本發明提出一種基于虛擬化技術隔離宿主機內核TCP/IP協議棧和網絡驅動的內核安全增強方案。該方案包括宿主機內核數據處理模塊，負責將數據從緩沖區取出或者往緩沖區添加的后端模塊，負責創建緩沖區等前端模塊，負責前端與后端模塊的數據傳輸和通知的通信模塊及將網絡設備直接分配給虛擬機的VT?d技術。本發明利用虛擬機與物理主機地址空間隔離和虛擬機強隔離性，虛擬機內網絡協議棧或者網絡驅動發生錯誤/故障，不會影響到主機內核其他模塊，也不會導致內核崩潰，以此降低內核因模塊錯誤/故障造成整個內核崩潰的危險，同時也提高了操作系統的安全性和可靠性。

技術領域

本發明屬于計算機技術領域，尤其是系統軟件安全領域。本發明提出了一種利用硬件輔助虛擬化技術隔離網絡協議棧和網絡驅動程序的內核安全增強方法，用于提高操作系統安全性和可靠性。

背景技術

操作系統內核是整個計算機系統的可信計算基(TCB)，也是許多更高級別安全機制的基礎。然而內核并不安全，內核漏洞已經是影響內核安全的重要因素。黑客常常會利用內核中的漏洞發起對系統的攻擊，竊取隱私信息，篡改機密數據，導致系統崩潰無法為上層應用提供可靠服務等，給用戶造成巨大經濟損失。GNU/Linux作為被廣泛使用的開源操作系統，已經應用于各行各業，比如云計算，大數據，金融服務，醫療服務等。操作系統內核實現復雜，代碼量極大，由于宏內核設計架構缺乏完善的隔離機制，內核模塊錯誤/故障可能影響其他模塊甚至整個內核，同時開發測試無法找到所有漏洞，內核本身又不具備處理內核錯誤或故障的能力，這給內核安全性帶來很大隱患，比如黑客往往利用內核中有邏輯缺陷的程序或者緩沖區溢出以獲得目標主機的管理員權限；利用主機內核程序代碼本身的漏洞或者不當的設置方式進行攻擊，從而導致主機崩潰或失去響應，或者利用內核中算法設計的漏洞及整數溢出漏洞對內核進行攻擊，嚴重影響操作系統的可靠性。

內核設計架構：Linux內核采用高效的宏內核設計，宏內核系統所有服務模塊，以特權模式，共同存在與內核空間，各模塊之間會相互依賴，形成一個靜態二進制文件，作為單一進程運行在單一地址空間。宏內核設計簡單，高效，內核模塊之間直接通過函數調用接口完成通信，實現簡單，但由于所有模塊代碼都集中在內核態，維護內核代碼卻比較困難。除此之外，宏內核移植性不好，內核中各模塊耦合性過高，所有內核模塊運行在同一地址空間很容易引起單個模塊的錯誤導致整個內核的崩潰。

內核模塊(設備驅動，網絡協議棧)：設備驅動是內核的重要組成部分，與內核處在同一地址空間，并與內核擁有相同的特權級。內核代碼中包含大量的驅動代碼，編寫高質量的，可靠的設備驅動是比較困難的。由于驅動程序對設備的操作是不受操作系統限制的，因此對驅動程序不當的修改都有可能給整個操作系統帶來危害。大量的事實證明，設備驅動發生故障的概率是很高的，也是導致內核安全性和可靠性的主要影響因素之一。TCP/IP協議棧由于其具有開放性和易用性，成為網絡數據傳輸的基礎被廣泛使用。但TCP/IP協議棧并非沒有問題，TCP/IP協議棧在設計之初，網絡并不發達，并沒有考慮到網絡傳輸過程中可能遇到各種針對該協議棧的攻擊。由于TCP/IP協議棧在不安全的網絡環境中缺乏安全控制的機制，這也成為眾多黑客通過協議棧成功攻擊主機的基本思路。比如淚滴攻擊、SYN洪流攻擊等。

內核開發測試：Linux內核開發社區對于內核的開發有一套完善的開發測試規范。關于內核的測試，社區內有很多的測試項目，比如LTP主要針對linux的可靠性、健壯性以及穩定性進行測試，針對兼容性測試的CrackerJack Project項目及自動化的測試框架Autotest，及多種測試方法協同完成測試任務，還需要開發人員寫出高質量的代碼和頻繁的代碼審查等。但由于短時間的測試并不能完全清除代碼中的漏洞，同樣沒有經過實際環境的檢驗，很多代碼漏洞是很難被發現的，這也是為何內核持續被發現漏洞的一個因素。