系统数据安全增强方法技术方案
System data security enhancement method
The present invention provides a system for data security enhancement method, the method comprises: untrusted kernel and application are run in the kernel area and safety area addressing addressing, security environment of the security area is located by addressing the protection of trusted platform. The invention provides a system data security enhancement method, which is completely isolated from an untrusted operating system, avoids frequent and inefficient encryption and decryption, and provides comprehensive protection for an application.
【技术实现步骤摘要】
系统数据安全增强方法
本专利技术涉及计算机安全,特别涉及一种系统数据安全增强方法。
技术介绍
随着信息技术的发展,计算机系统广泛应用于政治、经济、文化、国防和安全等重要领域。其中,操作系统内核是整个计算机系统工作和安全的基础。内核运行于整个系统的最高权限层,管理和控制底层硬件资源,为上层文件提供安全隔离的资源抽象和访问接口。越来越多的安全报告表明操作系统内核仍然存在着大量的漏洞和错误,攻击者能够获得最髙的权限、以内核权限实施任意攻击行为,包括恶意操作底层硬件、执行系统中的任意代码、读写内存和磁盘上的任意数据等等。现有技术基于VMM,对内核权限操作进行截获和验证,实现了对文件的全面保护。然而另一方面,VMM运行于更高的权限层,操作系统内核与VMM之间频繁的层间切换也导致了较高的性能开销。
技术实现思路
为解决上述现有技术所存在的问题,本专利技术提出了一种系统数据安全增强方法,包括:将不可信内核与应用分别运行于内核寻址区和安全寻址区,所述安全寻址区位于受可信平台保护的安全环境中。优选地,所述可信平台利用硬件虚拟化直接对控制寄存器的目标值进行限制;同时截获并验证系统中所有的...
【技术保护点】
一种系统数据安全增强方法,其特征在于,包括:将不可信内核与应用分别运行于内核寻址区和安全寻址区,所述安全寻址区位于受可信平台保护的安全环境中。
【技术特征摘要】
1.一种系统数据安全增强方法,其特征在于,包括:将不可信内核与应用分别运行于内核寻址区和安全寻址区,所述安全寻址区位于受可信平台保护的安全环境中。2.根据权利要求1所述的方法,其特征在于,所述可信平台利用硬件虚拟化直接对控制寄存器的目标值进行限制;同时截获并验证系统中所有的块表更新操作,实现内存保护;在控制寄存器目标列表中设定最多4个控制寄存器的目标值;将内核寻址区中的内核块表和安全寻址区中的安全块表的基地址写入控制寄存器目标列表,如果试图修改为其他目标值均使CPU进入到安全模式,会导致整个系统重启。3.根据权利要求2所述的方法,其特征在于,所述内核寻址区中整个块表被映射为只读,运行于内核寻址区中的软件要修改某个块表项时,必须首先将该块表项映射为可写;内核寻址区中的软件试图解除块表锁定的方式包括1)修改控制寄存器、切换寻址区;2)修改控制寄存器的模式标志位,使块表的只读保护失效;使用硬件虚拟化禁止普通模式的所有软件修改控制寄存器的模式标志位,任何修改模式标志位的操作均使系统进入到安全模式。4.根据权利要求3所述的方法,其特征在于,所述可信平台使用一个数组来跟踪系统中每个物理块的映射情况;每个块可被定义为3种映射状态:正常,隔离和占有;正常状态的块被内核块表和安全块表两者映射,内核和可信平台都能访问;隔离状态的块仅被安全块表映射,只能被可信平台访问;可信平台和块表所在的块都被映射...
【专利技术属性】
技术研发人员:许驰,
申请(专利权)人:成都鼎智汇科技有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。