[发明专利]安全沙箱

说明书

技术领域

本发明涉及计算机安全技术，尤其是安全沙箱。

背景技术

现代操作系统通常包括至少两个主要的安全层。一个安全层(例如，应用层)相比另一个更高特权层(例如，内核层)具有较少的特权。内核层具有更高的特权级别，因为它与底层硬件对接(直接对接或者在虚拟化的情形中使用系统管理程序来对接)。很多处理器提供某些操作系统可以利用的两个以上的特权级别。例如，某些操作系统可以具有在应用层和内核层之间执行的设备驱动程序。

对于之前的操作系统和CPU(中央处理单元)，相同的处理器指令集对于全部层都是可用的。即，存在一个全局操作码(操作代码)集。例如，在应用层执行的进程将使用在诸如内核等更高特权级别执行的进程所使用的相同的机器指令中的某些。各层之间的语义区分存在于在处理器上执行的软件以及某种程度上的硬件中，该语义区分将基于当前的特权级别来限制或拒绝对具体功能的访问。

然而，该方法的一个问题是欺诈应用或恶意代码可以提高对应的当前执行上下文的特权级别，并且由此获得对操作系统或计算机内的更高特权资源的访问。例如，考虑恶意代码利用缓冲区溢出的情况。在低级别，知晓应该或不应该允许执行溢出区中的受影响的或相关的代码变得困难。在高抽象级别，可能很清楚某些代码是未经授权的，但是在诸如CPU级别等低抽象级别，不可能分辨代码是否是经授权的。一般而言，不存在确切地知道恶意代码(例如，溢出空间中的特权代码)空间以外的代码处于非特权进程的控制下的方式。

之前的方法已经尝试通过使应用层硬化以使得恶意代码首先无法在系统上运行来预防这种情况。例如，已经使用了可信代码系统和代码扫描，更不用说复杂的操作系统安全方案。或者，存在试图通过查看系统的行为并将该行为与某些试探法进行比较来非确定性地判定恶意代码是否正在该系统上运行的模糊解决方案。例如，某些调用序列模式可能是可疑的。然而，尚不存在确定性地评估在内核内执行的当前代码以判定其有效还是恶意的解决方案。

以下讨论与使用不兼容的指令集来隔离可执行代码或将其置于“沙箱”有关的技术。

发明内容

以下发明内容仅是为了介绍在以下详细描述中讨论的某些概念而被包括的。本发明内容并不是全面的，并且不旨在描绘所要求保护的主题的范围，该范围由所附的权利要求书来阐明。

此处的各实施例涉及为不同的执行单元(诸如线程、进程、保护域等)使用不同的指令集。执行单元可以与指令集相关联。指令集可具有互斥的操作码，意味着一个指令集中的操作码不被包括在任何其他指令集中。当执行给定执行单元时，处理器仅允许执行与当前执行单元相对应的指令集中的指令。如果执行单元尝试直接执行另一个指令集中的指令，则发生失败。

许多附带特征将参考以下的详细描述并结合附图考虑以在下文解释。

附图说明

根据附图阅读以下详细描述，将更好地理解本发明，其中在所附描述中使用相同的附图标记来指代相同的部分。

图1示出一个处理器。

图2示出分别与各保护环相关联的各指令集。

图3示出示例指令集。

图4示出取出并执行指令的过程。

图5示出在不同的保护环中执行的执行单元。

图6示出消息收发系统。

图7示出IPC消息收发。

具体实施方式

如在背景技术中提到的，在计算机安全领域中，已经存在解决阻止恶意代码执行的问题的很多尝试。以前的解决方案落入两个大类：静态保护和动态检测。静态保护解决方案旨在确保仅执行有效代码。静态保护的示例是仅加载经密码签署的二进制码的媒体基础受保护的媒体路径(PMP)(TM)。动态保护解决方案旨在查看系统的动态行为以标识安全性违背。动态监测的一个示例是恶意软件检测代码，该检测代码观察机器的行为并且尝试标识任何不规则的行为模式的出现，诸如在网页请求后新端口被打开等。动态和静态方法甚至已被组合。然而，无论是单独还是彼此组合，没有一种方法能够保证具有不同特权级别的不同代码库的隔离。在以前的方法中，对特权保护的违背导致执行未经授权的特权代码的能力。