本發(fā)明提供一種增強(qiáng)ARM平臺(tái)虛擬機(jī)自省安全的方法及裝置，該裝置包括位于不可信環(huán)境虛擬化軟件棧中的安全增強(qiáng)接口前端、位于高特權(quán)級(jí)的安全增強(qiáng)接口以及位于硬件隔離環(huán)境TrustZone中的核心代碼。本發(fā)明通過不依賴于Hypervisor或QEMU的安全增強(qiáng)接口和適當(dāng)?shù)挠布綦x環(huán)境TrustZone來抵抗信息泄露、保證VMI自身代碼和數(shù)據(jù)在整個(gè)生命周期內(nèi)的準(zhǔn)確性即保證VMI運(yùn)行時(shí)安全以及VMI底層輸入數(shù)據(jù)的正確性。并且本發(fā)明解決了ARMv8平臺(tái)下的兩層語義隔離，即Hypervisor語義隔離和VM語義隔離。

技術(shù)領(lǐng)域

本發(fā)明涉及安全脆弱性宿主機(jī)中虛擬機(jī)自省安全技術(shù)領(lǐng)域，尤其涉及一種增強(qiáng)ARM平臺(tái)虛擬機(jī)自省安全的方法及裝置。

背景技術(shù)

眾所周知，通用的虛擬機(jī)自省(VMI)代碼部署在宿主機(jī)(Host)的用戶空間，通過虛擬機(jī)管理器(Hypervisor)來訪問虛擬機(jī)(VM)內(nèi)部的二進(jìn)制數(shù)據(jù)，通過橋接VM內(nèi)部的語義隔離問題將這些二進(jìn)制數(shù)據(jù)轉(zhuǎn)化為操作系統(tǒng)層次的有效的VM內(nèi)部狀態(tài)信息，從而利用這些狀態(tài)信息來進(jìn)行下一步的安全監(jiān)測(cè)。因而，現(xiàn)有的VMI的正常運(yùn)行依賴于這樣的前提：Host和Hypervisor均為安全且可信的。這意味著一旦這一前提被打破，VMI的正常運(yùn)行將不能再被保證。事實(shí)上，隨著越來越多的Host和虛擬化軟件棧的脆弱點(diǎn)被暴露出來，該前提已不再成立。如何在存在安全隱患的宿主機(jī)環(huán)境中部署安全增強(qiáng)的虛擬機(jī)自省技術(shù)成為了VMI安全研究領(lǐng)域極其重要的一個(gè)議題。

脆弱宿主機(jī)環(huán)境中的VMI面臨多方面的安全威脅，一是信息泄露：VMI技術(shù)打破了云環(huán)境中多租戶之間的隔離，VMI獲取的VM內(nèi)部信息被惡意利用將會(huì)造成VM信息的嚴(yán)重泄露。二是VMI運(yùn)行時(shí)不安全：VMI運(yùn)行在用戶態(tài)，一旦宿主機(jī)環(huán)境的脆弱性被利用，VMI的代碼和數(shù)據(jù)都將暴露在攻擊者面前。三是VMI底層輸入數(shù)據(jù)不正確：VMI依賴Hypervisor獲取VM相關(guān)核心數(shù)據(jù)，這給了Hypervisor和Host去篡改這些核心數(shù)據(jù)的機(jī)會(huì)。

現(xiàn)今，對(duì)VMI安全的研究剛起步。針對(duì)信息泄露這一問題，常用的措施是將加解密思想與VMI相結(jié)合，該方法將VMI信息泄露的風(fēng)險(xiǎn)轉(zhuǎn)移到加解密密鑰的保護(hù)上，并且引入了額外的加解密操作。對(duì)于VMI運(yùn)行時(shí)不安全以及底層輸入數(shù)據(jù)不正確的研究，業(yè)界則還未涉及。

發(fā)明內(nèi)容

本發(fā)明立足于不可信宿主機(jī)環(huán)境中VMI所面臨的安全威脅這一現(xiàn)狀，旨在提供一種增強(qiáng)ARM平臺(tái)虛擬機(jī)自省安全的方法及裝置，該方法及裝置能夠抵抗信息泄露、保證VMI自身代碼和數(shù)據(jù)在整個(gè)生命周期內(nèi)的準(zhǔn)確性即保證VMI運(yùn)行時(shí)安全以及VMI底層輸入數(shù)據(jù)的正確性。

針對(duì)上述不足，本發(fā)明所采用的技術(shù)方案為：

一種增強(qiáng)ARM平臺(tái)虛擬機(jī)自省安全的方法，其步驟包括：

1)將核心代碼(Core Library)部署在硬件隔離環(huán)境TrustZone(可信環(huán)境)中；

2)當(dāng)特定的觸發(fā)事件發(fā)生時(shí)，觸發(fā)觸發(fā)機(jī)制以陷入到EL3層的安全增強(qiáng)接口(Interface)，并將該觸發(fā)事件中相關(guān)的VM數(shù)據(jù)和Hypervisor數(shù)據(jù)傳遞到該安全增強(qiáng)接口；

3)安全增強(qiáng)接口記錄和維護(hù)上述VM數(shù)據(jù)和Hypervisor數(shù)據(jù)，并根據(jù)核心代碼的數(shù)據(jù)訪問請(qǐng)求將與該數(shù)據(jù)訪問請(qǐng)求相關(guān)的VM數(shù)據(jù)和Hypervisor數(shù)據(jù)傳遞給核心代碼；

4)核心代碼根據(jù)所接收的VM數(shù)據(jù)和Hypervisor數(shù)據(jù)以及自身預(yù)設(shè)的基本配置參數(shù)，橋接VM語義隔離和Hypervisor語義隔離，推導(dǎo)和定位出目標(biāo)VM數(shù)據(jù)地址和目標(biāo)Hypervisor數(shù)據(jù)地址，以進(jìn)行進(jìn)一步的安全監(jiān)測(cè)。

進(jìn)一步地，步驟2)中所述觸發(fā)機(jī)制基于SMC指令構(gòu)造。

進(jìn)一步地，步驟2)由位于不可信環(huán)境虛擬化軟件棧中的安全增強(qiáng)接口前端(Interface Front-End)實(shí)現(xiàn)；所述安全增強(qiáng)接口前端是指在虛擬化軟件棧中的宿主機(jī)內(nèi)核增添的相關(guān)觸發(fā)代碼。