[发明专利]云端程序控制流完整性保护方法及装置

说明书

本发明实施例提供一种云端程序控制流完整性保护方法及装置，其中，所述方法包括：利用自定义的二进制分析工具分析租户程序生成的二进制文件，构建所述租户程序的合法的程序路径数据集；对所述租户程序进行安全加固，并将加固后的租户程序存储至第一Enclave中；在所述第一Enclave中运行所述加固后的租户程序，收集所述加固后的租户程序运行时产生的程序执行路径信息，并将所述程序执行路径信息实时存储至第二Enclave；所述第二Enclave利用所述程序执行路径信息和所述租户程序的合法的程序路径数据集，验证所述租户程序的控制流的完整性。本发明实施例可以确保置于SGX Enclave中的租户代码正常执行。

技术领域

本发明实施例涉及云安全技术领域，更具体地，涉及一种云端程序控制流完整性保护方法及装置。

背景技术

云计算可以让计算资源集中并做出优化，因此多个用户应用可以更有效地分享服务器资源，例如内存、CPU、存储以及网络带宽等。云计算，随着信息技术的不断发展，早已成为行业的趋势所在。然而，云服务的便利性也带来了严重的安全问题。相对PC时代单机系统被攻击的后果，云服务被攻击的后果更加严重，即云上所有服务的安全性都将受到威胁。如果云服务商无法给予一个客观、公允、可信的安全保证给云租户，就不能让用户对云平台的安全予以信任和信心，这将影响到云平台的业务发展。基于信任模型，云服务的安全威胁主要分为两大类：1)云平台管理员可以访问租户的所有数据和程序；2)攻击者可以利用安全漏洞危害租户的安全。

针对第一类安全威胁，现有云服务平台提供了一系列的安全保障，并利用虚拟服务器的加固、隔离、销毁等虚拟化技术对云租户应用进行隔离。针对第二类安全威胁，即攻击者能够利用安全漏洞危害租户的安全。这一威胁的根源在于租户代码本身存在漏洞，例如攻击者可以通过租户本身存在的内存破坏漏洞，远程劫持租户程序的控制流。针对租户应用的安全性展开研究，需要从技术手段上保障其应用的顺利执行，包括：1)确保云服务平台不能篡改租户代码的执行或者窃取租户数据；2)确保执行的代码是租户所需要运行的代码；3)确保执行的代码免受常见的控制流劫持攻击。通过这几个保障，租户可以不用信任云服务平台而执行自己的代码，且云服务平台可以为脆弱的租户应用程序提供更加强健的防护。采用Intel最新的硬件防护机制SGX(Software Guard Extensions)可确保云服务平台不能篡改租户代码的执行或者窃取租户数据。Intel SGX技术的兴起，对云安全有重大意义，它可以更好地解决信任问题。该防护机制基于密码学理论及硬件保障机制，实现了一个安全执行环境Enclaves，其中执行的代码和数据可以免受其他组件(包括操作系统，VMM，BIOS等)的窃取。这一防护机制能够确保应用可以在一个不可信的环境下可信的执行，且其执行的代码是可以证实的。

微软2014年提出Heaven方案，在前期沙箱工作DrawBridge基础上,应用SGX技术为沙箱内运行的应用提供安全保障，其具体实现方式是通过在Library OS(Windows8及以上)上运行应用及代码库，并且将这些组件整体封装在SGX Enclave中，此外通过Library OS提供有限的Downcall和Upcall外部调用接口与主机进行交互。Heaven方案依赖于LibraryOS，导致其Enclave内运行的代码体积过大，而这些代码是可信基TCB的一部分，因而其安全性受限。同时，其性能损失也比较大。2016年的工作SCONE则将Linux容器放入SGX中进行保护。具体而言，它通过一个隔离层shield提供类似Library os的downcall和upcall，隔离层shield上面运行代码库及程序，这些组件全部置于SGX Enclave中。相比于Heaven，它的可信基(TCB)更小，而且性能更好，但是这一方案目前只支持docker容器和Windows自定义的沙箱，对于云平台常用的其他虚拟化方案尚未支持，且无法保证SGX Enclave内的租户代码正确执行。

发明内容

本发明实施例提供一种克服上述问题或者至少部分地解决上述问题的云端程序控制流完整性保护方法及装置。