基于不可信Linux内核构建软件运行可信域的方法

摘要

在当今这个恶意软件泛滥和黑客日益猖獗的时代,软件运行环境面临比以往任何时候都要多的挑战。软件代码被逆向篡改,敏感数据被广泛访问等威胁无处不在。软件运行产生的数据能够被广泛读取,敏感数据得不到保护。构建一个可信空间运行应用程序以保护代码和数据成为一个迫切需求。应用程序运行是将操作系统内核作为可信基来调度硬件和系统服务,但是可信内核应用程序无法确定,大部分情况都是运行在不可信内核基础之上,因此如何基于不可信操作系统内核保护应用程序的安全成为安全领域热点问题之一。本文提出了一种基于不可信linux内核构建软件可信域的方法,包括了内核层可信基构建和软件代码加密保护、进程运行控制流保护、文件I/O保护这三个信任链的构建。通过这个方法构建软件运行可信域实现应用程序运行空间隔离、算力共享、业务开放三大可信运行环境关键属性,确保应用程序可信安全运行。