[发明专利]一种基于硬件虚拟化技术的应用程序安全保护方法

权利要求书

1.一种基于硬件虚拟化技术的应用程序安全保护方法，涉及的组件包括虚拟机监控器、转接器、参数缓存和自定义库，其特征在于，包括以下步骤：

步骤一、虚拟机监控器初始化：在保护方法保护应用程序之前进行虚拟机监控器的初始化，包括配置VMCS、配置EPT页表、切换EPT；

步骤二、保护应用保护机构初始化：在应用程序成为保护应用之前进行的初始化，包括转接器与参数缓存地址空间分配、填充转接器内容、发起hypercall；

步骤三、系统调用的准备：对于保护应用请求的系统调用，在自定义库中进行系统调用的准备，包括系统调用参数准备、hypercall发起、系统调用结果返回保护应用；

步骤四、系统调用的验证：对于系统调用的请求，在虚拟机监控器中进行系统调用的安全验证，包括地址空间切换、rip通用寄存器赋值、将系统调用结果返回给自定义库；

步骤五、系统调用的实施：经系统调用验证后，转接器进行系统调用的实施，包括发起系统调用、发起hypercall将系统调用结果返回虚拟机监控器；

步骤六、中断事件的截获处理：在保护应用执行过程中发生的中断，由虚拟机监控器进行中断的截获和处理，包括中断截获、rip通用寄存器赋值、从中断返回到保护应用；

步骤七、中断返回的转接：经虚拟机监控器验证属于保护应用中发生的中断事件，由不可信内核的中断处理结束后，由转接器进行中断返回的处理，包括等待中断返回、发起hypercall陷入虚拟机监控器。

2.如权利要求1所述的一种基于硬件虚拟化技术的应用程序安全保护方法，其特征在于：所述步骤一具体包括：

步骤11、配置VMCS的中断异常的自动转发的标志位，允许虚拟机监控器获得中断截获的能力；

步骤12、将VMCS中的Enable EPT位置为1，使得虚拟机监控器以及在其上运行的虚拟机使用EPT页表；

步骤13、创建两张EPT，分别放置在KVM中的KVM_MMU结构体的root_hpa和root_hpa_shadow中，保护方案复用了KVM中的创建EPT的函数，创建了两张EPT页表，其中root_hpa中存储指向不可信内核所在地址空间的EPTP，而root_hpa_shadow中存储指向保护应用所在地址空间的EPTP；

步骤14、选择当前EPT为root_hpa中的EPT，使得在虚拟机监控器和其中的虚拟机启动过程中，系统一直使用不可信地址空间的EPT，直到保护应用的开始执行；

步骤15、接收应用程序调用hypercall传递的转接器与参数缓存的地址，通过在VMexit时读取对应的通用寄存器接收到传递来的地址，虚拟机监控器将地址记录在变量tr与buf中；

步骤16、切换到root_hpa_shadow指向的EPT并返回保护应用，通过将KVM_MMU结构体中的root_hpa备份到root_hpa_second并将root_hpa的值改为root_hpa_shadow来切换到可信地址空间EPT；

步骤17、结束hypercall处理返回虚拟机，通过在hypercall处理流程之后执行vcpu_run函数，保护应用开始在虚拟机的可信地址空间内执行；

步骤18、结束状态，虚拟机监控器的初始化完成。