基于PKS硬件特性的eBPF内存隔离机制

Linux内核中的eBPF(extended Berkeley packet filter)机制可以将用户提供的不受信任的程序安全地加载到内核中.在eBPF机制中,检查器负责检查并保证用户提供的程序不会导致内核崩溃或者恶意地访问内核地址空间.近年来,eBPF机制得到了快速发展,随着加入越来越多的新功能,其检查器也变得愈发复杂.观察到复杂的eBPF安全检查器存在的两个问题:一是“假阴性”问题:检查器复杂的安全检查逻辑中存在诸多漏洞,而攻击者可以利用这些漏洞设计能够通过检查的恶意eBPF程序来攻击内核;二是“假阳性”问题:检查器采用静态检查的方式,由于缺乏运行时信息只能进行保守检查,可能造成原本安全的程序无法通过检查,也只能支持很受限的语义,为eBPF程序的开发带来了困难.通过进一步分析,发现eBPF检查器中的静态模拟执行检查机制代码量大,复杂度高,分析保守,是引起安全漏洞和误报的主要原因.因此,提出使用轻量级动态检查的方式取代eBPF检查器中的静态模拟执行检查机制,eBPF检查器中原本由于模拟执行而存在的漏洞与保守检查不复存在,从而能够消除诸多上述的“假阴性”和“假阳性”问题.具体来说,将eBPF程序运行在内核态沙箱中,由沙箱对程序运行时的内存访问进行动态检查,保证程序无法对内核内存进行非法访问;为高效实现轻量化的内核态沙箱,利用新型硬件特性Intel PKS(protection keys for supervisor)进行零开销的访存指令检查,并提出高效的内核与沙箱中eBPF程序交互方法.评测结果表明,所提方法能够消除内核eBPF检查器中的内存安全漏洞(自2020年以来该类型漏洞在eBPF检查器的总漏洞中占比超过60%);即使在吞吐量较高的网络包处理场景下,轻量化内核沙箱带来的性能开销低于3%.

基于精化的可信执行环境内存隔离机制验证

可信执行环境(trusted execution environment,TEE)基于硬件隔离机制,为安全敏感应用提供隔离的执行环境,保护敏感数据的安全性.内存隔离机制是TEE的关键机制之一,用于对安全内存和非安全内存进行隔离,并对安全内存实施访问控制,如果其安全性不能保证,可能造成存储在安全内存中的敏感数据泄露.为验证TEE内存隔离机制的安全性,针对基于ARM TrustZone技术构建的TEE,提出一种基于精化的可信执行环境内存隔离机制安全性验证方法.建立抽象模型和具体模型,并定义两种模型之间的精化关系,在证明精化关系成立和抽象模型满足信息流安全性的前提下,验证具体模型的信息流安全性.具体模型建模了TEE内存隔离机制的关键硬件和软件,包括TrustZone地址空间控制器、MMU和TrustZone monitor等,在定理证明器Isabelle/HOL中,验证了该模型满足无干扰、无泄露、无影响等信息流安全属性.

一种基于内存隔离的关键数据保护机制

随着人们发现越来越多的内存信息泄露漏洞,内存关键数据的安全变得越来越重要。当前业界对于保护内存关键数据安全的主流方案是进行内存隔离。然而,现有的方案缺乏对关键数据的细粒度保护,同时大部分方案需要手动修改代码。本文提出一种方案,该方案能够完整地跟踪程序中的所有涉及关键数据的操作,并在编译器自动进行代码转换,不需要手动更改代码。测试结果表明,该方案能够防止大型程序中的内存泄露攻击,例如Open SSL中的Heartbleed,同时编译期开销低于1%,运行时开销与同类型系统持平。

一种可配置的虚拟机内存隔离方法

针对虚拟化环境自身体系结构和虚拟机之间内存映射的特点,提出一种特权域和普通域间可配置的内存隔离方法,实现对普通域内存信息的安全性隔离,在保证普通域运行过程内存信息可靠性和秘密性的同时,增强普通域内存信息管理的可维护性。

一种利用EPT机制的动态物理内存隔离方法

传统的物理内存保护机制主要依赖具体硬件和操作系统实现,存在可靠性低、隔离性差、安全性弱等缺点.Intel VT的VM X架构通过引入扩展页表(Extended Page Table,EPT)机制实现对物理内存的访问控制.在深入分析EPT实现原理的基础上,设计了一种动态物理内存隔离与访问验证方法,并设计了原型系统PMM (Physical Memory Monitor),该系统能够隐藏Linux操作系统应用程序进程访问的物理内存.在Linux操作系统上进行了原型实现和验证,实验结果表明,该方法能够隐藏应用程序进程访问的物理内存,防止应用程序的物理内存隐私数据和功能代码被非法访问和篡改,并且带来较少的性能开销.

可信执行环境:现状与展望

当前在云服务、移动社交网络下用户普遍追求隐私保护、安全计算,从而推动了隐私计算、机密计算等领域的快速发展.可信执行环境(trusted execution environment,TEE)作为机密计算服务中重要的技术基础已经广泛部署到各类计算平台中.目前,以Intel,Arm等为代表的设备制造商采用软硬件隔离机制,推出了多类实用TEE技术并不断迭代更新,从功能上更加方便设备管理者、普通用户使用安全服务.研究人员则根据不同的系统架构和应用需求,优化TEE模型,扩大可信应用领域并提升其工作效率.全面分析主流系统架构(包括x86、Arm、RISC-V、异构计算单元)中TEE技术发展路线、技术特点包括基础硬件设施设计、软件接口定义、安全边界等,挖掘TEE技术可行的应用场景.同时,分析各类TEE技术面临的挑战,探讨TEE技术局限性以及自身面临的安全风险如侧信道攻击等.在此基础上,从安全性、功能性等方面总结各类TEE技术优缺点,并提出TEE技术未来的发展思路.

基于时空隔离原则的列车控制软件集成方法的研究

针对CTCS-3设备硬件资源浪费、通信复杂和容易出故障的问题,参考ARINC 653标准中时空隔离的思想,目的是实现一台设备集成多台设备的功能,提高设备效率和可靠性。文中运用两级调度结构,根据VXWORKS操作系统的特性计算程序运行时间,确定隔离时间和周期;运用开发平台工具测量单个任务所需内存,确定隔离内存大小。用实例验证本方法的正确性。

基于硬件虚拟化的内核同层多域隔离模型

为了解决内核不可信带来的问题,很多工作提出了同层可信基的架构,即,在内核同一硬件特权水平构建可部署安全机制的唯一保护域.但是,实际过程中往往面临多样化的安全需求,将多种对应的安全机制集中于唯一的保护域必然导致只要其中任何一个安全机制被攻陷,同一个保护域内其他所有安全机制都可能被攻击者恶意篡改或者破坏.为了解决上述问题,提出了内核同层多域隔离模型,即在内核同一硬件特权水平构建多个保护域实现了不同安全机制的内部隔离,缓解了传统方法将所有安全机制绑定在唯一保护域带来的安全风险.实现了内核同层多域隔离模型的原型系统Decentralized-KPD,其利用硬件虚拟化技术和地址重映射技术,将不同安全机制部署在与内核同一特权水平的多个保护域中,并不会引起较大的性能开销.总体而言,实验结果展示了内核同层多域隔离模型的安全性和实用性.

无线传感网络节点内存管理机制的研究与设计

针对现有无线传感器网络WSNs(Wireless Sensor Networks)节点片上RAM(随机存储器)利用率低的特点,设计了一种基于链表的改进型内存管理方案。该方案以事件驱动开发模式为程序运行的前提,在将RAM划分为静态内存空间和动态内存空间之后,通过内存隔离技术,实现内存管理结构与内存空间在实体内存中的分离,从而达到提高节点内存利用率的目的。经测试,写内存的平均速率能够达到500 kbit/s,而在开启内存交换功能时,实际内存的使用率接近80%。最终为提高节点内存利用率提供了一种良好的解决方案。

PriVisor:不可信操作系统中用户隐私数据保护方法

在目前网络越来越复杂的计算环境中,避免计算机中用户隐私数据的泄漏是研究人员关注的焦点。当前操作系统(operating system,OS)越来越复杂,恶意程序很容易通过其漏洞劫持操作系统,从而获取用户正在运行的应用程序所访问的数据,导致用户隐私数据的泄漏。以安全轻量虚拟机监控器OSV为基础,设计了一个用户隐私保护系统PriViso(rprivacy visor)。通过对操作系统内存访问进行限制,使操作系统在未经授权的情况下无法对用户隐私数据进行访问,从而保证了用户隐私数据的完整性。通过对设备配置空间的监控,建立安全I/O通道,保证被污染的操作系统无法通过对硬件设备的重配置,来获取用户与计算机进行交互时的敏感数据。对PriVisor的内存保护系统建立了模型,并对其进行了验证,保证了系统设计在理论上的安全可靠性。通过具体攻击实例的分析,验证了PriVisor可以有效地保护用户隐私不被攻击者窃取。

BrickOS:面向异构硬件资源的积木式内核

人机物融合的新兴领域需要新型操作系统内核以支持泛在计算,对下管控海量异构硬件,对上服务动态多变应用场景.本文提出一种积木式内核架构BrickOS,可以根据使用场景灵活选择要加入内核的系统组件,同时可以选择将系统组件运行在用户态以提供较好的安全性,或者运行在共享地址空间的内核态中以提升性能.为了保障运行在相同地址空间中的系统组件的安全性,BrickOS为底层硬件的内存保护机制提供了统一的抽象,并将其用于单地址空间的内存隔离.测试结果表明BrickOS可以根据不同场景生成定制化内核,并拥有较低的进程间通信(inter-process call,IPC)开销,整体性能良好.