一種基於虛擬平臺的安全可信運行保護方法

2023-07-01 05:48:16

一種基於虛擬平臺的安全可信運行保護方法【專利摘要】本發明提供一種基於虛擬平臺的安全可信運行保護方法，圍繞虛擬平臺存在的安全問題，通過LLVM的虛擬機監控器靜態分析、TPM和IPMI的平臺完整性遠程驗證、管理域虛擬機完整性度量、用戶虛擬機完整性度量和基於軟體行為的數據流一致性分析模塊組成實現虛擬平臺的安全可信運行保證模型，結合目前雲計算虛擬技術廣泛的應用，同時帶來了虛擬技術相關的安全挑戰的現狀，結合可信計算在信息安全中保障系統和硬體安全的技術日漸成熟。本文就是通過在虛擬化平臺中引入可信計算技術，結合動態度量、管理域、虛擬機監控器、客戶域運行完整性等保護方式，來構建一個安全可信的虛擬平臺。信任鏈可信傳遞作為可信計算的一種模型，能夠保護承接虛擬平臺上下鏈條的絕對可信性，以此保證虛擬平臺的安全可信運行。【專利說明】一種基於虛擬平臺的安全可信運行保護方法【
技術領域：
】[0001]本發明涉及計算機【
技術領域：
】，具體地說是一種基於虛擬平臺的安全可信運行保護方法。【
背景技術：
】[0002]本發明提出了基於虛擬平臺的安全可信運行保證模型，結合目前雲計算虛擬技術廣泛的應用，同時帶來了虛擬技術相關的安全挑戰的現狀，結合可信計算在信息安全中保障系統和硬體安全的技術日漸成熟。本文就是通過在虛擬化平臺中引入可信計算技術，結合動態度量、管理域、虛擬機監控器、客戶域運行完整性等保護方式，來構建一個安全可信的虛擬平臺。信任鏈可信傳遞作為可信計算的一種模型，能夠保護承接虛擬平臺上下鏈條的絕對可信性，以此保證虛擬平臺的安全可信運行。【
發明內容】[0003]本發明的目的是提供一種基於虛擬平臺的安全可信運行保護方法。[0004]本發明的目的是按以下方式實現的，圍繞虛擬平臺存在的安全問題，通過LLVM的虛擬機監控器靜態分析模塊、TPM和IPMI的平臺完整性遠程驗證模塊、管理域虛擬機完整性度量模塊、用戶虛擬機完整性度量模塊和基於軟體行為的數據流一致性分析模塊組成實現虛擬平臺的安全可信運行保證，每個模塊特點如下:基於LLVM的虛擬機監控器靜態分析模塊，根據LLVM提供的的編譯優化、連結優化、在線編譯優化、代碼生成功能對虛擬機監控器進行重編譯，深入分析其控制流的邏輯不變性，在此基礎上度量控制流的完整性；基於TPM和IPMI的平臺完整性遠程驗證模塊，IPMI良好的自治特性，其並不依賴於伺服器的處理器、B1S或作業系統進行工作，因此，結合TPM提供的可信計算服務設計一種使用硬體的方法構造最小可信基TCB，然後通過度量代理分別和IPMI以及TPM交互，最終使用隱藏的隔離模型實現了對虛擬機監控器的度量；管理域虛擬機完整性度量模塊，該模塊位於虛擬機監控器內部，主要功能是對管理域的關鍵數據結構進行拆分，主要分析域創建、IDD、仿真設備模型三個部分關鍵數據結構的代碼段、系統調用表以及IDT，設計思想是捕獲系統調用、中斷、異常事件，當這些事件發生時，對系統的最新狀態實施動態度量；用戶虛擬機完整性度量模塊，該模塊實現兩個功能:一是透明的對用戶作業系統GuestOS的類型進行實時監測功能；二是對GuestOS的寄存器、堆、棧、當前進程的頁基地址event的變量參數、運行進程的指令指針和棧指針進行監控，對於第一個功能，通過與IDT相關聯硬體狀態信息，包括IDTR登記，MSR-sysenter-cs,MSR-sysenter-eip和軟體數據結構信息包括系統調用表、進程鍊表使用迭代算法結合白名單實現，第二個功能實現方式是設置一個非法地址，導致保護失效陷入虛擬機監控器，然後由虛擬機監控器再進行度量，需要注意的是應採用調試寄存器保存該非法地址，以便虛擬機監控器檢查後能夠設置Context的正確返回地址；基於軟體行為的數據流一致性分析模塊，該模塊由分析代理、管理代理、監控代理三個部分組成，分析代理對虛擬機監控器、管理域、客戶域的軟體行為軌跡進行評測，提取出預期行為特徵，形成預期行為特徵庫；監控代理對虛擬機監控器、管理域、客戶域的軟體行為運行實例進行實時監控，然後提取出實際行為特徵；管理代理根據分析代理提供的預期行為特徵與監控代理提供的實際行為特徵，使用軟體行為分析自動機進行一個動態可信評測分析，最後得到虛擬機監控器、管理域、客戶域的軟體的可信評測結果；客戶虛擬機網絡隔離模塊，對客戶虛擬機的網絡隔離是在該客戶虛擬機所在的宿主機上實現的，由於對不可信客戶虛擬機的網絡隔離是在客戶虛擬機平臺完整性實時檢測基礎上完成的，所以對不可信客戶虛擬機的網絡隔離的實現效果表現為:當檢測到客戶虛擬機的平臺完整性被破壞之後，立即隔離該虛擬機，而不是像對宿主機的網絡隔離一樣，在宿主機的平臺完整性被驗證處於可信狀態之後才允許宿主機接入網絡；定位平臺完整性遭到破壞的客戶虛擬機不能夠依賴於客戶虛擬機的IP位址和MAC地址去完成，假如攻擊者獲取了該客戶虛擬機的root權限或者該客戶虛擬機是一臺惡意的客戶虛擬機，那麼該客戶虛擬機的IP位址和MAC地址都有可能被修改，如果依然利用乙太網橋防火牆去隔離平臺完整性遭到破壞的客戶虛擬機，那麼這種隔離模型是很容易被繞過，所以，只能選擇其他有效信息來定位客戶虛擬機，並且該信息必須是客戶虛擬機的擁有者所不能修改的。[0005]本發明的目的有益效果是:本發明提出了基於虛擬平臺的安全可信運行保證模型，結合目前雲計算虛擬技術廣泛的應用，同時帶來了虛擬技術相關的安全挑戰的現狀，結合可信計算在信息安全中保障系統和硬體安全的技術日漸成熟。本文就是通過在虛擬化平臺中引入可信計算技術，結合動態度量、管理域、虛擬機監控器、客戶域運行完整性等保護方式，來構建一個安全可信的虛擬平臺。信任鏈可信傳遞作為可信計算的一種模型，能夠保護承接虛擬平臺上下鏈條的絕對可信性，以此保證虛擬平臺的安全可信運行。[0006]【專利附圖】【附圖說明】[0007]圖1是虛擬平臺運行時完整性保證模型框架圖。【具體實施方式】[0008]參照說明書附圖對本發明的一種基於虛擬平臺的安全可信運行保護方法作以下詳細地說明。[0009]實施例:基於虛擬平臺的安全可信運行保證模型主要包含虛擬域運行時的可信性，即管理域運行時的完整性、虛擬機監控器(hypervisor)的運行時完整性、客戶域運行時的完整性。見附圖1給出了總體框架。所述的完整性主要指管理域、虛擬機監控器、客戶域運行時其主要的數據結構、系統調用等不會被惡意程序篡改或者被攻擊者獲取最高權限。保證三者的完整性的最重要的原則是對運行時的管理域、虛擬機監控器、客戶域進行實時的完整性驗證。所述實時性是指在虛擬環境中執行程序的某個關鍵點實施檢測方案。[0010]通過LLVM的虛擬機監控器靜態分析、TPM和IPMI的平臺完整性遠程驗證、管理域虛擬機完整性度量、用戶虛擬機完整性度量和基於軟體行為的數據流一致性分析模塊組成實現虛擬平臺的安全可信運行保證，每個模塊特點如下:基於LLVM的虛擬機監控器靜態分析模塊，根據LLVM提供的的編譯優化、連結優化、在線編譯優化、代碼生成等功能對虛擬機監控器(hypervisor)進行重編譯，深入分析其控制流的邏輯不變性，在此基礎上度量控制流的完整性。[0011]基於TPM和IPMI的平臺完整性遠程驗證模塊，IPMI良好的自治特性，其並不依賴於伺服器的處理器、B1S或作業系統進行工作。因此，結合TPM提供的可信計算服務設計出一種度量hypervisor的方法。其實現方法是使用硬體的方法構造最小可信基(TCB)，然後通過度量代理分別和IPMI以及TPM交互，最終使用隱藏的隔離模型實現了對hypervisor的度量。[0012]管理域虛擬機完整性度量模塊，該模塊位於hypervisor內部，主要功能是對管理域的關鍵數據結構進行拆分，主要分析域創建、IDD、仿真設備模型三個部分關鍵數據結構的代碼段、系統調用表以及IDT。設計思想是捕獲系統調用、中斷、異常等事件，當這些事件發生時，對系統的最新狀態實施動態度量。[0013]用戶虛擬機完整性度量模塊，該模塊實現兩個功能:一是透明的對用戶作業系統(GuestOS)的類型進行實時監測功能；二是對GuestOS的寄存器、堆、棧、當前進程的頁基地址、event的變量參數、運行進程的指令指針和棧指針進行監控。對於第一個功能，通過與IDT相關聯硬體狀態信息(主要是IDTRregister,MSR-sysenter-cs,MSR-sysenter-eip)和軟體數據結構信息(主要是系統調用表、進程鍊表)使用迭代算法結合白名單實現。第二個功能實現方式是設置一個非法地址，導致protect1nfault陷入Hypervisor,然後由Hypervisor再進行度量。需要注意的是應採用調試寄存器保存該非法地址，以便Hypervisor檢查後能夠設置Context的正確返回地址。[0014]基於軟體行為的數據流一致性分析模塊，該模塊由分析代理、管理代理、監控代理三個部分組成。分析代理對hypervisor、管理域、客戶域的軟體行為軌跡進行評測，提取出預期行為特徵，形成預期行為特徵庫；監控代理對hypervisor、管理域、客戶域的軟體行為運行實例進行實時監控，然後提取出實際行為特徵；管理代理根據分析代理提供的預期行為特徵與監控代理提供的實際行為特徵，使用軟體行為分析自動機進行一個動態可信評測分析，最後得到hypervisor、管理域、客戶域的軟體的可信評測結果。[0015]客戶(用戶)虛擬機網絡隔離模塊，對客戶虛擬機的網絡隔離是在該客戶虛擬機所在的宿主機上實現的。由於對不可信客戶虛擬機的網絡隔離是在客戶虛擬機平臺完整性實時檢測基礎上完成的，所以對不可信客戶虛擬機的網絡隔離的實現效果表現為:當檢測到客戶虛擬機的平臺完整性被破壞之後，立即隔離該虛擬機，而不是像對宿主機的網絡隔離一樣，在宿主機的平臺完整性被驗證處於可信狀態之後才允許宿主機接入網絡。[0016]定位平臺完整性遭到破壞的客戶虛擬機不能夠依賴於客戶虛擬機的IP位址和MAC地址去完成。假如攻擊者獲取了該客戶虛擬機的root權限或者該客戶虛擬機是一臺惡意的客戶虛擬機，那麼該客戶虛擬機的IP位址和MAC地址都是可以被修改的。如果依然利用Ebtables去隔離平臺完整性遭到破壞的客戶虛擬機，那麼這種隔離模型是很容易被繞過的。所以，只能選擇其他有效信息來定位客戶虛擬機，並且該信息必須是客戶虛擬機的擁有者所不能修改的。[0017]除說明書所述的技術特徵外，均為本專業技術人員的已知技術。【權利要求】1.一種基於虛擬平臺的安全可信運行保護方法，其特徵在於圍繞虛擬平臺存在的安全問題，通過LLVM的虛擬機監控器靜態分析模塊、TPM和IPMI的平臺完整性遠程驗證模塊、管理域虛擬機完整性度量模塊、用戶虛擬機完整性度量模塊和基於軟體行為的數據流一致性分析模塊組成實現虛擬平臺的安全可信運行保證，每個模塊特點如下:基於LLVM的虛擬機監控器靜態分析模塊，根據LLVM提供的的編譯優化、連結優化、在線編譯優化、代碼生成功能對虛擬機監控器進行重編譯，深入分析其控制流的邏輯不變性，在此基礎上度量控制流的完整性；基於TPM和IPMI的平臺完整性遠程驗證模塊，IPMI良好的自治特性，其並不依賴於伺服器的處理器、B1S或作業系統進行工作，因此，結合TPM提供的可信計算服務設計一種使用硬體的方法構造最小可信基TCB，然後通過度量代理分別和IPMI以及TPM交互，最終使用隱藏的隔離模型實現了對虛擬機監控器的度量；管理域虛擬機完整性度量模塊，該模塊位於虛擬機監控器內部，主要功能是對管理域的關鍵數據結構進行拆分，主要分析域創建、IDD、仿真設備模型三個部分關鍵數據結構的代碼段、系統調用表以及IDT，設計思想是捕獲系統調用、中斷、異常事件，當這些事件發生時，對系統的最新狀態實施動態度量；用戶虛擬機完整性度量模塊，該模塊實現兩個功能:一是透明的對用戶作業系統GuestOS的類型進行實時監測功能；二是對GuestOS的寄存器、堆、棧、當前進程的頁基地址event的變量參數、運行進程的指令指針和棧指針進行監控，對於第一個功能，通過與IDT相關聯硬體狀態信息，包括IDTR登記，MSR-sysenter-cs,MSR-sysenter-eip和軟體數據結構信息包括系統調用表、進程鍊表使用迭代算法結合白名單實現，第二個功能實現方式是設置一個非法地址，導致保護失效陷入虛擬機監控器，然後由虛擬機監控器再進行度量，需要注意的是應採用調試寄存器保存該非法地址，以便虛擬機監控器檢查後能夠設置Context的正確返回地址；基於軟體行為的數據流一致性分析模塊，該模塊由分析代理、管理代理、監控代理三個部分組成，分析代理對虛擬機監控器、管理域、客戶域的軟體行為軌跡進行評測，提取出預期行為特徵，形成預期行為特徵庫；監控代理對虛擬機監控器、管理域、客戶域的軟體行為運行實例進行實時監控，然後提取出實際行為特徵；管理代理根據分析代理提供的預期行為特徵與監控代理提供的實際行為特徵，使用軟體行為分析自動機進行一個動態可信評測分析，最後得到虛擬機監控器、管理域、客戶域的軟體的可信評測結果；客戶虛擬機網絡隔離模塊，對客戶虛擬機的網絡隔離是在該客戶虛擬機所在的宿主機上實現的，由於對不可信客戶虛擬機的網絡隔離是在客戶虛擬機平臺完整性實時檢測基礎上完成的，所以對不可信客戶虛擬機的網絡隔離的實現效果表現為:當檢測到客戶虛擬機的平臺完整性被破壞之後，立即隔離該虛擬機，而不是像對宿主機的網絡隔離一樣，在宿主機的平臺完整性被驗證處於可信狀態之後才允許宿主機接入網絡；定位平臺完整性遭到破壞的客戶虛擬機不能夠依賴於客戶虛擬機的IP位址和MAC地址去完成，假如攻擊者獲取了該客戶虛擬機的root權限或者該客戶虛擬機是一臺惡意的客戶虛擬機，那麼該客戶虛擬機的IP位址和MAC地址都有可能被修改，如果依然利用乙太網橋防火牆去隔離平臺完整性遭到破壞的客戶虛擬機，那麼這種隔離模型是很容易被繞過，所以，只能選擇其他有效信息來定位客戶虛擬機，並且該信息必須是客戶虛擬機的擁有者所不能修改的。【文檔編號】G06F21/53GK104134038SQ201410371685【公開日】2014年11月5日申請日期:2014年7月31日優先權日:2014年7月31日【發明者】宋桂香申請人:浪潮電子信息產業股份有限公司