【技术实现步骤摘要】
Linux操作系统内存页面即时加解密方法和系统
本专利技术涉及内存页面加解密
,特别是涉及一种Linux操作系统内存页面即时加解密方法和系统。
技术介绍
为了保护数据在磁盘中的安全,人们设计和实现的文件加密技术。为了保护数据在通信网络中的安全,数据被加密后再发送。然而,由于处理器处理的需求,在内存中的数据始终以明文形式存在,这就给攻击者提供了便利。自然的,人们希望存在能够直接处理密文的处理器。但是目前并不存在这样的商用处理器,而且由于使用者查看和编辑的需求,有的秘密信息必须以明文形式展示给使用者。目前,诸如Linux等主流商用操作系统并不支持对内存页面进行加密。由于现有处理器都无法访问处于密文状态的数据或指令,使得在内存中的页面均处于明文状态。这就给攻击者窃取用户的敏感信息提供了方便。一旦攻击者进入操作系统,就可以通过扫描内存来查找感兴趣的敏感信息,从而绕开文件加密、通信加密等安全手段。为了减少内存数据泄露的风险,一种典型的方法是操作系统在内存中“锁”住存有秘密的内存页面,避免页面被换到磁盘,但是内存数据仍然是明文,存在被窃取的风险。内存数据的安全问题急待解决。针对这一问题,存在一些解决方案。从硬件上来看,典型的有AEGIS和XOMOS。两者的核心思想类似,都是在处理器层面上寻求解决方案。就AEGIS而言,它希望存在一个具备数据加解密和完整性验证功能的处理器,所有指令和数据在离开处理器之后,均被加密并生成完整性指纹,当处理器处理密文状态的指令和数据时,会首先完成完整性验证和解密操作,续而再完成具体的操作。这样,明文状态的数据和指令就始终处于处理器内部 ...
【技术保护点】
一种Linux操作系统内存页面即时加解密方法,其特征在于,包括以下步骤:步骤1,页面标识页面标识包括保护页面标识和受限状态标识;保护页面标识用于操作系统识别需要保护的页面,分为动态实时页面标识和静态预页面标识两种情况;受限状态标识用于操作系统识别保护页面的明密文状态;步骤2,页面解密处理器在访问某个地址之前,检查目标地址所在页面是否在内存中,即缺页检查,如果目标地址所在页面在内存中,操作系统检查处理器所要访问地址所在页面是否为受限页面,如果处理器所要访问地址所在页面为受限页面,那么处理器无法直接访问,操作系统发出访问受限页面中断,将受限页面转换为非受限页面,完成对受限页面的解密操作;步骤3,页面加密在内核中增设页面加密服务例程,由该页面加密服务例程周期性检查和批量加密非受限页面,即定时对所有非受限页面进行检查,如果存在非受限页面长时间不被处理器所访问,再对其进行加密,将其转换为受限页面。
【技术特征摘要】
1.一种Linux操作系统内存页面即时加解密方法,其特征在于,包括以下步骤:步骤1,页面标识页面标识包括保护页面标识和受限状态标识;保护页面标识用于操作系统识别需要保护的页面,分为动态实时页面标识和静态预页面标识两种情况;受限状态标识用于操作系统识别保护页面的明密文状态;步骤2,页面解密处理器在访问某个地址之前,检查目标地址所在页面是否在内存中,即缺页检查,如果目标地址所在页面在内存中,操作系统检查处理器所要访问地址所在页面是否为受限页面,如果处理器所要访问地址所在页面为受限页面,那么处理器无法直接访问,操作系统发出访问受限页面中断,将受限页面转换为非受限页面,完成对受限页面的解密操作;步骤3,页面加密在内核中增设页面加密服务例程,由该页面加密服务例程周期性检查和批量加密非受限页面,即定时对所有非受限页面进行检查,如果存在非受限页面长时间不被处理器所访问,再对其进行加密,将其转换为受限页面。2.根据权利要求1所述的Linux操作系统内存页面即时加解密方法,其特征在于,所述步骤1中动态实时页面标识是指进程根据需要动态向操作系统申请保护页面,以便存储秘密信息,动态实时页面标识是由申请保护页面的函数接口PPmalloc和取消保护页面的函数接口PPfree实现的,具体为:PPmalloc是在传统C库函数malloc的基础上增加了页面标识功能,具体来说,PPmalloc首先利用传统的malloc函数申请相应的存储空间,然后利用新增系统调用PPSet来标识malloc函数申请的页面;PPfree是在传统C库函数free的基础上增加了页面标识功能,其目的是取消PPmalloc函数所申请的保护页面;PPSet系统调用根据所给的首地址以及存储空间范围大小,标识所涵盖的页面为保护页面或者取消保护页面的标识。3.根据权利要求1所述的Linux操作系统内存页面即时加解密方法,其特征在于,所述步骤1中静态预页面标识是指在程序装入内存前就提前对需要保护的秘密数据所在页框进行标识,具体为:对Linux操作系统的ELF文件格式进行解析,将秘密数据所在位置进行标识,并将标识结果存储于附属的标识文件,当ppexec系统调用装载程序时,将标识文件装载入内核形成标识数据;为了标...
【专利技术属性】
技术研发人员:周洪伟,原锦辉,孔志印,刘磊,马婧,关慧,肖锐,张凯,孙竟尧,
申请(专利权)人:中国人民解放军信息工程大学,
类型:发明
国别省市:河南,41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。