一种基于云计算的进程保护方法及其架构的制作方法
【专利摘要】本发明公开了一种基于云计算的进程保护方法及其架构,属于进程管理领域,本发明要解决的技术问题为由于缺乏有效的错误隔离机制,与用户进程无法的代码漏洞也影响用户进程的运行安全,采用的技术方案为:(1)、一种基于云计算的进程保护方法,该方法引入安全域的概念,以安全域作为进程保护的最小构成单元,将进程以及进程依赖的环境纳入安全域,建立安全域构建规则,为进程提供安全的初始化运行环境,确保进程运行初始化安全;在安全域的基础上,建立安全域之间的信息交换规则,保护进程以及进程依赖的环境运行过程中的信息流安全。(2)、一种基于云计算的进程保护架构,该架构包括约束控制模块、客户操作系统以及若干安全域。
【专利说明】
一种基于云计算的进程保护方法及其架构
技术领域
[0001] 本发明涉及进程管理领域,具体地说是一种基于云计算的进程保护方法及其架 构。
【背景技术】
[0002] 云计算利用系统架构技术把成千上万台服务器整合起来,为用户提供灵活的资源 分配和任务调度能力。虚拟化技术是云计算中的关键技术之一,通过在服务器上安装虚拟 化软件,运行虚拟化监控软件VMM(Virtual Machine Monitor)来访问服务器上的所有硬件 设备。虚拟化监控软件为虚拟机分配适量的网络、CPU、磁盘和内存等物理资源,同时为虚拟 机加载客户操作系统。虚拟化技术通过对底层硬件的抽象,为虚拟机提供统一的视图,使多 个虚拟机能够运行在同一硬件平台上,极大的提高了硬件资源的利用率。
[0003] 作为虚拟化技术的特点之一,不同用户的进程运行在同一硬件平台上,给用户进 程的运行安全带来了隐患。作为虚拟化软件成员的虚拟监控软件在设计的时候,通过内存 以及底层硬件资源的虚拟隔离,能够在一定程度上确保用户进程不受到其他虚拟运行环境 的威胁。但是根据架构的特殊性,系统管理域具有很高的权限,攻击者可以通过攻击管理域 从而达到攻击用户进程,同时由于缺乏有效的错误隔离机制,与用户进程无法的代码漏洞 也影响用户进程的运行安全。
[0004] 专利号为CN 101071388 B的专利文献公开了一种进程隔离控制方法及系统,该进 程隔离控制系统连接进程和操作系统,包括:用于判断请求跨进程内存操作的进程操作请 求是否符合要求的模块;和根据判断结果对进程操作请求只想相应的处理的模块具体包 括:在进程操作请求符合安全策略要求是,将进程操作请求发送给操作系统的单元;和在进 程操作请求不符合安全策略的要求时,发送拒绝请求消息给第一进程的单元。但是该专利 存在操作复杂,使用不便,成本高等缺点。
【发明内容】
[0005] 本发明的技术任务是提供一种基于云计算的进程保护方法及其架构,来解决由于 缺乏有效的错误隔离机制,与用户进程无法的代码漏洞也影响用户进程的运行安全的问 题。
[0006] 本发明的技术任务是按以下方式实现的,一种基于云计算的进程保护方法,该方 法引入安全域(SD,Security Domain)的概念,以安全域作为进程保护的最小构成单元,将 进程以及进程依赖的环境纳入安全域,建立安全域构建规则,为进程提供安全的初始化运 行环境,确保进程运行初始化安全;
[0007] 在安全域的基础上,建立安全域之间的信息交换规则,保护进程以及进程依赖的 环境运行过程中的信息流安全,确保安全域之间的信息交换安全。
[0008] 一种基于云计算的进程保护架构,该架构包括约束控制模块(ICM,Information Control Module)、客户操作系统(Guest 0S)以及若干安全域(SD,Security Domain);
[0009] 安全域是该架构的核心,所有的安全域均具有相同特权级别和保护级别,由存在 依赖关系的一系列进程和数据构成;不同的安全域拥有相同的特权级别,安全域之间的信 息交换遵循域间信息约束规则,保证安全域的隔离性;
[0010] 约束控制模块是域间信息约束规则的具体实现,负责安全域之间信息流的控制和 审计;
[0011] 用户操作系统是用户虚拟机运行的操作系统,为目标安全域提供运行基础,同时 虚拟机受到虚拟机管理软件的支持。
[0012]其中,域间信息约束规则:
[0013] 安全域(SD,Security Domain)是用户程序保护的基本构成单元,系统运行过程 中,不同安全域之间必然存在着依赖关系和信息流的交换,只有给出相应的安全规则对交 互信息进行约束。域间信息约束规则要满足:(1)域间信息约束规则能够反映不用安全域之 间依赖关系的强弱;(2)、域间信息约束规则能够反映相邻安全域之间信息流的流向和调用 关系;(3)判定安全域的安全性必须要有一个安全起点,即安全域的安全应该有一个TCB作 为支撑。
[0014] 作为优选,所述安全域在系统启动的情况下,从安全域的行为表现、相关进程以及 数据行为,安全域的定义如下:
[0015]定义 1:安全域 di 是一个六元组,ai={Ai,Pi,Di,Si,Ii,Oi};
[0016]在定义1中,Ai为安全域^依赖的所有安全域的集合;Pi是保护(^尽享信息流交换 的安全规则;Di是构成ai的数据和相关代码;Si是执行安全域ai执行动作的所有规则的集 合;h是安全域的输入集;是安全域的输出集;
[0017]定义2:系统TCB是一个特殊的安全域,记作:
[0018] a〇= {A〇,P〇,D〇,S〇,I〇,0〇};
[0019] 在计算的虚拟化环境下,系统TCB由独立的硬件芯片、可信固件、安全芯片和得到 安全确认的系统软件构成,安全性得以保证;
[0020] 定义3: aQ是无条件可信的;
[0021] 定义4:若安全域a和安全域0之间存在直接的安全传递关系,则称0强依赖与a,记 作a = >0;
[0022] 定义5:0从a处获得信息或者0调用a中的函数,记为t ;
[0023] 定义6:若存在a到0的信息流,则称0弱依赖与(1,记为》 P ;:
[0024] 定义7:安全域是安全可达的,当且仅当aQ = >ai,或者系统中ELztao,^,? ? ?, ak,ak+i,* ??,~},其中L表不一条强依赖关系的传递链;
[0025] 其中,定义4和5反映了依赖关系的强弱,定义6描述了信息流的方向,定义7确保系 统中所有安全域的初始安全性,系统中的安全域直接由TCB支撑或者以系统TCB为支撑的强 依赖传递链。
[0026] 更优地,所述域间信息约束规则包括如下内容:
[0027] 规则1:如果信息流t是安全的,那么该信息流必须满足:TePi,a i:-^ ;
[0028]规则2:如果安全域(^是信息流安全的,那么和当前安全域之间所有的信息交互必 须满足:VaiEA,&i -a , n t e:?,-;
[0029]规则3:安全域是^执行安全的,当且仅当:
[0030] (l)、aQ 是可信的;
[0031] (2)、VaieA,ai与aQ存在强依赖关系;
[0032] (3)、ai是信息流安全的。
[0033] 其中,约束控制模块(ICM)安全判定方法:
[0034] 在安全域和域间信息约束规则下,系统的安全还依赖与安全约束的正确执行,约 束控制模块(ICM)就是策略执行的安全判定方法。从信息流的角度看,域间信息约束规则所 规定的是不同安全域所属对象与对象之间的访问规则,根据定义4,a与0之间存在的信息流 可以用t表示,系统中不同安全域之间的信息流交换实质上是不同对象之间的读写或调用 关系t。因此可以将约束控制模块(ICM)获得不同对象之间信息交换的信息流表示成一个有 向图G=(V,E),其中V为系统中所有对象的集合,E为所有存在直接信息流关系的对象构成 的有向边t的集合。通过确定不同的对象所属的安全域,并将对象按照安全域进行分类,从 而构建安全域之间的信息流图。在构建了安全域之间的信息流图之后,约束控制模块(ICM) 就可以很清楚地获得不同的安全域之间存在的直接信息流和间接数据流.直接信息流就是 对象之间存在直接的数据读写关系或者函数调用关系;间接信息流就是信息经过若干个对 象传递,起始对象与目标对象之间并不存在直接的读写调用关系.通过获取系统中不同安 全域之间存在的直接信息流,就可以构建出特定安全域的信息流冲突图G'=(V,E),从而利 用图论里面的连通性算法可以判断安全策略执行是否符合规则所定义的规则。
[0035] 本发明的一种基于云计算的进程保护方法及其架构具有以下优点:本发明是通过 进程隔离保护来实现进程运行安全,将用户进程及其依赖环境作为整体,构成安全域,通过 建立安全域之间的强依赖关系和限制安全域之间的信息流交换规则,有效的保护进程初始 化环境安全和进程运行过程中的隔离性,从而达到保护用户进程的作用。
[0036] 故本发明具有设计合理、结构简单、易于加工、体积小、使用方便、一物多用等特 点,因而,具有很好的推广使用价值。
【附图说明】
[0037] 下面结合附图对本发明进一步说明。
[0038]附图1为一种基于云计算的进程保护架构的架构图。
【具体实施方式】
[0039]参照说明书附图和具体实施例对本发明的一种基于云计算的进程保护方法及其 架构作以下详细地说明。
[0040] 实施例1:
[0041] 本发明的一种基于云计算的进程保护方法,该方法采用进程隔离保护的方法,包 括进程运行初始化安全和进程运行过程中安全域之间信息交流安全。该方法引入安全域的 概念,以安全域作为进程保护的最小构成单元,将进程以及进程依赖的环境纳入安全域,建 立安全域构建规则,为进程提供安全的初始化运行环境,确保进程运行初始化安全;在安全 域的基础上,建立安全域之间的信息交换规则,保护进程以及进程依赖的环境运行过程中 的信息流安全,确保安全域之间的信息交换安全。
[0042] 实施例2
[0043]如附图1所示,本发明的一种基于云计算的进程保护架构,采用实施例1中的一种 基于云计算的进程保护方法搭建的进程保护架构,该架构包括约束控制模块(ICM, Information Control Module)、客户操作系统(Guest 0S)以及若干安全域(SD,Security Domain);安全域是该架构的核心,所有的安全域均具有相同特权级别和保护级别,由存在 依赖关系的一系列进程和数据构成;不同的安全域拥有相同的特权级别,安全域之间的信 息交换遵循域间信息约束规则,保证安全域的隔离性;约束控制模块是域间信息约束规则 的具体实现,负责安全域之间信息流的控制和审计;用户操作系统是用户虚拟机运行的操 作系统,为目标安全域提供运行基础,同时虚拟机受到虚拟机管理软件的支持。
[0044]其中,安全域在系统启动的情况下,从安全域的行为表现、相关进程以及数据行 为,安全域的定义如下:
[0045]定义 1:安全域 a!是一个六元组,ai={Ai,Pi,Di,Si,Ii,0i};
[0046]在定义1中,Ai为安全域^依赖的所有安全域的集合;Pi是保护(^尽享信息流交换 的安全规则;Di是构成ai的数据和相关代码;Si是执行安全域ai执行动作的所有规则的集 合;h是安全域的输入集;是安全域的输出集;
[0047] 定义2:系统TCB是一个特殊的安全域,记作:
[0048] a〇= {A〇,P〇,D〇,S〇,I〇,0〇};
[0049] 在计算的虚拟化环境下,系统TCB由独立的硬件芯片、可信固件、安全芯片和得到 安全确认的系统软件构成,安全性得以保证;
[0050] 定义3: aQ是无条件可信的;
[0051] 定义4:若安全域a和安全域0之间存在直接的安全传递关系,则称0强依赖与a,记 作a = >0;
[0052] 定义5:0从a处获得信息或者0调用a中的函数,记为t;
[0053] 定义6:若存在a到0的信息流,则称0弱依赖与a,记为a. |3 ;
[0054] 定义7:安全域是安全可达的,当且仅当aQ = >ai,或者系统中ELztao,^,? ? ?, ak,ak+i,* ??,~},其中L表不一条强依赖关系的传递链;
[0055] 其中,定义4和5反映了依赖关系的强弱,定义6描述了信息流的方向,定义7确保系 统中所有安全域的初始安全性,系统中的安全域直接由TCB支撑或者以系统TCB为支撑的强 依赖传递链。
[0056] 其中,域间信息约束规则包括如下内容:
[0057] 规则1:如果信息流t是安全的,那么该信息流必须满足:TePi,_a
[0058]规则2:如果安全域(^是信息流安全的,那么和当前安全域之间所有的信息交互必 须满足:VaiEA,*! .i -a j H t G Pj;
[0059] 规则3:安全域是^执行安全的,当且仅当:
[0060] (l)、aQ 是可信的;
[0061 ] (2)、VaieA,ai与aQ存在强依赖关系;
[0062] (3)、ai是信息流安全的。
[0063]通过上面【具体实施方式】,所述技术领域的技术人员可容易的实现本发明。但是应 当理解,本发明并不限于上述的两种【具体实施方式】。在公开的实施方式的基础上,所述技术 领域的技术人员可任意组合不同的技术特征,从而实现不同的技术方案。
[0064]除说明书所述的技术特征外,均为本专业技术人员的已知技术。
【主权项】
1. 一种基于云计算的进程保护方法,其特征在于:该方法引入安全域的概念,W安全域 作为进程保护的最小构成单元,将进程W及进程依赖的环境纳入安全域,建立安全域构建 规则,为进程提供安全的初始化运行环境,确保进程运行初始化安全; 在安全域的基础上,建立安全域之间的信息交换规则,保护进程W及进程依赖的环境 运行过程中的信息流安全,确保安全域之间的信息交换安全。2. -种基于云计算的进程保护架构,其特征在于:该架构包括约束控制模块、客户操作 系统W及若干安全域; 安全域是该架构的核屯、,所有的安全域均具有相同特权级别和保护级别,由存在依赖 关系的一系列进程和数据构成;不同的安全域拥有相同的特权级别,安全域之间的信息交 换遵循域间信息约束规则,保证安全域的隔离性; 约束控制模块是域间信息约束规则的具体实现,负责安全域之间信息流的控制和审 计; 用户操作系统是用户虚拟机运行的操作系统,为目标安全域提供运行基础,同时虚拟 机受到虚拟机管理软件的支持。3. 根据权利要求2所述的一种基于云计算的进程保护架构,其特征在于:所述安全域在 系统启动的情况下,从安全域的行为表现、相关进程W及数据行为,安全域的定义如下: 走义1 :女全域日i是 1^/、兀组,日i二{Ai , Pi ,Di , Si , Ii , Oi}; 在定义I中,Ai为安全域Cti依赖的所有安全域的集合;Pi是保护Cti尽享信息流交换的安全 规则;Di是构成Qi的数据和相关代码;Si是执行安全域Qi执行动作的所有规则的集合;Ii是安 全域的输入集;Oi是安全域的输出集; 定义2:系统TCB是一个特殊的安全域,记作: a〇= {Ao,Po,Do,So, 1〇,0〇}; 在计算的虚拟化环境下,系统TCB由独立的硬件忍片、可信固件、安全忍片和得到安全 确认的系统软件构成,安全性得W保证; 定义3: a日是无条件可信的; 定义4:若安全域a和安全域0之间存在直接的安全传递关系,则称的虽依赖与a,记作a = 〉e; 定义5:0从a处获得信息或者的周用a中的函数,记为T; 定义6:若存在a到0的信息流,则称0弱依赖与a,记为。 定义7:安全域是安全可达的,当且仅当a〇 =〉ai,或者系统中EL={a〇,ai,《 ? -,ak, Qk+i,? ? ?,Qi},其中L表不一条强依赖关系的传递链; 其中,定义4和5反映了依赖关系的强弱,定义6描述了信息流的方向,定义7确保系统中 所有安全域的初始安全性,系统中的安全域直接由TCB支撑或者W系统TCB为支撑的强依赖 传递链。4. 根据权利要求3所述的一种基于云计算的进程保护架构,其特征在于:所述域间信息 约束规则包括如下内容: 规则1:如果信息流T是安全的,那么该信息流必须满足:TEPi,a i ^技; 规则2:如果安全域Qi是信息流安全的,那么和当前安全域之间所有的信息交互必须满 足:V a i 巨 A,过 i a j n T ePi; 规则3:安全域是ai执行安全的,当且仅当: (1) 、日日是可信的; (2) 、VaiEA,ai与a日存在强依赖关系; (3) 、〇1是信息流安全的。
【文档编号】G06F21/12GK105912892SQ201610218629
【公开日】2016年8月31日
【申请日】2016年4月8日
【发明人】左强
【申请人】浪潮电子信息产业股份有限公司