[发明专利]虚拟机中的强制保护控制

说明书

技术领域

本发明涉及虚拟机，以及更具体地，涉及虚拟机中的安全控制。

背景技术

由于软件的生态系统趋于越来越复杂，对整个系统应用信息安全变得非常困难。实际上，如今机器软件栈的构筑很少仅通过使用内部软件，而是通常结合开源软件、商用软件以及内部方案，所有这些在安全开发和设计的知识和技术上都大相径庭。因此，设计、开发、部署和维护活动中的单个失败可能引起安全漏洞。此外，软件的脆弱性在应用层愈加显著，既在客户端侧(Flash插件、Acrobat阅读器、互联网浏览器、智能手机应用)也在服务器侧(机器虚拟化、应用服务器(PHP、Java、.Net)、网络中间件、数据库)。

长期以来，自主访问控制(DAC)一直被使用。此方法是基于用户或角色的，因此如果根/管理员访问被攻击者获得，总体的访问控制就变成无用的。为解决这个问题，强制访问控制(MAC)已经被设计。强制访问控制是通过强迫做访问请求检查从而强制执行操作系统授权的安全方式。这是关于独立于系统用户的安全策略来完成的。

一种MAC实现，SElinux，可以在系统层应用来强制执行安全策略，无论用户身份如何。甚至非法“根”(“root”)都可以被MAC阻止。视窗Vista和视窗7现在默认包含MAC，并且管理员任务必须显式地被定义或被批准。

然而，这种访问控制对确保虚拟机例如Java虚拟机(JVM)中的安全并不有效。实际上，JVM过程对系统而言如同黑盒子，因而系统常常不可能区分JVM中的恶意与合法的活动。Java认证和授权服务(JAAS)典型地用于保证在JVM中的安全，但是此安全机制不是强制性的，而且只是介于JVM和系统中间的周界防护。

发明内容

本发明的目标是描述其提供应用于虚拟机的强制访问控制模型的安全模型。

为此目标，本发明提供用于通过强制访问控制模块来在适于运行面向对象程序和基于强类型语言的虚拟机中确保强制访问控制的方法，该方法包括：

-使用访问策略来配置强制访问控制模块；

-当接收到指示方法调用或对变量成员的访问请求的事件时，根据调用方和被调用方的语言类型，向被称为“调用方”(CalR)的对象和被称为“被调用方”(CalE)的对象添加访问控制标签(LabE,LabR)，其中该调用方调用方法(Meth)或请求访问，该被调用方被方法(Meth)调用或该被调用方的访问被请求，该添加访问控制标签是根据该调用方和该被调用方的语言类型(Typ_CalR,Typ_CalE)；

-根据该访问控制标签、该调用方和该被调用方的实例数以及访问策略而做出被称为“否定决策”的阻止该方法的执行或对该变量成员的访问的决策或者被称为“肯定决策”的让该虚拟机运行该方法或访问该变量成员的决策；

-向该虚拟机传输该决策用于阻止或准许相应的访问尝试。

根据非限制性的实施例，该方法可以包括一个或多个以下附加特性：

-配置该强制访问控制模块的步骤是在当接收到指示该虚拟机的开始或初始化(VM_start,VM_init)的事件时被实现的。

-事件是激活回调功能的面向标准化检测工具的事件。

-事件的接收直接修改虚拟机内部。

-配置该强制访问控制模块的步骤包括加载定义语言类型和访问控制标签之间的对应的标记策略文件，并且添加标签的步骤通过所述标记策略文件而被实现。

-添加访问控制标签的步骤包括使用外部数据库，该外部数据库包括对象实例和访问控制标签之间的对应。

-做出决策的步骤通过该强制访问控制模块和外部决策引擎之间的协作来被实现。

-该方法包括在外部数据库中记录的步骤：

·关于被调用的方法的信息；

·关于该调用方和该被调用方的信息，例如它们的语言类型和它们的访问控制标签、它们的实例数；

·所做出的决策。

-该方法包括在否定决策的情况下由该虚拟机引发异常用于阻止被请求的方法的执行或对该变量成员的访问。

此外，用于在适于运行面向对象程序和基于强类型语言的虚拟机中确保强制访问控制的强制访问控制模块被提供，包括：

-参考监视器，其为用于方法调用和对变量成员的访问的强制路径，其适于向该虚拟机传输被称为“否定决策”的阻止该方法的执行或对该变量成员的访问的决策或被称为“肯定决策”的让该虚拟机运行该方法或访问该变量成员的决策；