本文關(guān)鍵詞：KCapISO:一種基于HybridHP的宏內(nèi)核操作系統(tǒng)載入模塊權(quán)能隔離方案

  更多相關(guān)文章： 宏內(nèi)核操作系統(tǒng) 載入模塊 硬件虛擬化 權(quán)能隔離 安全監(jiān)控

【摘要】：宏內(nèi)核操作系統(tǒng)提供對第3方模塊和驅(qū)動(dòng)程序等載入模塊的支持,允許載入模塊運(yùn)行在內(nèi)核態(tài)特權(quán)級.由于運(yùn)行在最高特權(quán)級,載入模塊對內(nèi)核的核心服務(wù)的關(guān)鍵對象的訪問難以得到系統(tǒng)的有效控制.考慮對被監(jiān)控系統(tǒng)的性能影響控制在很小的范圍,基于內(nèi)嵌式的監(jiān)控機(jī)制HybridHP,提出了一種宏內(nèi)核架構(gòu)下的載入模塊權(quán)能隔離方案KCapISO,為內(nèi)核和載入模塊維護(hù)各自的頁表,從權(quán)能上將兩者隔離,確保載入模塊無法修改內(nèi)核的數(shù)據(jù),并且無法以任何方式直接調(diào)用或跳轉(zhuǎn)到內(nèi)核中執(zhí)行,這些動(dòng)作都需經(jīng)過KCapISO的監(jiān)控和檢查.實(shí)驗(yàn)結(jié)果表明,KCapISO能有效地將內(nèi)核與載入模塊在權(quán)能上相互隔離,同時(shí)獲得較好的系統(tǒng)性能.
【作者單位】： 南京大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)系;常熟理工學(xué)院計(jì)算機(jī)科學(xué)與工程學(xué)院;倫敦大學(xué)國王學(xué)院;
【基金】：國家自然科學(xué)基金(61402057) 江蘇省科技計(jì)劃自然科學(xué)基金(BK20140418) 中國博士后科學(xué)基金(2015M571737) 江蘇省“六大人才高峰”高層次人才基金(2011-DZXX-035) 江蘇省高校自然科學(xué)研究基金(12KJB520001)資助~~
【分類號】：TP316
【正文快照】： 1　引　言宏內(nèi)核(Monolithic　Kernel)操作系統(tǒng)(OperatingSystem,OS),如Linux等,提供了對載入模塊(包括第3方模塊和驅(qū)動(dòng)程序)的支持,且允許載入模塊運(yùn)行在內(nèi)核態(tài)特權(quán)級.由于運(yùn)行在最高特權(quán)級,載入模塊對內(nèi)核的核心服務(wù)的關(guān)鍵對象的訪問難以得到系統(tǒng)的有效控制,惡意的第3方模塊，

本文編號：1281449