一種基于云計算的進程保護方法及其架構的制作方法
【專利摘要】本發明公開了一種基于云計算的進程保護方法及其架構,屬于進程管理領域,本發明要解決的技術問題為由于缺乏有效的錯誤隔離機制,與用戶進程無法的代碼漏洞也影響用戶進程的運行安全,采用的技術方案為:(1)、一種基于云計算的進程保護方法,該方法引入安全域的概念,以安全域作為進程保護的最小構成單元,將進程以及進程依賴的環境納入安全域,建立安全域構建規則,為進程提供安全的初始化運行環境,確保進程運行初始化安全;在安全域的基礎上,建立安全域之間的信息交換規則,保護進程以及進程依賴的環境運行過程中的信息流安全。(2)、一種基于云計算的進程保護架構,該架構包括約束控制模塊、客戶操作系統以及若干安全域。
【專利說明】
一種基于云計算的進程保護方法及其架構
技術領域
[0001] 本發明涉及進程管理領域,具體地說是一種基于云計算的進程保護方法及其架 構。
【背景技術】
[0002] 云計算利用系統架構技術把成千上萬臺服務器整合起來,為用戶提供靈活的資源 分配和任務調度能力。虛擬化技術是云計算中的關鍵技術之一,通過在服務器上安裝虛擬 化軟件,運行虛擬化監控軟件VMM(Virtual Machine Monitor)來訪問服務器上的所有硬件 設備。虛擬化監控軟件為虛擬機分配適量的網絡、CPU、磁盤和內存等物理資源,同時為虛擬 機加載客戶操作系統。虛擬化技術通過對底層硬件的抽象,為虛擬機提供統一的視圖,使多 個虛擬機能夠運行在同一硬件平臺上,極大的提高了硬件資源的利用率。
[0003] 作為虛擬化技術的特點之一,不同用戶的進程運行在同一硬件平臺上,給用戶進 程的運行安全帶來了隱患。作為虛擬化軟件成員的虛擬監控軟件在設計的時候,通過內存 以及底層硬件資源的虛擬隔離,能夠在一定程度上確保用戶進程不受到其他虛擬運行環境 的威脅。但是根據架構的特殊性,系統管理域具有很高的權限,攻擊者可以通過攻擊管理域 從而達到攻擊用戶進程,同時由于缺乏有效的錯誤隔離機制,與用戶進程無法的代碼漏洞 也影響用戶進程的運行安全。
[0004] 專利號為CN 101071388 B的專利文獻公開了一種進程隔離控制方法及系統,該進 程隔離控制系統連接進程和操作系統,包括:用于判斷請求跨進程內存操作的進程操作請 求是否符合要求的模塊;和根據判斷結果對進程操作請求只想相應的處理的模塊具體包 括:在進程操作請求符合安全策略要求是,將進程操作請求發送給操作系統的單元;和在進 程操作請求不符合安全策略的要求時,發送拒絕請求消息給第一進程的單元。但是該專利 存在操作復雜,使用不便,成本高等缺點。
【發明內容】
[0005] 本發明的技術任務是提供一種基于云計算的進程保護方法及其架構,來解決由于 缺乏有效的錯誤隔離機制,與用戶進程無法的代碼漏洞也影響用戶進程的運行安全的問 題。
[0006] 本發明的技術任務是按以下方式實現的,一種基于云計算的進程保護方法,該方 法引入安全域(SD,Security Domain)的概念,以安全域作為進程保護的最小構成單元,將 進程以及進程依賴的環境納入安全域,建立安全域構建規則,為進程提供安全的初始化運 行環境,確保進程運行初始化安全;
[0007] 在安全域的基礎上,建立安全域之間的信息交換規則,保護進程以及進程依賴的 環境運行過程中的信息流安全,確保安全域之間的信息交換安全。
[0008] 一種基于云計算的進程保護架構,該架構包括約束控制模塊(ICM,Information Control Module)、客戶操作系統(Guest 0S)以及若干安全域(SD,Security Domain);
[0009] 安全域是該架構的核心,所有的安全域均具有相同特權級別和保護級別,由存在 依賴關系的一系列進程和數據構成;不同的安全域擁有相同的特權級別,安全域之間的信 息交換遵循域間信息約束規則,保證安全域的隔離性;
[0010] 約束控制模塊是域間信息約束規則的具體實現,負責安全域之間信息流的控制和 審計;
[0011] 用戶操作系統是用戶虛擬機運行的操作系統,為目標安全域提供運行基礎,同時 虛擬機受到虛擬機管理軟件的支持。
[0012]其中,域間信息約束規則:
[0013] 安全域(SD,Security Domain)是用戶程序保護的基本構成單元,系統運行過程 中,不同安全域之間必然存在著依賴關系和信息流的交換,只有給出相應的安全規則對交 互信息進行約束。域間信息約束規則要滿足:(1)域間信息約束規則能夠反映不用安全域之 間依賴關系的強弱;(2)、域間信息約束規則能夠反映相鄰安全域之間信息流的流向和調用 關系;(3)判定安全域的安全性必須要有一個安全起點,即安全域的安全應該有一個TCB作 為支撐。
[0014] 作為優選,所述安全域在系統啟動的情況下,從安全域的行為表現、相關進程以及 數據行為,安全域的定義如下:
[0015]定義 1:安全域 di 是一個六元組,ai={Ai,Pi,Di,Si,Ii,Oi};
[0016]在定義1中,Ai為安全域^依賴的所有安全域的集合;Pi是保護(^盡享信息流交換 的安全規則;Di是構成ai的數據和相關代碼;Si是執行安全域ai執行動作的所有規則的集 合;h是安全域的輸入集;是安全域的輸出集;
[0017]定義2:系統TCB是一個特殊的安全域,記作:
[0018] a〇= {A〇,P〇,D〇,S〇,I〇,0〇};
[0019] 在計算的虛擬化環境下,系統TCB由獨立的硬件芯片、可信固件、安全芯片和得到 安全確認的系統軟件構成,安全性得以保證;
[0020] 定義3: aQ是無條件可信的;
[0021] 定義4:若安全域a和安全域0之間存在直接的安全傳遞關系,則稱0強依賴與a,記 作a = >0;
[0022] 定義5:0從a處獲得信息或者0調用a中的函數,記為t ;
[0023] 定義6:若存在a到0的信息流,則稱0弱依賴與(1,記為》 P ;:
[0024] 定義7:安全域是安全可達的,當且僅當aQ = >ai,或者系統中ELztao,^,? ? ?, ak,ak+i,* ??,~},其中L表不一條強依賴關系的傳遞鏈;
[0025] 其中,定義4和5反映了依賴關系的強弱,定義6描述了信息流的方向,定義7確保系 統中所有安全域的初始安全性,系統中的安全域直接由TCB支撐或者以系統TCB為支撐的強 依賴傳遞鏈。
[0026] 更優地,所述域間信息約束規則包括如下內容:
[0027] 規則1:如果信息流t是安全的,那么該信息流必須滿足:TePi,a i:-^ ;
[0028]規則2:如果安全域(^是信息流安全的,那么和當前安全域之間所有的信息交互必 須滿足:VaiEA,&i -a , n t e:?,-;
[0029]規則3:安全域是^執行安全的,當且僅當:
[0030] (l)、aQ 是可信的;
[0031] (2)、VaieA,ai與aQ存在強依賴關系;
[0032] (3)、ai是信息流安全的。
[0033] 其中,約束控制模塊(ICM)安全判定方法:
[0034] 在安全域和域間信息約束規則下,系統的安全還依賴與安全約束的正確執行,約 束控制模塊(ICM)就是策略執行的安全判定方法。從信息流的角度看,域間信息約束規則所 規定的是不同安全域所屬對象與對象之間的訪問規則,根據定義4,a與0之間存在的信息流 可以用t表示,系統中不同安全域之間的信息流交換實質上是不同對象之間的讀寫或調用 關系t。因此可以將約束控制模塊(ICM)獲得不同對象之間信息交換的信息流表示成一個有 向圖G=(V,E),其中V為系統中所有對象的集合,E為所有存在直接信息流關系的對象構成 的有向邊t的集合。通過確定不同的對象所屬的安全域,并將對象按照安全域進行分類,從 而構建安全域之間的信息流圖。在構建了安全域之間的信息流圖之后,約束控制模塊(ICM) 就可以很清楚地獲得不同的安全域之間存在的直接信息流和間接數據流.直接信息流就是 對象之間存在直接的數據讀寫關系或者函數調用關系;間接信息流就是信息經過若干個對 象傳遞,起始對象與目標對象之間并不存在直接的讀寫調用關系.通過獲取系統中不同安 全域之間存在的直接信息流,就可以構建出特定安全域的信息流沖突圖G'=(V,E),從而利 用圖論里面的連通性算法可以判斷安全策略執行是否符合規則所定義的規則。
[0035] 本發明的一種基于云計算的進程保護方法及其架構具有以下優點:本發明是通過 進程隔離保護來實現進程運行安全,將用戶進程及其依賴環境作為整體,構成安全域,通過 建立安全域之間的強依賴關系和限制安全域之間的信息流交換規則,有效的保護進程初始 化環境安全和進程運行過程中的隔離性,從而達到保護用戶進程的作用。
[0036] 故本發明具有設計合理、結構簡單、易于加工、體積小、使用方便、一物多用等特 點,因而,具有很好的推廣使用價值。
【附圖說明】
[0037] 下面結合附圖對本發明進一步說明。
[0038]附圖1為一種基于云計算的進程保護架構的架構圖。
【具體實施方式】
[0039]參照說明書附圖和具體實施例對本發明的一種基于云計算的進程保護方法及其 架構作以下詳細地說明。
[0040] 實施例1:
[0041] 本發明的一種基于云計算的進程保護方法,該方法采用進程隔離保護的方法,包 括進程運行初始化安全和進程運行過程中安全域之間信息交流安全。該方法引入安全域的 概念,以安全域作為進程保護的最小構成單元,將進程以及進程依賴的環境納入安全域,建 立安全域構建規則,為進程提供安全的初始化運行環境,確保進程運行初始化安全;在安全 域的基礎上,建立安全域之間的信息交換規則,保護進程以及進程依賴的環境運行過程中 的信息流安全,確保安全域之間的信息交換安全。
[0042] 實施例2
[0043]如附圖1所示,本發明的一種基于云計算的進程保護架構,采用實施例1中的一種 基于云計算的進程保護方法搭建的進程保護架構,該架構包括約束控制模塊(ICM, Information Control Module)、客戶操作系統(Guest 0S)以及若干安全域(SD,Security Domain);安全域是該架構的核心,所有的安全域均具有相同特權級別和保護級別,由存在 依賴關系的一系列進程和數據構成;不同的安全域擁有相同的特權級別,安全域之間的信 息交換遵循域間信息約束規則,保證安全域的隔離性;約束控制模塊是域間信息約束規則 的具體實現,負責安全域之間信息流的控制和審計;用戶操作系統是用戶虛擬機運行的操 作系統,為目標安全域提供運行基礎,同時虛擬機受到虛擬機管理軟件的支持。
[0044]其中,安全域在系統啟動的情況下,從安全域的行為表現、相關進程以及數據行 為,安全域的定義如下:
[0045]定義 1:安全域 a!是一個六元組,ai={Ai,Pi,Di,Si,Ii,0i};
[0046]在定義1中,Ai為安全域^依賴的所有安全域的集合;Pi是保護(^盡享信息流交換 的安全規則;Di是構成ai的數據和相關代碼;Si是執行安全域ai執行動作的所有規則的集 合;h是安全域的輸入集;是安全域的輸出集;
[0047] 定義2:系統TCB是一個特殊的安全域,記作:
[0048] a〇= {A〇,P〇,D〇,S〇,I〇,0〇};
[0049] 在計算的虛擬化環境下,系統TCB由獨立的硬件芯片、可信固件、安全芯片和得到 安全確認的系統軟件構成,安全性得以保證;
[0050] 定義3: aQ是無條件可信的;
[0051] 定義4:若安全域a和安全域0之間存在直接的安全傳遞關系,則稱0強依賴與a,記 作a = >0;
[0052] 定義5:0從a處獲得信息或者0調用a中的函數,記為t;
[0053] 定義6:若存在a到0的信息流,則稱0弱依賴與a,記為a. |3 ;
[0054] 定義7:安全域是安全可達的,當且僅當aQ = >ai,或者系統中ELztao,^,? ? ?, ak,ak+i,* ??,~},其中L表不一條強依賴關系的傳遞鏈;
[0055] 其中,定義4和5反映了依賴關系的強弱,定義6描述了信息流的方向,定義7確保系 統中所有安全域的初始安全性,系統中的安全域直接由TCB支撐或者以系統TCB為支撐的強 依賴傳遞鏈。
[0056] 其中,域間信息約束規則包括如下內容:
[0057] 規則1:如果信息流t是安全的,那么該信息流必須滿足:TePi,_a
[0058]規則2:如果安全域(^是信息流安全的,那么和當前安全域之間所有的信息交互必 須滿足:VaiEA,*! .i -a j H t G Pj;
[0059] 規則3:安全域是^執行安全的,當且僅當:
[0060] (l)、aQ 是可信的;
[0061 ] (2)、VaieA,ai與aQ存在強依賴關系;
[0062] (3)、ai是信息流安全的。
[0063]通過上面【具體實施方式】,所述技術領域的技術人員可容易的實現本發明。但是應 當理解,本發明并不限于上述的兩種【具體實施方式】。在公開的實施方式的基礎上,所述技術 領域的技術人員可任意組合不同的技術特征,從而實現不同的技術方案。
[0064]除說明書所述的技術特征外,均為本專業技術人員的已知技術。
【主權項】
1. 一種基于云計算的進程保護方法,其特征在于:該方法引入安全域的概念,W安全域 作為進程保護的最小構成單元,將進程W及進程依賴的環境納入安全域,建立安全域構建 規則,為進程提供安全的初始化運行環境,確保進程運行初始化安全; 在安全域的基礎上,建立安全域之間的信息交換規則,保護進程W及進程依賴的環境 運行過程中的信息流安全,確保安全域之間的信息交換安全。2. -種基于云計算的進程保護架構,其特征在于:該架構包括約束控制模塊、客戶操作 系統W及若干安全域; 安全域是該架構的核屯、,所有的安全域均具有相同特權級別和保護級別,由存在依賴 關系的一系列進程和數據構成;不同的安全域擁有相同的特權級別,安全域之間的信息交 換遵循域間信息約束規則,保證安全域的隔離性; 約束控制模塊是域間信息約束規則的具體實現,負責安全域之間信息流的控制和審 計; 用戶操作系統是用戶虛擬機運行的操作系統,為目標安全域提供運行基礎,同時虛擬 機受到虛擬機管理軟件的支持。3. 根據權利要求2所述的一種基于云計算的進程保護架構,其特征在于:所述安全域在 系統啟動的情況下,從安全域的行為表現、相關進程W及數據行為,安全域的定義如下: 走義1 :女全域日i是 1^/、兀組,日i二{Ai , Pi ,Di , Si , Ii , Oi}; 在定義I中,Ai為安全域Cti依賴的所有安全域的集合;Pi是保護Cti盡享信息流交換的安全 規則;Di是構成Qi的數據和相關代碼;Si是執行安全域Qi執行動作的所有規則的集合;Ii是安 全域的輸入集;Oi是安全域的輸出集; 定義2:系統TCB是一個特殊的安全域,記作: a〇= {Ao,Po,Do,So, 1〇,0〇}; 在計算的虛擬化環境下,系統TCB由獨立的硬件忍片、可信固件、安全忍片和得到安全 確認的系統軟件構成,安全性得W保證; 定義3: a日是無條件可信的; 定義4:若安全域a和安全域0之間存在直接的安全傳遞關系,則稱的雖依賴與a,記作a = 〉e; 定義5:0從a處獲得信息或者的周用a中的函數,記為T; 定義6:若存在a到0的信息流,則稱0弱依賴與a,記為。 定義7:安全域是安全可達的,當且僅當a〇 =〉ai,或者系統中EL={a〇,ai,《 ? -,ak, Qk+i,? ? ?,Qi},其中L表不一條強依賴關系的傳遞鏈; 其中,定義4和5反映了依賴關系的強弱,定義6描述了信息流的方向,定義7確保系統中 所有安全域的初始安全性,系統中的安全域直接由TCB支撐或者W系統TCB為支撐的強依賴 傳遞鏈。4. 根據權利要求3所述的一種基于云計算的進程保護架構,其特征在于:所述域間信息 約束規則包括如下內容: 規則1:如果信息流T是安全的,那么該信息流必須滿足:TEPi,a i ^技; 規則2:如果安全域Qi是信息流安全的,那么和當前安全域之間所有的信息交互必須滿 足:V a i 巨 A,過 i a j n T ePi; 規則3:安全域是ai執行安全的,當且僅當: (1) 、日日是可信的; (2) 、VaiEA,ai與a日存在強依賴關系; (3) 、〇1是信息流安全的。
【文檔編號】G06F21/12GK105912892SQ201610218629
【公開日】2016年8月31日
【申請日】2016年4月8日
【發明人】左強
【申請人】浪潮電子信息產業股份有限公司