基于PKS硬件特性的eBPF内存隔离机制

Linux内核中的eBPF(extended Berkeley packet filter)机制可以将用户提供的不受信任的程序安全地加载到内核中.在eBPF机制中,检查器负责检查并保证用户提供的程序不会导致内核崩溃或者恶意地访问内核地址空间.近年来,eBPF机制得到了快速发展,随着加入越来越多的新功能,其检查器也变得愈发复杂.观察到复杂的eBPF安全检查器存在的两个问题:一是“假阴性”问题:检查器复杂的安全检查逻辑中存在诸多漏洞,而攻击者可以利用这些漏洞设计能够通过检查的恶意eBPF程序来攻击内核;二是“假阳性”问题:检查器采用静态检查的方式,由于缺乏运行时信息只能进行保守检查,可能造成原本安全的程序无法通过检查,也只能支持很受限的语义,为eBPF程序的开发带来了困难.通过进一步分析,发现eBPF检查器中的静态模拟执行检查机制代码量大,复杂度高,分析保守,是引起安全漏洞和误报的主要原因.因此,提出使用轻量级动态检查的方式取代eBPF检查器中的静态模拟执行检查机制,eBPF检查器中原本由于模拟执行而存在的漏洞与保守检查不复存在,从而能够消除诸多上述的“假阴性”和“假阳性”问题.具体来说,将eBPF程序运行在内核态沙箱中,由沙箱对程序运行时的内存访问进行动态检查,保证程序无法对内核内存进行非法访问;为高效实现轻量化的内核态沙箱,利用新型硬件特性Intel PKS(protection keys for supervisor)进行零开销的访存指令检查,并提出高效的内核与沙箱中eBPF程序交互方法.评测结果表明,所提方法能够消除内核eBPF检查器中的内存安全漏洞(自2020年以来该类型漏洞在eBPF检查器的总漏洞中占比超过60%);即使在吞吐量较高的网络包处理场景下,轻量化内核沙箱带来的性能开销低于3%.

FUPS-DV:用于桌面虚拟化的全时抢占CPU调度算法

桌面虚拟化通常运行混合负载,且更注重交互式性能,现有的虚拟机调度算法无法很好适应这两个特点.本文提出了一种全时抢占CPU调度算法,通过灰盒技术探测虚拟机内部信息用于辅助虚拟机调度,并结合远程桌面的负载特性进行优化.评测表明,5台Windows XP虚拟机同时运行混合负载,优化后播放幻灯片的显示延迟降低了至少60%.

基于Xen平台的虚拟机交互式性能隔离改进

分析了高整合程度环境下,虚拟机出现连续性网络延迟峰值的异常现象,设计并实现了针对交互式性能隔离的虚拟机调度算法优化方案,包括协作式抢占、抢占返回和精确核算机制,这些优化方案不需要对客户操作系统做任何修改。实验表明,在8台CPU密集型虚拟机同时运行的情况下,另外8台虚拟机网络延迟的最高5%平均值降低至优化前的0.93%,Firefox浏览邮件延迟的最高5%平均值降低至优化前的56.1%。

智能手机的安全防御

随着智能手机的流行。移动平台的恶意软件开始大肆泛滥。这些恶意软件究竟是如何突破层层防护的？用户怎样能提高设备的安全性？手机安全与隐私保护已经成为一个备受关注的问题。

基于新型VMI技术的内核Rootkit检测方案

随着互联网的发展,当今社会对于信息安全的关注度越来越高。内核级Rootkit能够隐藏自身及恶意软件,对系统安全产生了严重威胁。现有基于虚拟化技术的内核Rootkit检测方案主要针对系统静态Hook进行检测和保护,对基于动态Hook的攻击行为缺乏有效的分析和防御手段。为了解决上述问题,设计并实现了一种基于新型VMI(Virtual Machine Introspection)的检测内核Rootkit的通用系统,对内核静态和动态Hook都能够进行检测和保护。实验表明,系统成功检测出内核级Rootkit对于内核Hook的攻击和篡改,对大量常见的内核Rootkit都有效,同时对于基于动态Hook的攻击行为也能够及时报警,能够有效增强系统对于Rootkit的检测能力。

一种用于网络计算机系统的半集中计算模型

提出了一种用于网络计算机系统的半集中计算模型,在保留传统网络计算机系统的管理优势的同时,支持客户端分担更多的计算负载,并可提供无缝的用户体验。研究了该模型中的计算任务划分、输入合成与显示合成的策略,实现了一个基于半集中计算模型的视频播放器原型。实验表明它能够进行无缝的视频播放,并可以显著降低服务器端负载。

基于体系结构扩展的云计算安全增强研究

近年来,云计算的安全问题得到了广泛的关注。由于云计算模式的共享、外包和开发的特性,用户并不拥有对计算和数据的完全控制;相反,云平台内部的恶意系统管理员可在用户不知情的情况下窃取或篡改用户的关键数据。研究者们为保护云计算数据的隐私性与完整性,对体系结构进行了扩展,尝试缩小云安全所依赖的软硬件栈。本文阐述了这些研究中采用的主要技术类型,包括内存隔离增强、安全处理器加密等。

基于受限行为约束策略的桌面计算系统交互性能测量方法

测量桌面计算系统的交互性能是分析和改进系统性能的重要基础.方便地获得准确测量结果的难点是如何确定输入事件和其直接触发的输出事件之间的对应关系.为此,提出一种采用受限行为约束策略的交互性能测量方法,首先分析了确定输入、输出事件的对应关系需要满足的约束条件,通过会话录制辅助机制合理转化难以满足约束条件的事件,通过用户行为检验机制进一步确认所有事件已经满足约束条件,从而保证可以获得更准确的测量结果.基于该方法,实现了一个支持Windows和Linux等主流桌面计算系统的测量工具VNC-IPA.实验以"慢动作"基准测量方法获得的测量结果为真值,结果表明,相比其他交互性能测量工具VNCplay,使用VNC-IPA获得的测量结果的相对误差平均降低了35.4%.

基于TrustZone技术的安全移动远程控制系统

移动设备的发展使得用户能够手持设备远程连接桌面环境办公,但移动平台的安全隐患给移动远程控制带来巨大的风险。为此,利用ARM处理器的安全扩展Trust Zone技术,设计一个具有高安全性的远程控制系统Trust RFB。通过对传输信道加密,并把远程控制客户端隐私相关的逻辑放入Trust Zone所提供的安全域内,有效地防止攻击者利用恶意软件、恶意系统甚至恶意远程控制客户端窃取用户的隐私。在Exynos4412开发板上实现Trust RFB的原型,安全测试结果表明,Trust RFB能够抵御Rootkit和软件重打包等多种攻击手段,并且在日常使用场景中网络带宽仅下降1.2%。

面向SGX2代新型可信执行环境的内存优化系统

可信执行环境(trusted execution environment, TEE)是一种应用于隐私计算保护场景的体系结构方案,能为涉及隐私相关的数据和代码提供机密性和完整性的保护,近年来成为机器学习隐私保护、加密数据库、区块链安全等场景的研究热点.主要讨论在新型可信硬件保护下的系统的性能问题:首先对新型可信硬件(IntelSGX2代)进行性能剖析,发现在配置大安全内存的前提下, Intel SGX1代旧有的换页开销不再成为主要矛盾.配置大容量安全内存引起了两个新的问题:首先,普通内存的可用范围被压缩,导致普通应用,尤其是大数据应用的换页开销加剧;其次,安全内存通常处于未被用满阶段,导致整体物理内存的利用率不高.针对以上问题,提出一种全新的轻量级代码迁移方案,将普通应用的代码动态迁入安全内存中,而数据保留在原地不动.迁移后的代码可使用安全内存,避免因磁盘换页导致的剧烈性能下降.实验结果表明:该方法可将普通应用因为磁盘换页导致的性能开销降低73.2%-98.7%,同时不影响安全应用的安全隔离和正常使用.

使用缓存的虚拟机内存扩展(英文)

针对虚拟机内存需求预测困难及内存分配不足时性能严重下降的问题,提出在虚拟机监视器中加入一个缓存HECache。HECache预先保留部分内存,运行在同一台物理主机上的所有虚拟机共享该部分内存,且对HECache中内存的使用申请都可以立即得到满足。通过预先牺牲少量内存的方法,所有的虚拟机都获得了更多的可用内存。实验结果表明,将内存保留在HECache中与直接分配给虚拟机相比开销很低。HECache对应用程序透明,与现有的其他内存机制(例如ballooning,page-sharing,hotplug)等兼容。

基于行为的智能手机权限授予机制

随着智能手机的发展,软件的恶意行为在移动平台也呈现爆发性增长。面对正常行为和恶意行为混杂的情况,现有的权限机制缺乏相适应的粒度以及足够的信息区分相同程序中的不同行为。以"程序行为"为粒度对应用程序进行授权,并辅助以行为的上下文作为判定依据可以有效地分离程序正常行为与恶意行为。基于上述概念设计并实现Event Chain原型系统,具有追踪、建立程序行为及其上下文的能力。实验表明,该系统能够检测到Bg Serv、Fake Player等5个病毒家族的89个恶意软件中的恶意行为,并且具有低于10%的性能开销。

计算机系统隔离研究

系统隔离是计算机系统整体可靠性、可扩展性的重要支撑技术.传统的系统隔离基于权限构建的层次隔离模型,在设计上将软件分为不同层次,层次由下而上权限不断降低,底层高权限软件层负责对上层低权限软件进行隔离.近年来,随着硬件层不断涌现出硬件辅助虚拟化、ARM TrustZone、Intel SGX(Software Guard Extension)等新技术,离散隔离模型渐渐成为研究热点,为传统的系统软件带来了诸多机遇和挑战.

BrickOS:面向异构硬件资源的积木式内核

人机物融合的新兴领域需要新型操作系统内核以支持泛在计算,对下管控海量异构硬件,对上服务动态多变应用场景.本文提出一种积木式内核架构BrickOS,可以根据使用场景灵活选择要加入内核的系统组件,同时可以选择将系统组件运行在用户态以提供较好的安全性,或者运行在共享地址空间的内核态中以提升性能.为了保障运行在相同地址空间中的系统组件的安全性,BrickOS为底层硬件的内存保护机制提供了统一的抽象,并将其用于单地址空间的内存隔离.测试结果表明BrickOS可以根据不同场景生成定制化内核,并拥有较低的进程间通信(inter-process call,IPC)开销,整体性能良好.

软件定义的云际计算基础理论和方法研究进展

云计算生态中云服务提供者的独立性是天然存在的,但由此带来的单一云服务商边际效益下降、云服务用户平台锁定等痛点问题已严重制约云产业的健康发展。为解决云计算发展新时期的瓶颈性问题,云际计算作为一种前瞻性研究对象,应运而生。云际计算支持传统云各个层面(如IaaS、PaaS、SaaS、DaaS等)的各类云参与者(例如提供者、消费者、代理者、监管者等)之间以互利互惠方式进行双边或多边协作,以应对当前云计算发展所面临的重大挑战。本文首先系统介绍了国家重点研发计划项目"软件定义的云际计算基础理论和方法"的提出动机和研究价值;然后,深刻揭示了云际计算模型机理及其背后的设计哲学,进而详细阐释了3项关键支撑技术和1项综合定制技术的核心思想及所取得的研究进展;最后,紧扣云计算和大数据重点专项任务使命,从云计算和大数据两个维度对未来研究重点进行了展望。

构建云际计算体系推动云间协作共赢——"软件定义的云际计算基础理论和方法"项目取得阶段性成果

国家重点研发计划云际计算项目由国防科技大学牵头,清华大学、北京航空航天大学、上海交通大学、北京大学以及以阿里云为代表的一线云提供商等联合参研。云际计算项目紧密围绕协作模型和协作机制两个科学问题,开展了软件定义模型机理、共性关键支撑技术和综合定制技术等研究,形成了以模型机理、云际互联、云际存储、跨云计算和虚拟专云等为核心的技术体系,沉淀了支持云间资源自主共享、服务自由交易的云际协作环境,为我国未来5~10年以开放、共享为特征的云计算创新发展提供支撑。

Unified Enclave Abstraction and Secure Enclave Migration on Heterogeneous Security Architectures

ion and secure enclave migration on heterogeneous security architectures.