面向多域計(jì)算環(huán)境安全的系統(tǒng)軟件研究.pdf

1、當(dāng)前移動(dòng)計(jì)算與云計(jì)算在教育、科技、醫(yī)療、商業(yè)和娛樂等各個(gè)領(lǐng)域改變著人們的工作與生活方式。同時(shí)近年來這些平臺(tái)惡意軟件激增且攻擊事件頻出，系統(tǒng)的安全性遭受著重大威脅。
　　針對(duì)移動(dòng)與云平臺(tái)的安全問題，學(xué)術(shù)界與工業(yè)界基于多域計(jì)算環(huán)境從不同角度提出了許多安全方案。多域計(jì)算環(huán)境是指將系統(tǒng)分成多個(gè)互相隔離的執(zhí)行域，而每個(gè)域內(nèi)部具有權(quán)限級(jí)、地址空間隔離等隔離機(jī)制的計(jì)算環(huán)境。由于多域計(jì)算環(huán)境具有較好的安全隔離效果，特別適用于提高系統(tǒng)的安全性。

2、r>　　然而目前多域計(jì)算環(huán)境中的系統(tǒng)軟件存在如下兩個(gè)重要問題：
　　一是可信計(jì)算基太大。目前很多解決方案尚未能利用多域隔離環(huán)境，具有非常大的可信計(jì)算基。移動(dòng)平臺(tái)硬件安全拓展ARM TrustZone機(jī)制能夠用于構(gòu)建一個(gè)雙域的計(jì)算環(huán)境，通過隔離的方式保護(hù)系統(tǒng)軟件安全，但是這樣的硬件隔離雙域環(huán)境并沒有被很好地利用：一方面，部分系統(tǒng)在隔離域中運(yùn)行簡(jiǎn)單的程序?yàn)榱硪粋€(gè)執(zhí)行域提供安全服務(wù)，可信基雖小但由于功能單一，不靈活通用；另一方面，部分研

3、究者嘗試在兩個(gè)域中分別運(yùn)行一個(gè)復(fù)雜的操作系統(tǒng)，利用域之間的安全隔離提供靈活的安全服務(wù)，然而這導(dǎo)致了平臺(tái)可信計(jì)算基太大，安全性不高。
　　二是多域間切換的性能低下。當(dāng)前許多安全的系統(tǒng)軟件利用虛擬化技術(shù)提供的多域隔離計(jì)算環(huán)境，在不同的域中運(yùn)行安全等級(jí)不同的服務(wù)以保護(hù)平臺(tái)的安全。虛擬化技術(shù)在構(gòu)造多域計(jì)算環(huán)境的同時(shí)，使得整個(gè)系統(tǒng)有不同的權(quán)限等級(jí)和層次結(jié)構(gòu)，不同域間的交互需要跨越多個(gè)層次結(jié)構(gòu)和權(quán)限級(jí)，具有較大的性能開銷，直接導(dǎo)致系統(tǒng)的性能大

4、幅降低。出于性能考慮很多安全系統(tǒng)沒有在實(shí)際場(chǎng)景中被應(yīng)用。
　　本文利用計(jì)算機(jī)體系結(jié)構(gòu)自身的特點(diǎn)，通過對(duì)系統(tǒng)軟件的研究，在多域計(jì)算環(huán)境中以很小的可信計(jì)算基解決了幾個(gè)重要的安全問題，并創(chuàng)新性地提供了一個(gè)能夠同時(shí)達(dá)到較好性能、較高安全性的跨域調(diào)用機(jī)制。本文做出的學(xué)術(shù)貢獻(xiàn)包括如下三方面：
　　針對(duì)目前移動(dòng)平臺(tái)缺乏一個(gè)可信基小、安全靈活的安全計(jì)算環(huán)境的問題，本文在移動(dòng)平臺(tái)上利用硬件雙域機(jī)制實(shí)現(xiàn)了國(guó)內(nèi)第一個(gè)開源的安全內(nèi)核T6，為移動(dòng)雙域

5、計(jì)算環(huán)境提供了一個(gè)安全平臺(tái)。T6運(yùn)行在安全世界中，為普通世界的系統(tǒng)與應(yīng)用提供一個(gè)隔離安全域；具有極小的可信計(jì)算基，提供了現(xiàn)代操作系統(tǒng)常見的安全隔離與保護(hù)機(jī)制，通過安全啟動(dòng)與應(yīng)用加載驗(yàn)證機(jī)制保證了系統(tǒng)運(yùn)行的任意代碼均是經(jīng)過驗(yàn)證的可信代碼。此外，在T6基礎(chǔ)上首次提出在移動(dòng)平臺(tái)的不可信驅(qū)動(dòng)之上建立可信路徑的方法，保持極小的可信計(jì)算基（少于1萬(wàn)行代碼）的同時(shí)能夠防御包括釣魚、設(shè)備截屏、觸摸記錄、代碼篡改等一系列針對(duì)用戶的攻擊，并且不對(duì)系統(tǒng)運(yùn)行性

6、能造成影響。目前T6已被國(guó)內(nèi)外許多公司和研究機(jī)構(gòu)使用，證明了其實(shí)用性。
　　針對(duì)多域安全系統(tǒng)的性能問題，首次提出并實(shí)現(xiàn)了虛擬化環(huán)境上靈活的跨域調(diào)用機(jī)制。本文通過分析一系列多域安全系統(tǒng)案例指出，多域環(huán)境中的安全系統(tǒng)性能開銷主要來自于跨域切換，本文認(rèn)為目前研究界該重新思考傳統(tǒng)保護(hù)域中復(fù)雜的垂直化層次結(jié)構(gòu)的設(shè)計(jì)，并提出了一套靈活的跨域調(diào)用機(jī)制，能夠同時(shí)達(dá)到較好的性能與較高的安全性。為了驗(yàn)證其有效性，本文利用Intel VMFUNC硬件特

7、性，在虛擬化環(huán)境中構(gòu)建了一個(gè)靈活高效安全的跨域調(diào)用系統(tǒng)，并在實(shí)際的硬件中進(jìn)行了實(shí)現(xiàn)與測(cè)試，驗(yàn)證了其高效性與安全性。
　　針對(duì)目前移動(dòng)平臺(tái)上嚴(yán)重且日益泛濫的廣告欺詐問題，首次提出了兩個(gè)創(chuàng)新性的安全原語(yǔ)：不可偽造的用戶點(diǎn)擊和可驗(yàn)證的顯示，并利用該原語(yǔ)在移動(dòng)平臺(tái)雙域計(jì)算環(huán)境下實(shí)現(xiàn)了基于用戶操作認(rèn)證的方法對(duì)廣告欺詐行為進(jìn)行檢測(cè)與防御的框架，能夠有效地檢測(cè)與防御目前已知的所有移動(dòng)廣告欺詐行為。該框架能夠增量部署到現(xiàn)有的移動(dòng)平臺(tái)與廣告系統(tǒng)中，