用于在独立于操作系统（OS）的防病毒（AV）扫描器上执行强制性安全策略的方法和装置制造方法及图纸

一种防病毒（AV）应用，其指定错误处理器代码镜像、错误处理器清单、AV应用的存储器位置，和AV应用清单。加载器验证错误处理器代码镜像和错误处理器清单，创建具有第一安全级别的第一安全域，将错误处理器代码镜像拷贝到与第一安全域相关联的存储器，并且启动错误处理器的执行。加载器请求锁定在客户操作系统中为AV应用保留的存储页面。通过在客户操作系统存储器中所选代码片段上设置陷阱，错误处理器锁定加载到客户操作系统存储器中的AV应用的可执行代码镜像。

【技术实现步骤摘要】
【国外来华专利技术】
本公开一般地涉及计算领域。更具体地说，本专利技术的实施例涉及对在计算系统中运行的防病毒扫描代理强制执行强制性安全策略。
技术介绍
防病毒(AV)扫描代理应用程序一般作为操作系统(OS)进程来运行。AV扫描代理通过使用一些与恶意软件所使用的相同的隐匿技术来保护自身不受恶意软件/木马攻击。近来操作系统设计中的改变采用了强制性访问控制(MAC)标签，其以低、中、高完整性分类的形式来标记进程。在不同级别的进程不允许彼此进行修改/访问。但是MAC级别的语义在OS环O (内核特权)处强制执行。环O受到损害意味着MAC强制执行机制受到损害，并因而在环3 (用户特权)和环O中运行的AV扫描代理受到损害。虚拟内存管理器(VMM)(如果使用了)的损害也可能导致用户OS (UOS)的MAC机制受到损害。在OS中的MAC机制的使用使得AV扫描代理更难躲避针对AV扫描代理代码的恶意软件。因此，除非改进OS安全性，否则AV扫描代理代码会易受到攻击。附图说明通过参考附图来提供详细描述。在不同附图中使用的相同附图标记指示相似的或相同的项目。图1是根据本专利技术的一些实施例的执行容器完整性模型的图；图2示出了根据本专利技术的实施例的具有客户OS的执行容器完整性模型；图3是根据本专利技术的实施例的具有客户OS (具有AV应用)的执行容器完整性模型的图；图4是根据本专利技术的实施例的用于建立域C的流程图；图5是示出了根据本专利技术的实施例的对应于一系列资源设陷机构的级联Biba级别的图；图6是示出了根据本专利技术的实施例的建立C子域的流程图；图7是示出了根据本专利技术的实施例的设置应用陷阱的流程图；图8是示出了根据本专利技术的另一实施例的设置应用陷阱的流程图；图9是示出了根本专利技术的实施例的执行陷阱的流程图；图10是根据本专利技术的另一实施例的具有用于虚拟机管理器(VMM)的客户OS的执行容器完整性模型的图；图11是根据本专利技术的实施例的具有用于VMM的客户OS的执行容器完整性模型的图，其中虚拟机包括AV应用；以及图12和图13示出了计算系统的实施例的框图，其可以用来实现在本文中讨论的一些实施例。具体实施例方式在下面的说明书中，为了提供对各个实施例的完全理解而阐述了多个具体细节。但是，没有所述具体细节本专利技术的各个实施例也可以实施。在其他的实例中，没有详细描述公知的方法、程序、部件和电路，以免模糊了本专利技术的特定实施例。此外，可以使用各种器件来执行本专利技术的实施例的各个方面，所述器件例如为集成半导体电路(硬件)、被组织为存储在计算机可读存储介质上的一个或多个程序的计算机可读指令(软件)，或硬件和软件的一些组合。为了本公开的目的，对“逻辑”的引用应意味着硬件、软件(包括例如控制处理器操作的微代码)、固件，或其上的一些组合。在实施例中，可以在计算系统中的受保护的执行环境中执行AV扫描代理应用程序，在所述计算系统中可以向该AV扫描代理分配MAC特权，所述MAC特权支配由用户操作系统(UOS)(或虚拟机管理器(VMM))所使用的MAC特权。AV扫描代理配置包含UOS代理的存储页面，使用受保护的执行环境来保护所述存储页面。这些存储页面具有有效的MAC特权，所述MAC特权高于由UOS (或VMM)授予的最高特权，因而UOS的损害不会转化为UOS中的AV扫描代理的损害。本专利技术的实施例使用至少两种技术的组合:受保护的执行环境微代码和在硬件级别应用的、与操作系统MAC抽象分离的MAC标签。在受保护的执行环境中的执行容器为以比最高可能的OS环O级别更高的安全级别运行的AV扫描代理运行时间提供执行隔离。这个级别由受保护的执行环境强制执行。因为受保护的执行环境遵守MAC安全模型，所以受保护的执行环境可以在防止恶意修改AV扫描代理运行时间的同时仍允许对OS文件系统对象进行读取访问。本专利技术的实施例一致地关联了 MAC标签，同时在客户OS资源上设置了陷阱。实施例的方法在客户资源和页面上递归地级联标签分配和陷阱分配，直到AV扫描代理应用和相关的数据被保护。可以由计算系统的处理器检测并防止尝试修改受保护的资源的恶意软件。从检测到的攻击中恢复可以由来自受保护的执行环境的以较高的完整性级别运行的处理器代理程序进行管理，而不破坏系统的完整性模型。MAC安全模型通过将安全标签分配给系统中的主体和对象来保护信息。一个这样的MAC安全模型是Biba模型，其公开在1977年4月，Mitre公司的Biba, K.J.“IntegrityConsiderations for Secure Computer Systems”，MTR-3153 中。Biba 完整性模型是计算机系统安全策略的正式状态转换系统，其描述了被设计用来确保数据完整性的一套访问控制规则。数据和主体被分组为完整性的有序级别。设计该模型使得主体不可以损坏处于高于该主体级别等级的数据,或该主体不可以被来自低于该主体级别等级的数据损坏。一般来说，保持数据完整性的目的在于防止数据被未授权方修改、防止未授权的数据被未授权方修改，和维护内部和外部一致性(即，数据反映了真实世界)。这种安全模型是为了数据完整性，并且其特性在于短语“不向下读，不向上写”。Biba MAC规则可被总结为:1)给予资源(主体和对象)Biba完整性标签，使得更高级别“支配”更低级别。支配对象或其他主体的主体能对这些资源“向下写”。2)较低级别的资源能“向上读”更高级别的资源。Biba模型可以被应用于受保护的执行环境，使得设备、存储器、直接存储器存取(DMA)缓存、中断和配置空间都可以固定地使用Biba标签，使得能一致地应用Biba访问规贝U。在受保护的执行环境中运行的应用可以对应于MAC标签约束而被分配虚拟资源，其中运行在执行容器中的OS强制执行Biba安全模型。可以信任受保护的执行环境的资源管理器部件以跨越执行容器(受保护的存储器)和设备资源之间的硬件接口边界来强制执行特权语义。图1是根据本专利技术的某些实施例的执行容器完整性模型的图。受保护的执行环境可以对运行在执行容器100中的应用强制执行Biba安全策略。执行容器包括在计算系统内的应用环境，所述计算系统与正常的操作系统环境相隔离。在实施例中，执行容器在其功能性方面受到约束；执行容器可能不包括全功能的操作系统。在实施例中，执行容器包括应用(App)策略管理器部件102，和一个或多个应用程序。在图1示出的示例中，执行容器包括第一级别完整性的应用(App L1104)，第二级别完整性的应用(App L2106)，和第三级别完整性的应用(App L3108)。在实施例中，通过使用仲裁访问平台资源(中央处理单元(CPU)、存储器、芯片组、闪存等)的硬件支持对这些资源进行分区，受保护的执行环境提供在计算系统中创建执行容器的机制。目的在于除了用于用户操作系统(UOS)的容器以外，通常利用在为了节约能源的低活动期间UOS使得内核脱机时未使用的多核处理器中的内核上的周期，其他独立的操作环境能够运行。这对能源消耗和性能具有轻微的影响，但是提供了用于程序执行的环境，所述环境可被用于UOS的带外(OOB)活动，例如安全性、可管理性、安全商务或许可。使用OOB执行环境，运行在这些容器中的应用将免受用户篡改、恶意软件的损害，并且能抵抗操作系统故障。为启动这个功能，可本文档来自技高网...

【技术保护点】
一种在具有加载器和错误处理器的计算系统中，对在客户操作系统中运行的独立于操作系统（OS）的防病毒（AV）应用强制执行安全策略的方法，包括：由所述AV应用指定错误处理器代码镜像、错误处理器清单、所述AV应用的存储器位置，和AV应用清单；由所述加载器验证所述错误处理器代码镜像和所述错误处理器清单；由所述加载器创建具有第一安全级别的第一安全域，将所述错误处理器代码镜像拷贝到与所述第一安全域相关联的存储器，并且启动所述错误处理器的执行；由所述加载器请求锁定在所述客户OS中为所述AV应用保留的存储器页；通过在所述客户OS存储器页中所选的代码段上设置陷阱，所述错误处理器锁定加载到客户OS存储器中的所述AV应用的可执行代码镜像；由所述加载器测量AV应用存储器并将所述测量与所述AV应用清单进行比较；以及当所述测量和比较步骤成功地验证所述AV应用时，由所述加载器将所述AV应用提升到所述第一安全域。

【技术特征摘要】
【国外来华专利技术】2010.08.18 US 12/858,8821.一种在具有加载器和错误处理器的计算系统中，对在客户操作系统中运行的独立于操作系统(OS)的防病毒(AV)应用强制执行安全策略的方法，包括: 由所述AV应用指定错误处理器代码镜像、错误处理器清单、所述AV应用的存储器位置，和AV应用清单； 由所述加载器验证所述错误处理器代码镜像和所述错误处理器清单； 由所述加载器创建具有第一安全级别的第一安全域，将所述错误处理器代码镜像拷贝到与所述第一安全域相关联的存储器，并且启动所述错误处理器的执行； 由所述加载器请求锁定在所述客户OS中为所述AV应用保留的存储器页； 通过在所述客户OS存储器页中所选的代码段上设置陷阱，所述错误处理器锁定加载到客户OS存储器中的所述AV应用的可执行代码镜像； 由所述加载器测量AV 应用存储器并将所述测量与所述AV应用清单进行比较；以及当所述测量和比较步骤成功地验证所述AV应用时，由所述加载器将所述AV应用提升到所述第一安全域。2.根据权利要求1所述的方法，其中，所述加载器和所述错误处理器在所述计算系统中的受保护的执行环境中执行。3.根据权利要求1所述的方法，其中，在所述客户OS中运行的其他应用位于具有第二安全级别的第二安全域中，所述第一安全级别高于所述第二安全级别。4.根据权利要求3所述的方法，其中，在所述第二安全域中运行的应用在没有触发由所述错误处理器检测到的陷阱的情况下不能修改在所述第一安全域中的存储器。5.根据权利要求3所述的方法，其中，在所述第二安全域中运行的客户OS内核代码在没有触发由所述错误处理器检测到的陷阱的情况下不能修改在所述第一安全域中的存储器。6.根据权利要求1所述的方法，还包括执行所述AV应用来扫描在所述计算系统中的恶意软件。7.根据权利要求6所述的方法，还包括由所述错误处理器验证来自所述AV应用的消息来源于已锁定的客户OS存储器。8.根据权利要求1所述的方法，其中，由所述计算系统的处理器的资源管理器逻辑来控制对所述安全域的访问。9.根据权利要求1所述的方法，其中，所述AV应用在由虚拟机管理器(VMM)所控制的虚拟机中执行。10.一种包括一条或多条指令的计算机可读介质，当在具有加载器和错误处理器的计算系统的处理器上执行所述指令时，配置所述处理器执行以下一个或多个操作: 由防病毒(AV)应用指定错误处理器代码镜像、错误处理器清单、所述AV应用的存储器位置,和AV应用清单； 由所述加载器验证所述错误处理器代码镜像和所述错误处理器清单； 由所述加载器创建具有第一安全级别的第一安全域，将所述错误处理器代码镜像拷贝到与所述第一安全域相关联的存储器，并且启动所述错误处理器的执行； 由所述加载器请求锁定在所述客户OS中为所述AV应用保留的存储器页； 通过在所述客户OS存储器页中所选的代码段上设置陷阱，所述错误处理器锁定加载到客户OS存储器中的所述AV应用的可执行代码镜像； 由所述加载器测量AV应用存储器并将所述测量与所述AV应用清单进行比较；以及当所述测量和比较步骤成功地验证所述AV应用时...

【专利技术属性】
技术研发人员：N·M·史密斯，G·D·丹内尔斯，V·尚博格，S·苏古马尔，
申请(专利权)人：英特尔公司，
类型：发明
国别省市：美国;US