[发明专利]应用程序安全保护方法以及相关设备

说明书

本申请提供了应用程序安全保护方法和设备，该方法应用于服务器，服务器包括运行于虚拟机VM的虚拟机操作系统和应用程序，该方法包括：建立运行VM的虚拟机操作系统的第一飞地以及运行该VM的应用程序的第二飞地；该虚拟机操作系统为用户态操作系统；获取第一跳板，第一跳板运行于第一飞地和第二飞地以外的内存区域；利用第一跳板，将应用程序对虚拟机操作系统的调用传递至虚拟机操作系统；将虚拟机操作系统对应用程序的调用返回结果传递至应用程序。实施本申请能够在利用飞地实现对应用程序运行期间的安全保护的同时，保持很小攻击界面，避免增大TCB，提高了应用程序运行的安全性。

技术领域

本发明涉及虚拟化技术领域，尤其涉及应用程序安全保护方法以及相关设备。

背景技术

虚拟化技术由于具有合理的资源共享、良好的隔离机制、易维护和低成本等优点而得到广泛应用。应用虚拟化技术的服务器架构通常包括服务器硬件、虚拟机监控器(virtual machine monitor，VMM)、所运行的虚拟机操作系统(Guest operating system，本文中可简称为OS)以及基于虚拟机操作系统的应用程序。其中，虚拟机监控器又可称为hypervisor，hypervisor是一种运行在服务器硬件和虚拟机操作系统之间的中间软件层,可允许多个虚拟机共享服务器硬件，其中虚拟机包括虚拟机操作系统和应用程序。虚拟机中的应用程序可能会处理用户的敏感数据，比如医疗健康数据、信用卡数据等等，这样的应用程序又可称为敏感应用。用户迫切希望这些敏感应用处理的敏感数据能够得到保护，以避免泄露。

在传统的安全分层架构中，通常设计应用运行在低特权级(如ring 3)，OS运行在高特权级(如ring 0)，而hypervisor运行在更高的特权级(Root operation)，高特权级对象有对低特权级对象的完全控制，高特权级对象可以任意读取和修改低特权级对象的地址空间中的代码和数据。这样的架构会存在安全威胁，例如，OS因为可能含有恶意代码或者含有漏洞而对敏感应用数据的机密性或者代码完整性产生直接威胁。Hypervisor也因为可能含有恶意代码或者含有漏洞而对OS的完整性产生安全威胁。这种来自高特权级软件对低特权级软件的安全威胁，非常严重且难以防御。针对此类安全问题，CPU可以构建一个飞地(enclave)，把敏感应用代码和数据放在enclave中执行，其中，enclave是内存中一个受保护的软件代码执行区域(或称内存安全区域)，可用于保护ring3特权级的应用代码和数据安全运行，CPU可阻止运行enclave之外的软件直接访问enclave中的应用代码和数据，CPU执行enclave中的程序代码时，处于enclave执行模式；而CPU从enclave中退出(enclave执行完成或enclave中程序产生系统调用等)时，处于非enclave执行模式。这样，就实现了enclave中执行环境的隔离，从而可以保护敏感应用代码和敏感数据的机密性与完整性。

Enclave技术在现实应用中存在一个明显的问题：应用程序只有一部分代码逻辑(如加密或者数据分析等)可以通过enclave加以保护，enclave难以实现对整个应用程序运行期间的完整保护.这些未受保护的部分包括：应用程序运行所依赖的Libc函数库、应用程序运行所依赖的OS功能以及在enclave之外应用代码。这意味着，应用程序在运行时残留的攻击面很大，攻击者可以通过攻击OS、LIBC、和enclave之外应用代码。因此如何使用enclave对应用的完整运行期间进行保护成为一个重要的技术问题。

在一种实现方案中，英国帝国理工和德国德累斯顿大学提出了Scone方案，如图1所示。该方案把应用程序和应用的Libc(Linux下的C的函数库)一起封装到了enclave中执行(如图示灰色区域)，此时，应用和Libc都受到enclave的保护。

然而，应用程序所依赖的很多系统功能都是通系统调用完成的，如内存管理、I/O、线程调度等等，而Scone方案并没有保护到应用运行所依赖的OS系统，如果OS系统被攻击者恶意篡改或者利用hypervisor漏洞而入侵，仍然可以威胁到应用程序的安全性。故该方案仍然残留了很大的应用攻击界面。