依赖与α,记作α=>β;
定义5:β从α处获得信息或者β调用α中的函数,记为τ;
定义6:若存在α到β的信息流,则称β弱依赖与α,记为
定义7:安全域是安全可达的,当且仅当α0=>αi,或者系统中∑L={α0,α1,···,αk,αk+1,···,αi},其中L表示一条强依赖关系的传递链,0≤i≤232;
其中,定义4和5反映了依赖关系的强弱,定义6描述了信息流的方向,定义7确保系统中所有安全域的初始安全性,系统中的安全域直接由TCB支撑或者是一个以系统TCB为支撑的强依赖传递链。
2.根据权利要求1所述的一种基于云计算的进程保护系统,其特征在于:所述域间信息约束规则包括如下内容:
规则1:如果信息流τ是安全的,那么该信息流必须满足:τ∈Pi,其中,0≤i≤232;
规则2:如果安全域αi是信息流安全的,那么和当前安全域之间所有的信息交互必须满足:∨αi∈Ai,αi→ταj∩τ∈Pi,其中,0≤i≤232,0≤j≤232;
规则3:安全域是αi执行安全的,当且仅当:
(1)、α0是可信的;
(2)、∨αi∈Ai,αi与α0存在强依赖关系;
(3)、αi是信息流安全的。
3.一种基于云计算的进程保护方法,其特征在于:如权利要求1-2中任一项一种基于云计算的进程保护系统,该方法引入安全域的概念,以安全域作为进程保护的最小构成单元,将进程以及进程依赖的环境纳入安全域,建立安全域构建规则,为进程提供安全的初始化运行环境,确保进程运行初始化安全;
在安全域的基础上,建立安全域之间的信息交换规则,保护进程以及进程依赖的环境运行过程中的信息流安全,确保安全域之间的信息交换安全。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610218629.2A CN105912892B (zh) | 2016-04-08 | 2016-04-08 | 一种基于云计算的进程保护系统及其方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610218629.2A CN105912892B (zh) | 2016-04-08 | 2016-04-08 | 一种基于云计算的进程保护系统及其方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105912892A CN105912892A (zh) | 2016-08-31 |
CN105912892B true CN105912892B (zh) | 2018-09-04 |
Family
ID=56745837
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610218629.2A Active CN105912892B (zh) | 2016-04-08 | 2016-04-08 | 一种基于云计算的进程保护系统及其方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105912892B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113672411B (zh) * | 2021-08-25 | 2023-08-11 | 烽火通信科技股份有限公司 | 一种网络设备虚拟化驱动适配层的实现方法和装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102769615A (zh) * | 2012-07-02 | 2012-11-07 | 北京大学 | 一种基于MapReduce机制的任务调度方法和系统 |
CN103457958A (zh) * | 2013-09-18 | 2013-12-18 | 浪潮电子信息产业股份有限公司 | 一种云计算网络服务器内核安全访问方法 |
CN103607308A (zh) * | 2013-11-29 | 2014-02-26 | 杭州东信北邮信息技术有限公司 | 云计算环境下的虚拟机多网络管理系统和方法 |
CN103718527A (zh) * | 2013-03-30 | 2014-04-09 | 华为技术有限公司 | 一种通信安全处理方法、装置及系统 |
CN105184147A (zh) * | 2015-09-08 | 2015-12-23 | 成都博元科技有限公司 | 云计算平台中的用户安全管理方法 |
-
2016
- 2016-04-08 CN CN201610218629.2A patent/CN105912892B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102769615A (zh) * | 2012-07-02 | 2012-11-07 | 北京大学 | 一种基于MapReduce机制的任务调度方法和系统 |
CN103718527A (zh) * | 2013-03-30 | 2014-04-09 | 华为技术有限公司 | 一种通信安全处理方法、装置及系统 |
CN103457958A (zh) * | 2013-09-18 | 2013-12-18 | 浪潮电子信息产业股份有限公司 | 一种云计算网络服务器内核安全访问方法 |
CN103607308A (zh) * | 2013-11-29 | 2014-02-26 | 杭州东信北邮信息技术有限公司 | 云计算环境下的虚拟机多网络管理系统和方法 |
CN105184147A (zh) * | 2015-09-08 | 2015-12-23 | 成都博元科技有限公司 | 云计算平台中的用户安全管理方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105912892A (zh) | 2016-08-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103002445A (zh) | 一种安全的提供应用服务的移动电子设备 | |
Loukil et al. | Data privacy based on IoT device behavior control using blockchain | |
US20210200864A1 (en) | Cloud-Based Tamper Detection | |
CN104683394A (zh) | 新技术的云计算平台数据库基准测试系统及其方法 | |
CN103347027A (zh) | 一种可信网络连接方法和系统 | |
CN108595983A (zh) | 一种基于硬件安全隔离执行环境的硬件架构、及应用上下文完整性度量方法 | |
CN108809975A (zh) | 一种内外网隔离系统及实现内外网隔离的方法 | |
Catuogno et al. | An effective methodology for measuring software resource usage | |
CN106341369A (zh) | 安全控制方法及装置 | |
Catuogno et al. | On the evaluation of security properties of containerized systems | |
CN104683382A (zh) | 新型创新算法云计算平台数据库基准测试系统 | |
Lv et al. | Virtualisation security risk assessment for enterprise cloud services based on stochastic game nets model | |
Yu et al. | A trusted architecture for virtual machines on cloud servers with trusted platform module and certificate authority | |
CN105912892B (zh) | 一种基于云计算的进程保护系统及其方法 | |
Ding et al. | Systemic threats to hypervisor non‐control data | |
Yan-Ling et al. | Design and implementation of secure embedded systems based on trustzone | |
Singh et al. | Secure industrial iot task containerization with deadline constraint: A stackelberg game approach | |
Sajid et al. | An analysis on host vulnerability evaluation of modern operating systems | |
Shainer et al. | NVIDIA’s Cloud Native Supercomputing | |
Kalinin et al. | Formalization of objectives of grid systems resources protection against unauthorized access | |
Liu et al. | Active defense technology of power monitoring system with adaptive features | |
Zhang | Detection and mitigation of security threats in cloud computing | |
Kashif et al. | Centralized accessibility of VM for distributed trusted cloud computing | |
Ju et al. | Design scheme of a docker container file isolation against computer virus spreading | |
Hong et al. | A dual‐system trusted computing node construction method based on ARM multi‐core CPU architecture |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |