面向多域计算环境安全的系统软件研究

摘要

当前移动计算与云计算在教育、科技、医疗、商业和娱乐等各个领域改变着人们的工作与生活方式。同时近年来这些平台恶意软件激增且攻击事件频出，系统的安全性遭受着重大威胁。
　　针对移动与云平台的安全问题，学术界与工业界基于多域计算环境从不同角度提出了许多安全方案。多域计算环境是指将系统分成多个互相隔离的执行域，而每个域内部具有权限级、地址空间隔离等隔离机制的计算环境。由于多域计算环境具有较好的安全隔离效果，特别适用于提高系统的安全性。
　　然而目前多域计算环境中的系统软件存在如下两个重要问题：
　　一是可信计算基太大。目前很多解决方案尚未能利用多域隔离环境，具有非常大的可信计算基。移动平台硬件安全拓展ARM TrustZone机制能够用于构建一个双域的计算环境，通过隔离的方式保护系统软件安全，但是这样的硬件隔离双域环境并没有被很好地利用：一方面，部分系统在隔离域中运行简单的程序为另一个执行域提供安全服务，可信基虽小但由于功能单一，不灵活通用；另一方面，部分研究者尝试在两个域中分别运行一个复杂的操作系统，利用域之间的安全隔离提供灵活的安全服务，然而这导致了平台可信计算基太大，安全性不高。
　　二是多域间切换的性能低下。当前许多安全的系统软件利用虚拟化技术提供的多域隔离计算环境，在不同的域中运行安全等级不同的服务以保护平台的安全。虚拟化技术在构造多域计算环境的同时，使得整个系统有不同的权限等级和层次结构，不同域间的交互需要跨越多个层次结构和权限级，具有较大的性能开销，直接导致系统的性能大幅降低。出于性能考虑很多安全系统没有在实际场景中被应用。
　　本文利用计算机体系结构自身的特点，通过对系统软件的研究，在多域计算环境中以很小的可信计算基解决了几个重要的安全问题，并创新性地提供了一个能够同时达到较好性能、较高安全性的跨域调用机制。本文做出的学术贡献包括如下三方面：
　　针对目前移动平台缺乏一个可信基小、安全灵活的安全计算环境的问题，本文在移动平台上利用硬件双域机制实现了国内第一个开源的安全内核T6，为移动双域计算环境提供了一个安全平台。T6运行在安全世界中，为普通世界的系统与应用提供一个隔离安全域；具有极小的可信计算基，提供了现代操作系统常见的安全隔离与保护机制，通过安全启动与应用加载验证机制保证了系统运行的任意代码均是经过验证的可信代码。此外，在T6基础上首次提出在移动平台的不可信驱动之上建立可信路径的方法，保持极小的可信计算基（少于1万行代码）的同时能够防御包括钓鱼、设备截屏、触摸记录、代码篡改等一系列针对用户的攻击，并且不对系统运行性能造成影响。目前T6已被国内外许多公司和研究机构使用，证明了其实用性。
　　针对多域安全系统的性能问题，首次提出并实现了虚拟化环境上灵活的跨域调用机制。本文通过分析一系列多域安全系统案例指出，多域环境中的安全系统性能开销主要来自于跨域切换，本文认为目前研究界该重新思考传统保护域中复杂的垂直化层次结构的设计，并提出了一套灵活的跨域调用机制，能够同时达到较好的性能与较高的安全性。为了验证其有效性，本文利用Intel VMFUNC硬件特性，在虚拟化环境中构建了一个灵活高效安全的跨域调用系统，并在实际的硬件中进行了实现与测试，验证了其高效性与安全性。
　　针对目前移动平台上严重且日益泛滥的广告欺诈问题，首次提出了两个创新性的安全原语：不可伪造的用户点击和可验证的显示，并利用该原语在移动平台双域计算环境下实现了基于用户操作认证的方法对广告欺诈行为进行检测与防御的框架，能够有效地检测与防御目前已知的所有移动广告欺诈行为。该框架能够增量部署到现有的移动平台与广告系统中，并且对移动设备中系统的性能和用户体验没有任何影响。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪论

1.1 研究背景

1.2 相关研究

1.3 本文主要贡献

1.4 论文组织结构

第二章 移动与云平台体系结构安全特性概述

2.1 计算机体系结构的安全发展

2.2 TEE简介

2.3 能够实现多域计算环境的X86体系结构特性简介

2.4 能够实现多域计算环境的ARM体系结构特性简介

2.5 本章小结

第三章 T6:基于ARM TrustZone双域计算环境的安全操作系统

3.1 引言

3.2 T6的设计与实现

3.3 T6的安全应用案例

3.4 基于不可信设备驱动的可信路径的构建

3.5 性能测试

3.6 本章小结与T6的未来工作

第四章 CrossOver：采用灵活的跨域调用方法减少虚拟化环境中的域间切换

4.1 引言

4.2 需要灵活的跨域调用的例子

4.3 跨域调用

4.4 使用VMFUNC近似实现CrossOver

4.5 实现CrossOver

4.6 应用场景举例

4.7 测试

4.8 相关工作

4.9 总结

第五章 AdAttester:基于ARM TrustZone双域计算环境的安全在线广告认证

5.1 引言

5.2 背景与问题描述

5.3 威胁模型

5.4 设计目标与概要设计

5.5 AdAttester的两个安全原语

5.6 安全广告在线认证的设计

5.7 广告欺诈行为的检测

5.8 安全分析与系统部署

5.9 AdAttester的实现

5.10 检测广告欺诈行为的评估

5.11 性能测试

5.12 TCB大小与实现复杂度

5.13 AdAttester讨论与未来工作

5.14 相关工作

5.15 AdAttester总结

全文总结

参考文献

致谢

攻读学位期间发表的学术论文

攻读学位期间申请的专利