CN118036092A - 一种基于硬件辅助虚拟化的软件完整性保护方法与系统 - Google Patents

Abstract

本发明公开了一种基于硬件辅助虚拟化的软件完整性保护方法与系统，涉及信息安全技术领域，解决了现有技术中，验证逻辑容易出现安全漏洞，且缺乏内核态内存隔离的问题，应用于虚拟机监视器，包括：获取用户的配置参数，并修改扩展页表的属性对计算机用户态发起的系统调用进行拦截；对计算机用户态发起的系统调用中的参数进行校验，得到校验结果；根据校验结果，判断系统调用是否可执行，若是，则继续在计算机的硬件中执行系统调用；若否，则中断系统调用，实现了在操作系统加载之前部署保护代码，大大缩短了保护的真空期；同时借助硬件辅助虚拟化以及虚拟机自省技术大大增强了保护系统的安全性与可扩展性。

Description

一种基于硬件辅助虚拟化的软件完整性保护方法与系统

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于硬件辅助虚拟化的软件完整性保护方法与系统。

背景技术

硬件辅助虚拟化技术是一种通过硬件设备提高虚拟化执行性能与安全性的技术。该技术实现了一组专用的扩展CPU系统调用集进行管理虚拟机的状态、虚拟机的切换、虚拟机的调度等虚拟化相关操作，从CPU的层面提供了对虚拟化的支持。

目前两大主流CPU厂商Intel和AMD均在其新开发的CPU中提供了对硬件辅助虚拟化技术的支持。虚拟机自省是一种用于监视系统级虚拟机的运行时状态的技术，在硬件辅助虚拟化技术普及以后，虚拟机自省通常利用硬件辅助虚拟化提供的机制，在虚拟机执行到一些关键敏感操作时，介入虚拟机的执行流程，通过虚拟机控制结构体的内容获取并修改虚拟机运行上下文信息，完成对虚拟机的控制管理。

现有技术中，病毒编写者很容易以相对较低的价格购买到可用的签名证书，且验证逻辑等过程完全闭源，可能存在安全漏洞。保护存在缺漏，尽管验证的核心代码工作在内核态，但由于Windows缺乏内核态内存隔离，常见的rootkit均可以对其进行绕过。Windows无法保障运行时的代码完整性。

发明内容

本发明通过提供一种基于硬件辅助虚拟化的软件完整性保护方法与系统，解决了现有技术中，验证逻辑容易出现安全漏洞，且缺乏内核态内存隔离的问题，实现了在操作系统加载之前部署保护代码，大大缩短了保护的真空期；同时借助硬件辅助虚拟化以及虚拟机自省技术大大增强了保护系统的安全性与可扩展性。

第一方面，本发明提供了一种基于硬件辅助虚拟化的软件完整性保护方法，该方法应用于虚拟机监视器，包括：

获取用户的配置参数，并修改扩展页表的属性对计算机用户态发起的系统调用进行拦截；

对拦截到的所述计算机用户态发起的系统调用参数进行校验，得到校验结果；

根据校验结果，判断所述系统调用是否可执行，若是，则继续在所述计算机的硬件中执行所述系统调用；若否，则中断所述系统调用。

结合第一方面，在一种可能的实现方式中，所述获取用户的配置参数，具体包括：所述计算机中的用户态将所述配置参数通过VMCALL指令传递至所述虚拟机监视器中。

结合第一方面，在一种可能的实现方式中，所述修改扩展页表的属性对计算机用户态发起的系统调用进行拦截，具体包括：

获取所述系统调用，并使所述系统调用触发特定节点触发虚拟机退出流程；

所述扩展页表修改与所述系统调用对应的内容为不可执行，完成对所述系统调用的拦截。

结合第一方面，在一种可能的实现方式中，所述对拦截到的所述系统调用的参数进行校验，得到校验结果，具体包括：

获取所述例程中的镜像文件信息，使用国密算法对所述镜像文件的签名信息进行校验，得到校验结果。

结合第一方面，在一种可能的实现方式中，在判断所述系统调用是否可执行之后，还包括：

读取虚拟机中的虚拟机页表，将所述系统调用对应的虚拟机虚拟地址转换为虚拟物理地址；

利用所述虚拟物理地址确定所述扩展页表中对应的页表项目，修改所述页表项目为不可写入。

第二方面，本发明提供了一种基于硬件辅助虚拟化的软件完整性保护方法，该方法应用于计算机，包括：

在UEFI启动阶段加载一个UEFI运行时驱动程序，所述驱动程序用于对计算的虚拟环境进行部署；

所述计算机中的操作系统内核接收所述计算机中的用户态发起的系统调用，所述系统调用中特定节点触发虚拟机退出流程；

所述计算机将计算机控制权分配至所述虚拟环境中的虚拟机监视器；

所述操作系统内核接收所述虚拟机监视器对所述系统调用的判断结果；

所述计算机利用所述判断结果，完成对所述系统调用的操作。

结合第二方面，在一种可能的实现方式中，所述对计算的虚拟环境进行部署，具体包括：初始化虚拟机监视器的控制结构以及扩展页表。

第三方面，本发明提供了一种基于硬件辅助虚拟化的软件完整性保护系统，该系统应用于虚拟机监视器，包括：

初始化模块，用于获取用户的配置参数，并修改扩展页表的属性对计算机用户态发起的系统调用进行拦截；

检验模块，用于对拦截到的所述系统调用的参数进行校验，得到校验结果；

判断模块，用于根据校验结果，判断所述系统调用是否可执行，若是，则继续在所述计算机的硬件中执行所述系统调用；若否，则中断所述系统调用。

第四方面，本发明提供了一种基于硬件辅助虚拟化的软件完整性保护系统，该系统应用于计算机，包括：

前期配置模块，用于在UEFI启动阶段加载一个UEFI运行时驱动程序，所述驱动程序用于对计算的虚拟环境进行部署；

接收模块，用于所述计算机中的操作系统内核接收所述计算机中的用户态发起的系统调用，所述系统调用中特定节点触发虚拟机退出流程；

控制权转移模块，用于所述计算机将计算机控制权分配至所述虚拟环境中的虚拟机监视器；

虚拟机反馈信号接收模块，用于所述操作系统内核接收所述虚拟机监视器对所述系统调用的判断结果；

执行模块，用于所述计算机利用所述判断结果，完成对所述系统调用的操作。

本发明中提供的一个或多个技术方案，至少具有如下技术效果或优点：

本发明通过采用了一种基于硬件辅助虚拟化的软件完整性保护方法与系统，应用于虚拟机监视器，该方法具体包括：获取用户的配置参数，并修改扩展页表的属性对计算机用户态发起的系统调用进行拦截，不修改操作系统原有代码以及数据结构，不会触发操作系统内核保护机制，提升了系统的稳定性；对拦截到的计算机用户态发起的系统调用参数进行校验，得到校验结果，通过虚拟化自省技术实现，不仅可以在进程创建时完成校验，同样可以保护进程运行时的关键数据结构；根据校验结果，判断系统调用是否可执行，若是，则继续在计算机的硬件中执行系统调用；若否，则中断系统调用，使用CPU提供的虚拟化机制实现核心逻辑，而不使用任何操作系统层面接口，因此本方案是独立于操作系统的，可以在不同操作系统之上运行，有效解决了现有技术中，验证逻辑容易出现安全漏洞，且缺乏内核态内存隔离的问题，实现了在操作系统加载之前部署保护代码，大大缩短了保护的真空期；同时借助硬件辅助虚拟化以及虚拟机自省技术大大增强了保护系统的安全性与可扩展性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对本发明实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的应用于虚拟机监视器上的基于硬件辅助虚拟化的软件完整性保护方法的流程图；

图2为本发明实施例提供的计算机与虚拟监视器交互的示意图；

图3为本发明实施例提供的一个具体的使用流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

UEFI(Unified Extensible Firmware Interface，统一可扩展固件接口)是一种新的固件接口，取代了传统的BIOS(Basic Input/Output System，基本输入输出系统)固件。UEFI的主要目的是提供更加灵活、安全、高效的系统启动环境，并支持更多的操作系统和硬件设备。

UEFI驱动是指在UEFI固件中运行的设备驱动程序，主要用于控制和管理计算机硬件设备的操作。UEFI驱动可以在UEFI固件中运行，并在计算机启动时加载。在启动过程中，UEFI驱动负责初始化和配置硬件设备，并向操作系统提供访问硬件设备的接口。

本发明提供了一种基于硬件辅助虚拟化的软件完整性保护方法，该方法应用于虚拟机监视器，如图1所示包括以下步骤S101至S103。

S101，获取用户的配置参数，计算机中的用户态将配置参数通过VMCALL指令传递至虚拟机监视器中，并修改扩展页表的属性对计算机用户态发起的系统调用进行拦截。

在步骤S101中，修改扩展页表的属性对计算机用户态发起的系统调用进行拦截，具体包括以下步骤。

(1)获取系统调用，并使系统调用触发特定节点触发虚拟机退出流程。

(2)扩展页表修改与系统调用对应的内容为不可执行，完成对系统调用的拦截。扩展页表技术的应用，使得核心逻辑于虚拟机监视器中实现，系统运行在虚拟化环境中与用户代码和系统代码完全隔离，恶意软件同样也无法介入本产品的运行流程，大幅提高安全性。

S102，对拦截到的系统调用的参数进行校验，得到校验结果。

在步骤S102中，对拦截到的计算机用户态对拦截到的系统调用的参数进行校验，得到校验结果，具体包括：获取例程中的镜像文件信息，使用国密算法对镜像文件的签名信息进行校验，得到校验结果。

S103，根据校验结果，判断系统调用是否可执行，若是，则继续在计算机的硬件中执行系统调用；若否，则中断系统调用。

在步骤S103之后还包括：(1)读取虚拟机中的虚拟机页表，将系统调用对应的虚拟机虚拟地址转换为虚拟物理地址。(2)利用虚拟物理地址确定扩展页表中对应的页表项目，修改页表项目为不可写入。本发明提供的方法不修改操作系统原有代码以及数据结构，不会触发操作系统内核保护机制，提升了系统的稳定性。

本发明提供了一种基于硬件辅助虚拟化的软件完整性保护系统，该系统应用于虚拟机监视器，包括：初始化模块、检验模块以及判断模块。

初始化模块，用于获取用户的配置参数，并修改扩展页表的属性对计算机用户态发起的系统调用进行拦截。

检验模块，用于对拦截到的计算机用户态发起的系统调用参数进行校验，得到校验结果。

判断模块，用于根据校验结果，判断系统调用是否可执行，若是，则继续在计算机的硬件中执行系统调用；若否，则中断系统调用。

本发明提供了一种基于硬件辅助虚拟化的软件完整性保护方法，该方法应用于计算机，包括以下步骤S201至S205。

S201，在UEFI启动阶段加载一个UEFI运行时驱动程序，驱动程序用于对计算的虚拟环境进行部署。UEFI与硬件辅助虚拟化技术：在UEFI驱动中进行虚拟化的部署工作，减少与操作系统的耦合性。通过UEFI驱动的形式加载，相较于现有的技术而言，覆盖时间更长，恶意软件没有介入本产品初始化的机会，提升了初始化时的安全性。

S202，计算机中的操作系统内核接收计算机中的用户态发起的系统调用，系统调用中特定节点触发虚拟机退出流程。

S203，计算机将计算机控制权分配至虚拟环境中的虚拟机监视器。

S204，操作系统内核接收虚拟机监视器对系统调用的判断结果。

S205，计算机利用判断结果，完成对系统调用的操作。

在本发明提供的一个具体的实施例中，本发明首先在UEFI启动阶段加载一个UEFI运行时驱动程序，在驱动程序中完成对整个计算机的虚拟化环境部署工作，包括虚拟机控制结构的初始化、扩展页表的初始化等等。此后的流程都会在虚拟化环境中执行，通过对虚拟机的各项配置，结合虚拟机自省技术，在操作系统执行特定操作时触发虚拟机退出流程，将控制权转交到虚拟机监视器中，由虚拟机监视器完成对虚拟机的监控与修改。

本发明提供了一种基于硬件辅助虚拟化的软件完整性保护系统，该系统应用于计算机，包括：前期配置模块、接收模块、控制权转移模块、虚拟机反馈信号接收模块以及执行模块。

前期配置模块，用于在UEFI启动阶段加载一个UEFI运行时驱动程序，驱动程序用于对计算的虚拟环境进行部署。

接收模块，用于计算机中的操作系统内核接收计算机中的用户态发起的系统调用，系统调用中特定节点触发虚拟机退出流程。

控制权转移模块，用于计算机将计算机控制权分配至虚拟环境中的虚拟机监视器。

虚拟机反馈信号接收模块，用于操作系统内核接收虚拟机监视器对系统调用的判断结果。

执行模块，用于计算机利用判断结果，完成对系统调用的操作。

在本发明提供的一个具体的实施例中，如图2所示。

①表示为前期配置，验证器前端与用户直接交互，并将用户的配置参数通过VMCALL指令传递给虚拟机监视器，完成配置工作。

②虚拟页表拦截：通过扩展页表技术，修改扩展页表属性对操作系统进程管理模块进行拦截，在执行特定部分的代码时会将流程转移到虚拟机监视器中。

③新进程创建：用户与计算机交互创建了新的进程，创建新进程时会调用特定的系统调用，此时之前部署的拦截机制便会触发，控制权会转移给虚拟机监视器。在本步骤中特定的系统调用是本发明中设定的在用户态发送和的系统调用进入操作系统内核中时，就会触发虚拟机退出流程。

④签名校验：签名校验模块读取进程对应的镜像文件的信息，使用国密算法对其完整性进行校验，如果校验正常则会恢复进程管理模块的任务执行继续创建进程，否则会中断进程创建流程。

在本发明提供的一个具体的实施例中，如图3所示，首先用户创建新进程，计算机进程创建函数，触发EPT断点，计算机将计算机控制权转交至虚拟机监视器，在虚拟机监视器中，首先获取程序的镜像文件，对镜像文件中的文件签名进行验证，确定文件签名是否合法，若文件签名不合法，则中断创建流程，若文件签名合法，则恢复创建新进程的执行流程，即对创建新进程中的进程进行初始化，在计算机硬件中完成对进程的创建。

在本发明提供的实施例中，用户新创建的进程，通过触发EPT断点，想虚拟器监视器要求保护自身的制定代码段，虚拟器监视器接收到请求之后，会执行以下流程：

①验证此请求的合法性，如果请求非法则中断执行流程，否则继续执行以下流程。

②读取虚拟机页表，将请求保护的虚拟机虚拟地址转化为虚拟机物理地址。

③通过虚拟机物理地址找到扩展页表中对应的页表项目，修改页表项属性为不可写入。

通过上述操作，如果后续有恶意软件尝试对这段内存进行修改时，会被CPU直接拦截，从而达到保护指定内存的目的。

本发明通过虚拟化自省技术实现，不仅可以在进程创建时完成校验，同样可以保护进程运行时的关键数据结构。且本发明基于硬件辅助虚拟化实现的，使用CPU提供的虚拟化机制实现核心逻辑，而不使用任何操作系统层面接口，因此本方案是独立于操作系统的，可以在不同操作系统之上运行。

上述实施例阐明的装置或模块，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。为了描述的方便，描述以上装置时以功能分为各种模块分别描述。在实施本发明时可以把各模块的功能在同一个或多个软件和/或硬件中实现。当然，也可以将实现某功能的模块由多个子模块或子单元组合实现。

本发明中的方法、装置或模块可以以计算机可读程序代码方式实现控制器按任何适当的方式实现，例如，控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(英文：Application Specific Integrated Circuit；简称：ASIC)、可编程逻辑控制器和嵌入微控制器的形式，控制器的例子包括但不限于以下微控制器：ARC 625D、AtmelAT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320，存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道，除了以纯计算机可读程序代码方式实现控制器以外，完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件，而对其内部包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至，可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。

本发明装置中的部分模块可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构、类等。也可以在分布式计算环境中实践本发明，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的硬件的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，也可以通过数据迁移的实施过程中体现出来。该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，移动终端，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分的方法。

本说明书中的各个实施方式采用递进的方式描述，各个实施方式之间相同或相似的部分互相参见即可，每个实施方式重点说明的都是与其他实施方式的不同之处。本发明的全部或者部分可用于众多通用或专用的计算机系统环境或配置中。例如：个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、移动通信终端、多处理器系统、基于微处理器的系统、可编程的电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。

以上实施例仅用以说明本发明的技术方案，而非对本发明限制；尽管参照前述实施例对本发明进行了详细的说明，本领域普通技术人员应当理解：其依然可以对前述实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明技术方案的范围。

Claims (10)

1.一种基于硬件辅助虚拟化的软件完整性保护方法，其特征在于，应用于虚拟机监视器，包括：

获取用户的配置参数，并修改扩展页表的属性对计算机用户态发起的系统调用进行拦截；

对拦截到的所述系统调用的参数进行校验，得到校验结果；

根据校验结果，判断所述系统调用是否可执行，若是，则继续在所述计算机的硬件中执行所述系统调用；若否，则中断所述系统调用。

2.根据权利要求1所述的基于硬件辅助虚拟化的软件完整性保护方法，其特征在于，所述获取用户的配置参数，具体包括：所述计算机中的用户态将所述配置参数通过VMCALL指令传递至所述虚拟机监视器中。

3.根据权利要求1所述的基于硬件辅助虚拟化的软件完整性保护方法，其特征在于，所述修改扩展页表的属性对计算机用户态发起的系统调用进行拦截，具体包括：

获取所述系统调用，并使所述系统调用触发特定节点触发虚拟机退出流程；

所述扩展页表修改与所述系统调用对应的内容为不可执行，完成对所述系统调用的拦截。

4.根据权利要求1所述的基于硬件辅助虚拟化的软件完整性保护方法，其特征在于，所述对拦截到的所述系统调用的参数进行校验，得到校验结果，具体包括：

获取所述例程中的镜像文件信息，使用国密算法对所述镜像文件的签名信息进行校验，得到校验结果。

5.根据权利要求1所述的基于硬件辅助虚拟化的软件完整性保护方法，其特征在于，在判断所述系统调用是否可执行之后，还包括：

读取虚拟机中的虚拟机页表，将所述系统调用对应的虚拟机虚拟地址转换为虚拟物理地址；

利用所述虚拟物理地址确定所述扩展页表中对应的页表项目，修改所述页表项目为不可写入。

6.一种基于硬件辅助虚拟化的软件完整性保护方法，其特征在于，应用于计算机，包括：

在UEFI启动阶段加载一个UEFI运行时驱动程序，所述驱动程序用于对计算的虚拟环境进行部署；

所述计算机中的操作系统内核接收所述计算机中的用户态发起的系统调用，所述系统调用中特定节点触发虚拟机退出流程；

所述计算机将计算机控制权分配至所述虚拟环境中的虚拟机监视器；

所述操作系统内核接收所述虚拟机监视器对所述系统调用的判断结果；

所述计算机利用所述判断结果，完成对所述系统调用的操作。

7.根据权利要求6所述的基于硬件辅助虚拟化的软件完整性保护方法，其特征在于，所述对计算的虚拟环境进行部署，具体包括：初始化虚拟机监视器的控制结构以及扩展页表。

8.一种基于硬件辅助虚拟化的软件完整性保护系统，其特征在于，应用于虚拟机监视器，包括：

初始化模块，用于获取用户的配置参数，并修改扩展页表的属性对计算机用户态发起的系统调用进行拦截；

检验模块，用于对拦截到的所述系统调用的参数进行校验，得到校验结果；

判断模块，用于根据校验结果，判断所述系统调用是否可执行，若是，则继续在所述计算机的硬件中执行所述系统调用；若否，则中断所述系统调用。

9.一种基于硬件辅助虚拟化的软件完整性保护系统，其特征在于，应用于计算机，包括：

前期配置模块，用于在UEFI启动阶段加载一个UEFI运行时驱动程序，所述驱动程序用于对计算的虚拟环境进行部署；

接收模块，用于所述计算机中的操作系统内核接收所述计算机中的用户态发起的系统调用，所述系统调用中特定节点触发虚拟机退出流程；

控制权转移模块，用于所述计算机将计算机控制权分配至所述虚拟环境中的虚拟机监视器；

虚拟机反馈信号接收模块，用于所述操作系统内核接收所述虚拟机监视器对所述系统调用的判断结果；

执行模块，用于所述计算机利用所述判断结果，完成对所述系统调用的操作。

10.根据权利要求1或6任一项所述的基于硬件辅助虚拟化的软件完整性保护方法，其特征在于，使用Rust语言作为实现语言。