[发明专利]用于目标装置的主动监测、存储器保护和完整性验证的方法、系统和计算机可读介质

说明书

优先权声明

本申请要求于2012年8月3日提交的序列号为61/679,305的美国临时专利申请的权益；所述临时专利申请的公开通过引用全部合并于此。

政府利益

利用由(美国)国家科学基金会授予的基金号为0910767的政府支持和由美国陆军研究办公室授予的基金号为W911NF-08-1-0105和528787的政府支持做出了本发明。政府在本发明中享有一定权利。

技术领域

在此描述的主题涉及到计算机系统安全。更具体地讲，在此描述的主题涉及一种用于目标装置的主动监测、存储器保护和完整性验证的方法、系统和计算机可读介质。

背景技术

攻击和安全漏洞所导致的破坏和损失引起了对于开发包括移动和嵌入式系统的用于计算平台的安全且可靠的系统的关注。

计算机攻击和安全漏洞能通过对操作系统(OS)内核或关键程序(比如，在目标系统内运行的用户进程或系统管理后台程序)执行未授权的修改来严重影响目标装置。具体地讲，修改OS内核可允许恶意攻击者拥有对整个系统的无限制的访问。

这些挑战呈现出对于开发出与运行中的OS良好地隔离但能主动监测目标系统(包括内核)并提供需要的存储器保护以保证其完整性的非传统的解决方案的需求。

发明内容

公开一种用于在目标装置上运行的软件程序的主动监测、存储器保护和完整性验证的方法、系统和计算机可读介质。根据一种方法，在目标装置上配置(instantiate，实例化)正常界虚拟处理器和安全界虚拟处理器。在正常界虚拟处理器上执行目标操作系统。在安全界虚拟处理器上执行完整性验证代理。在正常界虚拟处理器上尝试的预定操作被困制于安全界虚拟处理器。完整性验证代理用于确定困制操作在目标装置上的执行效果。

在所述方法中，其中，使用完整性验证代理确定目标装置的困制操作的执行效果的步骤包括执行缓解(mitigate)动作。在所述方法中，其中，缓解动作包括拒绝执行被困操作、发布安全警告或关闭目标装置。

在所述方法中，其中，完整性验证代理使用安全策略，其中，执行缓解动作的步骤响应于能违反安全策略的被困操作而发生。

在所述方法中，其中，目标装置包括计算平台、智能电话、PDA、平板计算机或嵌入式系统。

根据一种系统，所述系统包括被配置为在目标装置上执行的正常界虚拟处理器和安全界虚拟处理器。所述系统还包括被配置为在安全界虚拟处理器上执行的完整性验证代理。所述系统还包括在正常界虚拟处理器上执行的目标操作系统。正常界虚拟处理器被配置为限制在正常界虚拟处理器上尝试的一个或更多个预定操作。安全界虚拟处理器被配置为使用完整性验证代理确定困制操作在目标装置上的执行效果。

在所述系统中，所述被困的一个或更多个预定操作包括安全关键操作、特权指令、能禁用或修改由正常界虚拟处理器的存储器管理单元(MMU)提供的虚拟存储器访问保护的指令、能修改与目标装置的处理器或协处理器关联的一个或更多个预定寄存器的指令、能修改与目标装置关联的代码或关键的只读数据的指令、能修改与目标系统关联的直接存储器访问(DMA)控制器的指令、常规数据中止异常或用于系统调用的管理模式调用。

在所述系统中，其中，所述被困的一个或更多个预定操作包括能禁用、修改或缓解目标操作系统的完整性验证代理的指令。

在所述系统中，其中，安全界虚拟处理器与正常界虚拟处理器隔离并被保护不受正常界虚拟处理器影响。

在所述系统中，其中，安全界虚拟处理器的代码和数据不能由正常界虚拟处理器访问。

在所述系统中，其中，正常界虚拟处理器的代码和数据能由安全界虚拟处理器访问。

在所述系统中，其中，目标操作系统被配置为创建将特权代码页的存储器访问保护定义为“不可写入”的正常界虚拟处理器的虚拟存储器映射。在所述系统中，特权代码页包括处理向量中断或处理向量异常。在所述系统中，其中，正常界虚拟处理器的虚拟存储器映射被配置为将非特权代码页的存储器访问保护定义为“永不特许执行(PXN)”，使得所述一个或更多个非特权代码页被禁止执行能由特权代码页执行的特权指令或安全关键操作。

在所述系统中，其中，目标操作系统被配置为通过将执行环境从正常界虚拟处理器切换到安全界虚拟处理器使所述一个或更多个预定操作困于安全界虚拟处理器，使得所述操作不由在正常界中运行的目标操作系统而由在安全界中运行的完整性验证代理来执行。