邓良
- 作品数:3 被引量:15H指数:3
- 供职机构:南京大学计算机科学与技术系更多>>
- 发文基金:国家自然科学基金国家科技支撑计划更多>>
- 相关领域:自动化与计算机技术更多>>
- 引入内可信基的应用程序保护方法被引量:5
- 2016年
- 提出一种在不可信操作系统中保护应用程序的新方法 App ISO.针对传统的虚拟化方法的高开销问题,App ISO在不可信操作系统的同一特权层引入内可信基,代替虚拟机监控器实施应用程序保护,避免了昂贵的特权层切换.同时利用硬件虚拟化,以及页表锁定、影子IDT、切换页面等软件技术保证内可信基的安全性.证明了所提内可信基方法与虚拟化方法具有同样的高安全性.实验和分析结果表明,内可信基方法可显著地提高系统性能.
- 邓良曾庆凯
- 关键词:虚拟化
- 基于硬件虚拟化的安全高效内核监控模型被引量:7
- 2016年
- 传统的基于虚拟化内核监控模型存在两个方面的不足:(1)虚拟机监控器(virtual machine monitor,简称VMM)过于复杂,且存在大量攻击面(attack surface),容易受到攻击;(2)VMM执行过多虚拟化功能,产生严重的性能损耗.为此,提出了一种基于硬件虚拟化的安全、高效的内核监控模型Hyper NE.Hyper NE舍弃VMM中与隔离保护无关的虚拟化功能,允许被监控系统直接执行特权操作,而无需与VMM交互;同时,Hyper NE利用硬件虚拟化中的新机制,在保证安全监控软件与被监控系统隔离的前提下,两者之间的控制流切换也无需VMM干预.这样,Hyper NE一方面消除了VMM的攻击面,有效地削减了监控模型TCB(trusted computing base);另一方面也避免了虚拟化开销,显著提高了系统运行效率和监控性能.
- 黄啸邓良孙浩曾庆凯
- 关键词:虚拟化
- 一种在不可信操作系统内核中高效保护应用程序的方法被引量:5
- 2016年
- 在现代操作系统中,内核运行在最高特权层,管理底层硬件并向上层应用程序提供系统服务,因而安全敏感的应用程序很容易受到来自底层不可信内核的攻击.提出了一种在不可信操作系统内核中保护应用程序的方法App Fort.针对现有方法的高开销问题,App Fort结合x86硬件机制(操作数地址长度)、内核代码完整性保护和内核控制流完整性保护,对不可信内核的硬件操作和软件行为进行截获和验证,从而高效地保证应用程序的内存、控制流和文件I/O安全.实验结果表明:App Fort的开销极小,与现有工作相比明显提高了性能.
- 邓良曾庆凯
