基于分散可信基的内核保护方法研究

基本信息
批准号:61772266
项目类别:面上项目
资助金额:63.00
负责人:曾庆凯
学科分类:
依托单位:南京大学
批准年份:2017
结题年份:2021
起止时间:2018-01-01 - 2021-12-31
项目状态: 已结题
项目参与者:黄达明,袁平海,刘尧,钟炳南,苏超,胡静,梁诚伟,王雪华,杜震
关键词:
细分安全需求内核保护分散可信基协作保护
结项摘要

Normally, the size of a monolithic TCB(Trusted Computing Base) should be as small as possible to reduce the attack surface and to facilitate verification while implementing inspection, verification and protection for OS(Operating System) kernels. However, as the security requirements of OS kernels are becoming more and more complicated, it is hard to maintain a small size of a monolithic TCB, leading to a fragile attack tolerance. In this project, we put forward a polylithic-TCB approach, using several small discrete TCBs instead of a larger monolithic TCB to targetedly protect OS kernels. Each discrete TCB can execute a specific protection task independently and credibly, have a limited privilege required for the task and, thus, can offer a better attack tolerance. Under security assurance, these multiple discrete TCBs can carry out protection collaboratively. To obtain a subdivision protection approach for OS kernels, this project will mainly focus on the building of the discrete TCBs, the subdivision of the kernel security requirements and the collaborating among the discrete TCBs. The introducing of polylithic TCBs can not only effectively mitigate the contradiction between the security assurance and the larger scale of monolithic TCB caused by the expansion of security requirements of OS kernels, but also make the implementation of protecting strategy more flexible and adaptable. Further study on the light-weight technique can ensure a better performance of the system. This project is aim to exploring a new approach to OS security and to provide a reference for the study on a more trusted architecture of OS.

构建一个较小的保护可信基,对内核实施检查、验证和保护,是常见的内核安全方案。为减小攻击面和便于审查验证,尽可能小的可信基规模为重要目标之一。现有单可信基方案面对现实系统多样化的安全需求,很难维持较小规模,而且不具备攻击容忍性。为此,提出用多个分散可信基代替单可信基,分别有针对性地实施保护。每个可信基独立地可信执行特定的保护任务,配备该任务所需的有限权限,具有较好的攻击容忍性。在保证安全性的前提下,多个可信基间可以协作地实施保护。课题将研究分散可信基的构建、内核保护需求的细分以及可信基间的协作等方法,形成内核的细分保护方法。与单可信基不同,多个可信基的分散与协作,可以缓解因保护功能的扩展导致可信基规模扩大带来的矛盾,且保护策略的实施具有灵活性和适应性。通过轻量化技术保证系统具有较好的性能。研究不仅探索操作系统安全保护的新思路和方法,也为操作系统可信结构的研究,提供参考依据和借鉴。

项目摘要

本课题研究基于分散可信基的操作系统内核保护方法。其目标是对于内核的多样化安全需求,实施有针对性的高性能安全保护,可体现为对内核实施保护的精确安全保护机制,以及对多样化安全需求的灵活安全策略。因此,课题研究内容主要包括基于分散可信基的内核安全方法,以及面向各种安全需求的软件系统安全保护方案。课题重点研究了基于分散可信基的内核安全、软件系统安全等内容。在基于分散可信基的内核安全方面,研究了分散TCB的构建以及基于TCB的安全方法,包括分散、多TCB的构建方法,TCB构建的新方案,以及内核栈安全保护、TCB应用保护方案缺陷与改进等基于TCB的安全方案。在软件系统安全方面,针对系统面对的各种安全威胁,研究了满足各种需求的软件系统安全保护方法,包括程序执行安全的监控、重要隐私与信息的保护等安全方案。研究结果表明,分散多可信基方法,可以缓解因保护功能的扩展导致可信基规模扩大带来的矛盾,且保护策略的实施具有灵活性和适应性;TCB构建的新方案,通过轻量化技术可以保证系统具有较好的性能。软件系统安全研究,丰富了软件系统安全保护的多样化安全策略。研究结果可为进一步研究操作系统内核与系统安全提供研究基础和借鉴。

项目成果
{{index+1}}

{{i.achievement_title}}

{{i.achievement_title}}

DOI:{{i.doi}}
发表时间:{{i.publish_year}}

暂无此项成果

数据更新时间:2023-05-31

其他相关文献

1

硬件木马:关键问题研究进展及新动向

硬件木马:关键问题研究进展及新动向

DOI:
发表时间:2018
2

面向云工作流安全的任务调度方法

面向云工作流安全的任务调度方法

DOI:10.7544/issn1000-1239.2018.20170425
发表时间:2018
3

适用于带中段并联电抗器的电缆线路的参数识别纵联保护新原理

适用于带中段并联电抗器的电缆线路的参数识别纵联保护新原理

DOI:10.19783/j.cnki.pspc.200521
发表时间:2021
4

人工智能技术在矿工不安全行为识别中的融合应用

人工智能技术在矿工不安全行为识别中的融合应用

DOI:10.16265/j.cnki.issn1003-3033.2019.01.002
发表时间:2019
5

变可信度近似模型及其在复杂装备优化设计中的应用研究进展

变可信度近似模型及其在复杂装备优化设计中的应用研究进展

DOI:10.3901/jme.2020.24.219
发表时间:2020

曾庆凯的其他基金

1

基于定理证明的软件脆弱性分析方法研究

基于定理证明的软件脆弱性分析方法研究

批准号:61170070
批准年份:2011
资助金额:55.00
项目类别:面上项目
2

基于安全需求分析的内核保护方法研究

基于安全需求分析的内核保护方法研究

批准号:61572248
批准年份:2015
资助金额:16.00
项目类别:面上项目
3

基于缺陷建模的软件脆弱性分析方法研究

基于缺陷建模的软件脆弱性分析方法研究

批准号:60773170
批准年份:2007
资助金额:27.00
项目类别:面上项目
4

程序行为控制的语义约束方法研究

程序行为控制的语义约束方法研究

批准号:60473053
批准年份:2004
资助金额:23.00
项目类别:面上项目

相似国自然基金

1

基于安全需求分析的内核保护方法研究

批准号:61572248
批准年份:2015
负责人:曾庆凯
学科分类:F0202
资助金额:16.00
项目类别:面上项目
2

基于验证操作系统内核的可信计算环境关键技术研究

批准号:61402198
批准年份:2014
负责人:古亮
学科分类:F0203
资助金额:26.00
项目类别:青年科学基金项目
3

基于最小信任基的可信系统构建与验证方法研究

批准号:61572453
批准年份:2015
负责人:黄文超
学科分类:F0206
资助金额:67.00
项目类别:面上项目
4

基于随机化的内核完整性保护技术研究

批准号:61100197
批准年份:2011
负责人:石进
学科分类:F0206
资助金额:24.00
项目类别:青年科学基金项目