[发明专利]基于KVM虚拟化的网络服务隔离设计

说明书

本发明提出一种基于虚拟化技术隔离宿主机内核TCP/IP协议栈和网络驱动的内核安全增强方案。该方案包括宿主机内核数据处理模块，负责将数据从缓冲区取出或者往缓冲区添加的后端模块，负责创建缓冲区等前端模块，负责前端与后端模块的数据传输和通知的通信模块及将网络设备直接分配给虚拟机的VT‑d技术。本发明利用虚拟机与物理主机地址空间隔离和虚拟机强隔离性，虚拟机内网络协议栈或者网络驱动发生错误/故障，不会影响到主机内核其他模块，也不会导致内核崩溃，以此降低内核因模块错误/故障造成整个内核崩溃的危险，同时也提高了操作系统的安全性和可靠性。

技术领域

本发明属于计算机技术领域，尤其是系统软件安全领域。本发明提出了一种利用硬件辅助虚拟化技术隔离网络协议栈和网络驱动程序的内核安全增强方法，用于提高操作系统安全性和可靠性。

背景技术

操作系统内核是整个计算机系统的可信计算基(TCB)，也是许多更高级别安全机制的基础。然而内核并不安全，内核漏洞已经是影响内核安全的重要因素。黑客常常会利用内核中的漏洞发起对系统的攻击，窃取隐私信息，篡改机密数据，导致系统崩溃无法为上层应用提供可靠服务等，给用户造成巨大经济损失。GNU/Linux作为被广泛使用的开源操作系统，已经应用于各行各业，比如云计算，大数据，金融服务，医疗服务等。操作系统内核实现复杂，代码量极大，由于宏内核设计架构缺乏完善的隔离机制，内核模块错误/故障可能影响其他模块甚至整个内核，同时开发测试无法找到所有漏洞，内核本身又不具备处理内核错误或故障的能力，这给内核安全性带来很大隐患，比如黑客往往利用内核中有逻辑缺陷的程序或者缓冲区溢出以获得目标主机的管理员权限；利用主机内核程序代码本身的漏洞或者不当的设置方式进行攻击，从而导致主机崩溃或失去响应，或者利用内核中算法设计的漏洞及整数溢出漏洞对内核进行攻击，严重影响操作系统的可靠性。

内核设计架构：Linux内核采用高效的宏内核设计，宏内核系统所有服务模块，以特权模式，共同存在与内核空间，各模块之间会相互依赖，形成一个静态二进制文件，作为单一进程运行在单一地址空间。宏内核设计简单，高效，内核模块之间直接通过函数调用接口完成通信，实现简单，但由于所有模块代码都集中在内核态，维护内核代码却比较困难。除此之外，宏内核移植性不好，内核中各模块耦合性过高，所有内核模块运行在同一地址空间很容易引起单个模块的错误导致整个内核的崩溃。

内核模块(设备驱动，网络协议栈)：设备驱动是内核的重要组成部分，与内核处在同一地址空间，并与内核拥有相同的特权级。内核代码中包含大量的驱动代码，编写高质量的，可靠的设备驱动是比较困难的。由于驱动程序对设备的操作是不受操作系统限制的，因此对驱动程序不当的修改都有可能给整个操作系统带来危害。大量的事实证明，设备驱动发生故障的概率是很高的，也是导致内核安全性和可靠性的主要影响因素之一。TCP/IP协议栈由于其具有开放性和易用性，成为网络数据传输的基础被广泛使用。但TCP/IP协议栈并非没有问题，TCP/IP协议栈在设计之初，网络并不发达，并没有考虑到网络传输过程中可能遇到各种针对该协议栈的攻击。由于TCP/IP协议栈在不安全的网络环境中缺乏安全控制的机制，这也成为众多黑客通过协议栈成功攻击主机的基本思路。比如泪滴攻击、SYN洪流攻击等。

内核开发测试：Linux内核开发社区对于内核的开发有一套完善的开发测试规范。关于内核的测试，社区内有很多的测试项目，比如LTP主要针对linux的可靠性、健壮性以及稳定性进行测试，针对兼容性测试的CrackerJack Project项目及自动化的测试框架Autotest，及多种测试方法协同完成测试任务，还需要开发人员写出高质量的代码和频繁的代码审查等。但由于短时间的测试并不能完全清除代码中的漏洞，同样没有经过实际环境的检验，很多代码漏洞是很难被发现的，这也是为何内核持续被发现漏洞的一个因素。