陳志鋒 李清寶 張 平 曾光裕

?

基于訪問(wèn)控制的Hypervisor非控制數(shù)據(jù)完整性保護(hù)

陳志鋒*李清寶 張 平 曾光裕

(解放軍信息工程大學(xué) 鄭州 450001)(數(shù)學(xué)工程與先進(jìn)計(jì)算國(guó)家重點(diǎn)實(shí)驗(yàn)室 鄭州 450001)

在虛擬化技術(shù)廣泛應(yīng)用的同時(shí)虛擬層的安全問(wèn)題引起了國(guó)內(nèi)外研究人員的密切關(guān)注?，F(xiàn)有的虛擬機(jī)管理器(Hypervisor)完整性保護(hù)方法主要針對(duì)代碼和控制數(shù)據(jù)的完整性保護(hù)，無(wú)法抵御非控制數(shù)據(jù)攻擊；采用周期性監(jiān)控?zé)o法提供實(shí)時(shí)的非控制數(shù)據(jù)完整性保護(hù)。針對(duì)現(xiàn)有方法的不足，該文提出了基于UCON的Hypervisor非控制數(shù)據(jù)完整性保護(hù)模型UCONhi。該模型在非控制數(shù)據(jù)完整性保護(hù)需求的基礎(chǔ)上簡(jiǎn)化了UCON模型，繼承了UCON模型的連續(xù)性和易變性實(shí)現(xiàn)非控制數(shù)據(jù)的實(shí)時(shí)訪問(wèn)控制。根據(jù)攻擊樣例分析攻擊者和攻擊對(duì)象確定主客體減少安全策略，提高了決策效率；并基于ECA描述UCONhi安全策略，能夠有效地決策非控制數(shù)據(jù)訪問(wèn)合法性。在Xen系統(tǒng)中設(shè)計(jì)并實(shí)現(xiàn)了相應(yīng)的原型系統(tǒng)Xen-UCONhi，通過(guò)實(shí)驗(yàn)評(píng)測(cè)Xen-UCONhi的有效性和性能。結(jié)果表明，Xen-UCONhi能夠有效阻止針對(duì)虛擬機(jī)管理器的攻擊，且性能開(kāi)銷(xiāo)在10%以內(nèi)。

虛擬機(jī)管理器；非控制數(shù)據(jù)；使用控制；完整性保護(hù)；事件條件行為

1 引言

近年來(lái)，虛擬化技術(shù)在計(jì)算機(jī)系統(tǒng)中得到了廣泛的使用，其底層性、隔離性，尤其是安全性越來(lái)越受到研究人員的關(guān)注。針對(duì)操作系統(tǒng)內(nèi)核的安全問(wèn)題，文獻(xiàn)[1]首次提出了虛擬機(jī)自省(Virtual Machine Introspection, VMI)的概念并將其應(yīng)用于系統(tǒng)監(jiān)控和惡意軟件檢測(cè)。Gibraltar[3], vDetector[4]和KCoFI[5]等利用虛擬化保護(hù)客戶操作系統(tǒng)內(nèi)核的完整性或者提供操作系統(tǒng)內(nèi)核行為的可靠監(jiān)控。同時(shí)，基于虛擬化的系統(tǒng)調(diào)試和分析工具如K-Tracer[2]等被用于診斷系統(tǒng)的異常行為和內(nèi)核惡意軟件的檢測(cè)。

虛擬機(jī)系統(tǒng)的核心組成是Hypervisor，或者稱為虛擬機(jī)管理器(Virtual Machine Monitor, VMM)，通過(guò)虛擬化真實(shí)系統(tǒng)的硬件為客戶虛擬機(jī)提供隔離的運(yùn)行環(huán)境。由于Hypervisor比傳統(tǒng)的操作系統(tǒng)擁有更精簡(jiǎn)的代碼量，能夠更好地減少軟件漏洞和缺陷，因此通常被認(rèn)為是安全的并用來(lái)提高運(yùn)行在它之上的虛擬機(jī)的安全性。然而，即使相對(duì)于傳統(tǒng)的操作系統(tǒng)而言，Hypervisor的代碼量已十分精簡(jiǎn)，但是其代碼仍顯得很龐大。例如，Xen[7]4.1.2版本含有大約350k行代碼。最近針對(duì)Hypervisor漏洞進(jìn)行攻擊的案例也表明了Hypervisor并不是絕對(duì)的安全，VM逃亡攻擊[8]以及出現(xiàn)的Hypervisor Rootkits[9,10]大大增加了Hypervisor的安全威脅。美國(guó)國(guó)家脆弱性數(shù)據(jù)庫(kù)(National Vulnerability Database, NVD)的相關(guān)研究[11]表明在最近的3年，Xen系統(tǒng)中已發(fā)現(xiàn)131個(gè)安全漏洞，VMware ESX有83個(gè)安全漏洞。因此，研究有效增強(qiáng)Hypervisor安全性的方法勢(shì)在必行。

現(xiàn)有的增強(qiáng)Hypervisor安全性的方法主要有3類(lèi)，一類(lèi)是形式化證明方法。該類(lèi)方法基于定理證明構(gòu)建Hypervisor形式化模型證明模型的安全屬性，但該類(lèi)方法受限于Hypervisor自身的代碼量。第2類(lèi)方法是借鑒微內(nèi)核的思想減小可信計(jì)算基(Trusted Compute Base, TCB)以最小化Hypervisor的攻擊面。該類(lèi)方法針對(duì)特定的應(yīng)用或者目標(biāo)構(gòu)建Hypervisor，使得Hypervisor的功能受限，適用范圍小。第3類(lèi)方法是通過(guò)確保運(yùn)行時(shí)的Hypervisor完整性來(lái)提高Hypervisor的安全性，該類(lèi)方法是目前比較流行和實(shí)用的方法。為了確保一個(gè)應(yīng)用程序運(yùn)行時(shí)的安全性，可以在其底層運(yùn)行一個(gè)監(jiān)控軟件監(jiān)控它的執(zhí)行。由于Hypervisor已經(jīng)運(yùn)行在軟件棧的最底層，在其下構(gòu)建監(jiān)控軟件的方法并不適用。有人曾使用嵌套的Hypervisor運(yùn)行在需要保護(hù)的Hypervisor下，但這并沒(méi)有解決一個(gè)本質(zhì)問(wèn)題：無(wú)法保證運(yùn)行在Hypervisor下的Hypervisor的安全。

第3類(lèi)方法較第1、第2類(lèi)方法實(shí)用有效，一方面未犧牲Hypervisor的任何能力，另一方面部署容易，提供了較強(qiáng)的安全防護(hù)能力，但其主要考慮了Hypervisor代碼、控制數(shù)據(jù)的完整性，對(duì)于非控制數(shù)據(jù)的完整性基本未涉獵?？刂茢?shù)據(jù)指的是在程序運(yùn)行過(guò)程中加載到程序計(jì)數(shù)器中的數(shù)據(jù)，主要包括返回地址和函數(shù)指針。通過(guò)篡改劫持控制數(shù)據(jù)，攻擊者可以修改目標(biāo)程序的控制流并執(zhí)行攻擊者想要執(zhí)行的任意代碼或者功能。盡管控制數(shù)據(jù)攻擊被認(rèn)為是最嚴(yán)重的威脅，但是已有研究[23]指出非控制數(shù)據(jù)攻擊能夠造成和控制數(shù)據(jù)攻擊等價(jià)的威脅，并且很多現(xiàn)實(shí)世界中的應(yīng)用很容易遭受這種攻擊。攻擊者通過(guò)破壞目標(biāo)程序的非控制數(shù)據(jù)，如配置數(shù)據(jù)，用戶身份數(shù)據(jù)和決策數(shù)據(jù)等，破壞應(yīng)用程序的完整性。除了應(yīng)用層，文獻(xiàn)[24]首次提出了針對(duì)Hypervisor非控制數(shù)據(jù)的攻擊，如通過(guò)修改Xen內(nèi)存中的非控制數(shù)據(jù)實(shí)現(xiàn)客戶虛擬機(jī)權(quán)限提升[8]、信息泄露[25]等，對(duì)Hypervisor的安全造成了嚴(yán)重威脅。目前針對(duì)Hypervisor非控制數(shù)據(jù)保護(hù)的研究甚少。HyperVerify[21]是第1個(gè)討論Hypervisor非控制數(shù)據(jù)的系統(tǒng)，該系統(tǒng)通過(guò)可信VM監(jiān)控Hypervisor的狀態(tài)，然后對(duì)這些狀態(tài)進(jìn)行語(yǔ)義重構(gòu)，從而得到Hypervisor的上下文信息，并通過(guò)判斷這些信息的完整性來(lái)決策Hypervisor非控制數(shù)據(jù)的完整性。但該系統(tǒng)監(jiān)控的Hypervisor非控制數(shù)據(jù)存在一定的片面性，而且其采用的周期性監(jiān)控方法無(wú)法提供Hypervisor非控制數(shù)據(jù)的實(shí)時(shí)保護(hù)。

使用控制(Usage CONtrol, UCON)模型[26]的顯著特點(diǎn)是使用決策的連續(xù)性與屬性的易變性。連續(xù)性意味著使用控制決策不僅在訪問(wèn)前可以做出，在訪問(wèn)過(guò)程中也可以做出。易變性意味著主體、客體屬性作為訪問(wèn)執(zhí)行的結(jié)果而發(fā)生改變。這兩個(gè)特性保證了UCON模型能夠提供對(duì)數(shù)據(jù)的實(shí)時(shí)的、細(xì)粒度的、可擴(kuò)展的訪問(wèn)控制[27]。因此，針對(duì)現(xiàn)有方法在Hypervisor非控制數(shù)據(jù)完整性保護(hù)上存在的不足，本文提出了一種基于UCON模型的Hypervisor非控制數(shù)據(jù)完整性保護(hù)方法。首先，我們根據(jù)需求簡(jiǎn)化了UCON模型，提出了一種適用于Hypervisor的訪問(wèn)控制模型UCONhi。然后，詳細(xì)闡述了模型的原理和主客體的基本組成，并討論了基于事件和行為的UCONhi策略描述方法，通過(guò)實(shí)例說(shuō)明了UCONhi策略的有效性。在此基礎(chǔ)上，設(shè)計(jì)了UCONhi的框架并實(shí)現(xiàn)了原型系統(tǒng)。最后，通過(guò)實(shí)驗(yàn)驗(yàn)證了基于UCONhi的Hypervisor能夠有效抵抗現(xiàn)有的針對(duì)Hypervisor非控制數(shù)據(jù)的攻擊，并且性能開(kāi)銷(xiāo)僅為原系統(tǒng)的10%左右。

2 基于UCON模型的Hypervisor非控制數(shù)據(jù)完整性保護(hù)

2.1 UCONhi模型

Hypervisor實(shí)時(shí)完整性保護(hù)的基本需求是控制系統(tǒng)運(yùn)行過(guò)程中非信任主體對(duì)敏感Hypervisor客體的訪問(wèn)。因此，授權(quán)需要根據(jù)主體和目標(biāo)客體的實(shí)時(shí)屬性做出決策。進(jìn)一步地，隨著安全需求等級(jí)的變化，對(duì)于主體訪問(wèn)請(qǐng)求的控制應(yīng)該滿足靈活性和細(xì)粒度以反應(yīng)易變性：即授權(quán)可隨屬性的變化而動(dòng)態(tài)調(diào)節(jié)。

在傳統(tǒng)的訪問(wèn)控制模型中，用戶標(biāo)識(shí)和組員身份等是授權(quán)考慮的主要元素。然而，對(duì)于Hypervisor架構(gòu)，VM中活躍進(jìn)程的狀態(tài)、I/O設(shè)備、Hypervisor數(shù)據(jù)等是授權(quán)決策考慮的重要因素。例如，普通進(jìn)程不能夠訪問(wèn)Hypervisor的代碼和數(shù)據(jù)，但是特權(quán)程序在與Hypervisor通信之后可改變Hypervisor的某些狀態(tài)。

UCON模型中授權(quán)、權(quán)利和義務(wù)是使用決策的3大決定因素。授權(quán)是基于主體屬性和客體屬性做出的；義務(wù)是主體在訪問(wèn)前或者訪問(wèn)中必須完成的動(dòng)作。從上述對(duì)Hypervisor實(shí)時(shí)完整性保護(hù)需求可知，這一過(guò)程實(shí)現(xiàn)主體對(duì)客體的訪問(wèn)控制，并不要求主體在訪問(wèn)前或訪問(wèn)中執(zhí)行動(dòng)作，也不需要限制主體和客體的環(huán)境。

考慮到這些需求，本文提出了一種使用控制簡(jiǎn)化模型UCONhi，忽略了UCON模型中的條件和義務(wù)，基本定義如下。

定義1 UCONhi是一個(gè)六元式(,, ATT(), ATT(),,)。其中，是主體，指能夠訪問(wèn)Hypervisor的對(duì)象。guestOS中的進(jìn)程、可加載內(nèi)核模塊(Loaded Kernel Module, LKM)等利用API或者漏洞，外部I/O設(shè)備通過(guò)DMA方式，Hypervisor Rootkit利用特權(quán)等均能夠訪問(wèn)Hypervisor，所以主體包括OS進(jìn)程，LKM, I/O和Hypervisor Rootkit。

是客體，指提供給主體訪問(wèn)的內(nèi)容，有內(nèi)存(Hypervisor代碼、數(shù)據(jù)、堆棧)、寄存器、Hypervisor映像文件等。前文已指出，本文重點(diǎn)關(guān)注的客體是Hypervisor非控制數(shù)據(jù)。文獻(xiàn)[24]歸納總結(jié)了3類(lèi)Hypervisor非控制數(shù)據(jù)，分別為資源利用相關(guān)數(shù)據(jù)、安全策略相關(guān)數(shù)據(jù)和特權(quán)相關(guān)數(shù)據(jù)。在分析現(xiàn)有的惡意攻擊樣例中我們發(fā)現(xiàn)配置數(shù)據(jù)(如VMCS)和決策數(shù)據(jù)對(duì)Hypervisor的安全性也至關(guān)重要。因此，該模型中的客體包括這5類(lèi)對(duì)象，即關(guān)注這5類(lèi)Hypervisor非控制數(shù)據(jù)。

ATT()是主體屬性，包括主體名稱、可執(zhí)行代碼哈希值等。

ATT()是客體屬性，包括Hypervisor非控制數(shù)據(jù)的地址、類(lèi)型、狀態(tài)、取值等。

是權(quán)利，指一般的讀寫(xiě)訪問(wèn)行為。

是授權(quán)，指在滿足謂詞關(guān)系為真時(shí)允許授權(quán)，在謂詞關(guān)系為假時(shí)拒絕或者收回授權(quán)。

根據(jù)定義1，授權(quán)決策是由主體屬性、客體屬性和請(qǐng)求的權(quán)利決定的，也就是說(shuō)謂詞是由主客體屬性及請(qǐng)求權(quán)利組成的。例如，一個(gè)進(jìn)程(主體)請(qǐng)求寫(xiě)某一個(gè)Hypervisor非控制數(shù)據(jù)的權(quán)利，其策略為進(jìn)程的屬性是被認(rèn)證過(guò)的且非控制數(shù)據(jù)的類(lèi)型不能夠是限制集合中的一種，那么系統(tǒng)就對(duì)該主體的屬性和客體的類(lèi)型進(jìn)行判斷，滿足策略則授予訪問(wèn)權(quán)，否則拒絕；同時(shí)在訪問(wèn)過(guò)程中，仍要進(jìn)行授權(quán)合法性檢測(cè)。

在UCONhi模型中，對(duì)于Hypervisor非控制數(shù)據(jù)的使用決策不僅僅在訪問(wèn)之前進(jìn)行評(píng)估，在訪問(wèn)過(guò)程中也要進(jìn)行評(píng)估。如果任何一個(gè)謂詞在使用過(guò)程中取值不保持為真，那么訪問(wèn)權(quán)限將被撤回。

同時(shí)，UCONhi模型中屬性的更新也是伴隨著整個(gè)訪問(wèn)過(guò)程。假設(shè)進(jìn)程1已被授權(quán)訪問(wèn)Hypervisor非控制數(shù)據(jù)VMCS(配置數(shù)據(jù))，并在訪問(wèn)過(guò)程中對(duì)VMCS進(jìn)行了修改，但未更新VMCS，即當(dāng)前狀態(tài)為訪問(wèn)中。此時(shí)進(jìn)程2請(qǐng)求訪問(wèn)VMCS，即，那么根據(jù)UCONhi模型，需要依據(jù)進(jìn)程2請(qǐng)求的權(quán)利2和主客體的屬性進(jìn)行授權(quán)，策略為：

但由于進(jìn)程1對(duì)VMCS的修改導(dǎo)致VMCS屬性發(fā)生了更改，如果按照VMCS原來(lái)的屬性進(jìn)行授權(quán)決策，那么進(jìn)程2能夠正常訪問(wèn)VMCS，這可能導(dǎo)致進(jìn)程2非法訪問(wèn)Hypervisor。所以，在主體請(qǐng)求訪問(wèn)Hypervisor非控制數(shù)據(jù)時(shí)需要進(jìn)行屬性更新操作。

由此可見(jiàn)，UCONhi模型滿足UCON模型的決策連續(xù)性和屬性易變性，可以實(shí)現(xiàn)Hypervisor非控制數(shù)據(jù)的實(shí)時(shí)監(jiān)控和訪問(wèn)決策。

2.2基于事件模型的策略描述

事件條件行為(Event Condition Action, ECA)[28]是一種很適合描述策略的語(yǔ)言，該語(yǔ)言描述的策略直觀、具有較好的表達(dá)能力。本文借鑒ECA，將ECA中的條件用謂詞替換描述UCONhi策略。一個(gè)UCONhi策略按照下列形式聲明：當(dāng)一個(gè)事件發(fā)生時(shí)，如果謂詞取值為真，那么事件產(chǎn)生的行為就必須得到執(zhí)行。具體見(jiàn)定義2。

定義2 UCONhi策略

(1)事件：一個(gè)事件是由一個(gè)主體產(chǎn)生的，本文定義3類(lèi)事件：請(qǐng)求訪問(wèn)ta，訪問(wèn)中oa，結(jié)束訪問(wèn)ea，如圖1所示。

圖1 主體事件和行為分布

它們的語(yǔ)義描述如下：

(2)行為：主體發(fā)起的訪問(wèn)事件產(chǎn)生的行為是由安全系統(tǒng)執(zhí)行的。如圖1所示，UCONhi模型中定義了6類(lèi)行為：允許訪問(wèn)pa，拒絕訪問(wèn)da，撤回訪問(wèn)ra，預(yù)更新pru，實(shí)時(shí)更新ou，事后更新pou，語(yǔ)義如下：

(3)謂詞：謂詞是一個(gè)由常量和變量構(gòu)建的布爾表達(dá)式，其中變量和常量是由主體和客體的屬性組成的。一個(gè)系統(tǒng)中定義有不同類(lèi)型的謂詞。例如，一元謂詞可由一個(gè)屬性和任意數(shù)量的常量組成。二元謂詞由兩個(gè)屬性和任意數(shù)量的常量組成，兩個(gè)屬性可以來(lái)自單個(gè)實(shí)體或者兩個(gè)不同的實(shí)體。

下面結(jié)合3個(gè)實(shí)例說(shuō)明如何使用ECA語(yǔ)言描述UCONhi策略。

例1 假設(shè)VM中一個(gè)進(jìn)程請(qǐng)求寫(xiě)VMCS中的某一項(xiàng)。一個(gè)合法的策略要求進(jìn)程的屬性是授權(quán)過(guò)的且VMCS某項(xiàng)的類(lèi)型不能夠是受限集合中的一種。策略聲明如下：

例3 假設(shè)Hypervisor在一次合法的升級(jí)中，修改了VMCS某些配置項(xiàng)，那么在升級(jí)之后這些項(xiàng)的值被更新。策略聲明如下：

為了更好地說(shuō)明圖1中UCONhi模型的使用，我們使用有限狀態(tài)機(jī)模型來(lái)進(jìn)一步論述，如圖2所示。

從圖2可知，該狀態(tài)機(jī)模型包括一個(gè)初始狀態(tài)，兩個(gè)中間狀態(tài)請(qǐng)求狀態(tài)和訪問(wèn)狀態(tài)以及3個(gè)終止?fàn)顟B(tài)結(jié)束狀態(tài)、拒絕狀態(tài)和撤回狀態(tài)。初始狀態(tài)指的是系統(tǒng)在等待主體請(qǐng)求一次客體訪問(wèn)。結(jié)束狀態(tài)指的是訪問(wèn)請(qǐng)求成功終止。拒絕狀態(tài)指的是訪問(wèn)請(qǐng)求在預(yù)授權(quán)時(shí)被拒絕。撤回狀態(tài)指的是訪問(wèn)請(qǐng)求在訪問(wèn)過(guò)程中被撤銷(xiāo)。請(qǐng)求狀態(tài)表明訪問(wèn)請(qǐng)求進(jìn)入預(yù)授權(quán)。訪問(wèn)狀態(tài)表明訪問(wèn)請(qǐng)求正在進(jìn)行中。

文獻(xiàn)[24]提出了一種攻擊Hypervisor數(shù)據(jù)實(shí)現(xiàn)VM提權(quán)的攻擊，我們使用該狀態(tài)機(jī)模型識(shí)別此攻擊。當(dāng)攻擊者申請(qǐng)?jiān)L問(wèn)Hypervisor中控制VM權(quán)限的數(shù)據(jù)時(shí)，狀態(tài)機(jī)模型從初始狀態(tài)經(jīng)請(qǐng)求訪問(wèn)ta事件進(jìn)入請(qǐng)求狀態(tài)，在該狀態(tài)下，模型對(duì)此訪問(wèn)事件的合法性進(jìn)行判斷；由于控制VM權(quán)限的數(shù)據(jù)是不允許非Hypervisor自身代碼進(jìn)行修改的，故決策時(shí)產(chǎn)生拒絕訪問(wèn)da事件拒絕此訪問(wèn)。因此，狀態(tài)機(jī)從請(qǐng)求狀態(tài)經(jīng)da事件進(jìn)入拒絕狀態(tài)，從而拒絕非控制數(shù)據(jù)的非法訪問(wèn)。對(duì)于其它類(lèi)型的Hypervisor非控制數(shù)據(jù)訪問(wèn)，狀態(tài)機(jī)經(jīng)過(guò)不同的狀態(tài)轉(zhuǎn)移進(jìn)入不同的終止?fàn)顟B(tài)。可見(jiàn)，基于該模型的非控制數(shù)據(jù)訪問(wèn)控制能夠保護(hù)Hypervisor非控制數(shù)據(jù)的完整性。

圖2 UCONhi模型中一次訪問(wèn)請(qǐng)求的執(zhí)行過(guò)程

3 架構(gòu)及實(shí)現(xiàn)

本節(jié)首先給出了支持UCONhi的實(shí)施架構(gòu)，然后在架構(gòu)的基礎(chǔ)上實(shí)現(xiàn)原型系統(tǒng)。

3.1架構(gòu)

如圖3所示，該架構(gòu)包含3個(gè)主要的部分：策略執(zhí)行點(diǎn)、策略決策點(diǎn)和屬性倉(cāng)庫(kù)。為了提高效率，引入了訪問(wèn)決策緩存組件用于緩存最近的訪問(wèn)決策。策略執(zhí)行點(diǎn)用于捕獲主體訪問(wèn)Hypervisor非控制數(shù)據(jù)(客體)的事件，并獲取主體和客體的屬性，同時(shí)負(fù)責(zé)執(zhí)行最后的訪問(wèn)控制決定。策略決策點(diǎn)從策略執(zhí)行點(diǎn)處接受請(qǐng)求，根據(jù)策略執(zhí)行點(diǎn)提供的主客體屬性、訪問(wèn)請(qǐng)求評(píng)估用于該請(qǐng)求的策略，并將授權(quán)決定返回給策略執(zhí)行點(diǎn)。為了確保策略執(zhí)行點(diǎn)和策略決策點(diǎn)的代碼安全，本文使用了Hypersafe[18]的代碼和控制數(shù)據(jù)完整性保護(hù)技術(shù)確保這兩部分功能代碼的完整性。

在該框架下系統(tǒng)工作過(guò)程如下：

(1)主體產(chǎn)生訪問(wèn)客體的事件，策略執(zhí)行點(diǎn)捕獲到該事件；

(2)策略執(zhí)行點(diǎn)到屬性倉(cāng)庫(kù)中查找主體和客體的屬性，如果還未有其對(duì)應(yīng)的屬性，則收集它們的屬性并存入屬性倉(cāng)庫(kù)中；否則轉(zhuǎn)(3)；

(3)策略執(zhí)行點(diǎn)詢問(wèn)訪問(wèn)決策緩存組件中是否有該主體訪問(wèn)客體的決策，如果有，接著檢查主客體的屬性是否未被修改，如若是，則按緩存的決策執(zhí)行，否則，轉(zhuǎn)(4)；

(4)策略執(zhí)行點(diǎn)將主客體屬性和訪問(wèn)請(qǐng)求發(fā)送到策略決策點(diǎn)，策略決策點(diǎn)根據(jù)主客體屬性評(píng)估策略生成訪問(wèn)控制決策，然后傳遞給策略執(zhí)行點(diǎn)執(zhí)行。

此外，由于使用過(guò)程中主客體的屬性存在變化的可能性，所以在此期間策略執(zhí)行點(diǎn)將根據(jù)對(duì)應(yīng)策略更新主客體屬性。策略執(zhí)行點(diǎn)獲取到新的主客體屬性，將它們存入屬性倉(cāng)庫(kù)。同時(shí)在訪問(wèn)結(jié)束后，策略執(zhí)行點(diǎn)將決策緩存到訪問(wèn)決策緩存組件中。

圖3 系統(tǒng)架構(gòu)圖

3.2實(shí)現(xiàn)

我們?cè)谠摷軜?gòu)和開(kāi)源Hypervisor Xen的基礎(chǔ)上實(shí)現(xiàn)了原型系統(tǒng)Xen-UCONhi。但是該框架能夠適用于不同類(lèi)型的Hypervisor，如Bitvisor[15], KVM[29]等。

實(shí)現(xiàn)該原型系統(tǒng)的關(guān)鍵在于系統(tǒng)能夠識(shí)別主客體的類(lèi)別和屬性以及主體訪問(wèn)客體的事件。為了能夠?qū)崿F(xiàn)不同主體對(duì)這幾類(lèi)非控制數(shù)據(jù)訪問(wèn)事件的捕獲，Xen-UCONhi首先根據(jù)主體類(lèi)型采用不同的監(jiān)控手段，然后根據(jù)主體訪問(wèn)對(duì)象類(lèi)型采用不同的UCONhi安全策略判斷訪問(wèn)事件的合法性。

對(duì)于客戶機(jī)進(jìn)程或者LKM，通過(guò)捕獲內(nèi)核級(jí)的寫(xiě)指令，獲取主客體的屬性并判斷客體是否為Hypervisor中的對(duì)象，如果是Hypervisor中的對(duì)象，則將主客體屬性和訪問(wèn)事件傳遞給策略執(zhí)行點(diǎn)，否則略過(guò)。

對(duì)于I/O設(shè)備的DMA操作，Xen-UCONhi基于IOMMU的DMA Remapping技術(shù)獲取I/O設(shè)備屬于的保護(hù)域，然后使用保護(hù)域和I/O設(shè)備請(qǐng)求地址查看TLB是否存在該請(qǐng)求地址，若存在，則取得讀寫(xiě)權(quán)限標(biāo)記以及用于轉(zhuǎn)譯的目標(biāo)系統(tǒng)地址，傳遞給策略執(zhí)行點(diǎn)；若不存在，IOMMU繼續(xù)查看設(shè)備相關(guān)的I/O頁(yè)表，提取I/O頁(yè)表中存儲(chǔ)的連接到目標(biāo)地址的權(quán)限信息并傳遞給策略執(zhí)行點(diǎn)；最后策略決策點(diǎn)根據(jù)安全訪問(wèn)控制策略決策I/O設(shè)備訪問(wèn)的合法性。

對(duì)于Hypervisor Rootkit，通過(guò)捕獲與Hypervisor相關(guān)的特權(quán)指令，如vmcall, vmread, vmwrite, vmptrld, vmclear等，發(fā)現(xiàn)Hypervisor Rootkit的創(chuàng)建行為，然后判斷主體類(lèi)型并根據(jù)策略決策訪問(wèn)事件。

4 實(shí)驗(yàn)及結(jié)果分析

本節(jié)從有效性和性能兩方面對(duì)UCONhi進(jìn)行評(píng)測(cè)。有效性測(cè)試用于驗(yàn)證UCONhi能否實(shí)現(xiàn)主體對(duì)客體的訪問(wèn)控制。性能測(cè)試用于驗(yàn)證UCONhi的效率和開(kāi)銷(xiāo)。實(shí)驗(yàn)環(huán)境如下：主機(jī)CPU為Intel(R) Core(TM) i5-750 @ 2.67 GHz，內(nèi)存大小4GB.Xen版本為4.4.0, Host OS和Guest OS均采用的是3.2.0-24-686內(nèi)核的Ubuntu 12.04，各分配2 GB內(nèi)存。

4.1有效性測(cè)試

為了更好地測(cè)試UCONhi是否能夠發(fā)現(xiàn)并阻止攻擊Hypervisor非控制數(shù)據(jù)的行為，我們首先選擇了前文提出的5類(lèi)Hypervisor非控制數(shù)據(jù)的攻擊樣例，它們分別修改VMCS配置、特權(quán)相關(guān)數(shù)據(jù)、調(diào)度數(shù)據(jù)、安全策略數(shù)據(jù)等非控制數(shù)據(jù)，其中前3種攻擊樣例來(lái)自文獻(xiàn)[24]，后兩種攻擊樣例為自實(shí)現(xiàn)。測(cè)試結(jié)果如表1所示。

表1攻擊測(cè)試

攻擊者攻擊的非控制數(shù)據(jù)類(lèi)型攻擊方式阻止 Attack_pd特權(quán)數(shù)據(jù)ROP攻擊√ Attack_sd調(diào)度數(shù)據(jù)DMA攻擊√ Attack_spd安全策略數(shù)據(jù)DMA攻擊√ Attack_vcdVMCS配置數(shù)據(jù)偽裝合法進(jìn)程√ Attack_upd訪問(wèn)控制策略數(shù)據(jù)DMA攻擊√

從表1中我們可以看出，Attack_pd利用ROP攻擊修改Xen中domain數(shù)據(jù)結(jié)構(gòu)的is_privileged字段使得普通的VM成為具有特權(quán)的Dom0，導(dǎo)致其可以創(chuàng)建、開(kāi)啟、暫停、關(guān)閉其他的VMs。Attack_pd修改該字段時(shí)觸發(fā)UCONhi，策略執(zhí)行點(diǎn)捕獲該事件及與事件相關(guān)的主客體屬性，然后將這些信息傳遞給策略決策點(diǎn)，策略決策點(diǎn)經(jīng)過(guò)計(jì)算判斷事件的合法性并將結(jié)果反饋給策略執(zhí)行點(diǎn)。策略描述如下所示。

Attack_sd通過(guò)修改csched_dom結(jié)構(gòu)中的weight和cap字段使得VM的性能受到影響。在Attack_sd修改這兩個(gè)字段時(shí)UCONhi觸發(fā)決策事件，成功阻止Attack_sd的篡改。策略與上一攻擊類(lèi)似。

Attack_spd則是對(duì)Xen安全模塊(XenSecurity Module, XSM)中的安全策略數(shù)據(jù)進(jìn)行篡改使得VMs之間的信息流違反XSM規(guī)定的安全策略。在Attack_spd修改XSM的數(shù)據(jù)時(shí)，UCONhi產(chǎn)生決策，拒絕Attack_spd發(fā)起的修改事件，成功阻止篡改行為。策略描述如下。

Attack_vcd則是利用Xen與上層應(yīng)用程序的通信接口實(shí)現(xiàn)對(duì)VMCS字段的篡改。在Attack_vcd修改VMCS時(shí)，UCONhi觸發(fā)決策，判斷訪問(wèn)主體的合法性，最終成功阻止它對(duì)VMCS的篡改。

Attack_upd則是對(duì)策略庫(kù)中的數(shù)據(jù)進(jìn)行篡改。由于本文使用TPM對(duì)策略數(shù)據(jù)庫(kù)進(jìn)行保護(hù)，策略庫(kù)的內(nèi)容使用了TPM提供的加密功能進(jìn)行加密，且任何策略庫(kù)修改均需要通過(guò)認(rèn)證。故Attack_upd無(wú)法實(shí)現(xiàn)對(duì)策略庫(kù)的篡改。

接下來(lái)我們與HyperVerify[20]進(jìn)行對(duì)比，設(shè)定HyperVerify的監(jiān)控周期為15 s。首先測(cè)試兩者是否能夠發(fā)現(xiàn)現(xiàn)有的Hypervisor非控制數(shù)據(jù)攻擊，然后測(cè)試兩者能否發(fā)現(xiàn)任意時(shí)刻的Hypervisor非控制數(shù)據(jù)攻擊，不妨設(shè)為20 s。測(cè)試結(jié)果如表2所示。

從表2可知，在監(jiān)控點(diǎn)15 s時(shí)，攻擊者發(fā)動(dòng)攻擊，HyperVerify不能夠發(fā)現(xiàn)后面兩種攻擊，這是由于HyperVerify目前只針對(duì)前3種非控制數(shù)據(jù)進(jìn)行監(jiān)控；在20 s時(shí)，攻擊者再次發(fā)動(dòng)攻擊，HyperVerify無(wú)法發(fā)現(xiàn)任何攻擊，而Xen-UCONhi則能夠發(fā)現(xiàn)所有攻擊，這是由于HyperVerify設(shè)定的監(jiān)控周期為15 s，第2次觸發(fā)監(jiān)控檢查是在30 s, 20 s介于兩者之間，此時(shí)的HyperVerify并未進(jìn)行任何監(jiān)控操作，所以未能發(fā)現(xiàn)任何攻擊行為，而Xen-UCONhi采用的事件監(jiān)控實(shí)現(xiàn)了實(shí)時(shí)的HyperVisor非控制數(shù)據(jù)訪問(wèn)控制監(jiān)控，故Xen-UCONhi發(fā)現(xiàn)了20 s的HyperVisor非控制數(shù)據(jù)攻擊行為。因此，Xen- UCONhi能夠?qū)崟r(shí)監(jiān)控非控制數(shù)據(jù)的完整性，較HyperVerify具有更好的保護(hù)能力。

表2對(duì)比測(cè)試

攻擊者攻擊的非控制數(shù)據(jù)類(lèi)型HyperVerify(15 s)Xen-UCONhi(15 s)HyperVerify(20 s)Xen-UCONhi(20 s) Attack_pd特權(quán)數(shù)據(jù)√√í√ Attack_sd調(diào)度數(shù)據(jù)√√í√ Attack_spd安全策略數(shù)據(jù)√√í√ Attack_vcdVMCS配置數(shù)據(jù)í√í√ Attack_upd訪問(wèn)控制策略數(shù)據(jù)í√í√

4.2性能測(cè)試

為了更好地說(shuō)明UCONhi對(duì)系統(tǒng)的性能影響，實(shí)驗(yàn)中首先使用LMBench 3.0-a9工具分別對(duì)未加入U(xiǎn)CONhi的Xen和融合UCONhi的Xen-UCONhi進(jìn)行測(cè)試。測(cè)試結(jié)果數(shù)據(jù)均是10次重復(fù)實(shí)驗(yàn)的平均值，10次測(cè)試過(guò)程中未運(yùn)行其余程序，測(cè)試環(huán)境一致，測(cè)試結(jié)果如圖4，圖5所示。

從圖4可以看出，由于Xen-UCONhi未對(duì)null call和null I/O操作進(jìn)行監(jiān)控，直接由處理器處理，故未帶來(lái)任何開(kāi)銷(xiāo)；而open/close為I/O操作指令，Xen-UCONhi監(jiān)控并處理了I/O操作，捕獲這些操作的主客體屬性等并決策，故這些操作需要的時(shí)間開(kāi)銷(xiāo)較大；同時(shí)，Xen-UCONhi在fork proc, exec proc和sh proc 3項(xiàng)測(cè)試指標(biāo)下的性能遠(yuǎn)大于其它指標(biāo)，這是因?yàn)檫@3項(xiàng)指標(biāo)的測(cè)試過(guò)程中需要計(jì)算可執(zhí)行文件的hash值。

從圖5可知，Xen-UCONhi對(duì)于0k file create/delete和10k file create/delete操作沒(méi)有帶來(lái)任何的開(kāi)銷(xiāo)，這是由于Xen-UCONhi未對(duì)文件的創(chuàng)建和刪除進(jìn)行任何額外的監(jiān)控和處理；prot fault指的是保護(hù)異常帶來(lái)的開(kāi)銷(xiāo)，UCONhi只是捕獲該操作，捕獲之后將該操作的處理返還給操作系統(tǒng)內(nèi)核；page fault指的是缺頁(yè)異常帶來(lái)的開(kāi)銷(xiāo)，由于Xen-UCONhi設(shè)置了關(guān)鍵數(shù)據(jù)所在頁(yè)的屬性，當(dāng)產(chǎn)生寫(xiě)關(guān)鍵數(shù)據(jù)操作時(shí)，觸發(fā)缺頁(yè)異常，由VMM處理該異常，處理之后再返回內(nèi)核，所以page fault所需要的開(kāi)銷(xiāo)較大，且大于prot fault的開(kāi)銷(xiāo)。

為進(jìn)一步評(píng)測(cè)UCONhi的性能，我們采用了5種常用應(yīng)用程序來(lái)測(cè)試其性能開(kāi)銷(xiāo)，如表3所示。

表3基準(zhǔn)測(cè)試應(yīng)用程序

項(xiàng)目版本命令 解壓縮bzip21.0.6tar zxf linux-3.2.43.tar.bz2 壓縮gzip1.4tar zcf linux-3.2.43 文件拷貝cp8.13cp –r linux-3.2.43 otherwhere 內(nèi)核編譯3.2.43make allnoconfig && make linux啟動(dòng)Ubuntu 12.04Linux boot

圖4 LMBench進(jìn)程測(cè)試 圖5 LMBench文件及VM系統(tǒng)測(cè)試

圖6給出了以Xen為基線Xen-UCONhi的應(yīng)用程序基準(zhǔn)測(cè)試結(jié)果，從整體上看，加入U(xiǎn)CONhi給Xen帶來(lái)了一定的開(kāi)銷(xiāo)。對(duì)于解壓縮和壓縮程序，Xen-UCONhi分別引入了1.75%和2.42%的性能開(kāi)銷(xiāo)，但這兩種程序均為計(jì)算密集型作業(yè)，帶來(lái)的開(kāi)銷(xiāo)相對(duì)較小。文件拷貝是I/O密集型作業(yè)，其中包含大量的讀寫(xiě)操作，由于Xen-UCONhi對(duì)寫(xiě)操作進(jìn)行了監(jiān)控和處理，所以文件拷貝帶來(lái)的開(kāi)銷(xiāo)相對(duì)較大。內(nèi)核編譯過(guò)程耗時(shí)較長(zhǎng)，編譯過(guò)程中重復(fù)加載少量應(yīng)用程序和鏈接庫(kù)，而Xen-UCONhi引入了決策緩存組件，已經(jīng)過(guò)驗(yàn)證的程序可避免重復(fù)計(jì)算，大大減少?zèng)Q策時(shí)間，故內(nèi)核編譯帶來(lái)的開(kāi)銷(xiāo)也相對(duì)較小。linux啟動(dòng)指的是從上電到客戶機(jī)加載完成所需要的時(shí)間，從圖6可知Xen-UCONhi所需要的時(shí)間比Xen約多5%。因此，從以上的測(cè)試可知，Xen-UCONhi對(duì)系統(tǒng)引入的開(kāi)銷(xiāo)在10%以內(nèi)，這是一個(gè)可以接受的范圍。與Hyperverify的4%相比，盡管帶來(lái)了額外5%左右的負(fù)載，但是Xen-UCONhi實(shí)現(xiàn)了實(shí)時(shí)的非控制數(shù)據(jù)完整性保護(hù)，克服了Hyperverify存在的監(jiān)控間歇問(wèn)題。

圖6 基準(zhǔn)程序測(cè)試結(jié)果

5 結(jié)論

Hypervisor安全問(wèn)題已成為國(guó)內(nèi)外的研究熱點(diǎn)。本文針對(duì)現(xiàn)有的Hypervisor完整性保護(hù)方法在非控制數(shù)據(jù)完整性保護(hù)上存在的不足提出了一種基于UCON的非控制數(shù)據(jù)保護(hù)模型UCONhi，并基于Xen設(shè)計(jì)實(shí)現(xiàn)了原型系統(tǒng)Xen-UCONhi。UCONhi具備屬性易變性和決策連續(xù)性，能夠保證Hypervisor非控制數(shù)據(jù)的實(shí)時(shí)完整性；對(duì)非控制數(shù)據(jù)的分類(lèi)減少了安全策略，提高了決策效率；采用ECA描述的策略與系統(tǒng)基于事件的策略決策相吻合，易于模型和系統(tǒng)的實(shí)現(xiàn)。同時(shí)，我們對(duì)Xen-UCONhi的有效性和性能進(jìn)行了評(píng)測(cè)，結(jié)果表明，Xen-UCONhi在有效發(fā)現(xiàn)阻止Hypervisor非控制數(shù)據(jù)攻擊的同時(shí)，引入的性能開(kāi)銷(xiāo)不超過(guò)10%。

[1] Garfinkel T and Rosenblum M. A virtual machine introspection based architecture for intrusion detection[C]. Proceedings of the 10th Network and Distributed System Symposium, San Diego, USA, 2003: 191-206.

[2] Lanzi A, Sharif M I, and Lee W. K-Tracer: a system for extracting kernel malware behavior[C]. Proceedings of the 16th Network and Distributed System Security Symposium, San Diego, USA, 2009: 191-203.

[3] Baliga A, Ganapathy V, and Iftode L. Detecting kernel-level rootkits using data structure invariants[J]., 2011, 8(5): 670-684.

[4] 李博, 沃天宇, 胡春明, 等. 基于VMM的操作系統(tǒng)隱藏對(duì)象關(guān)聯(lián)檢測(cè)技術(shù)[J]. 軟件學(xué)報(bào), 2013, 24(2): 405-420.

Li Bo, Wo Tian-yu, Hu Chun-ming,.. Hidden OS objects correlated detection technology based on VMM[J]., 2013, 24(2): 405-420.

[5] Criswell J, Dautenhahn N, and Adve V. KCoFI: complete control-flow integrity for commodity operating system kernels[C]. Proceedings of the 35th IEEE Symposium on Security and Privacy, Oakland, 2014: 14-29.

[6] 殷波, 王穎, 邱雪松, 等. 一種面向云服務(wù)提供商的資源分配機(jī)制[J]. 電子與信息學(xué)報(bào), 2014, 36(1): 15-21.

Yin Bo, Wang Ying, Qiu Xue-song,.. A resource provisioning mechanism for service providers in cloud[J].&, 2014, 36(1): 15-21.

[7] Barham P, Dragovic B, Fraser K,.. Xen and the art of virtualization[C]. Proceedings of the 19th ACM Symposium on Operating Systems Principles, New York, USA, 2003: 164-177.

[8] Wojtczuk R. Subverting the xen hypervisor[R]. Black Hat, USA, 2008.

[9] Rutkowska J and Tereshkin A. Bluepilling the xen hypervisor[R]. Black Hat, USA, 2008.

[10] Zovi D D. Hardware virtualization rootkits[R]. Black Hat Briefings, USA, 2006.

[11] National vulnerability database[OL]. http://nvd.nist.gov/. 2014-09-20.

[12] Klein G, Elphinstone K, Heiser G,.. SeL4: formal verification of an OS kernel[C]. Proceedings of the ACM SIGOPS 22nd Symposium on Operating Systems Principles, New York, USA, 2009: 207-220.

[13] Barthe G, Betarte G, Campo J D,.. Formally verifying isolation and availability in an idealized model of virtualization[C]. Proceedings of the 17th International Symposium on Formal Methods, Limerick, Ireland, 2011: 231-245.

[14] Baumann C, Bormer T, Blasum H,.. Proving memory separation in a microkernel by code level verification[C]. Proceedings of the 14th IEEE International Symposium on/ Object/Component/Service-OrientedReal-Time Distributed Computing Workshops, Reno, NV, USA, 2011: 25-32.

[15] Shinagawa T, Eiraku H, Tanimoto K,.. Bitvisor: a thin hypervisor for enforcing I/O device security[C]. Proceedings of the 2009 ACM SIGPLAN/SIGOPS International Conference on Virtual Execution Environments, New York, USA, 2009: 121-130.

[16] Steinberg U and Kauer B. NOVA: a microhypervisor-based secure virtualization architecture[C]. Proceedings of the 5th European Conference on Computer Systems, New York, USA, 2010: 209-222.

[17] Nguyen A, Raj H, Rayanchu S,.. Delusional boot: securing hypervisors without massive re-engineering[C]. Proceedings of the 7th ACM European Conference on Computer Systems, New York, USA, 2012: 141-154.

[18] Wang Z and Jiang X. HyperSafe: a lightweight approach to provide lifetime hypervisor control-flow integrity[C]. Proceedings of the 31st IEEE Symposium on Security and Privacy, Oakland, USA, 2010: 380-395.

[19] Azab A M, Ning P, Wang Z,.. HyperSentry: enabling stealthy in-context measurement of hypervisor integrity[C]. Proceedings of the 17th ACM Conference on Computer and Communications Security, Chicago, USA, 2010: 38-49.

[20] Wang J, Stavrou A, and Ghosh A. HyperCheck: a hardware-assisted integrity monitor[J]., 2014, 11(4): 332-344.

[21] Ding B, He Y, Wu Y,.. HyperVerify: a vm-assisted architecture for monitoring hypervisor non-control data[C]. Proceedings of the IEEE 7th International Conference on Software Security and Reliability-Companion, Gaithersburg, MD, USA, 2013: 26-34.

[22] Liu Z, Lee J H, Zeng J,.. CPU transparent protection of OS kernel and hypervisor integrity with programmable DRAM[C]. Proceedings of the 40th Annual International Symposium on Computer Architecture, Tel-Aviv, Israel, 2013: 392-403.

[23] Chen S, Xu J, Sezer E C,.. Non-control-data attacks are realistic threats[C]. Proceedings of the 14th Usenix Security Symposium, Baltimore, MD, USA, 2005: 177-192.

[24] Ding B, He Y, Wu Y,.. Systemic threats to hypervisor non-control data[J]., 2013, 7(4): 349-354.

[25] 俞能海, 郝卓, 徐甲甲, 等. 云安全研究進(jìn)展綜述[J]. 電子學(xué)報(bào), 2013, 41(2): 371-381.

Yu Neng-hai, Hao Zhuo, Xu Jia-jia,.. Review of cloud computing security[J]., 2013, 41(2): 371-381.

[26] Park J and Sandhu R. Towards usage control models: beyond traditional access control[C]. Proceedings of the 7th ACM Symposium on Access Control Models and Technologies, New York, NY, USA, 2002: 57-64.

[27] 熊厚仁, 陳性元, 張斌, 等. 基于雙層角色和組織的可擴(kuò)展訪問(wèn)控制模型[J]. 電子與信息學(xué)報(bào), 2015,DOI: 10.11999/ JEIT141255.

Xiong Hou-ren, Chen Xing-yuan, Zhang Bin,.. Scalable access control model based on double-tier role and organization[J].&, 2015, DOI: 10.11999/JEIT141255.

[28] Alferes J J, Banti F, and Brogi A. An event-condition-action logic programming language[C].Proceedings ofthe 10th European Conference on JELIA, Liverpool, 2006: 29-42.

[29] Kivity A, Kamay Y, Laor D,.. KVM: the linux virtual machine monitor[C]. Proceedings of the 2007 Linux Symposium, Ottawa, Canada, 2007: 225-230.

Access Control Based Hypervisor Non-control Data Integrity Protection

Chen Zhi-feng Li Qing-bao Zhang Ping Zeng Guang-yu

(,450001,)(,450001,)

With the widely spread of virtualization technology, the security problems of virtual layer have attracted the close attention of domestic and foreign researchers at the same time. Existing virtual machine monitor (or Hypervisor) integrity protection methods mainly focus on code and control data integrity protection, and can not resist the non-control data attacks; using periodic monitoring can not provide real-time non-control data integrity protection. According to the deficiencies of the existing methods, Hypervisor non-control data integrity protection model UCONhiis proposed based on Usage CONtral (UCON). The model simplifies the UCON model according to the needs of the non-control data integrity protection, inheriting the continuity and mutability of UCON model to realize real-time access control of non-control data. The attacker and the attacked object are analyzed to determine the subjects and objects and reduce the security policies according to the attacking samples, and UCONhisecurity policies are described based on ECA, which can effectively decide the legality of non-control data access. A prototype system Xen-UCONhiis designed and implemented based on Xen system, and the effectiveness and performance overhead of Xen-UCONhiare evaluated by comprehensive experiments. The results show that Xen-UCONhican effectively prevent attacks against Hypervisor with less than 10% performance overhead.

Virtual Machine Monitor (Hypervisor); Non-control data; Usage control; Integrity protection; Event condition action

TP316; TP309

A

1009-5896(2015)10-2508-09

10.11999/JEIT150130

2015-01-27；改回日期：2015-06-23；

2015-07-27

陳志鋒 xiaohouzi06@163.com

核高基國(guó)家科技重大專項(xiàng)(2013JH00103)和國(guó)家863計(jì)劃項(xiàng)目(2009AA01Z434)

The National Science and Technology Major Project of China (2013JH00103); The National 863 Program of China (2009AA01Z434)

陳志鋒： 男，1986年生，博士生，研究方向?yàn)樾畔踩c可信計(jì)算.

李清寶： 男，1967年生，教授，研究方向?yàn)樾畔踩c可信計(jì)算.

張 平： 女，1969年生，副教授，研究方向?yàn)椴⑿凶R(shí)別、信息安全.

曾光裕： 女，1966年生，副教授，研究方向?yàn)樾畔踩c可信計(jì)算.