刘宇涛
- 作品数:13 被引量:22H指数:3
- 供职机构:上海交通大学更多>>
- 相关领域:自动化与计算机技术石油与天然气工程更多>>
- 基于虚拟化硬件特性的高效隔离内核模块的系统及方法
- 本发明提供了一种基于虚拟化硬件特性的高效隔离内核模块的系统及方法,其设计了一种安全的高效的针对不可信的内核模块的强隔离机制,并且能够满足当下对于安全性和功能性方面的需求。本发明相对现有的解决方法,具有更好的性能、更强的隔...
- 刘宇涛陈海波夏虞斌臧斌宇
- 文献传递
- 基于AMD硬件内存加密机制的关键数据保护方案被引量:3
- 2018年
- 长期以来,保护应用程序关键数据(如加密密钥、用户隐私信息等)的安全一直是个重要问题,操作系统本身巨大的可信计算基使其不可避免的具有许多漏洞,而这些漏洞则会被攻击者利用进而威胁到应用程序的关键数据安全。虚拟化技术的出现为解决此类问题提供了一定程度的帮助,虚拟化场景下虚拟机监控器实际管理物理内存,可以通过拦截虚拟机的关键操作为应用程序提供保护,而硬件内存加密机制则能够解决应用程序在运行时内存中明文数据被泄露的问题。本文基于虚拟化技术和AMD的硬件内存加密机制,提出了一套高效的关键数据保护方案,并通过应用解耦和技术将关键数据与代码与其余的正常数据与代码分离并置于隔离的安全环境中运行从而达到保护关键数据的目的。测试显示,软件带来的系统性能开销小于1%,关键部分的性能开销小于6%,常见应用的延迟在接受范围内。系统能够成功保护应用程序如私钥等关键数据免受恶意操作系统的读取与Bus Snooping、Cold Boot等物理攻击。
- 吴宇明刘宇涛陈海波
- 关键词:数据保护内存泄露虚拟化
- 一种垃圾处理箱
- 本发明涉及一种环保型垃圾处理箱,包括箱体外壳、搅拌器、保温内胆、肥料收集箱,所述的保温内胆和肥料收集箱上下设置在箱体外壳内,并在保温内胆底部设有双层过滤板,所述的搅拌器设置在保温内胆上部,所述的保温内胆与箱体外壳侧面设有...
- 胡昊费君华徐龙刘宇涛宋元斌丁武龙
- 文献传递
- 基于虚拟化内存隔离的Rowhammer攻击防护机制被引量:5
- 2017年
- 随着虚拟化技术的发展与云计算的流行,虚拟化环境下的安全防护问题一直受到广泛的关注。最近的Rowhammer攻击打破了人们对于硬件的信赖,同时基于Rowhammer攻击的各种攻击方式已经威胁到了虚拟化环境下的虚拟机监视器以及其他虚拟机的安全。目前业界已有的对Rowhammer攻击的防御机制或者局限于修改物理硬件,或者无法很好的部署在虚拟化环境下。本文提出一种方案,该方案实现了一套在虚拟机监视器层面的Rowhammer感知的内存分配机制,能够在虚拟机监视器层面以虚拟机的粒度进行Rowhammer攻击的隔离防护。测试表明,该方案能够在不修改硬件,以及引入较小的性能开销(小于6%的运行时开销和小于0.1%的内存开销)的前提下,成功阻止从虚拟机到虚拟机监视器以及跨虚拟机的Rowhammer攻击。
- 石培涛刘宇涛陈海波
- 关键词:虚拟化安全内存分配XEN
- 基于IPT硬件的内核模块ROP透明保护机制被引量:3
- 2018年
- Return-Oriented Programming(ROP)是一种流行的利用缓冲区溢出漏洞进行软件攻击的方法.它通过覆写程序栈上的返回地址,使程序在之后执行返回指令时跳转到攻击者指定位置的代码,因而违反了程序原本期望的控制流.控制流完整性(control-flow integrity,简称CFI)检查是目前最流行的ROP防御机制,它将每条控制流跳转指令的合法目标限制在一个合法目标地址集合内,从而阻止攻击者恶意改变程序的控制流.现有的CFI机制大多用于保护用户态程序,而当前已有诸多针对内核态的攻击被曝出,其中,Return-Oriented rootkits(ROR)[1]就是在有漏洞的内核模块中进行ROP攻击,达到执行内核任意代码的目的.相对于传统的基于用户空间的ROP攻击,ROR攻击更加危险.根据Linux CVE的数据统计,在2014年~2016年间,操作系统内核内部的漏洞有76%出现在内核模块中,其中,基本上所有被公布出来的攻击都发生在内核模块.由此可见,内核模块作为针对内核攻击的高发区,非常危险.另一方面,当前鲜有针对操作系统内核的CFI保护方案,而已有的相关系统都依赖于对内核的重新编译,这在很大程度上影响了它们的应用场景.针对这些问题,首次提出利用Intel Processor Trace(IPT)硬件机制并结合虚拟化技术,对内核模块进行透明且有效的保护,从而防御针对它的ROP攻击.实验结果表明,该系统具有极强的保护精确性、兼容性和高效性.
- 王心然刘宇涛陈海波
- 关键词:ROP内核模块IPT虚拟化KVM
- 高效的基于嵌套虚拟化的虚拟机安全保护方法及系统
- 本发明提供了一种高效的基于嵌套虚拟化的虚拟机安全保护方法及系统,包括:步骤1:将虚拟机与虚拟化层进行隔离;步骤2:实现虚拟化层软件与虚拟机的直接交互。具体地,利用嵌套虚拟化技术防止恶意的虚拟化层软件窃取和篡改虚拟机内存和...
- 陈海波刘宇涛臧斌宇
- 文献传递
- 虚拟化安全:机遇,挑战与未来被引量:4
- 2016年
- 随着云计算的流行,虚拟化安全问题受到了广泛的关注。通过引入额外的一层抽象,虚拟化技术为整个系统提供了更强级别的隔离机制,并为上层软件提供了一系列自底向上的安全服务。另一方面,抽象的引入所带来的复杂性提升和性能损失,都对虚拟化安全的研究带来了巨大的挑战。介绍了上海交通大学并行与分布式系统研究所近几年来在虚拟化安全领域所做的一系列具有代表性的工作,包括利用虚拟化提供可信执行环境、虚拟机监控、域内隔离等一系列安全服务,以及对虚拟化环境的可信计算基和跨域调用等方面进行优化的成果,并对当前和未来虚拟化安全领域的问题和探索方向进行了总结。
- 刘宇涛陈海波
- 关键词:虚拟化安全可信计算基
- 基于硬件事务内存的安全增强机制
- 2016年
- 近些年,在学术界和工业界出现了一些利用非安全相关的硬件特性来增强系统安全的机制。在本文中,我们主要介绍其中的两个工作,它们都是基于硬件事务内存特性,其中一个用于增强虚拟机自省技术,另外一个用于防止私钥泄露。
- 刘宇涛陈海波
- 关键词:硬件内存工业界学术界虚拟机私钥
- 一种环保型垃圾处理箱
- 本发明涉及一种环保型垃圾处理箱,包括箱体外壳、搅拌器、保温内胆、肥料收集箱,所述的保温内胆和肥料收集箱上下设置在箱体外壳内,并在保温内胆底部设有双层过滤板,所述的搅拌器设置在保温内胆上部,所述的保温内胆与箱体外壳侧面设有...
- 胡昊费君华徐龙刘宇涛宋元斌丁武龙
- 文献传递
- 海底管道完整性管理中偶然荷载的风险评估和决策研究
- 中国既是大陆国家,也是海洋大国,海岸线长18,000公里,海疆面积达三百余万平方公里。这片蓝色疆土中有着丰富的资源,因此开发利用海洋资源对我国的可持续发展有着重大的意义。国家“十二五”规划着重强调了发展海洋经济,同时,沿...
- 刘宇涛
- 关键词:风险评估贝叶斯网络
