[發(fā)明專利]用于增加計算機安全的方法和系統(tǒng)有效
| 申請?zhí)枺?/td> | 201611013568.2 | 申請日: | 2012-10-16 |
| 公開(公告)號: | CN107103232B | 公開(公告)日: | 2020-09-04 |
| 發(fā)明(設計)人: | 埃里克·R·諾瑟普 | 申請(專利權)人: | 谷歌有限責任公司 |
| 主分類號: | G06F21/52 | 分類號: | G06F21/52;G06F21/56;G06F21/57;G06F21/71;G06F21/74 |
| 代理公司: | 中原信達知識產(chǎn)權代理有限責任公司 11219 | 代理人: | 周亞榮;安翔 |
| 地址: | 美國加利*** | 國省代碼: | 暫無信息 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 用于 增加 計算機 安全 方法 系統(tǒng) | ||
本申請涉及用于增加計算機安全的方法和系統(tǒng)。一種計算機實現(xiàn)的方法包括將與第一許可水平相關聯(lián)的第一描述符表和與不同于第一許可水平的第二許可水平相關聯(lián)的第二描述符表初始化。第一和第二描述符表與硬件處理器相關聯(lián)并被操作系統(tǒng)內(nèi)核初始化。響應于源自于軟件進程的描述符表地址請求,提供與第一描述符表相關聯(lián)的存儲器地址,而響應于描述符表更新請求,第二描述符表被更新。
本申請屬于申請日為2012年10月16日的中國發(fā)明專利申請201280061783.3的分案申請。
背景技術
本說明書涉及計算機安全。
計算機系統(tǒng)可能受到敵對軟件應用或進程(例如惡意軟件、病毒等)的危害。敵對軟件應用可能促使操作系統(tǒng)內(nèi)核向由敵對軟件應用指定的存儲器位置寫入數(shù)據(jù)。例如,敵對軟件應用能夠利用與操作系統(tǒng)相關聯(lián)的缺陷和/或弱點并促使操作系統(tǒng)內(nèi)核修改與內(nèi)核相關聯(lián)的指令(例如,插入允許用戶或其他軟件避開安全措施或準許用戶或軟件的不適當訪問的后門)。作為另一示例,敵對軟件應用能夠促使操作系統(tǒng)內(nèi)核修改存儲于中央處理單元(CPU)或操作系統(tǒng)所使用的各種數(shù)據(jù)結構或表(例如,中斷描述符表、全局描述符表等)中的數(shù)據(jù)。另外,敵對軟件應用能夠利用與操作系統(tǒng)相關聯(lián)的缺陷和/或弱點使用與CPU相關聯(lián)的命令來確定與CPU或操作系統(tǒng)相關聯(lián)的資源(例如中斷描述符表或全局描述符表)的位置。例如,敵對軟件應用能夠使用SIDT指令來促使CPU提供中斷描述符表的地址。
發(fā)明內(nèi)容
本說明書描述了涉及用于改善計算機安全的防御技術的技術。該系統(tǒng)能夠將描述符表(例如中斷描述符表或全局描述符表)初始化并將描述符表映射到不同的存儲器位置。能夠使描述符表的一個映射與讀寫許可相關聯(lián),并且能夠使描述符表的第二映射與只讀許可相關聯(lián)。系統(tǒng)能夠將只讀描述符表(例如第二映射)的地址提供給CPU。當CPU接收到用以返回描述符表的值的命令時,CPU能夠提供只讀描述符表的地址。當操作系統(tǒng)內(nèi)核接收有效指令以更新描述符表(例如,來自可信進程或來自操作系統(tǒng)的指令,與來自敵對軟件應用的指令相反)時,操作系統(tǒng)內(nèi)核能夠訪問描述符表并更新描述符表的值。
一般地,能夠在包括以下動作的方法中體現(xiàn)在本說明書中描述的本主題的一個創(chuàng)新方面:將第一描述符表和描述符表的第二映射初始化,其中,描述符表的第一映射與第一許可水平相關聯(lián),并且其中描述符表的第二映射與不同于第一許可水平的第二許可水平相關聯(lián),并且其中,第一描述符表和第二描述符表與硬件處理器相關聯(lián)并被操作系統(tǒng)內(nèi)核初始化;響應于描述符表地址請求,提供與第一描述符表相關聯(lián)的存儲器地址,其中,描述符表地址請求由軟件進程提供;以及響應于更新請求,更新第二描述符表。
能夠在包括以下動作的方法中體現(xiàn)包括在本說明書中描述的本主題的另一創(chuàng)新方面:將描述符表初始化,其中,該描述符表被操作系統(tǒng)內(nèi)核初始化并與硬件處理器相關聯(lián);將與描述符表相關聯(lián)的許可水平變成第一許可水平;以及響應于更新請求,將與描述符表相關聯(lián)的許可水平變成第二許可水平,其中,第二許可水平大于第一許可水平;在描述符表與第二許可水平相關聯(lián)時更新描述符表,其中,該更新基于更新請求;以及在更新描述符表之后,將與描述符表相關聯(lián)的許可水平變成第一許可水平,其中,操作系統(tǒng)內(nèi)核改變與描述符表相關聯(lián)的許可水平。
能夠將在本說明書中描述的主題的特定實施例實現(xiàn)為實現(xiàn)以下優(yōu)點中的一個或多個。例如,能夠通過防止敵對軟件應用或惡意軟件訪問或修改CPU和/或OS內(nèi)核所使用的數(shù)據(jù)結構(例如,中斷描述符表和全局描述符表)來增加網(wǎng)絡和計算機安全。另外,能夠更容易地調(diào)試操作系統(tǒng),因為能夠減少或防止描述符表的非有意的覆寫。
在下面的附圖和描述中闡述了在本說明書中描述的主題的一個或多個實施例的細節(jié)。根據(jù)描述、附圖和權利要求,主題的其他特征、方面以及優(yōu)點將變得顯而易見。
附圖說明
圖1圖示了用以改善計算機安全的示例性系統(tǒng)。
圖2是用于改善計算機安全的示例性過程的流程圖。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于谷歌有限責任公司,未經(jīng)谷歌有限責任公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201611013568.2/2.html,轉載請聲明來源鉆瓜專利網(wǎng)。
