技術(shù)領(lǐng)域

本發(fā)明屬于計(jì)算機(jī)安全領(lǐng)域，具體涉及一種基于輕量虛擬機(jī)監(jiān)控器的計(jì)算機(jī)安全輸入系統(tǒng)與方法。

背景技術(shù)

隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，計(jì)算機(jī)已經(jīng)成為人們社交和進(jìn)行經(jīng)濟(jì)活動(dòng)的主要平臺(tái)。然而自從計(jì)算機(jī)問世以來，計(jì)算機(jī)安全問題就一直伴隨著計(jì)算機(jī)的發(fā)展而存在。在利益的驅(qū)使下，利用計(jì)算機(jī)輸入的安全漏洞獲取他人的私密信息是計(jì)算機(jī)安全面臨的嚴(yán)峻挑戰(zhàn)。造成這種情況的一個(gè)重要原因是，傳統(tǒng)的計(jì)算機(jī)安全輸入的方法與系統(tǒng)依賴于操作系統(tǒng)作為可信基，對(duì)輸入信息的處理在操作系統(tǒng)的監(jiān)控下完成，而操作系統(tǒng)的代碼龐大，漏洞多，輸入輸出系統(tǒng)的安全性得不到保證。

CN101075188A公開了基于虛擬機(jī)的安全輸入方法，在該方法中，當(dāng)應(yīng)用程序需要安全的輸入時(shí)，直接調(diào)用虛擬機(jī)提供的安全輸入接口，并把自身的輸入緩沖區(qū)的地址和長度作為參數(shù)傳入，虛擬機(jī)監(jiān)視器把收到的鍵盤輸入信息轉(zhuǎn)換為鍵值后直接放入應(yīng)用程序的輸入緩沖區(qū)，避免了其它應(yīng)用通過各種過濾驅(qū)動(dòng)和鍵盤鉤子獲得用戶的輸入，提高了用戶輸入的安全性。

CN101136045A公開一種虛擬機(jī)系統(tǒng)，包括硬件設(shè)備、客戶操作系統(tǒng)、服務(wù)操作系統(tǒng)以及虛擬機(jī)監(jiān)視器，其特征在于，服務(wù)操作系統(tǒng)包括：鍵盤驅(qū)動(dòng)模塊，用于在接收到鍵盤中斷后采集原始的鍵盤輸入；以及輸入加密模塊，用于根據(jù)鍵盤驅(qū)動(dòng)模塊采集的原始的鍵盤輸入，獲得對(duì)應(yīng)的加密后的鍵盤輸入；客戶操作系統(tǒng)包括：鍵盤驅(qū)動(dòng)模塊，用于獲取輸入加密模塊加密后的鍵盤輸入；以及解密模塊，用于對(duì)鍵盤驅(qū)動(dòng)模塊獲取的加密后的鍵盤輸入進(jìn)行解密，獲得原始的鍵盤輸入。

CN102195940A公開種基于虛擬機(jī)技術(shù)安全輸入和提交數(shù)據(jù)的方法和系統(tǒng)。該系統(tǒng)由虛擬機(jī)監(jiān)視器（ＶＭＭ）、用戶輸入管理程序、用戶操作系統(tǒng)、用戶操作系統(tǒng)中的客戶端軟件、服務(wù)端組成，實(shí)現(xiàn)了安全輸入和提交數(shù)據(jù)；虛擬機(jī)監(jiān)視器（ＶＭＭ）負(fù)責(zé)控制用戶操作系統(tǒng)對(duì)物理硬件的訪問，并使其無法訪問特定硬件資源，只允許所述用戶輸入管理程序使用所述的特定硬件資源；用戶輸入管理程序負(fù)責(zé)為用戶操作系統(tǒng)中的客戶端軟件提供用戶數(shù)據(jù)輸入服務(wù)、用戶數(shù)據(jù)加密服務(wù)等服務(wù)；用戶操作系統(tǒng)中的客戶端軟件負(fù)責(zé)與為用戶輸入管理程序提供上述功能的接口，并將經(jīng)過加密的用戶數(shù)據(jù)提交至服務(wù)端；服務(wù)端負(fù)責(zé)直接使用上述加密的用戶數(shù)據(jù)或?qū)ζ溥M(jìn)行解密后使用。

CN102103671A公開了用于執(zhí)行安全環(huán)境起始指令的系統(tǒng)和方法，描述了在微處理器系統(tǒng)內(nèi)啟動(dòng)安全操作的方法和裝置。在一個(gè)實(shí)施方案中，一個(gè)啟動(dòng)邏輯處理器通過停止其它邏輯處理器的執(zhí)行，然后把起始和安全虛擬機(jī)監(jiān)控軟件載入存儲(chǔ)器，來啟動(dòng)該過程。啟動(dòng)處理器然后把起始軟件載入安全存儲(chǔ)器進(jìn)行驗(yàn)證和執(zhí)行。起始軟件然后在安全系統(tǒng)操作之前驗(yàn)證和記錄安全虛擬機(jī)監(jiān)控軟件。

CN101436966?A公開一種虛擬機(jī)環(huán)境下的網(wǎng)絡(luò)監(jiān)控與分析系統(tǒng)，其特征在于：它包括位于主機(jī)操作系統(tǒng)內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)多路復(fù)用模塊和輕量級(jí)虛擬機(jī)管理器模塊，位于主機(jī)操作系統(tǒng)之上的虛擬機(jī)控制模塊和服務(wù)虛擬機(jī)模塊，以及位于主機(jī)操作系統(tǒng)和服務(wù)虛擬機(jī)內(nèi)的I/O訪問路徑優(yōu)化模塊。

US2006294518?A1披露了具有輕量級(jí)虛擬機(jī)管理器的虛擬機(jī)主機(jī)(Virtual?machine(VM)host?has?lightweight?virtual?machine?manager(LVMM)which?is?capable?of?exposing?devices?to?primary?VM?and?identifies?primary?VM?as?VM?that?utilizes?more?resources?on?VM?host?than?other?VMs?on?VM?host)。

計(jì)算機(jī)虛擬化技術(shù)的發(fā)展為解決計(jì)算機(jī)輸入的安全問題提供了新的途徑，虛擬機(jī)架構(gòu)隔離了軟件與硬件、應(yīng)用軟件與底層系統(tǒng)之間的直接依賴關(guān)系。相比于操作系統(tǒng)，虛擬機(jī)監(jiān)控器代碼量小、漏洞少。虛擬機(jī)監(jiān)控器能提供比操作系統(tǒng)更強(qiáng)的安全隔離，并具有能模擬特殊硬件設(shè)備等優(yōu)點(diǎn)。同時(shí)，在虛擬化架構(gòu)中，虛擬機(jī)監(jiān)控器位于操作系統(tǒng)下層，擁有比Ring?0更高的特權(quán)級(jí)，可以監(jiān)控操作系統(tǒng)的行為。

基于虛擬化技術(shù)的優(yōu)點(diǎn)，本發(fā)明提出的一種基于輕量虛擬機(jī)監(jiān)控器的計(jì)算機(jī)安全輸入系統(tǒng)與方法，能更好的保護(hù)計(jì)算機(jī)輸入的安全。

發(fā)明內(nèi)容

針對(duì)現(xiàn)有計(jì)算機(jī)安全輸入系統(tǒng)與方法中存在的諸多問題，本發(fā)明提供了一種基于輕量虛擬機(jī)監(jiān)控器的計(jì)算機(jī)安全輸入系統(tǒng)與方法，本方法通過動(dòng)態(tài)地加載輕量虛擬機(jī)監(jiān)控器透明地監(jiān)控操作系統(tǒng)的行為來完成輸入信息，不需要對(duì)計(jì)算機(jī)操作系統(tǒng)和應(yīng)用程序做任何修改。