[发明专利]计算机入侵防范方法

说明书

本发明提供了一种计算机入侵防范方法，该方法包括：当应用与内核交互时，首先进入到安全寻址区的可信平台，可信平台保存应用上下文，然后切换到内核寻址区，进入内核执行；当内核返回应用时，首先返回安全寻址区的可信平台，可信平台恢复应用上下文，再返回安全寻址区中的应用继续执行。本发明提出了一种计算机入侵防范方法，与不可信操作系统完全隔离，避免了频繁低效的加密解密，并为应用提供了全面的保护。

技术领域

本发明涉及计算机安全，特别涉及一种计算机入侵防范方法。

背景技术

随着信息技术的发展，计算机系统广泛应用于政治、经济、文化、国防和安全等重要领域。其中，操作系统内核是整个计算机系统工作和安全的基础。内核运行于整个系统的最高权限层，管理和控制底层硬件资源，为上层文件提供安全隔离的资源抽象和访问接口。越来越多的安全报告表明操作系统内核仍然存在着大量的漏洞和错误，攻击者能够获得最髙的权限、以内核权限实施任意攻击行为，包括恶意操作底层硬件、执行系统中的任意代码、读写内存和磁盘上的任意数据等等。现有技术基于VMM，对内核权限操作进行截获和验证，实现了对文件的全面保护。然而另一方面，VMM运行于更高的权限层，操作系统内核与VMM之间频繁的层间切换也导致了较高的性能开销。

发明内容

为解决上述现有技术所存在的问题，本发明提出了一种计算机入侵防范方法，包括：

当应用与内核交互时，首先进入到安全寻址区的可信平台，可信平台保存应用上下文，然后切换到内核寻址区，进入内核执行；

当内核返回应用时，首先返回安全寻址区的可信平台，可信平台恢复应用上下文，再返回安全寻址区中的应用继续执行。

优选地，所述可信平台控制所有进入安全寻址区的入口点，一旦CPU进入安全寻址区，可信平台获得系统控制权；只有安全寻址区的软件能够修改块表，所有的块表更新操作只能由可信平台完成；当内核需要更新块表时，只能向可信平台发出请求，可信平台截获并验证所有的块表更新操作，实现内存保护；

可信平台在安全寻址区完成自身的执行流程，在返回外部组件时，将CPU切换回内核寻址区或者安全寻址区第3层，保证安全寻址区中只有可信平台运行，外部组件无法破坏安全寻址区中可信平台的数据代码；

从入口点进入安全寻址区后，可信平台在整个执行过程中，中断被禁止，执行流无法被外部组件劫持；只有当返回外部组件时，可信平台才恢复中断；当可信平台中发生不可屏蔽中断时，可信平台暂时阻塞该不可屏蔽中断，防止外部组件使用不可屏蔽中断劫持可信平台执行流；当返回到内核时，可信平台再将该不可屏蔽中断转发给内核进行处理。

优选地，所述块表由4级结构L1、L2、L3和L4组成，控制寄存器指向安全块表的L4块表称为S-L4，块表切换是通过将目标文件的L4块表整体拷贝到S-L4来实现；S-L4只能被安全寻址区中的可信平台修改；进程切换时，内核只能向可信平台发出请求，由可信平台切换文件块表；

当应用发生中断、进入可信平台时，可信平台保存应用安全环境，并将该中断转发给内核寻址区中的内核，将块表更新的具体内容置于一个共享内存中，到内核完成所有处理，当操作系统完成中断处理时，分配相应的物理块；可信平台从共享内存中读取更新请求，完成块表更新，然后返回内核；内核完成余下的中断处理工作，最终返回可信平台；可信平台恢复应用安全环境，返回应用。

优选地，所述可信平台截获并验证系统中所有发送到磁盘外设的I/O命令，将分配给磁盘管理器的I/O内存映射为只读。当内核需要向磁盘发送I/O命令时，只能将该命令转发给可信平台，由可信平台访问I/O内存，在系统启动时，对BIOS设置的PCI配置空间进行验证，在系统运行过程中禁止内核访问整个PCI配置空间；利用硬件虚拟化禁止普通模式中的软件访问该段I/O端口；将这段保留的系统内存在寻址区中映射为不可见，禁止内核访问。

本发明相比现有技术，具有以下优点：