[发明专利]基于ARM TrustZone的容器隔离性增强系统

说明书

本发明提供了一种基于ARM TrustZone的容器隔离性增强系统，包括：运行于用户端的容器管理客户端；运行于服务器端普通世界中的不可信操作系统、不可信容器管理模块以及可信执行环境；运行于服务器端安全世界中的页表管理模块、寄存器保护模块、系统调用挟持模块、文件系统安全增强模块、执行流同步服务安全增强模块、进程间通讯服务安全增强模块、可信容器镜像下载模块以及安全容器启动模块。本发明将现有应用程序安全运行在被攻击者完全控制的恶意操作系统之上；使得容器内不同用户的不同应用能够进行安全的通信与控制流同步；用户无需对现有镜像做任何修改。

技术领域

本发明涉及虚拟化技术领域，具体地，涉及一种基于ARM TrustZone的容器隔离性增强系统。

背景技术

虚拟化技术能够在一台物理计算机上模拟出多个虚拟计算机，从而提升硬件的利用率，方便多个用户共享同一台物理设备。容器则是一种轻量级的虚拟化技术。不同的容器将会共享同一个操作系统内核，但是每个容器都拥有自己独立的文件系统、用户空间、进程空间等。相较于传统的虚拟化技术，容器拥有更短的启动时间、更快的性能以及更加便捷的部署方法。由于这些显著的优点，容器目前已经被广泛应用于服务器领域。基于容器，云端服务器能够快速、便捷地为每个用户创建其独立的运行环境。而越来越多的用户也选择将自己的数据存入位于云端的容器之中，从而得到更为快速、方便的用户体验。

在拥有更快性能与更便捷部署方法的同时，容器的安全性一直饱受诟病。不同容器之间需要共享同一个操作系统内核，一旦该内核被攻破，那么容器之间的隔离性将被破坏。与此同时，操作系统内核因其庞大的代码量，一直存在着数以千计的漏洞数量。在云计算环境下，一旦攻击者通过一个容器攻陷了操作系统内核，其将能操控云端中的所有容器。

目前，ARM架构由于其较好的能源利用率，较高的性价比，正逐渐受到服务器领域的青睐。市场上已经存在了一系列基于ARM体系结构的处理器芯片。随之也引入了一个新的安全问题，一旦基于ARM的云端服务器中的操作系统被攻破，如何保证用户容器的安全性，防止攻击者控制用户容器中应用的执行流、窃取用户储存于容器中的敏感数据等等，成为本领域面临的重大问题。

经过检索发现：

1、Owen等人利用硬件虚拟化技术设计并实现了一个安全系统InkTag，能够保护应用程序，防止其受到不可信操作系统内核的攻击。InkTag为每个应用提供了一个独立的安全运行环境，阻止操作系统直接访问安全运行环境中的内存数据，从而保护应用程序的数据不被窃取、控制流不被篡改。同时，对于部分依赖于操作系统完成的服务，InkTag也将对其进行检查。

但是，InkTag虽然防止了操作系统对于单一应用程序的攻击，但是其并不适用于容器环境。首先，该系统无法直接启动现有容器镜像，使得其具备保护容器的能力。其次，该系统也未考虑到容器本身多用户、多应用的复杂使用环境，无法保证容器内部不同用户应用之间通信、共享信息、权限控制的安全。

2、为了保护容器的安全性，Arnautov等人利用Intel的SGX技术，设计实现了一个安全的容器保护系统SCONE。该系统利用SGX技术提供的可信执行环境enclave，保护每个单独的容器进程。由于硬件保证了任何enclave外部的软件(包括操作系统)都无法访问encalve的内存，干涉encalve内部的执行流，因此SCONE能够有效的保护一个容器应用的安全性，防止其受到不可信操作系统的攻击。

但是，SCONE存在两个缺点：首先，其只能支持单应用单进程的容器。也就是说，一个容器中仅能够运行一个单进程的应用程序，极大的限制了容器的应用场景。同时SCONE也没有考虑多用户、多应用环境下，不同应用之间如何安全协同工作的问题；其次，SCONE要求对原有的容器镜像进行修改，因此不能直接运行原有的镜像。这一缺点使得用户无法运行Docker仓库中数百万的容器镜像，限制了容器的使用场景。