【虚拟机隔离运行模型】
虚拟机隔离运行模型是一种先进的技术,旨在确保在个人计算平台上的安全性和功能完整性,同时提供对非可信软件的隔离运行。本文档提出的SVEE(隔离运行模型)满足五个关键应用约束,分别是操作系统隔离、应用透明、计算环境重现、隔离程序执行效果跟踪以及操作系统信息重构。通过这种方法,SVEE能够平衡安全、功能、性能和监控需求。
1. **操作系统隔离**:
非可信软件需在与宿主操作系统完全隔离的虚拟环境中运行,以防止恶意代码对系统造成破坏。操作系统隔离是通过虚拟机监视器(VMM)实现的,它创建一个硬件抽象层,允许虚拟机在其中运行,提供安全隔离。
2. **应用与操作系统透明**:
不需要修改现有操作系统和应用程序的源代码,确保兼容性。这包括四个方面:
- 无需修改源代码,因为个人计算平台上的软件通常不开源。
- 非可信软件在隔离环境中访问资源和执行特权操作不受限,保持功能完整性。
- 尽可能减小隔离机制对性能的影响,兼顾安全和可用性。
- 不需重新安装操作系统,便于用户继续使用原有系统。
3. **可配置的计算环境重现**:
为了重现计算环境,如文件系统和配置,以确保功能完整性和降低部署成本,SVEE要求:
- 避免复制整个软硬件系统,以适应个人用户的需求。
- 导出到隔离环境的宿主计算资源应可配置且安全,避免敏感数据泄露。
- 提升隔离环境性能,使其接近宿主环境,增强性能适应性。
4. **隔离程序执行效果跟踪**:
需要跟踪并记录被隔离软件对数据的修改,以便分析程序行为,提交执行效果至宿主环境,提高系统可用性和监控能力。
5. **操作系统语义信息重构**:
支持重构操作系统抽象层的资源信息,如进程、线程、文件和用户,以增强行为可监控性,帮助用户或工具更精确地分析虚拟机内的应用程序和操作系统行为。
SVEE模型可以基于两种类型的VMM实现:Type I VMM(原生隔离运行模型)和Type II VMM(托管隔离运行模型)。Type I VMM直接运行在硬件上,而Type II VMM则作为传统操作系统上的应用程序运行。这两种类型各有优缺点,Type I通常提供更好的性能,而Type II则更容易集成到现有的操作系统环境中。
通过SVEE模型,个人计算平台的安全性得到显著提升,非可信软件能够在受控的环境中运行,同时保持了系统功能和用户体验。这一理论基础为后续章节的实践应用提供了坚实的基础。