下载后可任意编辑第三章 隔离运行模型本章提出了一种新的基于虚拟机技术的隔离运行模型—SVEE,该模型满足满足操作系统隔离、应用透明、计算环境重现、隔离程序执行效果跟踪与操作系统信息重构等五个应用约束,平衡了安全隔离性、功能完整性、性能适应性和行为可监控性。同时,本章给出了该模型的形式化安全性分析和度量,通过理论分析阐明了 SVEE 能够满足 Bell-LaPadula 机密性模型和 Biba 完整性模型。并进一步论证了在此模型下,被保护的宿主环境的容侵能力也将得到有效提升。基于此模型,本章构造出以本地虚拟化技术为核心的满足 SVEE 隔离运行模型的体系结构,该体系结构独立于操作系统实现,具有很好的可移植性。通过对现有虚拟机模型的详细分析,指出 Type II 虚拟机模型能够最有效地在个人计算平台下支持这五个约束条件。本章工作是后继章节所做工作的理论基础。3.1 隔离运行模型对于隔离运行非可信软件的运行环境而言,为了实现操作系统与应用程序透明的目标,同时能够重现已有的软件运行环境并支持操作系统语义信息的重构,即在保证安全隔离性的前提下提升隔离运行环境的功能完整性、性能适应性与行为可监控性,该环境必须满足以下约束条件。约束 1:操作系统隔离:非可信软件必须运行在一个与宿主操作系统隔离的虚拟计算机系统中,这是抵御特权恶意代码攻击、确保安全隔离性的必要条件。约束 2:应用程序与操作系统透明:现有操作系统、应用程序和将被隔离的非可信软件均不需作任何修改即可直接布署该隔离机制,这一点在个人计算平台下尤其重要。此约束包含四个子约束:约束 2A:无需修改现有操作系统与应用程序及其将被隔离的非可信软件的源代码,因为通常个人计算平台上流行的应用程序与操作系统(如 Windows)都未开放源代码。约束 2B:不能限制非可信软件在隔离运行环境内访问的资源与执行的特权操作,这是保证隔离运行环境的功能完整性的必要条件。下载后可任意编辑约束 2C:尽可能地将隔离机制对可信代码运行环境造成的性能影响最小化,即在确保安全隔离性的同时兼顾系统的可用性。约束 2D:无需重新安装现有操作系统。个人用户中绝大部分不是计算机专业技术人员,所以个人计算平台上往往都预装有操作系统,所以在布署隔离运行技术时必须保证能够继续使用原有操作系统。约束 3:可配置的计算环境重现:由于非可信软件的正常执行与执行效果通常依赖于计算环境,尤其是文件系统内容与操作系统...
