[发明专利]基于ARM TrustZone的容器隔离性增强系统

权利要求书

1.一种基于ARM TrustZone的容器隔离性增强系统，其特征在于，包括：

运行于用户端的容器管理客户端；

运行于服务器端普通世界中的不可信操作系统、不可信容器管理模块以及可信执行环境；

运行于服务器端安全世界中的页表管理模块、寄存器保护模块、系统调用挟持模块、文件系统安全增强模块、执行流同步服务安全增强模块、进程间通讯服务安全增强模块、可信容器镜像下载模块以及安全容器启动模块；

其中：

所述容器管理客户端与服务器端普通环境中的任意数量的容器进行连接，并向容器发送用户指令；每一个容器均运行在一个可信执行环境中；

所述不可信操作系统为容器的应用程序提供运行环境以及所需的服务；

所述不可信容器管理模块提供了基本的容器管理操作；

所述页表管理模块，寄存器保护模块以及系统调用挟持模块共同完成对任意数量的可信执行环境的维护；

所述文件系统安全增强模块、执行流同步服务安全增强模块以及进程间通讯服务安全增强模块共同完成对不可信操作系统服务的安全性的增强，防止不可信操作系统通过提供恶意系统服务，窃取容器进程隐私数据和/或篡改容器进程控制流；

所述可信容器镜像下载模块和安全容器启动模块共同完成对安全的容器管理功能的提供。

2.根据权利要求1所述的基于ARM TrustZone的容器隔离性增强系统，其特征在于，所述可信执行环境中的硬件资源均不能被不可信操作系统直接访问。

3.根据权利要求1所述的基于ARM TrustZone的容器隔离性增强系统，其特征在于，所述页表管理模块独占式管理整个不可信操作系统的所有页表，通过控制页表，保护容器进程的内存，限制不可信操作系统访问容器进程的内存；

所述页表管理模块搜索不可信操作系统内核中所有管理页表的指令，并将这些替换为向页表管理模块发送对应请求；页表管理模块确保储存页表的物理内存页对于普通世界为只读，同时确保不可信操作系统内核的代码为不可写，实现页表管理模块对页表的独占式管理。

4.根据权利要求1所述的基于ARM TrustZone的容器隔离性增强系统，其特征在于，所述寄存器保护模块保证不可信操作系统无法直接访问或修改可信执行环境的寄存器信息；其中，寄存器保护模块截获所有用户态进程与内核态的不可信操作系统内核之间的切换；在切换过程中，寄存器保护模块负责完成可信运行环境的寄存器保存以及恢复工作，从而保证不可信操作系统无法任意篡改和/或窃取可信运行环境的寄存器信息；

所述用户态进程与内核态的不可信操作系统内核之间的切换，包括如下过程：

所有用户态进入不可信操作系统内核的操作，均通过对异常的处理实现；对所有异常的处理均由被储存在异常向量表中的异常处理函数完成，所述异常向量表的地址被存储在物理寄存器中；寄存器保护模块将不可信操作系统中所有修改物理寄存器的指令替换为向寄存器保护模块发送对应请求，并在异常向量表维护的异常处理函数中插入一条切换指令，确保所有进入不可信操作系统内核的行为都将被寄存器保护模块截获；

由内核态退出至用户态，采用eret指令完成；寄存器保护模块确保不可信操作系统内核代码中不存在任何退出内核态的指令，所有退出操作均转发至寄存器保护模块完成，从而能够截获所有退出不可信操作系统内核的操作。

5.根据权利要求1所述的基于ARM TrustZone的容器隔离性增强系统，其特征在于，所述系统调用挟持模块在对系统调用时触发的异常进行处理的处理函数处植入一个特定指令，确保所有的系统调用均由系统调用挟持模块处理。