[发明专利]一种增强ARM平台虚拟机自省安全的方法及装置

说明书

本发明提供一种增强ARM平台虚拟机自省安全的方法及装置，该装置包括位于不可信环境虚拟化软件栈中的安全增强接口前端、位于高特权级的安全增强接口以及位于硬件隔离环境TrustZone中的核心代码。本发明通过不依赖于Hypervisor或QEMU的安全增强接口和适当的硬件隔离环境TrustZone来抵抗信息泄露、保证VMI自身代码和数据在整个生命周期内的准确性即保证VMI运行时安全以及VMI底层输入数据的正确性。并且本发明解决了ARMv8平台下的两层语义隔离，即Hypervisor语义隔离和VM语义隔离。

技术领域

本发明涉及安全脆弱性宿主机中虚拟机自省安全技术领域，尤其涉及一种增强ARM平台虚拟机自省安全的方法及装置。

背景技术

众所周知，通用的虚拟机自省(VMI)代码部署在宿主机(Host)的用户空间，通过虚拟机管理器(Hypervisor)来访问虚拟机(VM)内部的二进制数据，通过桥接VM内部的语义隔离问题将这些二进制数据转化为操作系统层次的有效的VM内部状态信息，从而利用这些状态信息来进行下一步的安全监测。因而，现有的VMI的正常运行依赖于这样的前提：Host和Hypervisor均为安全且可信的。这意味着一旦这一前提被打破，VMI的正常运行将不能再被保证。事实上，随着越来越多的Host和虚拟化软件栈的脆弱点被暴露出来，该前提已不再成立。如何在存在安全隐患的宿主机环境中部署安全增强的虚拟机自省技术成为了VMI安全研究领域极其重要的一个议题。

脆弱宿主机环境中的VMI面临多方面的安全威胁，一是信息泄露：VMI技术打破了云环境中多租户之间的隔离，VMI获取的VM内部信息被恶意利用将会造成VM信息的严重泄露。二是VMI运行时不安全：VMI运行在用户态，一旦宿主机环境的脆弱性被利用，VMI的代码和数据都将暴露在攻击者面前。三是VMI底层输入数据不正确：VMI依赖Hypervisor获取VM相关核心数据，这给了Hypervisor和Host去篡改这些核心数据的机会。

现今，对VMI安全的研究刚起步。针对信息泄露这一问题，常用的措施是将加解密思想与VMI相结合，该方法将VMI信息泄露的风险转移到加解密密钥的保护上，并且引入了额外的加解密操作。对于VMI运行时不安全以及底层输入数据不正确的研究，业界则还未涉及。

发明内容

本发明立足于不可信宿主机环境中VMI所面临的安全威胁这一现状，旨在提供一种增强ARM平台虚拟机自省安全的方法及装置，该方法及装置能够抵抗信息泄露、保证VMI自身代码和数据在整个生命周期内的准确性即保证VMI运行时安全以及VMI底层输入数据的正确性。

针对上述不足，本发明所采用的技术方案为：

一种增强ARM平台虚拟机自省安全的方法，其步骤包括：

1)将核心代码(Core Library)部署在硬件隔离环境TrustZone(可信环境)中；

2)当特定的触发事件发生时，触发触发机制以陷入到EL3层的安全增强接口(Interface)，并将该触发事件中相关的VM数据和Hypervisor数据传递到该安全增强接口；

3)安全增强接口记录和维护上述VM数据和Hypervisor数据，并根据核心代码的数据访问请求将与该数据访问请求相关的VM数据和Hypervisor数据传递给核心代码；

4)核心代码根据所接收的VM数据和Hypervisor数据以及自身预设的基本配置参数，桥接VM语义隔离和Hypervisor语义隔离，推导和定位出目标VM数据地址和目标Hypervisor数据地址，以进行进一步的安全监测。

进一步地，步骤2)中所述触发机制基于SMC指令构造。

进一步地，步骤2)由位于不可信环境虚拟化软件栈中的安全增强接口前端(Interface Front-End)实现；所述安全增强接口前端是指在虚拟化软件栈中的宿主机内核增添的相关触发代码。