容器安全加固及其在终端安全保护中的应用研究

Due to the high performance and high application compatibility advantages, container mechanism is becoming a main technology to achieve isolation protection for the mobile applications. For example, many vendors have begun to introduce the container-based BYOD solutions. However, container mechanism has the kernel-sharing security flaw, and the existing security reinforcement technology cannot effectively overcome the problem and provide a strong isolation protection for the mobile applications. This project intends to study a combined hardware-software based security hardening mechanism which is applicable to the mobile terminals to improve the container security, while preserving the excellent application compatibility and high performance advantages of the container mechanism. On the software aspect, we want to first minimize the privilege-elevation attack surface through a control mechanism designed by analyzing the privilege-escaping attacks and the restraint-dependency relationships between different kernel security mechanisms. Then, we investigate a container-based access control mechanism to block the malicious access from the container process to Linux kernel and the malicious access between different containers. On the hardware aspect, we want to leverage the TrustZone extension to protect the execution of two software-based mechanisms proposed. So that we can further enhance the run-time security of the container by overcoming the kernel-relying weakness of the container mechanism and the software-based protection solutions. The research can provide an effective safeguard for the vigorous industry application of container mechanism in mobile terminals and has great theoretical value in promoting the research on mobile system security.

由于高性能和高应用兼容性，容器机制逐渐成为实现移动应用隔离的主要技术，很多厂商纷纷推出基于容器的BYOD方案。然而，容器存在共享内核的安全缺陷，而现有的容器加固技术未能有效克服该问题为移动应用提供足够强的隔离保障。本项目拟研究适用于移动终端的软硬件结合的容器安全加固机制，在保留高应用兼容性和高性能优势的同时，提高容器安全性。软件方面，通过全面的提权攻击分析和内核安全机制间的牵制-依赖关系图构建，有针对性的设计提权控制模型，最大化提权攻击门槛；同时引入以容器为单元的访问控制机制，控制容器进程对内核的纵向访问和容器之间的横向访问，以限制未提权情况下的恶意内核访问。硬件方面，引入TrustZone安全扩展来加固所提出的软件机制，克服容器本身和软件方案依赖内核的安全缺陷，以硬件方式强化容器运行时安全。该研究能为蓬勃发展的容器终端产业应用提供有效的安全保障，对促进移动系统安全研究具有重要的理论价值。

现有的容器安全加固技术主要局限在零散的内核安全机制的应用，难以为蓬勃发展的容器产业提供有效的安全保证。本项目拟研究软硬件结合的容器安全加固机制，在提高容器安全性的同时，保留容器技术良好的应用兼容性和高性能优势。主要研究成果如下：.一、.容器机制的安全评估及提权攻击模型研究.首次基于真实的漏洞利用，以攻防方式，对Linux环境下容器的安全性进行了评估与深入分析，结合评估分析结果，提出“4步骤”Linux容器内核提权攻击模型，并标识出实现容器安全加固的关键内核因素，包括Credential内核数据等。目前没有专门针对容器的漏洞利用库，为了能顺利进行漏洞复现来评估容器安全性，我们首次创建了包含223个真实攻击样本的Linux容器平台漏洞利用库，并提出双维度（攻击影响范围和攻击目的两个维度）分类法，将漏洞利用分为四层和四类。.二、.基于TrustZone的Rich OS数据保护机制研究.我们分析了主流针对TrustZone普通世界的数据保护方案的安全性，发现保护方案都仅仅关注了内存上的数据安全，但是却忽略了缓存的影响。由此提出了一种新的攻击方式，可以利用缓存来绕过主流的数据保护方案，我们称之为Cache-in-the-Middle（CITM）缓存攻击。我们系统分析了这种攻击技术带来的安全风险并且针对现有保护方案存在的缺陷提出了对应的加固方案来实现更安全的隔离技术。.三、.ARM TrustZone可信执行环境安全交互技术研究.TrustZone保证了安全世界不会被恶意访问，但是普通世界仍需要与安全世界交互来调用这些安全功能，而隔离技术无法保证交互过程安全。我们详细的分析了整个交互过程中攻击者可能采用的各种攻击策略，通过动态设置交互通道的访问权限来防止攻击者的恶意访问。相较于基于密码的交互通道保护机制，我们的方案仅需要设置一些特定的寄存器。同时无需额外的实时内核保护技术来防止集成到操作系统的保护措施被绕过。因此，方案相较于传统的保护策略更为高效。

内容获取失败，请点击重试