[发明专利]一种预防虚拟机逃逸攻击的访问控制方法

说明书

技术领域

本发明涉及计算机操作系统和虚拟化技术，具体是一种预防虚拟机逃逸攻击的访问控 制方法。

背景技术

云计算把IT资源、数据、应用作为一种服务，通过网络提供给用户，这是服务方式的 变革，是共享数据模式的改变。目前，全球各IT企业纷纷制定和发布自己的云战略，如谷 歌、亚马逊、IBM等已经形成提供大规模全球化计算服务的云计算平台。云计算平台灵活 性、可靠性、可扩展性等优势的保持必然要依赖于一些新技术，但这些新技术的使用在给 云计算带来保障的同时也带来了一些新的安全风险。

云计算的服务类型不同，其技术支撑也不相同，每种服务类型面临的技术风险也有所 差异。云计算提供的服务可分为laaS(InfrastructureasaService)、PaaS(PlatformasaService) 和SaaS(SoftwareasaService)三个层面。laaS的虚拟化技术、PaaS的分布式处理技术以 及SaaS的应用虚拟化技术是构建云计算核心架构的关键技术，也是云计算平台所需要面 临技术风险的主要来源。由于上层技术继承下层技术，所以云服务也具有继承的特点，而 信息安全风险问题也具有继承的特性，所以上层云服务除了继承下层云服务中已有的技术 风险之外，还会有新增的技术风险。我们可将这三层云服务的技术风险继承关系表示为如 图1。

在2008年，VMWare公司的Workstation产品首次出现虚拟机逃逸攻击，Workstation 版本为6.0.2或5.5.4上，攻击者可以利用漏洞(CVE-2008-0923)使得虚拟机逃逸到虚拟 机管理器上。

虚拟机逃逸攻击的概念最早可追溯至2007年，但相对权威的概念是由KenOwens在 2009年提出来。由于逃逸攻击属于laaS层的安全风险，而laaS层存在的安全隐患会导致 整个云计算平台安全体系的崩塌，因此倘若云计算环境中发生虚拟机逃逸攻击，则会对整 个云平台带来灾难性的损害。

英特尔的硬件辅助虚拟化技术(VirtualizationTechnology，VT)是一种设计更简单、 实施更高效和可靠的方法，是世界上首个x86平台的硬件辅助虚拟化解决方案。x86处理 器共有4个不同优先级(Ring0，Ring1，Ring2，Ring3)。Ring0的优先级最高，Ring3 最低。Ring0用于操作系统内核，Ring1和Ring2用于操作系统服务，Ring3用于应用程 序。

在虚拟化环境中，系统内核必须运行于Ring0，而Hypervisor及其管理下的GuestOS 却不能运行于Ring0(否则就无法对所有虚拟机进行有效的管理，就像以往的协同式多任 务操作系统无法保证系统的稳健运行一样)。因此，在没有硬件辅助虚拟化的情况下，困 难在于如何采用Ring0之外的等级来运行GuestOS。

目前主流的解决方法是利用RingDeprivileging(特权等级下降)，并具有两种选择： GuestOS运行于Ring1(0/1/3模型)，或者Ring3(0/3/3模型)。无论是哪种模型，Guest OS都无法运行于Ring0。如图2所示，Hypervisor运行于根模式下的Ring0，虚拟机模拟 器以及宿主机的应用程序运行于根模式下的Ring3，虚拟机中的Kernel运行于非根模式下 的Ring0，虚拟机中的应用程序运行于非根模式下的Ring3。

在虚拟机逃逸攻击中，攻击者利用恶意应用程序获得该虚拟机的最高权限，即从非根 模式的Ring3权限升级到非根模式的Ring0权限，继而可代替该虚拟机执行Hypervisor 给予的全部操作。由于虚拟机模拟器与Hypervisor之间通过I/O控制模拟指令进行交互， 此时的攻击者便可模拟伪I/O操作来获得根模式下的Ring3权限，之后攻击者便可利用 Hypervisor本身存在的漏洞或者将攻击代码注入到Hypervisor，造成Hypervisor的堆栈溢 出、默认命令修改等问题，此时的Hypervisor已经被攻陷。由于攻击者已经获得根模式下 的Ring0权限，Hypervisor以及宿主机操作系统处于非安全状态，宿主机的数据以及运行 在该宿主机上全部虚拟机的运行状态都有可能被攻击或篡改。